Esta página foi traduzida pela API Cloud Translation.

Como criar um nível de acesso com base em dispositivos

Nesta página, mostramos como criar níveis de acesso baseados em dispositivos usando o Access Context Manager.

Para saber como aplicar níveis de acesso a recursos protegidos pelo Identity-Aware Proxy (IAP), consulte a documentação da BeyondCorp Enterprise.

Visão geral

Um nível de acesso é um conjunto de atributos ligados a solicitações com base em na origem delas. Usando informações como o tipo de dispositivo, você pode definir o nível de acesso a ser concedido. Por exemplo, é possível atribuir um nível "High_Trust" a dispositivos com unidades criptografadas e "Medium_Trust" aos que têm apenas um bloqueio de tela.

As informações do dispositivo são coletadas e referenciadas por níveis de acesso depois de configurar a Verificação de endpoint.

Um nível de acesso é aplicado adicionando-o como uma condição de gerenciamento de identidade e acesso (IAM) no recurso protegido por IAP. Esse processo faz parte da abordagem da abordagem da BeyondCorp Enterprise para proteger apps e recursos.

Para mais informações, consulte a visão geral do Access Context Manager.

Antes de começar

Você precisa ter recebido um dos seguintes papéis:
- Administrador do Access Context Manager
- Editor do Access Context Manager
- Leitor Access Context Manager
Configure a Verificação de endpoints.
Alguns recursos, como a criação de níveis de acesso no modo avançado e com a política de dispositivo, estão disponíveis no BeyondCorp Enterprise Premium. Se quiser fazer upgrade para o BeyondCorp Enterprise Premium, entre em contato com nossa equipe de vendas.

Como criar um nível de acesso

O processo a seguir cria um nível de acesso baseado em dispositivo.

Neste exemplo, suponha que você queira criar um nível de acesso que permita aos usuários acessarem seu recurso somente se tiverem dispositivos com armazenamento criptografado.

Console

Acesse a página do Access Context Manager no Console do Cloud.

Acessar a página do Access Context Manager
Se solicitado, selecione a organização.
Na parte superior da página do Access Context Manager, clique em Novo.
No painel Novo nível de acesso, na seção Condições, clique em Política do dispositivo .

Observação: a política do dispositivo está disponível no BeyondCorp Enterprise Premium. Se quiser fazer upgrade para o BeyondCorp Enterprise Premium, entre em contato com nossa equipe de vendas.
No menu suspenso Criptografia de armazenamento, selecione Criptografado. Essa regra só funciona depois de configurar a Verificação de endpoints nos dispositivos dos funcionários.
Clique em Save.

gcloud

Crie um arquivo .yaml para um nível de acesso que inclua atributos de política do dispositivo.

Observação: o atributo de política do dispositivo está disponível no BeyondCorp Enterprise Premium. Se quiser fazer upgrade para o BeyondCorp Enterprise Premium, entre em contato com nossa equipe de vendas.

Neste exemplo, para limitar o acesso apenas aos usuários com armazenamento criptografado nos dispositivos, insira o seguinte no arquivo .yaml:
```
- devicePolicy:
    allowedEncryptionStatuses
      - ENCRYPTED
```
Para ver uma lista de atributos de nível de acesso da política do dispositivo e seu formato YAML, consulte Atributos da política do dispositivo. Consulte este arquivo YAML de nível de acesso de exemplo para um arquivo YAML abrangente sobre todos os atributos possíveis.

Observe que a regra devicePolicy só funciona depois de você configurar a Verificação de endpoints nos dispositivos dos funcionários.
Salve o arquivo. Neste exemplo, o arquivo é denominado CONDITIONS.yaml.
Crie o nível de acesso.
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY_NAME
```
Em que:
- NAME é o nome exclusivo do nível de acesso. Ele precisa começar com uma letra e incluir apenas letras, números e sublinhados;
- TITLE é um título legível. Ele precisa ser exclusivo para a política.
- POLICY_NAME é o nome da política de acesso da organização.
Você verá uma saída como:
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

Crie um corpo de solicitação para criar um recurso de AccessLevel.

Observação: o atributo de política do dispositivo está disponível no BeyondCorp Enterprise Premium. Se quiser fazer upgrade para o BeyondCorp Enterprise Premium, entre em contato com nossa equipe de vendas.

Neste exemplo, para limitar o acesso apenas aos usuários com armazenamento criptografado nos dispositivos, insira o seguinte no arquivo .yaml:
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
     "devicePolicy": [
       "allowedEncryptionStatuses": [
         "ENCRYPTED"
       ]
     ]
     }
   ]
 }
}
```
Em que:
- NAME é o nome exclusivo do nível de acesso. Ele precisa começar com uma letra e incluir apenas letras, números e sublinhados;
- TITLE é um título legível. Ele precisa ser exclusivo para a política.
Para ver uma lista de atributos de nível de acesso da política do dispositivo e seu formato YAML, consulte Atributos da política do dispositivo. Consulte este arquivo YAML de nível de acesso de exemplo para um arquivo YAML abrangente sobre todos os atributos possíveis.
Crie o nível de acesso chamando accessLevels.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels
```
Em que:
- POLICY_NAME é o nome da política de acesso da organização.

Como aplicar um nível de acesso

Depois de criar seu nível de acesso, é necessário aplicá-lo a um recurso protegido pelo IAP para que ele entre em vigor. Esse processo faz parte dos recursos contextuais do Google Cloud.

Proteja seu recurso com o IAP.
Aplique seu nível de acesso ao recurso.