Nesta página, mostramos como criar níveis de acesso baseados em dispositivos usando o Access Context Manager.
Para saber como aplicar níveis de acesso em recursos protegidos pelo Identity-Aware Proxy (IAP), consulte a documentação do acesso baseado no contexto.
Visão geral
Um nível de acesso é um conjunto de atributos ligados a solicitações com base em na origem delas. Usando informações como o tipo de dispositivo, você pode definir o nível de acesso a ser concedido. Por exemplo, é possível atribuir um nível "High_Trust" a dispositivos com unidades criptografadas e "Medium_Trust" aos que têm apenas um bloqueio de tela.
As informações do dispositivo são coletadas e referenciadas por níveis de acesso depois de configurar a Verificação de endpoint.
Um nível de acesso é aplicado adicionando-o como uma condição de gerenciamento de identidade e acesso (IAM) no recurso protegido por IAP. Esse processo faz parte da abordagem de Acesso baseado no contexto para proteger aplicativos e recursos.
Para mais informações, consulte a visão geral do Access Context Manager.
Antes de começar
Você precisa ter recebido um dos seguintes papéis:
- Administrador do Access Context Manager
- Editor do Access Context Manager
- Leitor Access Context Manager
Configure a Verificação de endpoints.
Como criar um nível de acesso
O processo a seguir cria um nível de acesso baseado em dispositivo.
Neste exemplo, suponha que você queira criar um nível de acesso que permita aos usuários acessarem seu recurso somente se tiverem dispositivos com armazenamento criptografado.
Console
Acesse a página do Access Context Manager no Console do Cloud.
Se solicitado, selecione a organização.
Na parte superior da página do Access Context Manager, clique em Novo.
No painel Novo nível de acesso, na seção Condições, clique em Adicionar atributo e, em seguida, clique em Política do dispositivo.
Clique na lista suspensa Criptografia de armazenamento e selecione Criptografado. Essa regra só funcionará depois que você configurar a Verificação de endpoints nos dispositivos dos seus funcionários.
Clique em Save.
gcloud
Crie um arquivo
.yaml
para um nível de acesso que inclua atributos de política do dispositivo.Neste exemplo, para limitar o acesso apenas aos usuários com armazenamento criptografado nos dispositivos, insira o seguinte no arquivo
.yaml
:- devicePolicy: allowedEncryptionStatuses - ENCRYPTED
Para ver uma lista de atributos de nível de acesso da política do dispositivo e seu formato YAML, consulte Atributos da política do dispositivo. Consulte este arquivo YAML de nível de acesso de exemplo para um arquivo YAML abrangente sobre todos os atributos possíveis.
Observe que a regra
devicePolicy
só funciona quando você configura a Verificação de endpoints nos dispositivos dos funcionários.Salve o arquivo. Neste exemplo, o arquivo é denominado CONDITIONS.yaml.
Crie o nível de acesso.
gcloud access-context-manager levels create NAME \ --title TITLE \ --basic-level-spec CONDITIONS.yaml \ --policy=POLICY_NAME
Onde:
NAME é o nome exclusivo do nível de acesso. Ele precisa começar com uma letra e incluir apenas letras, números e sublinhados;
TITLE é um título legível. Ele precisa ser exclusivo para a política.
POLICY_NAME é o nome da política de acesso da organização.
Você verá uma saída como:
Create request issued for: NAME Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done. Created level NAME.
API
Crie um corpo de solicitação para criar um recurso de
AccessLevel
.Neste exemplo, para limitar o acesso apenas aos usuários com armazenamento criptografado nos dispositivos, insira o seguinte no arquivo
.yaml
:{ "name": "NAME", "title": "TITLE", "basic": { "conditions": [ { "devicePolicy": [ "allowedEncryptionStatuses": [ "ENCRYPTED" ] ] } ] } }
Em que:
NAME é o nome exclusivo do nível de acesso. Ele precisa começar com uma letra e incluir apenas letras, números e sublinhados;
TITLE é um título legível. Ele precisa ser exclusivo para a política.
Para ver uma lista de atributos de nível de acesso da política do dispositivo e seu formato YAML, consulte Atributos da política do dispositivo. Consulte este arquivo YAML de nível de acesso de exemplo para um arquivo YAML abrangente sobre todos os atributos possíveis.
Crie o nível de acesso chamando
accessLevels.create
.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels
Onde:
- POLICY_NAME é o nome da política de acesso da organização.
Como aplicar um nível de acesso
Depois de criar seu nível de acesso, é necessário aplicá-lo a um recurso protegido pelo IAP para que ele entre em vigor. Esse processo faz parte dos recursos contextuais do Google Cloud.
Proteja seu recurso com o IAP.
Aplique seu nível de acesso ao recurso.