Gerätebasierte Zugriffsebene erstellen

Auf dieser Seite wird gezeigt, wie Sie gerätebasierte Zugriffsebenen mit Access Context Manager erstellen.

Informationen zum Anwenden von Zugriffsebenen auf IAP-gesicherte Ressourcen (Identity-Aware Proxy) finden Sie in der BeyondCorp Enterprise-Dokumentation.

Übersicht

Eine Zugriffsebene ist eine Gruppe von Attributen, die Anfragen auf der Grundlage ihres Ursprungs zugewiesen werden. Mithilfe von Kriterien wie Gerätetyp können Sie festlegen, welche Zugriffsebene gewährt werden soll. Beispielsweise können Sie Geräten mit verschlüsselten Laufwerken die Ebene "High_Trust" zuweisen und Geräten, die nur eine Displaysperre haben, die Ebene "Medium_Trust".

Geräteinformationen werden gesammelt und über Zugriffsebenen referenziert, sobald Sie die Endpunktprüfung einrichten.

Zugriffsebenen werden erzwungen, wenn Sie sie als Bedingung der Identitäts- und Zugriffsverwaltung (IAM) für eine mit IAP gesicherte Ressource hinzufügen. Dieser Prozess ist Teil des Ansatzes BeyondCorp Enterprise zum Sichern von Anwendungen und Ressourcen.

Weitere Informationen finden Sie in der Übersicht zum Access Context Manager.

Hinweis

  • Ihnen muss eine der folgenden Rollen zugewiesen werden:

    • Access Context Manager-Administrator
    • Access Context Manager-Bearbeiter
    • Access Context Manager-Leser
  • Endpunktprüfung einrichten

  • Einige Features wie das Erstellen von Zugriffsebenen im erweiterten Modus und das Erstellen von Zugriffsebenen mit Geräterichtlinien sind mit der BeyondCorp Enterprise-Premiumversion verfügbar. Wenn Sie ein Upgrade auf BeyondCorp Enterprise-Premium ausführen möchten, wenden Sie sich an unser Vertriebsteam.

Zugriffsebene erstellen

Im folgenden Vorgang wird eine gerätebasierte Zugriffsebene erstellt.

Angenommen, Sie möchten eine Zugriffsebene erstellen, die Nutzern nur dann den Zugriff auf Ihre Ressource ermöglicht, wenn sie verschlüsselten Gerätespeicher haben.

Console

  1. Rufen Sie in der Cloud Console die Seite „Access Context Manager“ auf.

    Zur Seite „Access Context Manager“

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie oben auf der Seite Access Context Manager auf Neu.

  4. Klicken Sie im Bereich Neue Zugriffsebene im Abschnitt Bedingungen auf Geräterichtlinie.

  5. Wählen Sie im Drop-down-Menü Speicherverschlüsselung die Option Verschlüsselt aus. Diese Regel funktioniert nur, nachdem Sie auf Ihren Geräten Endpunktprüfung eingerichtet haben.

  6. Klicken Sie auf Speichern.

gcloud

  1. Erstellen Sie eine .yaml-Datei für eine Zugriffsebene, die Geräterichtlinienattribute enthält.

    In diesem Beispiel geben Sie Folgendes in die .yaml-Datei ein, um den Zugriff auf Nutzer mit verschlüsseltem Gerätespeicher zu beschränken:

    - devicePolicy:
        allowedEncryptionStatuses
          - ENCRYPTED
    

    Eine Liste der Zugriffsebenenattribute und deren YAML-Format finden Sie unter Geräterichtlinienattribute. In dieser Beispiel-YAML-Datei für die Zugriffsebene finden Sie eine umfassende YAML-Datei aller möglichen Attribute.

    Beachten Sie, dass die Regel devicePolicy erst funktioniert, nachdem Sie auf den Geräten Ihrer Mitarbeiter die Endpunktprüfung eingerichtet haben.

  2. Speichern Sie die Datei. In diesem Beispiel heißt die Datei CONDITIONS.yaml.

  3. Erstellen Sie die Zugriffsebene.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY_NAME
    

    Dabei gilt:

    • NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

    • TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

    • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation.

    Die Ausgabe sollte etwa so aussehen:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource.

    In diesem Beispiel geben Sie Folgendes in die .yaml-Datei ein, um den Zugriff auf Nutzer mit verschlüsseltem Gerätespeicher zu beschränken:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
         "devicePolicy": [
           "allowedEncryptionStatuses": [
             "ENCRYPTED"
           ]
         ]
         }
       ]
     }
    }
    

    Dabei gilt:

    • NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

    • TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

    Eine Liste der Zugriffsebenenattribute und deren YAML-Format finden Sie unter Geräterichtlinienattribute. In dieser Beispiel-YAML-Datei für die Zugriffsebene finden Sie eine umfassende YAML-Datei aller möglichen Attribute.

  2. Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels
    

    Dabei gilt:

    • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation.

Zugriffsebene anwenden

Nachdem Sie Ihre Zugriffsebene erstellt haben, müssen Sie sie auf eine mit IAP gesicherte Ressource anwenden, damit sie wirksam wird. Dieser Prozess ist Teil der kontextsensitiven Nutzung Ihrer Google Cloud-Ressourcen.

  1. Ihre Ressource mit IAP sichern.

  2. Zugriffsebene auf die Ressource anwenden