Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina spiega come configurare l'accesso sensibile al contesto. Puoi utilizzare l'accesso sensibile al contesto per:
Definisci criteri di accesso per le risorse Google Cloud in base ad attributi come
identità utente, rete, posizione e stato del dispositivo.
Controlla la durata della sessione e i metodi di riautenticazione per l'accesso continuo.
L'accesso sensibile al contesto viene applicato ogni volta che un utente accede a un'applicazione client che richiede un ambito Google Cloud , inclusa la console Google Cloud sul web e Google Cloud CLI.
Concedi le autorizzazioni IAM richieste
Concedi le autorizzazioni IAM a livello di organizzazione necessarie per creare le associazioni di accesso di Gestore contesto accesso.
Assicurati di essere autenticato con privilegi sufficienti per aggiungere
autorizzazioni IAM a livello di organizzazione. Come minimo,
devi disporre del ruolo
Amministratore dell'organizzazione.
Dopo aver verificato di disporre delle autorizzazioni corrette, accedi con:
gcloudauthlogin
Assegna il ruolo GcpAccessAdmin eseguendo questo comando:
ORG_ID è l'ID della tua organizzazione. Se non hai ancora l'ID organizzazione, puoi utilizzare il seguente comando per trovarlo:
gcloudorganizationslist
EMAIL è l'indirizzo email della persona o
del gruppo a cui vuoi concedere il ruolo.
Creare un gruppo di utenti
Crea un gruppo di utenti
che devono essere vincolati dalle limitazioni sensibili al contesto. Gli utenti di questo
gruppo che sono anche membri della tua organizzazione devono soddisfare tutti i livelli di accesso
che hai creato per accedere alla console Google Cloud e alle
APIGoogle Cloud .
Esegui il deployment della verifica degli endpoint
Il deployment della verifica degli endpoint
è un passaggio facoltativo che ti consente di integrare gli attributi
dei dispositivi nei tuoi criteri di controllo dell'accesso#39;accesso. Puoi utilizzare questa funzionalità per
migliorare la sicurezza della tua organizzazione concedendo o negando l'accesso a
risorse in base agli attributi del dispositivo, come la versione e la configurazione del sistema operativo.
Verifica endpoint viene eseguita come estensione di Chrome su macOS, Windows e Linux e
ti consente di creare critericontrollo dell'accessoo basati su caratteristiche del dispositivo come
modello e versione del sistema operativo e su caratteristiche di sicurezza come la presenza di crittografia del disco,
un firewall, un blocco schermo e patch del sistema operativo.
Inoltre, puoi richiedere
l'accesso basato su certificati,
che garantisce la presenza di un certificato del dispositivo verificato per aggiungere un ulteriore
livello di sicurezza e assicurare che solo i dispositivi autorizzati possano accedere
alle risorse, anche se le credenziali utente sono compromesse.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-09 UTC."],[],[],null,["# Set up context-aware access\n\nThis page explains how to set up context-aware access. You can use context-aware\naccess to do the following:\n\n- Define access policies for Google Cloud resources based on attributes like user identity, network, location, and device state.\n- Control session length and reauthentication methods for ongoing access.\n\n\n | **Preview\n | --- Session controls feature only**\n |\n |\n | This feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n | of the [Service Specific Terms](/terms/service-terms#1).\n |\n | Pre-GA features are available \"as is\" and might have limited support.\n |\n | For more information, see the\n | [launch stage descriptions](/products#product-launch-stages).\n\n \u003cbr /\u003e\n\nContext-aware access is enforced any time a user accesses a client application\nthat requires a Google Cloud scope, including the Google Cloud console on the\nweb and the Google Cloud CLI.\n\nGrant the required IAM permissions\n----------------------------------\n\nGrant the IAM permissions at the organization level that are\nrequired to create Access Context Manager access bindings. \n\n### Console\n\n1. Go to the **IAM** page in the Google Cloud console.\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n2. Click **Grant access** and configure the following:\n\n - **New principals**: Specify the user or group you want to grant the permissions.\n - **Select a role** : Select **Access Context Manager \\\u003e Cloud Access\n Binding Admin**.\n3. Click **Save**.\n\n| **Note:** For read-only access to the bindings, you can assign the **Cloud Access Binding Reader** role.\n\n### gcloud\n\n1. Ensure that you are authenticated with sufficient privileges to add\n IAM permissions at the organization level. At a minimum,\n you need the\n [Organization Admin](/resource-manager/docs/creating-managing-organization#setting-up)\n role.\n\n After you've confirmed you have the right permissions, sign in with: \n\n gcloud auth login\n\n2. Assign the `GcpAccessAdmin` role by running the following command:\n\n gcloud organizations add-iam-policy-binding \u003cvar translate=\"no\"\u003eORG_ID\u003c/var\u003e \\\n --member=user:\u003cvar translate=\"no\"\u003eEMAIL\u003c/var\u003e \\\n --role=roles/accesscontextmanager.gcpAccessAdmin\n\n - \u003cvar translate=\"no\"\u003eORG_ID\u003c/var\u003e is the ID for your organization. If you\n don't already have your organization ID, you can use the following\n command to find it:\n\n gcloud organizations list\n\n - \u003cvar translate=\"no\"\u003eEMAIL\u003c/var\u003e is the email address of the person or\n group you want to grant the role.\n\n | **Note:** For read-only access to the bindings, you can assign the `accesscontextmanager.gcpAccessReader` role.\n\nCreate a group of users\n-----------------------\n\n[Create a group of users](https://support.google.com/cloudidentity/answer/33343)\nthat should be bound by context-aware restrictions. Any users in this\ngroup who are also members of your organization must satisfy any access levels\nthat you created to access the Google Cloud console and the\nGoogle Cloud APIs.\n| **Note:** We recommend excluding at least one Organization Admin or Organization Owner from this group to reduce the risk of an accidental lockout.\n\nDeploy Endpoint Verification\n----------------------------\n\n[Deploying Endpoint Verification](/endpoint-verification/docs/deploying-with-admin-console)\nis an optional step that lets you integrate device\nattributes into your access control policies. You can use this capability to\nenhance the security of your organization by granting or denying access to\nresources based on device attributes such as OS version and configuration.\n\nEndpoint Verification runs as a Chrome extension on macOS, Windows, and Linux and\nlets you create access control policies based on device characteristics like\nmodel, and OS version, and security characteristics like the presence of disk\nencryption, a firewall, a screen lock, and OS patches.\n\nAdditionally, you can require\n[certificate-based access](/chrome-enterprise-premium/docs/securing-resources-with-certificate-based-access),\nwhich ensures the presence of a verified device certificate to add an extra\nlayer of security and ensure that only authorized devices can access\nresources, even if user credentials are compromised.\n\nAn administrator can [deploy the extension](/endpoint-verification/docs/deploying-with-admin-console)\nto an organization's company-owned devices using the Google Cloud console,\nor members of the organization can\n[install it themselves](/endpoint-verification/docs/self-install-extension)."]]
