Diese Seite wurde von der Cloud Translation API übersetzt.

Kontextsensitiven Zugriff einrichten

Auf dieser Seite wird beschrieben, wie Sie kontextbezogenen Zugriff einrichten. Mit kontextbezogenem Zugriff können Sie Folgendes tun:

Definieren Sie Zugriffsrichtlinien für Google Cloud Ressourcen basierend auf Attributen wie Nutzeridentität, Netzwerk, Standort und Gerätestatus.
Sitzungsdauer und Methoden für die erneute Authentifizierung für den fortlaufenden Zugriff festlegen.

Vorschau – Session controls feature only

Diese Funktion unterliegt den Pre-GA-Angebotsbedingungen im Abschnitt mit den allgemeinen Dienstbedingungen der dienstspezifischen Nutzungsbedingungen. Pre-GA‑Funktionen stehen in der vorliegenden Form zur Verfügung und bieten möglicherweise nur eingeschränkten Support. Weitere Informationen finden Sie unter den Beschreibungen der Markteinführungsphase.

Der kontextsensitiver Zugriff wird immer dann erzwungen, wenn ein Nutzer auf eine Clientanwendung zugreift, für die ein Google Cloud -Bereich erforderlich ist, einschließlich der Google Cloud Console im Web und der Google Cloud CLI.

Erforderliche IAM-Berechtigungen gewähren

Erteilen Sie die IAM-Berechtigungen auf Organisationsebene, die zum Erstellen von Access Context Manager-Zugriffsbindungen erforderlich sind.

Console

Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen
Klicken Sie auf Zugriff erlauben und konfigurieren Sie Folgendes:
- Neue Hauptkonten: Geben Sie den Nutzer oder die Gruppe an, dem bzw. der Sie die Berechtigungen erteilen möchten.
- Rolle auswählen: Wählen Sie Access Context Manager > Administrator für Cloud-Zugriffsbindungen aus.
Klicken Sie auf Speichern.

gcloud

Prüfen Sie, ob Sie über ausreichende Berechtigungen verfügen, um IAM-Berechtigungen auf Organisationsebene hinzuzufügen. Sie benötigen mindestens die Rolle Organisationsadministrator.

Nachdem Sie überprüft haben, ob Sie die richtigen Berechtigungen haben, melden Sie sich mit folgendem an:
```
gcloud auth login
```
Weisen Sie die Rolle GcpAccessAdmin mit folgendem Befehl zu:
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID ist die ID Ihrer Organisation. Wenn Sie Ihre Organisations-ID noch nicht haben, können Sie sie mit dem folgenden Befehl ermitteln:
```
 gcloud organizations list
```
- EMAIL ist die E-Mail-Adresse der Person oder Gruppe, der Sie die Rolle zuweisen möchten.
Hinweis: Für Lesezugriff auf die Bindungen können Sie die Rolle accesscontextmanager.gcpAccessReader erteilen.

Gruppe von Nutzern erstellen

Erstellen Sie eine Nutzergruppe, die an kontextsensitive Einschränkungen gebunden sein soll. Alle Nutzer in dieser Gruppe, die auch Mitglieder Ihrer Organisation sind, müssen alle von Ihnen erstellten Zugriffsebenen erfüllen, um auf die Google Cloud -Konsole und dieGoogle Cloud -APIs zugreifen zu können.

Endpunktprüfung bereitstellen

Die Bereitstellung der Endpunktprüfung ist ein optionaler Schritt, mit dem Sie Geräteattribute in Ihre Richtlinien zur Zugriffssteuerung einbinden können. Mit dieser Funktion können Sie die Sicherheit Ihrer Organisation erhöhen, indem Sie den Zugriff auf Ressourcen basierend auf Geräteattributen wie Betriebssystemversion und Konfiguration gewähren oder verweigern.

Die Endpunktprüfung wird als Chrome-Erweiterung unter macOS, Windows und Linux ausgeführt. Damit können Sie Zugriffssteuerungsrichtlinien auf Grundlage von Gerätecharakteristika wie Modell und Betriebssystemversion sowie Sicherheitsmerkmalen wie Festplattenverschlüsselung, Firewall, Displaysperre und Betriebssystem-Patches erstellen.

Außerdem können Sie zertifikatbasierten Zugriff erzwingen, um eine zusätzliche Sicherheitsebene zu schaffen und dafür zu sorgen, dass nur autorisierte Geräte auf Ressourcen zugreifen können, auch wenn Nutzeranmeldedaten manipuliert wurden.

Ein Administrator kann die Erweiterung über die Google Cloud -Konsole auf den unternehmenseigenen Geräten der Organisation bereitstellen oder Mitglieder der Organisation können sie selbst installieren.