Como criar um nível de acesso com base em dispositivos

Nesta página, mostramos como criar níveis de acesso baseados em dispositivos usando o Access Context Manager.

Para saber como aplicar níveis de acesso aos recursos protegidos pelo Identity-Aware Proxy (IAP), consulte a documentação do BeyondCorp.

Visão geral

Um nível de acesso é um conjunto de atributos ligados a solicitações com base em na origem delas. Usando informações como o tipo de dispositivo, você pode definir o nível de acesso a ser concedido. Por exemplo, é possível atribuir um nível "High_Trust" a dispositivos com unidades criptografadas e "Medium_Trust" aos que têm apenas um bloqueio de tela.

As informações do dispositivo são coletadas e referenciadas por níveis de acesso depois de configurar a Verificação de endpoint.

Um nível de acesso é aplicado adicionando-o como uma condição de gerenciamento de identidade e acesso (IAM) no recurso protegido por IAP. Esse processo faz parte da abordagem do BeyondCorp Enterprise para proteger aplicativos e recursos.

Para mais informações, consulte a visão geral do Access Context Manager.

Antes de começar

  • Você precisa ter recebido um dos seguintes papéis:

    • Administrador do Access Context Manager
    • Editor do Access Context Manager
    • Leitor Access Context Manager
  • Configure a Verificação de endpoints.

Como criar um nível de acesso

O processo a seguir cria um nível de acesso baseado em dispositivo.

Neste exemplo, suponha que você queira criar um nível de acesso que permita aos usuários acessarem seu recurso somente se tiverem dispositivos com armazenamento criptografado.

Console

  1. Acesse a página do Access Context Manager no Console do Cloud.

    Acessar a página do Access Context Manager

  2. Se solicitado, selecione a organização.

  3. Na parte superior da página do Access Context Manager, clique em Novo.

  4. No painel Novo nível de acesso, na seção Condições, clique em Adicionar atributo e, em seguida, clique em Política do dispositivo.

  5. Clique na lista suspensa Criptografia de armazenamento e selecione Criptografado. Essa regra só funcionará depois que você configurar a Verificação de endpoints nos dispositivos dos seus funcionários.

  6. Clique em Save.

gcloud

  1. Crie um arquivo .yaml para um nível de acesso que inclua atributos de política do dispositivo.

    Neste exemplo, para limitar o acesso apenas aos usuários com armazenamento criptografado nos dispositivos, insira o seguinte no arquivo .yaml:

    - devicePolicy:
        allowedEncryptionStatuses
          - ENCRYPTED
    

    Para ver uma lista de atributos de nível de acesso da política do dispositivo e seu formato YAML, consulte Atributos da política do dispositivo. Consulte este arquivo YAML de nível de acesso de exemplo para um arquivo YAML abrangente sobre todos os atributos possíveis.

    Observe que a regra devicePolicy só funciona quando você configura a Verificação de endpoints nos dispositivos dos funcionários.

  2. Salve o arquivo. Neste exemplo, o arquivo é denominado CONDITIONS.yaml.

  3. Crie o nível de acesso.

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY_NAME
    

    Onde:

    • NAME é o nome exclusivo do nível de acesso. Ele precisa começar com uma letra e incluir apenas letras, números e sublinhados;

    • TITLE é um título legível. Ele precisa ser exclusivo para a política.

    • POLICY_NAME é o nome da política de acesso da organização.

    Você verá uma saída como:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Crie um corpo de solicitação para criar um recurso de AccessLevel.

    Neste exemplo, para limitar o acesso apenas aos usuários com armazenamento criptografado nos dispositivos, insira o seguinte no arquivo .yaml:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
         "devicePolicy": [
           "allowedEncryptionStatuses": [
             "ENCRYPTED"
           ]
         ]
         }
       ]
     }
    }
    

    Em que:

    • NAME é o nome exclusivo do nível de acesso. Ele precisa começar com uma letra e incluir apenas letras, números e sublinhados;

    • TITLE é um título legível. Ele precisa ser exclusivo para a política.

    Para ver uma lista de atributos de nível de acesso da política do dispositivo e seu formato YAML, consulte Atributos da política do dispositivo. Consulte este arquivo YAML de nível de acesso de exemplo para um arquivo YAML abrangente sobre todos os atributos possíveis.

  2. Crie o nível de acesso chamando accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels
    

    Onde:

    • POLICY_NAME é o nome da política de acesso da organização.

Como aplicar um nível de acesso

Depois de criar seu nível de acesso, é necessário aplicá-lo a um recurso protegido pelo IAP para que ele entre em vigor. Esse processo faz parte dos recursos contextuais do Google Cloud.

  1. Proteja seu recurso com o IAP.

  2. Aplique seu nível de acesso ao recurso.