このページでは、コンテキストアウェア アクセスを設定する方法について説明します。コンテキストアウェア アクセスを使用すると、次のことができるようになります。
- ユーザー ID、ネットワーク、ロケーション、デバイスの状態などの属性に基づいて、 Google Cloud リソースのアクセス ポリシーを定義します。
継続的にアクセスするためのセッション時間と再認証方法を制御する。
コンテキストアウェア アクセスは、ユーザーが Google Cloud スコープを必要とするクライアント アプリケーション(ウェブ上の Google Cloud コンソールや Google Cloud CLI など)にアクセスするたびに適用されます。
必要な IAM 権限を付与する
Access Context Manager アクセス バインディングの作成に必要な組織レベルの IAM 権限を付与します。
Google Cloud コンソールで [IAM] ページに移動します。
[アクセスを許可] をクリックして、以下を構成します。
- 新しいプリンシパル: 権限を付与するユーザーまたはグループを指定します。
- ロールを選択: [Access Context Manager] > [Cloud アクセス バインディング管理者] を選択します。
[保存] をクリックします。
組織レベルの IAM 権限を追加するのに十分な権限で認証されていることを確認してください。少なくとも、組織管理者のロールが必要です。
適切な権限があることを確認したら、次のコマンドでログインします。
gcloud auth login
次のコマンドを実行して
GcpAccessAdmin
ロールを割り当てます。gcloud organizations add-iam-policy-binding
ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdminORG_ID
は、組織 ID です。組織 ID を把握していない場合は、次のコマンドを使用して確認できます。gcloud organizations list
EMAIL
は、ロールを付与するユーザーまたはグループのメールアドレスです。
ユーザー グループを作成する
コンテキストアウェアの制限を受けるユーザー グループを作成する。このグループのいずれかのユーザーが組織のメンバーでもある場合は、作成されたアクセスレベルを満たし、Google Cloud コンソールとGoogle Cloud API にアクセスできるようにする必要があります。
Endpoint Verification をデプロイする
デバイス属性をアクセス制御ポリシーに統合するための手順として、Endpoint Verification をデプロイすることもできます。この機能を使用すると、OS バージョンや構成などのデバイス属性に基づいてリソースへのアクセスを許可または拒否することで、組織のセキュリティを強化できます。
Endpoint Verification は、macOS、Windows、Linux で Chrome 拡張機能として実行され、モデルや OS バージョンなどのデバイス特性と、ディスク暗号化、ファイアウォール、画面ロック、OS パッチの有無などのセキュリティ特性に基づいてアクセス制御ポリシーを作成できます。
さらに、証明書ベースのアクセスを必須にすることもできます。これにより、確認済みデバイス証明書が存在することを確認してセキュリティを強化し、ユーザー認証情報が不正使用された場合でも、承認されたデバイスのみがリソースにアクセスできるようにできます。
管理者は、Google Cloud コンソールを使用して組織の会社所有デバイスに拡張機能をデプロイできます。また、組織のメンバーが自分でインストールすることもできます。