Configurar el acceso contextual

En esta página se explica cómo configurar el acceso contextual. Puedes usar el acceso contextual para hacer lo siguiente:

  • Define políticas de acceso para los Google Cloud recursos basadas en atributos como la identidad del usuario, la red, la ubicación y el estado del dispositivo.

  • Controla la duración de la sesión y los métodos de reautenticación para el acceso continuo.

El acceso contextual se aplica obligatoriamente cada vez que un usuario accede a una aplicación cliente que requiere un Google Cloud permiso, incluida la consola Google Cloud en la Web y la CLI de Google Cloud.

Conceder los permisos de gestión de identidades y accesos necesarios

Concede los permisos de IAM a nivel de organización que se necesitan para crear enlaces de acceso de Administrador de contextos de acceso.

Consola

  1. Ve a la página Gestión de identidades y accesos de la Google Cloud consola.

    Ir a IAM

  2. Haz clic en Dar acceso y configura lo siguiente:

    • Nuevos principales: especifica el usuario o el grupo al que quieras conceder los permisos.
    • Selecciona un rol: selecciona Administrador de contextos de acceso > Administrador de enlaces de acceso a la nube.

  3. Haz clic en Guardar.

gcloud

  1. Asegúrate de que te has autenticado con los privilegios suficientes para añadir permisos de gestión de identidades y accesos a nivel de organización. Como mínimo, debes tener el rol Administrador de la organización.

    Una vez que hayas confirmado que tienes los permisos adecuados, inicia sesión con:

    gcloud auth login

  2. Asigna el rol GcpAccessAdmin ejecutando el siguiente comando:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID es el ID de tu organización. Si aún no tienes el ID de tu organización, puedes usar el siguiente comando para encontrarlo:

       gcloud organizations list

    • EMAIL es la dirección de correo de la persona o el grupo al que quieres asignar el rol.

Crear un grupo de usuarios

Crea un grupo de usuarios que deba estar sujeto a restricciones basadas en el contexto. Los usuarios de este grupo que también sean miembros de tu organización deben cumplir los niveles de acceso que hayas creado para acceder a la consola Google Cloud y a las APIsGoogle Cloud .

Desplegar la verificación de puntos de conexión

Desplegar la verificación de endpoints es un paso opcional que te permite integrar atributos de dispositivos en tus políticas de control de acceso. Puedes usar esta función para mejorar la seguridad de tu organización concediendo o denegando el acceso a recursos en función de los atributos de los dispositivos, como la versión y la configuración del SO.

Endpoint Verification se ejecuta como una extensión de Chrome en macOS, Windows y Linux, y te permite crear políticas de control de acceso basadas en características del dispositivo, como el modelo y la versión del SO, y en características de seguridad, como la presencia de cifrado de disco, un firewall, un bloqueo de pantalla y parches del SO.

Además, puedes requerir el acceso basado en certificados, lo que asegura que se necesite un certificado de dispositivo verificado para añadir una capa de seguridad adicional y que solo los dispositivos autorizados puedan acceder a los recursos, aunque las credenciales de los usuarios se hayan visto comprometidas.

Un administrador puede implementar la extensión en los dispositivos propiedad de la empresa de una organización mediante la consola de Google Cloud o los miembros de la organización pueden instalarla ellos mismos.