デバイスに基づいたアクセスレベルの作成

このページでは、Access Context Manager を使用してデバイスに基づいたアクセスレベルを作成する方法について説明します。

Identity-Aware Proxy（IAP）で保護されたリソースにアクセスレベルを適用する方法については、BeyondCorp Enterprise のドキュメントをご覧ください。

概要

アクセスレベルは、発生源に基づいてリクエストに割り当てられた属性のセットです。付与するアクセスレベルは、デバイスタイプなどの情報を使用することで指定できます。たとえば、暗号化されたドライブのあるデバイスには「High_Trust」レベルを割り当て、画面ロックのみのデバイスには「Medium_Trust」レベルを割り当てることが可能です。

Endpoint Verification を設定すると、アクセスレベルによってデバイス情報が収集、参照されます。

アクセスレベルは、IAP で保護されたリソースに Identity and Access Management（IAM）条件として追加すると適用されます。このプロセスは、アプリとリソースを保護するための BeyondCorp Enterprise アプローチの一部です。

詳細については、Access Context Manager の概要をご覧ください。

始める前に

次のいずれかの役割が付与されている必要があります。
- Access Context Manager 管理者
- Access Context Manager 編集者
- Access Context Manager 読み取り
Endpoint Verification を設定します。
詳細モードでのアクセスレベルの作成や、デバイスポリシーを使用したアクセスレベルの作成などの一部の機能は、BeyondCorp Enterprise Premium で使用できます。BeyondCorp Enterprise Premium にアップグレードするには、Google のセールスチームまでお問い合わせください。

アクセスレベルの作成

次の手順では、デバイスに基づいたアクセスレベルを作成します。

この例では、暗号化されたデバイスストレージがある場合にのみユーザーがリソースにアクセスできるよう、アクセスレベルを作成するとします。

Console

Cloud Console で [Access Context Manager] ページに移動します。

[Access Context Manager] ページに移動
プロンプトが表示されたら、組織を選択します。
[Access Context Manager] ページの上部にある [新規] をクリックします。
[新しいアクセスレベル] パネルの [条件] セクションで、[ デバイスポリシー] をクリックします。

注: デバイスポリシーは BeyondCorp Enterprise Premium で使用できます。BeyondCorp Enterprise Premium にアップグレードするには、Google のセールスチームまでお問い合わせください。
[ストレージの暗号化] プルダウンメニューから [暗号化あり] を選択します。このルールは、従業員のデバイスでエンドポイントの確認を設定した後にのみ機能します。
[保存] をクリックします。

gcloud

デバイスポリシー属性が含まれるアクセスレベルの .yaml ファイルを作成します。

注: デバイスポリシー属性は BeyondCorp Enterprise Premium で使用できます。BeyondCorp Enterprise Premium にアップグレードするには、Google のセールスチームまでお問い合わせください。
この例では、暗号化されたデバイスストレージを使用するユーザーのみにアクセスを許可するために、.yaml ファイルに次のように入力します。
```
- devicePolicy:
    allowedEncryptionStatuses
      - ENCRYPTED
```
デバイスポリシーのアクセスレベル属性とその YAML 形式の一覧については、デバイスポリシーの属性をご覧ください。考えられるすべての属性を含む包括的な YAML ファイルについては、こちらのアクセスレベル YAML ファイルの例をご覧ください。

devicePolicy ルールは、従業員のデバイスでエンドポイントの確認が設定された後にのみ機能します。
ファイルを保存します。この例では、ファイルの名前は CONDITIONS.yaml です。
アクセスレベルを作成します。
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY_NAME
```
ここで
- NAME はアクセスレベルの一意の名前です。先頭は英字にしてください。その後には英字、数字、アンダースコアのみ使用できます。
- TITLE は人が読める形式のタイトルです。タイトルはポリシーに固有のものでなければなりません。
- POLICY_NAME は組織のアクセスポリシーの名前です。
次のような出力が表示されます。
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

AccessLevel リソース用のリクエスト本文を作成します。

注: デバイスポリシー属性は BeyondCorp Enterprise Premium で使用できます。BeyondCorp Enterprise Premium にアップグレードするには、Google のセールスチームまでお問い合わせください。
この例では、暗号化されたデバイスストレージを使用するユーザーのみにアクセスを許可するために、.yaml ファイルに次のように入力します。
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
     "devicePolicy": [
       "allowedEncryptionStatuses": [
         "ENCRYPTED"
       ]
     ]
     }
   ]
 }
}
```
ここで
- NAME はアクセスレベルの一意の名前です。先頭は英字にしてください。その後には英字、数字、アンダースコアのみ使用できます。
- TITLE は人が読める形式のタイトルです。タイトルはポリシーに固有のものでなければなりません。
デバイスポリシーのアクセスレベル属性とその YAML 形式の一覧については、デバイスポリシーの属性をご覧ください。考えられるすべての属性を含む包括的な YAML ファイルについては、こちらのアクセスレベル YAML ファイルの例をご覧ください。
accessLevels.create を呼び出してアクセスレベルを作成します。
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels
```
ここで
- POLICY_NAME は組織のアクセスポリシーの名前です。

アクセスレベルの適用

アクセスレベルを作成したら、IAP で保護されたリソースにそのアクセスレベルを適用して有効にする必要があります。これは、Google Cloud リソースをコンテキストアウェアにする手順の一部です。

IAP でリソースを保護します。
リソースにアクセスレベルを適用する。