Cette page a été traduite par l'API Cloud Translation.
Switch to English

Créer un niveau d'accès basé sur les appareils

Cette page explique comment créer des niveaux d'accès basés sur les appareils à l'aide d'Access Context Manager.

Pour savoir comment appliquer des niveaux d'accès sur des ressources sécurisées par Identity-Aware Proxy (IAP), consultez la documentation sur l'accès contextuel.

Présentation

Un niveau d'accès est un ensemble d'attributs affectés à des requêtes en fonction de leur origine. À l'aide d'informations telles que le type d'appareil, vous pouvez définir le niveau d'accès à accorder. Par exemple, vous pouvez attribuer le niveau "High_Trust" aux appareils dotés de lecteurs chiffrés et la valeur "Medium_Trust" aux appareils qui n'ont qu'un verrouillage de l'écran.

Une fois que vous avez configuré Endpoint Verification, les informations sur l'appareil sont collectées et référencées par niveau d'accès.

Un niveau d'accès est appliqué en l'ajoutant comme condition Identity and Access Management (IAM) sur votre ressource sécurisée par IAP. Ce processus fait partie de l'approche d'accès contextuel pour la sécurisation des applications et des ressources.

Pour plus d'informations, consultez la présentation d'Access Context Manager.

Avant de commencer

Créer un niveau d'accès

Le processus suivant crée un niveau d'accès basé sur les appareils.

Pour cet exemple, supposons que vous souhaitiez créer un niveau d'accès permettant aux utilisateurs d'accéder à votre ressource uniquement s'ils disposent d'un stockage d'appareil chiffré.

Console

  1. Accédez à la page Access Context Manager dans Cloud Console.

    Accéder à la page Access Context Manager

  2. Si vous y êtes invité, sélectionnez votre organisation.

  3. En haut de la page Access Context Manager, cliquez sur Nouveau.

  4. Dans la section Conditions du volet Nouveau niveau d'accès, cliquez sur Ajouter un attribut, puis sur Règles relatives aux appareils.

  5. Cliquez sur la liste déroulante Chiffrement du stockage et sélectionnez Chiffrement. Notez que cette règle ne fonctionne que lorsque vous avez configuré Endpoint Verification sur les appareils de vos employés.

  6. Cliquez sur Enregistrer.

gcloud

  1. Créez un fichier .yaml pour un niveau d'accès incluant des attributs de règles relatives aux appareils.

    Dans cet exemple, pour n'autoriser l'accès qu'aux utilisateurs disposant d'un espace de stockage chiffré, vous devez saisir les informations suivantes dans le fichier .yaml :

    - devicePolicy:
        allowedEncryptionStatuses
          - ENCRYPTED
    

    Pour obtenir la liste des attributs de niveau d'accès des règles relatives aux appareils et de leur format YAML, consultez la section Attributs de règles relatives aux appareils. Consultez cet exemple de fichier YAML de niveau d'accès pour obtenir un fichier YAML complet de tous les attributs possibles.

    Notez que la règle devicePolicy ne fonctionne qu'une fois que vous avez configuré Endpoint Verification sur les appareils de vos employés.

  2. Enregistrez le fichier. Dans cet exemple, le fichier est nommé CONDITIONS.yaml.

  3. Créez le niveau d'accès.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY_NAME
    

    Où :

    • NAME est le nom unique du niveau d'accès. Ce nom doit commencer par une lettre et ne peut contenir que des lettres, des chiffres et des traits de soulignement.

    • TITLE est le titre de la règle, présenté dans un format lisible. Ce titre doit être propre à la règle.

    • POLICY_NAME est le nom de la règle d'accès de votre organisation.

    Un résultat semblable à celui-ci s'affiche :

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Créez un corps de requête pour créer une ressource AccessLevel.

    Dans cet exemple, pour n'autoriser l'accès qu'aux utilisateurs disposant d'un espace de stockage chiffré, vous devez saisir les informations suivantes dans le fichier .yaml :

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
         "devicePolicy": [
           "allowedEncryptionStatuses": [
             "ENCRYPTED"
           ]
         ]
         }
       ]
     }
    }
    

    Où :

    • NAME est le nom unique du niveau d'accès. Ce nom doit commencer par une lettre et ne peut contenir que des lettres, des chiffres et des traits de soulignement.

    • TITLE est le titre de la règle, présenté dans un format lisible. Ce titre doit être propre à la règle.

    Pour obtenir la liste des attributs de niveau d'accès des règles relatives aux appareils et de leur format YAML, consultez la section Attributs de règles relatives aux appareils. Consultez cet exemple de fichier YAML de niveau d'accès pour obtenir un fichier YAML complet de tous les attributs possibles.

  2. Créez le niveau d'accès en appelant la méthode accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels
    

    Où :

    • POLICY_NAME est le nom de la règle d'accès de votre organisation.

Appliquer un niveau d'accès

Après avoir créé votre niveau d'accès, vous devez l'appliquer à une ressource sécurisée par IAP pour qu'il soit pris en compte. Ce processus s'inscrit dans le cadre de la mise en contexte des ressources Google Cloud.

  1. Sécurisez votre ressource avec IAP.

  2. Appliquez votre niveau d'accès à la ressource.