创建基于设备的访问权限级别

本页面介绍如何使用 Access Context Manager 创建基于设备的访问权限级别。

如需了解如何对受 Identity-Aware Proxy (IAP) 保护的资源应用访问权限级别,请参阅 Context-Aware Access 文档

概览

访问权限级别是基于请求来源而为请求分配的一组属性。您可以使用设备类型等信息,指定授予的访问权限级别。例如,您可以为具有加密硬盘的设备分配“High_Trust”级别,而为只有屏幕锁定的设备指定“Medium_Trust”级别。

设置 Endpoint Verification 后,系统会按访问权限级别收集并引用设备信息。

通过在 IAP 保护的资源上将访问权限级别添加为身份和访问权限管理 (IAM) 条件,即可强制执行访问权限级别。此过程是用于保护应用和资源的情境感知访问权限方法的一部分。

如需了解详情,请参阅 Access Context Manager 概览。

准备工作

  • 您必须拥有以下角色之一:

    • Access Context Manager Admin
    • Access Context Manager 编辑者
    • Access Context Manager 查看者

  • 设置 Endpoint Verification

创建访问权限级别

以下过程将创建基于设备的访问权限级别。

在本示例中,假设您要创建一个访问权限级别,该级别仅允许用户在已加密设备存储空间时访问您的资源。

控制台

  1. 在 Cloud Console 中,转到 Access Context Manager 页面。

    转到 Access Context Manager 页面

  2. 如果收到提示,请选择您的组织。

  3. Access Context Manager 页面的顶部,点击新建

  4. 新建访问权限级别窗格的条件部分中,点击添加属性,然后点击设备政策

  5. 点击存储加密下拉列表,然后选择加密。请注意,仅当在您员工的设备上设置 Endpoint Verification 后,此规则才有效。

  6. 点击保存

gcloud

  1. 创建设定访问权限级别的 .yaml 文件,其中包含设备政策属性。

    在本示例中,要将访问权限仅授予具有加密设备存储空间的用户,您可以在 .yaml 文件中输入以下内容:

    - devicePolicy:
    allowedEncryptionStatuses
      - ENCRYPTED

    如需查看设备政策访问权限级别属性及其 YAML 格式的列表,请参阅设备政策属性。如需查看所有可能属性的完整 YAML 文件,请参阅此示例访问权限级别 YAML 文件

    请注意,仅当在您员工的设备上设置 Endpoint Verification 后,devicePolicy 规则才有效。

  2. 保存文件。在本示例中,该文件命名为 CONDITIONS.yaml

  3. 创建访问权限级别。

    gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY_NAME

    其中:

    • NAME 是访问权限级别的唯一名称,必须以字母开头,并且只包含字母、数字和下划线。

    • TITLE 是直观易懂的标题,必须为政策所独有。

    • POLICY_NAME 是您组织的访问权限政策名称。

    您应看到如下输出:

    Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.

API

  1. 编写请求正文以创建 AccessLevel 资源。

    在本示例中,要将访问权限仅授予具有加密设备存储空间的用户,您可以在 .yaml 文件中输入以下内容:

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
     "devicePolicy": [
       "allowedEncryptionStatuses": [
         "ENCRYPTED"
       ]
     ]
     }
   ]
 }
}

    其中:

    • NAME 是访问权限级别的唯一名称,必须以字母开头,并且只包含字母、数字和下划线。

    • TITLE 是直观易懂的标题,必须为政策所独有。

    如需查看设备政策访问权限级别属性及其 YAML 格式的列表,请参阅设备政策属性。如需查看所有可能属性的完整 YAML 文件,请参阅此示例访问权限级别 YAML 文件

  2. 通过调用 accessLevels.create,创建访问权限级别。

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels

    其中:

    • POLICY_NAME 是您组织的访问权限政策名称。

应用访问权限级别

创建完访问权限级别后,您需要将它应用于受 IAP 保护的资源以使其生效。此过程是将 Google Cloud 资源设置为情境感知资源过程的一部分。

  1. 使用 IAP 保护您的资源

  2. 对资源应用访问权限级别