创建基于设备的访问权限级别

本页面介绍如何使用 Access Context Manager 创建基于设备的访问权限级别。

如需了解如何对受 Identity-Aware Proxy (IAP) 保护的资源应用访问权限级别,请参阅 BeyondCorp Enterprise 文档

概览

访问权限级别是基于请求来源而为请求分配的一组属性。您可以使用设备类型等信息,指定授予的访问权限级别。例如,您可以为具有加密硬盘的设备分配“High_Trust”级别,而为只有屏幕锁定的设备指定“Medium_Trust”级别。

设置 Endpoint Verification 后,系统会按访问权限级别收集并引用设备信息。

通过在 IAP 保护的资源上将访问权限级别添加为身份和访问权限管理 (IAM) 条件,即可强制执行访问权限级别。此过程属于保护应用和资源 BeyondCorp Enterprise 方法。

如需了解详情,请参阅 Access Context Manager 概览。

准备工作

  • 您必须拥有以下角色之一:

    • Access Context Manager Admin
    • Access Context Manager 编辑者
    • Access Context Manager 查看者

  • 设置 Endpoint Verification

  • BeyondCorp Enterprise Premium 提供某些功能,例如在高级模式下创建访问权限级别和使用设备政策创建访问权限级别。如需升级到 BeyondCorp Enterprise Premium,请联系我们的销售团队

创建访问权限级别

以下过程将创建基于设备的访问权限级别。

在本示例中,假设您要创建一个访问权限级别,该级别仅允许用户在已加密设备存储空间时访问您的资源。

控制台

  1. 转到 Cloud Console 中的 Access Context Manager 页面。

    转到 Access Context Manager 页面

  2. 如果收到提示,请选择您的组织。

  3. Access Context Manager 页面的顶部,点击新建

  4. 新建访问权限级别窗格的条件部分中,点击 设备政策

  5. 存储加密下拉菜单中,选择加密。只有在员工的设备上设置 Endpoint Verification 后,此规则才有效。

  6. 点击保存

gcloud

  1. 创建设定访问权限级别的 .yaml 文件,其中包含设备政策属性。

    在本示例中,要将访问权限仅授予具有加密设备存储空间的用户,您可以在 .yaml 文件中输入以下内容:

    - devicePolicy:
    allowedEncryptionStatuses
      - ENCRYPTED

    如需查看设备政策访问权限级别属性及其 YAML 格式的列表,请参阅设备政策属性。如需查看所有可能属性的完整 YAML 文件,请参阅此示例访问权限级别 YAML 文件

    请注意,仅当在您员工的设备上设置 Endpoint Verification 后,devicePolicy 规则才有效。

  2. 保存文件。在本示例中,该文件命名为 CONDITIONS.yaml

  3. 创建访问权限级别。

    gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY_NAME

    其中:

    • NAME 是访问权限级别的唯一名称,必须以字母开头,并且只包含字母、数字和下划线。

    • TITLE 是直观易懂的标题,必须为政策所独有。

    • POLICY_NAME 是您组织的访问权限政策名称。

    您应看到如下输出:

    Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.

API

  1. 编写请求正文以创建 AccessLevel 资源。

    在本示例中,要将访问权限仅授予具有加密设备存储空间的用户,请在 .yaml 文件中输入以下内容:

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
     "devicePolicy": [
       "allowedEncryptionStatuses": [
         "ENCRYPTED"
       ]
     ]
     }
   ]
 }
}

    其中:

    • NAME 是访问权限级别的唯一名称,必须以字母开头,并且只包含字母、数字和下划线。

    • TITLE 是直观易懂的标题,必须为政策所独有。

    如需查看设备政策访问权限级别属性及其 YAML 格式的列表,请参阅设备政策属性。如需查看所有可能属性的完整 YAML 文件,请参阅此示例访问权限级别 YAML 文件

  2. 通过调用 accessLevels.create,创建访问权限级别。

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels

    其中:

    • POLICY_NAME 是您组织的访问权限政策名称。

应用访问权限级别

创建完访问权限级别后,您需要将它应用于受 IAP 保护的资源以使其生效。此过程是将 Google Cloud 资源设置为情境感知资源过程的一部分。

  1. 使用 IAP 保护您的资源

  2. 对资源应用访问权限级别