Definir políticas de acceso mediante niveles de acceso

En esta página se explica cómo definir políticas de acceso contextual mediante niveles de acceso.

Un nivel de acceso es un conjunto de atributos asignados a las solicitudes en función de su origen. Con información como el tipo de dispositivo, la dirección IP y la identidad del usuario, puedes designar el nivel de acceso que quieres conceder. Por ejemplo, puedes asignar un nivel High_Trust a las conexiones que se realicen desde tu red corporativa y un nivel Medium_Trust a los dispositivos externos que ejecuten sistemas operativos aprobados.

Una política de acceso es un contenedor de todos tus recursos de Administrador de contextos de acceso, como los niveles de acceso y los perímetros de servicio.

Para obtener más información sobre los niveles y las políticas de acceso, consulta el artículo Introducción a Administrador de contextos de acceso.

Limitaciones

Al definir un nivel de acceso, se aplican las siguientes limitaciones:

  • No puedes usar una dirección IP como atributo para las conexiones de Docker ni direcciones IP privadas al conectarte a clústeres privados mediante kubectl o una instancia de Looker gestionada.
  • Looker Studio siempre tiene acceso sin restricciones a las APIs, independientemente de las políticas del Administrador de contextos de acceso.Google Cloud
  • Los atributos de dispositivo no están disponibles para las aplicaciones cliente de OAuth que no son de Google.
  • No puedes usar un nivel de acceso limitado.

Definir una política mediante niveles de acceso

Consola

Crea un nivel de acceso básico:

  1. En la Google Cloud consola, abre la página Administrador de contextos de acceso.

    Ir a la página Administrador de contextos de acceso

  2. Si se te solicita, selecciona un proyecto.

  3. En la página Administrador de contextos de acceso, haz clic en Nuevo.

  4. En el panel Nuevo nivel de acceso, haz lo siguiente:

    1. En el campo Título del nivel de acceso, introduce un título para el nivel de acceso. El título debe tener un máximo de 50 caracteres, empezar por una letra y solo puede contener números, letras, guiones bajos y espacios.

    2. En la sección Condiciones, haz clic en el botón Añadir del tipo de atributo que quieras añadir y, a continuación, indica los valores que quieras aplicar a ese atributo.

      Para ver una lista completa de los atributos que puede añadir, consulte los atributos de nivel de acceso.

      Por ejemplo, si quieres que el nivel de acceso tenga en cuenta desde dónde se envía una solicitud en tu red, selecciona el atributo Subredes de direcciones IP.

      Repite este paso para añadir varios atributos a la misma condición. Si una condición tiene varios atributos, la solicitud de acceso debe cumplir todos los atributos.

      Una condición de nivel de acceso puede incluir un atributo de cada tipo. Algunos atributos incluyen opciones adicionales, como el atributo Política de dispositivos.

      Los niveles de acceso admiten condiciones basadas en la identidad del usuario. Sin embargo, para añadir identidades a una condición, debes crear o actualizar el nivel de acceso con la CLI de gcloud o la API.

    3. Use la opción Si se cumple la condición, devolver para especificar si quiere que la condición requiera que una solicitud cumpla todos los atributos especificados (TRUE) o si la solicitud debe cumplir cualquier otro atributo (FALSE).

      Por ejemplo, si quieres rechazar las solicitudes de un intervalo de direcciones IP de tu red, especifica el intervalo de direcciones IP con el atributo Subredes IP y, a continuación, define la condición como FALSE.

    4. También puedes hacer clic en Añadir otra condición para añadir otra condición al nivel de acceso y, a continuación, repetir los dos pasos anteriores.

      Por ejemplo, si quieres denegar el acceso a un subconjunto de direcciones IP dentro de un intervalo de direcciones IP más amplio, crea una condición, especifica el intervalo de direcciones IP del subconjunto en el atributo Subredes IP y define la condición para que devuelva FALSE.

      Repite este paso para añadir varias condiciones al mismo nivel de acceso.

    5. Si has creado más de una condición, usa Combinar condición con para especificar si quieres que el nivel de acceso requiera que se cumpla al menos una de las condiciones (OR) o todas ellas (AND).

    6. Haz clic en Guardar.

gcloud

Si tu organización no tiene una política de acceso, crea una antes de continuar.

Usa el comando gcloud access-context-manager levels create para crear un nivel de acceso:

gcloud access-context-manager levels create LEVEL_NAME OPTIONS \
    --policy=POLICY

Haz los cambios siguientes:

  • LEVEL_NAME: nombre único del nivel de acceso. Debe empezar por una letra y solo puede incluir letras, números y guiones bajos. El nombre puede tener un máximo de 50 caracteres.

  • OPTIONS: las opciones obligatorias de la siguiente tabla.

    Opciones
    basic-level-spec

    Un archivo YAML que especifica una o varias condiciones para el nivel de acceso.

    title

    Un título corto para el nivel de acceso. El título del nivel de acceso se muestra en la Google Cloud consola.

    combine-function

    (Opcional) Determina cómo se combinan las condiciones.

    Valores válidos: AND, OR

    description

    (Opcional) Descripción detallada del nivel de acceso.

  • POLICY: el ID de la política de acceso de tu organización. Si tienes una política predeterminada, este parámetro es opcional.

Opcionalmente, puedes incluir cualquiera de las marcas de gcloud.

Archivo YAML basic-level-spec

Cuando usas la CLI de gcloud para crear un nivel de acceso, debes proporcionar un archivo YAML para la opción basic-level-spec. El archivo YAML define una o varias condiciones para el nivel de acceso. Las condiciones deben contener al menos un atributo. Cuando una condición contiene más de un atributo, se combinan como una operación Y (todos deben ser verdaderos) o como una operación NAND (ninguno puede ser verdadero), en función de si el atributo negate se incluye en la condición.

Para ver una lista completa de los atributos que puede incluir en su archivo YAML, consulte los atributos de nivel de acceso.

Para obtener más información sobre los niveles de acceso y YAML, consulta el ejemplo de YAML para un nivel de acceso.

Comando de ejemplo

gcloud access-context-manager levels create Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=AND \
    --description='Access level that conforms to corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1521580097614100

API

Si tu organización no tiene una política de acceso, crea una antes de continuar.

Para crear un nivel de acceso, llama al accessLevels.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

POLICY es el ID de la política de acceso de tu organización.

Cuerpo de la solicitud

El cuerpo de la solicitud debe incluir un recurso AccessLevel que especifique las condiciones que quieras aplicar al nuevo nivel de acceso. Cada Condition tiene uno o varios atributos que se evalúan como una operación Y (todos deben ser verdaderos) o como una operación NAND (ninguno puede ser verdadero), en función de si el campo negate tiene el valor true. La evaluación resultante determina si se cumple o no la condición.

Cuerpo de la respuesta

Si la llamada se realiza correctamente, el cuerpo de la respuesta contiene un recurso Operation que proporciona detalles sobre la operación POST.

Configuraciones de políticas habituales

En los siguientes ejemplos se muestran algunas de las formas prácticas en las que tu organización puede implementar niveles de acceso. En los ejemplos se da por hecho que tu organización ya tiene una política de acceso.

Limitar el acceso en una red corporativa

En este ejemplo se describe cómo crear una condición de nivel de acceso que permita el acceso solo desde un intervalo de direcciones IP especificado (por ejemplo, las que se encuentran en una red corporativa).

Al restringir el intervalo de direcciones IP a las que se concede acceso, puedes dificultar la filtración de datos a un atacante que se encuentre dentro o fuera de tu organización.

En este ejemplo, supongamos que quieres crear un nivel de acceso que permita a un grupo de auditores internos acceder al servicio Cloud Logging de un proyecto llamado datos-sensibles. Todos los dispositivos de los auditores tienen asignadas IPs en una subred que va de 203.0.113.0 a 203.0.113.127. Sabes que no habrá ningún dispositivo asignado a esa subred que no sea el que usan los auditores.

Si quieres usar un intervalo de direcciones IP privadas (por ejemplo, 192.168.0.0/16 o 172.16.0.0/12), consulta Permitir el acceso a recursos protegidos desde una dirección IP interna para obtener más información y un ejemplo de implementación con Controles de Servicio de VPC.

Consola

  1. En la Google Cloud consola, abre el Administrador de contextos de acceso.

    Ir a la página Administrador de contextos de acceso

  2. Si se te solicita, selecciona un proyecto.

  3. En la parte superior de la página Chrome Enterprise Premium, haz clic en Nuevo.

  4. En el panel Nuevo nivel de acceso, en la sección Condiciones, haz clic en Añadir atributo y, a continuación, en Subredes de IP.

  5. En el cuadro Subredes de IP, selecciona IP pública o IP privada.

    • Si seleccionas IP pública, introduce uno o varios intervalos IPv4 o IPv6 con formato de bloques CIDR.

      En este ejemplo, para limitar el acceso solo a los auditores, introduce 203.0.113.0/25 en el cuadro Subredes IP.

    • Si seleccionas IP privada, haz clic en Seleccionar redes de VPC. Puede especificar redes de VPC mediante una de las tres opciones disponibles en la lista Opciones de importación.

      • Opción 1:

        1. Selecciona Buscar redes de VPC en tu organización y elige las redes de VPC.

        2. Haz clic en Añadir redes de VPC seleccionadas.

        3. Haz clic en Seleccionar subredes de IP y selecciona las subredes.

        4. Haz clic en Añadir subredes de IP.

      • Opción 2:

        1. Selecciona Introducir manualmente la dirección de la red de VPC e introduce una o varias redes de VPC.

        2. Haz clic en Añadir red de VPC.

        3. Haz clic en Seleccionar subredes de IP y selecciona las subredes.

        4. Haz clic en Añadir subredes de IP.

      • Opción 3:

        1. Selecciona Subir archivo CSV (sobrescribe las redes actuales).

          Si usas un archivo CSV para añadir redes VPC y subredes a un nivel de acceso, Access Context Manager sobrescribe las redes VPC y las subredes seleccionadas anteriormente.

        2. Haz clic en Examinar y sube el archivo CSV. En el archivo CSV, debe especificar las redes de VPC y las subredes con el siguiente formato:

          VPC_NETWORK_NAME_1       | IP_RANGE_1       | IP_RANGE_2       | ...
VPC_NETWORK_NAME_2       | .                | .                | ...
.                        | .                | .                | ...
.                        | .                | .                | ...

        3. Haz clic en Importar redes.

          Con el archivo CSV, Access Context Manager rellena los campos Dirección de red de VPC y Subredes IP con los nombres de las redes de VPC y la información de las subredes, respectivamente.

      Para obtener información sobre el nombre de la red de VPC y el formato de la dirección IP privada, consulta Usar direcciones IP internas en niveles de acceso.

  6. Haz clic en Guardar.

gcloud

  1. Crea un archivo YAML para un nivel de acceso que incluya uno o varios intervalos de IPv4 o IPv6 con formato de bloques CIDR.

    En este ejemplo, para limitar el acceso solo a los auditores, introducirías lo siguiente en el archivo YAML:

    - ipSubnetworks:
  - 203.0.113.0/25

    Si quieres usar una dirección IP privada, debes introducir la siguiente información en el archivo YAML:

    - vpcNetworkSources:
  - vpcSubnetwork:
      network: VPC_NETWORK_NAME
      vpcIpSubnetworks:
      - IP_RANGE

    Sustituye VPC_NETWORK_NAME y IP_RANGE por los valores descritos en la sección Usar una dirección IP interna en niveles de acceso.

  2. Guarda el archivo. En este ejemplo, el archivo se llama CONDITIONS.yaml.

  3. Crea el nivel de acceso.

    gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY

    Haz los cambios siguientes:

    • NAME: nombre único del nivel de acceso. Debe empezar por una letra y solo puede incluir letras, números y guiones bajos.

    • TITLE: título legible por humanos. Debe ser único en la política.

    • POLICY: ID de la política de acceso de tu organización. Si tienes una política predeterminada, este parámetro es opcional.

    Debería aparecer lo siguiente:

    Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.

API

  1. Crea un cuerpo de solicitud para crear un recurso AccessLevel que incluya uno o varios intervalos IPv4 o IPv6 con el formato de bloques CIDR.

    En este ejemplo, para limitar el acceso solo a los auditores, introducirías lo siguiente en el cuerpo de la solicitud:

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "ipSubnetworks": [
         "203.0.113.0/25"
       ]
     }
   ]
 }
}

    Haz los cambios siguientes:

    • NAME: nombre único del nivel de acceso. Debe empezar por una letra y solo puede incluir letras, números y guiones bajos.

    • TITLE: título legible por humanos. Debe ser único en la política.

    Si quieres usar una dirección IP privada, debes introducir la siguiente información en el cuerpo de la solicitud:

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "vpcNetworkSources": [
        {
          "vpcSubnetwork": {
            "network": VPC_NETWORK_NAME,
            "vpcIpSubnetworks": [
              IP_RANGE
            ]
          }
        }
       ]
     }
   ]
 }
}

    Sustituye VPC_NETWORK_NAME y IP_RANGE por los valores descritos en la sección Usar una dirección IP interna en niveles de acceso.

  2. Crea el nivel de acceso llamando a accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

    POLICY es el ID de la política de acceso de tu organización.

Una vez que hayas creado el nivel de acceso, debes aplicarlo mediante un enlace de acceso para que se aplique.

Limitar el acceso por atributos de dispositivo

En este ejemplo se describe cómo crear un nivel de acceso que solo conceda acceso a los dispositivos que cumplan un conjunto de requisitos especificado, como una versión determinada del sistema operativo.

La información sobre los dispositivos se proporciona a Chrome Enterprise Premium mediante Verificación de endpoints. Se pueden comprobar los siguientes criterios para determinar si se concede acceso:

  • El bloqueo de pantalla está habilitado
  • El cifrado del almacenamiento está habilitado
  • El dispositivo ejecuta un tipo y una versión específicos del sistema operativo

En este ejemplo, supongamos que tu organización solo usa máquinas que tienen instalado ChromeOS o Windows. Para añadir una capa de seguridad, quieres crear un nivel de acceso que impida el acceso a cualquier persona que utilice otros sistemas operativos. Además, para gestionar el riesgo, debes asegurarte de que solo puedan acceder determinadas versiones de los SO.

Consola

  1. En la Google Cloud consola, abre la página Administrador de contextos de acceso.

    Ir a la página Administrador de contextos de acceso

  2. Si se te solicita, selecciona un proyecto.

  3. En la parte superior de la página Chrome Enterprise Premium, haz clic en Nuevo.

  4. En el panel Nuevo nivel de acceso, en la sección Condiciones, haz clic en Añadir atributo y, a continuación, en Política de dispositivos.

  5. Añade los atributos de la política de dispositivos:

    1. Haz clic en Añadir política de SO y, a continuación, en Política de ChromeOS.

    2. En el cuadro Versión mínima, introduce la versión mínima de ChromeOS que quieras permitir.

    3. Repite los pasos 1 y 2 para Windows OS Policy (Política del SO Windows).

  6. Haz clic en Guardar.

gcloud

  1. Crea un archivo YAML para un nivel de acceso que incluya una política de dispositivos con restricciones de SO.

    En este ejemplo, para permitir solo los dispositivos con una versión mínima aceptable de ChromeOS y Windows, introducirías lo siguiente en el archivo YAML:

    - devicePolicy:
    osConstraints:
      - osType: DESKTOP_CHROME_OS
        minimumVersion: 11316.165.0
      - osType: DESKTOP_WINDOWS
        minimumVersion: 10.0.1809

  2. Guarda el archivo. En este ejemplo, el archivo se llama CONDITIONS.yaml.

  3. Crea el nivel de acceso.

    gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY

    Haz los cambios siguientes:

    • NAME: nombre único del nivel de acceso. Debe empezar por una letra y solo puede incluir letras, números y guiones bajos.

    • TITLE: título legible por humanos. Debe ser único en la política.

    • POLICY: ID de la política de acceso de tu organización. Si tienes una política predeterminada, este parámetro es opcional.

    Debería aparecer lo siguiente:

    Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.

API

  1. Crea un cuerpo de solicitud para crear un recurso AccessLevel que incluya una política de dispositivo con restricciones de SO.

    En este ejemplo, para permitir solo los dispositivos con una versión mínima aceptable de ChromeOS y Windows, introducirías lo siguiente en el cuerpo de la solicitud:

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "devicePolicy": {
         "osConstraints": [
           {
             "osType": "DESKTOP_CHROME_OS",
             "minimumVersion": "11316.165.0"
           },
           {
             "osType": "DESKTOP_WINDOWS",
             "minimumVersion": "10.0.1809"
           }
         ]
       {
     }
   ]
 }
}

    Haz los cambios siguientes:

    • NAME: nombre único del nivel de acceso. Debe empezar por una letra y solo puede incluir letras, números y guiones bajos.

    • TITLE: título legible por humanos. Debe ser único en la política.

  2. Crea el nivel de acceso llamando a accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

    POLICY es el ID de la política de acceso de tu organización.

Una vez que hayas creado el nivel de acceso, debes aplicarlo mediante un enlace de acceso para que se aplique.

Limitar el acceso a dispositivos corporativos de confianza con certificados válidos

Puedes usar el acceso basado en certificados (CBA) para requerir certificados X.509 verificados para acceder a los Google Cloud recursos. La credencial adicional proporciona una señal más sólida de la identidad del dispositivo y ayuda a proteger tu organización frente al robo o la pérdida accidental de credenciales, ya que requiere que tanto las credenciales del usuario como el certificado del dispositivo original estén presentes para conceder acceso.

Antes de continuar, asegúrate de que la extensión de Chrome Endpoint Verification y la aplicación auxiliar Endpoint Verification se hayan implementado en todos los dispositivos que necesiten acceder a los recursos deGoogle Cloud . Estos dispositivos se convierten en dispositivos de confianza a los que puedes dar acceso. Consulta más información en el artículo Implementar la verificación de puntos finales para usarla con el acceso basado en certificados.

Para crear una política que requiera acceso basado en certificados, debes tener un nivel de acceso con una especificación de nivel de acceso personalizada.

Consola

  1. En la Google Cloud consola, abre la página Administrador de contextos de acceso.

    Ir a la página Administrador de contextos de acceso

  2. Si se te solicita, selecciona un proyecto.

  3. Haz clic en Crear nivel de acceso.

  4. En el panel Nuevo nivel de acceso, selecciona Modo avanzado. Debes tener una licencia de Chrome Enterprise Premium para usar este modo.

  5. En la sección Condiciones, introduzca la siguiente expresión en el cuadro Expresión CEL.

    certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE

  6. Haz clic en Guardar.

gcloud

  1. Crea un archivo YAML para un nivel de acceso que incluya certificate enforcement.

    expression: "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE"

  2. Guarda el archivo. En este ejemplo, el archivo se llama CONDITIONS.yaml.

  3. Crea el nivel de acceso.

    gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY

Haz los cambios siguientes:

  • NAME: nombre único del nivel de acceso. El nombre debe empezar por una letra y solo puede incluir letras, números y guiones bajos.

  • TITLE: título legible por humanos. Debe ser único en la política.

  • POLICY: el ID de la política de acceso de tu organización. Si tienes una política predeterminada, este parámetro es opcional.

Debería aparecer lo siguiente:

Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1234] to complete...done.
Created level NAME.

API

  1. Crea un archivo de cuerpo de solicitud para un nivel de acceso que incluya una política de dispositivo con restricciones de SO.

    {
 "name": "require_certificate",
 "title": "Certificate-Based Access",
 "description": "An example certificate-based access level.",
 "custom": {
   "expr": {
     "expression": "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE",
     "title": "Require a valid certificate",
     "description": "Permits requests from a device with a valid mTLS certificate."
    }
  }
}

  2. Crea el nivel de acceso llamando a accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

    POLICY es el ID de la política de acceso de tu organización.

Una vez que hayas creado el nivel de acceso, debes aplicarlo mediante un enlace de acceso para que se aplique.