設定情境感知存取權

本頁面說明如何設定情境感知存取權。您可以使用情境感知存取權功能達成以下目的:

  • 根據使用者身分、網路、位置和裝置狀態等屬性,為 Google Cloud 資源定義存取政策。

  • 控管工作階段長度和持續存取權的重新驗證方法。

每當使用者存取需要 Google Cloud 範圍的用戶端應用程式 (包括網頁上的 Google Cloud 控制台和 Google Cloud CLI),系統就會強制執行情境感知存取權。

授予必要的 IAM 權限

在機構層級授予建立 Access Context Manager 存取權繫結所需的 IAM 權限。

主控台

  1. 前往 Google Cloud 控制台的「IAM」IAM頁面。

    前往「IAM」頁面

  2. 按一下「授予存取權」,然後設定下列項目:

    • 「New principals」(新增主體):指定您要授予權限的使用者或群組。
    • 「Select a role」(選取角色):依序選取「Access Context Manager」>「Cloud Access Binding Admin」(雲端存取權繫結管理員)

  3. 按一下 [儲存]

gcloud

  1. 請確認您已通過驗證,且具備足夠的權限,可在機構層級新增 IAM 權限。您至少需要機構管理員角色。

    確認具備適當權限後,請使用下列方式登入:

    gcloud auth login

  2. 執行下列指令來指派 GcpAccessAdmin 角色:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID 是貴機構的 ID。如果還沒有機構 ID,可以使用下列指令尋找:

       gcloud organizations list

    • EMAIL 是要授予角色的使用者或群組電子郵件地址。

建立使用者群組

建立使用者群組,這些使用者應受到情境感知限制。如果這個群組中的使用者也是貴機構的成員,就必須達到您建立的存取層級,才能存取 Google Cloud 控制台和Google Cloud API。

部署端點驗證

部署端點驗證是選用步驟,可讓您將裝置屬性整合至存取控管政策。您可以根據裝置屬性 (例如 OS 版本和設定) 授予或拒絕資源存取權,藉此提升機構的安全性。

Endpoint Verification 會在 macOS、Windows 和 Linux 上以 Chrome 擴充功能的形式執行,讓您根據裝置特徵 (例如型號和 OS 版本) 和安全性特徵 (例如磁碟加密、防火牆、螢幕鎖定和 OS 修補程式) 建立存取控制政策。

此外,您也可以要求以憑證為基礎的存取權,確保系統有經過驗證的裝置憑證,進一步提升安全性,並確保只有授權裝置可以存取資源,即使使用者憑證遭到盜用也一樣。

管理員可以透過 Google Cloud 控制台,將擴充功能部署到機構的自有裝置,機構成員也可以自行安裝