Proteggi la console Google Cloud e le API Google Cloud

Questo documento mostra come proteggere l'accesso alla console Google Cloud e alle API Google Cloud utilizzando le regole basate sul contesto.

L'accesso sensibile al contesto per la console Google Cloud e le API Google Cloud limita l'accesso alla console Google Cloud e alle API Google Cloud con regole basate sul contesto. Fa parte di BeyondCorp Enterprise e aiuta a garantire che singoli utenti e gruppi all'interno della tua organizzazione che soddisfino i requisiti di accesso definiti siano in grado di accedere alla console Google Cloud e alle API Google Cloud (incluso l'accesso da Google Cloud CLI).

Per proteggere la console Google Cloud e le API Google Cloud, completa questi passaggi:

[Facoltativo] Esegui il deployment della verifica degli endpoint per i dispositivi della tua organizzazione.
Crea un livello di accesso in Gestore contesto accesso.
Crea un gruppo di utenti da associare alle limitazioni sensibili al contesto.
Ottenere le autorizzazioni necessarie per Identity and Access Management.
Creare un'associazione di accesso che applica regole sensibili al contesto per la console Google Cloud e le API Google Cloud.

[Facoltativo] Eseguire il deployment della verifica degli endpoint

Se vuoi proteggere l'accesso alla console Google Cloud e alle API Google Cloud utilizzando gli attributi del dispositivo, esegui il deployment della verifica endpoint ai dispositivi della tua organizzazione.

La verifica degli endpoint viene eseguita come estensione di Chrome su desktop e laptop per gli utenti di macOS, Windows e Linux. Un amministratore può eseguirne il deployment sui dispositivi di proprietà dell'organizzazione dalla Console di amministrazione Google oppure i membri dell'organizzazione possono installarlo autonomamente.

Crea un livello di accesso

Devi definire un livello di accesso utilizzabile per determinare l'accesso alla console Google Cloud e alle API Google Cloud creando un livello di accesso di base in Gestore contesto accesso.

Creare un gruppo di utenti

Crea un gruppo di utenti che devono essere vincolati da restrizioni sensibili al contesto. Tutti gli utenti di questo gruppo che sono anche membri della tua organizzazione devono soddisfare il livello di accesso creato in precedenza per accedere alla console Google Cloud e alle API Google Cloud.

Concedi le autorizzazioni IAM richieste

Concedi le autorizzazioni IAM a livello di organizzazione necessarie per creare associazioni di accesso di Gestore contesto accesso.

Console

Vai alla pagina IAM e amministrazione nella console Google Cloud.

Vai a IAM e amministrazione
Fai clic su Aggiungi e configura quanto segue:
- Nuovi membri: specifica l'utente o il gruppo a cui concedere le autorizzazioni.
- Seleziona un ruolo: seleziona Gestore contesto accesso > Amministratore associazioni Cloud Access.
Fai clic su Salva.

gcloud

Assicurati di eseguire l'autenticazione con i privilegi sufficienti per aggiungere le autorizzazioni IAM a livello di organizzazione. Come requisito minimo, avrai bisogno del ruolo Amministratore dell'organizzazione.

Dopo aver verificato di avere le autorizzazioni corrette, accedi con:
```
gcloud auth login
```
Assegna il ruolo GcpAccessAdmin eseguendo questo comando:
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID è l'ID della tua organizzazione. Se non hai ancora l'ID organizzazione, puoi usarlo per trovarlo:
```
 gcloud organizations list
```
- EMAIL è l'indirizzo email della persona o del gruppo a cui vuoi assegnare il ruolo.
Nota: per l'accesso di sola lettura alle associazioni, puoi assegnare il ruolo accesscontextmanager.gcpAccessReader.

Crea un'associazione di accesso

Un'associazione di accesso è una mappatura tra il gruppo di utenti creato in precedenza e il livello di accesso di Gestore contesto accesso definito per l'accesso alla console Google Cloud e alle API Google Cloud.

Puoi creare un'associazione di accesso in uno dei seguenti modi:

Associazione dell'accesso tra un gruppo e un livello di accesso.
Associazione dell'accesso tra un gruppo e un livello di accesso con configurazione di prova. Con la configurazione della prova, puoi creare un'associazione di accesso tra un gruppo e un livello di accesso di prova o tra un gruppo, un livello di accesso e un livello di accesso di prova.

Creare un'associazione di accesso con un livello di accesso

Console

Vai alla pagina BeyondCorp Enterprise nella console Google Cloud.

Vai a BeyondCorp Enterprise
Scegli un'organizzazione e fai clic su Seleziona.
Fai clic su Gestisci accesso per scegliere i gruppi utenti a cui concedere l'accesso.
Fai clic su Aggiungi e configura quanto segue:
- Gruppi di membri: specifica il gruppo a cui concedere l'accesso. Possono essere selezionati solo i gruppi non già associati a un livello di accesso.
- Seleziona i livelli di accesso: scegli il livello di accesso da applicare al gruppo.
Fai clic su Salva.

gcloud

Per ulteriori informazioni su questo e altri comandi di gcloud access-context-manager-manager cloud, incluse le opzioni di flag aggiuntive, puoi fare riferimento a Google Cloud CLI.

 gcloud access-context-manager cloud-bindings create \
    --group-key GROUP_ID \
    --level ACCESS_LEVEL \
    --organization ORG_ID

Dove:

GROUP_ID è l'ID gruppo del gruppo di utenti creato in precedenza.
Se non hai l'ID gruppo disponibile, puoi recuperarlo chiamando il metodo get per la risorsa Groups.
ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin. Se la proprietà access-context-manager/organization non è stata impostata, sostituisci ORG_ID nel flag facoltativo --organization con l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione.
ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.

API

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
GROUP_ID è l'ID gruppo del gruppo di utenti creato in precedenza.
Se non hai l'ID gruppo disponibile, puoi recuperarlo chiamando il metodo get per la risorsa Groups.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione.
ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.

Metodo e URL HTTP:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

Corpo JSON richiesta:

{
  "groupKey": "GROUP_ID",
  "accessLevels": [ "ACCESS_LEVEL" ],
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

ricci

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ]
}

Crea un'associazione di accesso con la configurazione di prova

Puoi creare un'associazione di accesso con una configurazione di prova per comprendere l'impatto dei livelli di accesso nel tuo ambiente nei seguenti scenari:

Per valutare l'impatto di un livello di accesso prima di applicarlo, crea un'associazione di accesso con un livello di accesso prova.
Per applicare un livello di accesso e valutare contemporaneamente l'impatto di un livello di accesso di prova, crea un'associazione di accesso con un livello di accesso attivo e con un livello di accesso di prova.

Un'associazione di accesso con un livello di accesso di prova non impedisce l'accesso, ma registra le violazioni del livello di accesso di prova. Per visualizzare i dettagli del log, consulta i log di rifiuto.

Crea un'associazione di accesso con un livello di accesso di prova

gcloud

    gcloud access-context-manager cloud-bindings create \
    --group-key = GROUP_ID \
    --dry-run-level = DRY_RUN_ACCESS_LEVEL \
    --organization ORG_ID

Dove:

GROUP_ID è l'ID gruppo del gruppo di utenti creato in precedenza.
Se non hai l'ID gruppo disponibile, puoi recuperarlo chiamando il metodo get per la risorsa Groups.
ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin. Se la proprietà access-context-manager/organization non è stata impostata, sostituisci ORG_ID nel flag facoltativo --organization con l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione.
DRY_RUN_ACCESS_LEVEL è il valore ACCESS_LEVEL di cui vuoi comprendere l'effetto. ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.

API

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
GROUP_ID è l'ID gruppo del gruppo di utenti creato in precedenza.
Se non hai l'ID gruppo disponibile, puoi recuperarlo chiamando il metodo get per la risorsa Groups.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione.
DRY_RUN_ACCESS_LEVEL è il valore ACCESS_LEVEL di cui vuoi comprendere l'effetto. ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.

Metodo e URL HTTP:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

Corpo JSON richiesta:

{
  "groupKey": "GROUP_ID",
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

ricci

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",

  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}

Creare un'associazione di accesso con un livello di accesso e un livello di accesso di prova

gcloud

    gcloud access-context-manager cloud-bindings create \
    --group-key = GROUP_ID \
    --level = ACCESS_LEVEL \
    --dry-run-level = DRY_RUN_ACCESS_LEVEL \
    --organization ORG_ID

Dove:

GROUP_ID è l'ID gruppo del gruppo di utenti creato in precedenza.
Se non hai l'ID gruppo disponibile, puoi recuperarlo chiamando il metodo get per la risorsa Groups.
ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin. Se la proprietà access-context-manager/organization non è stata impostata, sostituisci ORG_ID nel flag facoltativo --organization con l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione.
ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.
DRY_RUN_ACCESS_LEVEL è il valore ACCESS_LEVEL di cui vuoi comprendere l'effetto. ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.

API

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
GROUP_ID è l'ID gruppo del gruppo di utenti creato in precedenza.
Se non hai l'ID gruppo disponibile, puoi recuperarlo chiamando il metodo get per la risorsa Groups.
POLICY_ID è l'ID del criterio di accesso della tua organizzazione.
ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.
DRY_RUN_ACCESS_LEVEL è il valore ACCESS_LEVEL di cui vuoi comprendere l'effetto. ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.

Metodo e URL HTTP:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

Corpo JSON richiesta:

{
  "groupKey": "GROUP_ID",
  "accessLevels": [ "ACCESS_LEVEL" ],
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

ricci

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}

Visualizza i log di rifiuto

Dopo aver creato una configurazione di prova, puoi esaminare i log per identificare il punto in cui la configurazione di prova impedisce l'accesso.

La tabella seguente elenca i campi log che puoi utilizzare per creare ed eseguire la query per ottenere i log:

Nome campo	Descrizione
`protoPayload > authenticationInfo > principalEmail`	ID email dell'entità per la quale è stato negato l'accesso.
`protoPayload > metadata > deniedApplications`	Nome dell'applicazione per la quale è stato negato l'accesso.
`protoPayload > metadata > evaluationResult`	Il risultato della valutazione del criterio di accesso attivo. Valori possibili: `GRANTED` o `DENIED`.
`protoPayload > metadata > appliedAccessLevels`	I livelli di accesso applicati dal criterio di accesso attivo.
`protoPayload > metadata > appliedDryRunAccessLevels`	I livelli di accesso applicati dal criterio di accesso prova.
`protoPayload > metadata > dryRunEvaluationResult`	Il risultato della valutazione del criterio di accesso di prova, che indica l'azione prevista quando il criterio di accesso è applicato. Valori possibili: `GRANTED` o `DENIED`.

Per maggiori dettagli su come creare query per i log, consulta Logging query language.

Console

Nel menu di navigazione della console Google Cloud, fai clic su Logging e poi su Esplora log.

Vai a Esplora log

Nel campo Query, inserisci un filtro di query come il seguente filtro e fai clic su Esegui query.

severity="ERROR" AND
(protoPayload.metadata.evaluationResult=DENIED OR protoPayload.metadata.dryRunEvaluationResult=DENIED) AND
 protoPayload.metadata.@type="type.googleapis.com/google.cloud.audit.ContextAwareAccessAuditMetadata" AND
 protoPayload.metadata.deniedApplications.name="CLOUD_PLATFORM"

Visualizza i log nella sezione Risultati delle query.

gcloud

Per visualizzare i log utilizzando gcloud CLI, esegui questo comando:

gcloud logging read 'severity="ERROR" AND
  (protoPayload.metadata.evaluationResult=DENIED OR protoPayload.metadata.dryRunEvaluationResult=DENIED) AND
   protoPayload.metadata.@type="type.googleapis.com/google.cloud.audit.ContextAwareAccessAuditMetadata" AND
   protoPayload.metadata.deniedApplications.name="CLOUD_PLATFORM"'

Gestisci le associazioni di accesso

Dopo aver creato le associazioni di accesso per un gruppo di utenti, l'accesso alla console Google Cloud e alle API Google Cloud viene controllato in base alla soddisfazione del livello di accesso associato.

Puoi visualizzare i dettagli dell'associazione di accesso che hai creato, modificarla o eliminarla.

Visualizza associazioni di accesso

Console

Puoi visualizzare tutte le associazioni di accesso per l'organizzazione e i dettagli di un'associazione di accesso.

gcloud

Per visualizzare tutte le associazioni di accesso, esegui il comando seguente:
```
  gcloud access-context-manager cloud-bindings list \
   --organization ORG_ID
```
Dove:

ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin. . Se la proprietà access-context-manager/organization non è stata impostata, sostituisci ORG_ID nel flag facoltativo --organization con l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
Per visualizzare i dettagli di un'associazione di accesso, esegui il comando seguente:
```
  gcloud access-context-manager cloud-bindings describe \
  --binding=BINDING_ID
```
Dove:

BINDING_ID è l'ID dell'associazione di accesso o dell'identificatore completo dell'associazione di accesso.

API

Visualizza tutte le associazioni di accesso:

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin. Se la proprietà access-context-manager/organization non è stata impostata, sostituisci ORG_ID nel flag facoltativo --organization con l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
Metodo e URL HTTP:
```
GET https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings
```
Per inviare la richiesta, scegli una delle seguenti opzioni:
ricci

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:
```
curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"
```
PowerShell

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
```
{
  "name": string,
  "groupKey": string,
  "accessLevels": [
    string
  ]
  "dryRunAccessLevels": [
  string
  ]
}
```
Visualizza i dettagli di un'associazione di accesso:

Metodo e URL HTTP:
```
GET https://accesscontextmanager.googleapis.com/v1/BINDING_ID
```
Per inviare la richiesta, scegli una delle seguenti opzioni:
ricci

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:
```
curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://accesscontextmanager.googleapis.com/v1/BINDING_ID"
```
PowerShell

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://accesscontextmanager.googleapis.com/v1/BINDING_ID" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
```
{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}
```

Aggiorna associazioni di accesso

Console

Se necessario, puoi aggiornare un'associazione di accesso.

gcloud

Per aggiornare un'associazione di accesso, ad esempio per modificare il livello di accesso, esegui questo comando:
```
  gcloud access-context-manager cloud-bindings update \
     --binding ACCESS_BINDING \
     --level ACCESS_LEVEL
```
Dove:
- ACCESS_BINDING è nel formato organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME.
- ORG_ID è l'ID dell'organizzazione che hai utilizzato durante la creazione del ruolo GcpAccessAdmin.
- ACCESS_BINDING_NAME è la stringa univoca restituita per l'identificatore name al momento della creazione dell'associazione di accesso.
- Sostituisci il valore di ACCESS_LEVEL in base alle esigenze. ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.
Per aggiornare un'associazione di accesso con un livello di accesso di prova, esegui il comando seguente:
```
 gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
  --dry-run-level=DRY_RUN_ACCESS_LEVEL
```
Sostituisci il valore di DRY_RUN_ACCESS_LEVEL in base alle esigenze. È nel formato accessPolicies/POLICY_ID/accessLevels/DRY_ACCESS_LEVEL_NAME.
Per aggiornare un'associazione di accesso e modificare sia il livello di accesso che il livello di accesso di prova, esegui il comando seguente:
```
 gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
 --level=`ACCESS_LEVEL`
 --dry-run-level=DRY_RUN_ACCESS_LEVEL
```
Sostituisci il valore di ACCESS_LEVEL e DRY_RUN_ACCESS_LEVEL in base alle esigenze. ACCESS_LEVEL e DRY_RUN_ACCESS_LEVEL hanno il formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME e DRY_RUN_ACCESS_LEVEL è uguale a ACCESS_LEVEL.
Per rimuovere un livello di accesso di prova a un'associazione di accesso, esegui questo comando:

Nota: per un'associazione di accesso, non puoi rimuovere il livello di accesso e il livello di accesso di prova non può essere vuoto contemporaneamente.
```
  gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
  --dry-run-level=
```

API

Aggiorna un'associazione di accesso, ad esempio per modificare il livello di accesso:

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- ACCESS_BINDING_NAME è la stringa univoca restituita per l'identificatore name al momento della creazione dell'associazione di accesso.
- ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.
Metodo e URL HTTP:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels
```
Corpo JSON richiesta:
```
{
    "accessLevels": [ "ACCESS_LEVEL" ]
}
```
Per inviare la richiesta, scegli una delle seguenti opzioni:
ricci

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
curl -X PATCH \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels"
```
PowerShell

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
```
{
    "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
    "groupKey": "045jfvxd0ybeul8",
    "accessLevels": [
      "accessPolicies/305009197125/accessLevels/device_lock"
    ]
}
```
Aggiorna un'associazione di accesso con il livello di accesso prova:

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- ACCESS_BINDING_NAME è la stringa univoca restituita per l'identificatore name al momento della creazione dell'associazione di accesso.
- DRY_RUN_ACCESS_LEVEL è il valore ACCESS_LEVEL di cui vuoi comprendere l'effetto. ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.
Metodo e URL HTTP:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels
```
Corpo JSON richiesta:
```
{
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}
```
Per inviare la richiesta, scegli una delle seguenti opzioni:
ricci

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
curl -X PATCH \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels"
```
PowerShell

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
```
{
  name: "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",

  group_key: "045jfvxd0ybeul8",

  dry_run_access_levels: [ "accessPolicies/305009197125/accessLevels/another" ]
  }
```
Aggiornare un'associazione di accesso e modificare sia il livello di accesso che il livello di accesso di prova:

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- ACCESS_BINDING_NAME è la stringa univoca restituita per l'identificatore name al momento della creazione dell'associazione di accesso.
- ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.
- DRY_RUN_ACCESS_LEVEL è il valore ACCESS_LEVEL di cui vuoi comprendere l'effetto. ACCESS_LEVEL è nel formato accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. I valori per POLICY_ID e ACCESS_LEVEL_NAME sono disponibili in Gestore contesto accesso da quando hai creato il livello di accesso.
Metodo e URL HTTP:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels
```
Corpo JSON richiesta:
```
{
  "accessLevels": [ "ACCESS_LEVEL" ],
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
 }
```
Per inviare la richiesta, scegli una delle seguenti opzioni:
ricci

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
curl -X PATCH \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels"
```
PowerShell

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
```
{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}
```
Rimuovi un livello di accesso di prova a un'associazione di accesso:

Nota: per un'associazione di accesso, non puoi rimuovere il livello di accesso e il livello di accesso di prova non può essere vuoto contemporaneamente.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- ACCESS_BINDING_NAME è la stringa univoca restituita per l'identificatore name al momento della creazione dell'associazione di accesso.
Metodo e URL HTTP:
```
PATCH PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels
```
Corpo JSON richiesta:
```
{
  "dryRunAccessLevels": [ ]
}
```
Per inviare la richiesta, scegli una delle seguenti opzioni:
ricci

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
curl -X PATCH \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels"
```
PowerShell

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels" | Select-Object -Expand Content
```
Dovresti ricevere un codice di stato (2xx) completato e una risposta vuota.

Elimina associazioni di accesso

Console

Puoi eliminare un'associazione di accesso quando necessario.

gcloud

   gcloud access-context-manager cloud-bindings delete \
       --binding ACCESS_BINDING

Dove:

ACCESS_BINDING è nel formato organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME.
ACCESS_BINDING_NAME è la stringa univoca restituita per l'identificatore name al momento della creazione dell'associazione di accesso.

API

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

ACCESS_BINDING_NAME è la stringa univoca restituita per l'identificatore name al momento della creazione dell'associazione di accesso.

Metodo e URL HTTP:

DELETE https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME

Per inviare la richiesta, scegli una delle seguenti opzioni:

ricci

Esegui questo comando:

curl -X DELETE \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME"

PowerShell

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME" | Select-Object -Expand Content

Dovresti ricevere un codice di stato (2xx) completato e una risposta vuota.

Domande frequenti

Quanto tempo è necessario perché venga applicata un'associazione di accesso appena creata?

L'operazione potrebbe richiedere fino a 24 ore.
Cosa succede se elimino un gruppo con un'associazione di accesso?

Il gruppo e l'associazione vengono eliminati e tutti gli utenti che ne fanno parte sono autorizzati ad accedere.
Cosa succede se elimino il livello di accesso utilizzato in un'associazione di accesso?

Il livello di accesso non può mai essere soddisfatto e a tutti gli utenti del gruppo associato viene negato l'accesso.
Cosa succede quando un utente fa parte di più gruppi con associazioni di accesso?

L'utente deve soddisfare solo il livello di accesso di uno di questi gruppi per poter accedere.
Cosa succede agli utenti che non fanno parte della mia organizzazione?

Tutti gli utenti che non fanno parte della tua organizzazione, anche se li hai aggiunti al gruppo di utenti che devono essere vincolati da restrizioni sensibili al contesto, non sono soggetti all'associazione di accesso.

Passaggi successivi

Per scoprire di più sull'audit log per BeyondCorp Enterprise, consulta Log di controllo.
Per saperne di più sull'audit logging in Gestore contesto accesso, tra cui un riepilogo di quali operazioni API vengono registrate per le azioni amministrative, consulta Informazioni sull'audit logging di Gestore contesto accesso.