將 Chrome Enterprise 進階版套用至雲端資源

事前準備

如要讓應用程式和資源具備情境感知功能，您必須先完成下列事項：

1. 如果貴機構尚未有 Cloud Identity 使用者帳戶，請建立幾個 Cloud Identity 帳戶。

2. 決定要保護的資源。如果您沒有資源，請設定下列任一項。

   • 在 Google Cloud上，透過HTTPS 負載平衡器執行的網路應用程式。這包括 App Engine 應用程式等網路應用程式、在內部部署的應用程式，以及在其他雲端執行的應用程式。
   • Google Cloud上的虛擬機器。

3. 決定要授予哪些主體存取權，以及要限制哪些主體的存取權。

如果您想保護 Google Workspace 應用程式，請參閱 Google Workspace Chrome Enterprise Premium 簡介。

使用 IAP 保護應用程式和資源

Identity-Aware Proxy (IAP) 會為 HTTPS 和 TCP 存取的應用程式和資源建立中央身分識別層。這表示您可以控管個別應用程式和資源的存取權，而非使用網路層級防火牆。

請選取下列指南之一，保護您的 Google Cloud 應用程式及其所有資源：

• App Engine 標準和彈性環境
• Compute Engine
• Google Kubernetes Engine

您也可以將 IAP 擴充至非Google Cloud環境，例如內部部署和其他雲端。詳情請參閱「保護內部部署應用程式」指南。

詳情請參閱 IAP 說明文件。

虛擬機器資源

您可以設定通道資源權限，並建立透過 IAP 將 TCP 流量轉送至虛擬機器執行個體的通道，藉此控制誰能存取管理服務 (例如後端的 SSH 和 RDP)。

如要保護虛擬機器，請參閱保護虛擬機器指南。

使用 Access Context Manager 建立存取層級

使用 IAP 保護應用程式和資源後，您可以使用存取層級設定更豐富的存取權政策。

Access Context Manager 會建立存取層級。存取層級可根據下列屬性限制存取權：

• IP 子網路
• 區域
• 存取層級依附元件
• 原則
• 裝置政策 (請注意，您必須設定端點驗證)。

按照建立存取層級指南建立存取層級。

套用存取層級

您必須先將存取層級套用至 IAP 安全性資源的身分與存取權管理 (IAM) 政策，才能生效。如要完成這個步驟，請在用於授予資源存取權的 IAP 角色上新增 IAM 條件。

如要套用存取層級，請參閱套用存取層級。

套用存取層級後，您的資源就會受到 Chrome Enterprise Premium 的保護。

透過端點驗證功能啟用裝置信任和安全性

如要進一步強化 Chrome Enterprise 進階版安全資源的安全性，您可以使用存取層級，套用裝置信任和安全存取控制屬性。端點驗證功能會啟用這項控制項。

端點驗證是適用於 Windows、Mac 和 ChromeOS 裝置的 Chrome 擴充功能。Access Context Manager 會參照端點驗證所收集的裝置屬性，透過存取層級強制執行精細的存取控管機制。

請按照端點驗證快速入門中的指示，為貴機構設定端點驗證。