Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Gerätebasierte Zugriffsebene erstellen

Auf dieser Seite wird gezeigt, wie Sie mit Access Context Manager gerätebasierte Zugriffsebenen erstellen.

Informationen zum Anwenden von Zugriffsebenen auf Ressourcen, die mit Identity-Aware Proxy (IAP) gesichert sind, finden Sie in der Dokumentation zum kontextsensitiven Zugriff.

Übersicht

Eine Zugriffsebene ist eine Gruppe von Attributen, die Anfragen auf der Grundlage ihres Ursprungs zugewiesen werden. Mit Informationen wie dem Gerätetyp können Sie festlegen, welche Zugriffsebene gewährt werden soll. Sie können beispielsweise Geräten mit verschlüsselten Laufwerken eine "High_Trust"-Stufe und Geräten mit einer Displaysperre zuweisen.

Geräteinformationen werden gesammelt und über Zugriffsebenen referenziert, sobald Sie die Endpunktprüfung einrichten.

Eine Zugriffsebene wird erzwungen, indem Sie sie als Identitäts- und Zugriffsverwaltung (IAM) für Ihre mit IAP gesicherte Ressource hinzufügen. Dieser Prozess ist Teil des Kontextsensitiven Zugriffs, der Anwendungen und Ressourcen schützt.

Weitere Informationen finden Sie in der Übersicht zum Access Context Manager.

Hinweis

  • Ihnen muss eine der folgenden Rollen zugewiesen werden:

    • Access Context Manager-Administrator
    • Access Context Manager-Bearbeiter
    • Access Context Manager-Leser
  • Endpunktprüfung einrichten

Zugriffsebene erstellen

Beim folgenden Vorgang wird eine gerätebasierte Zugriffsebene erstellt.

Angenommen, Sie möchten eine Zugriffsebene erstellen, die Nutzern den Zugriff auf Ihre Ressource nur ermöglicht, wenn sie verschlüsselten Gerätespeicher haben.

Console

  1. Rufen Sie die Seite „Access Context Manager“ in der Cloud Console auf.

    Zur Seite „Access Context Manager“

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie oben auf der Seite Access Context Manager auf Neu.

  4. Klicken Sie im Bereich Neue Zugriffsebene im Abschnitt Bedingungen auf Attribut hinzufügen und dort auf Geräterichtlinie.

  5. Klicken Sie auf das Drop-down-Menü Speicherverschlüsselung und wählen Sie Verschlüsselt aus. Beachten Sie, dass diese Regel nur funktioniert, wenn Sie die Endpunktprüfung auf den Geräten Ihrer Mitarbeiter einrichten.

  6. Klicken Sie auf Speichern.

gcloud

  1. Erstellen Sie eine .yaml-Datei für eine Zugriffsebene, die Geräterichtlinienattribute enthält.

    In diesem Beispiel geben Sie Folgendes in die Datei .yaml ein, um den Zugriff auf Nutzer mit verschlüsselten Gerätespeicher zu beschränken:

    - devicePolicy:
        allowedEncryptionStatuses
          - ENCRYPTED
    

    Eine Liste der Attribute für die Zugriffsebenen von Geräterichtlinien und deren YAML-Format finden Sie unter Attribute für Geräterichtlinien. In dieser Beispiel-YAML-Datei für die Zugriffsebene finden Sie eine umfassende YAML-Datei aller möglichen Attribute.

    Beachten Sie, dass die Regel devicePolicy nur funktioniert, nachdem Sie auf den Geräten Ihrer Mitarbeiter die Endpunktprüfung eingerichtet haben.

  2. Speichern Sie die Datei. In diesem Beispiel heißt die Datei CONDITIONS.yaml.

  3. Erstellen Sie die Zugriffsebene.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY_NAME
    

    Wobei:

    • NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

    • TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

    • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation.

    Die Ausgabe sollte etwa so aussehen:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource.

    In diesem Beispiel geben Sie Folgendes in die Datei .yaml ein, um den Zugriff auf Nutzer mit verschlüsselten Gerätespeicher zu beschränken:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
         "devicePolicy": [
           "allowedEncryptionStatuses": [
             "ENCRYPTED"
           ]
         ]
         }
       ]
     }
    }
    

    Wobei:

    • NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.

    • TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

    Eine Liste der Attribute für die Zugriffsebenen von Geräterichtlinien und deren YAML-Format finden Sie unter Attribute für Geräterichtlinien. In dieser Beispiel-YAML-Datei für die Zugriffsebene finden Sie eine umfassende YAML-Datei aller möglichen Attribute.

  2. Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels
    

    Wobei:

    • POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation.

Zugriffsebene anwenden

Nachdem Sie die Zugriffsebene erstellt haben, müssen Sie sie auf eine mit IAP gesicherte Ressource anwenden, damit sie wirksam wird. Dieser Vorgang ist Teil der Erstellung von kontextsensitiven Google Cloud-Ressourcen.

  1. Ressourcen mit IAP sichern

  2. Wenden Sie Ihre Zugriffsebene für die Ressource an.