コンテキストアウェア アクセスを設定する

このページでは、コンテキストアウェア アクセスを設定する方法について説明します。コンテキストアウェア アクセスを使用すると、次のことができるようになります。

  • ユーザー ID、ネットワーク、ロケーション、デバイスの状態などの属性に基づいて、 Google Cloud リソースのアクセス ポリシーを定義します。

  • 継続的にアクセスするためのセッション時間と再認証方法を制御する。

コンテキストアウェア アクセスは、ユーザーが Google Cloud スコープを必要とするクライアント アプリケーション(ウェブ上の Google Cloud コンソールや Google Cloud CLI など)にアクセスするたびに適用されます。

必要な IAM 権限を付与する

Access Context Manager アクセス バインディングの作成に必要な組織レベルの IAM 権限を付与します。

コンソール

  1. Google Cloud コンソールで [IAM] ページに移動します。

    [IAM] に移動

  2. [アクセスを許可] をクリックして、以下を構成します。

    • 新しいプリンシパル: 権限を付与するユーザーまたはグループを指定します。
    • ロールを選択: [Access Context Manager] > [Cloud アクセス バインディング管理者] を選択します。

  3. [保存] をクリックします。

gcloud

  1. 組織レベルの IAM 権限を追加するのに十分な権限で認証されていることを確認してください。少なくとも、組織管理者のロールが必要です。

    適切な権限があることを確認したら、次のコマンドでログインします。

    gcloud auth login

  2. 次のコマンドを実行して GcpAccessAdmin ロールを割り当てます。

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID は、組織 ID です。組織 ID を把握していない場合は、次のコマンドを使用して確認できます。

       gcloud organizations list

    • EMAIL は、ロールを付与するユーザーまたはグループのメールアドレスです。

ユーザー グループを作成する

コンテキストアウェアの制限を受けるユーザー グループを作成する。このグループのいずれかのユーザーが組織のメンバーでもある場合は、作成されたアクセスレベルを満たし、Google Cloud コンソールとGoogle Cloud API にアクセスできるようにする必要があります。

Endpoint Verification をデプロイする

デバイス属性をアクセス制御ポリシーに統合するための手順として、Endpoint Verification をデプロイすることもできます。この機能を使用すると、OS バージョンや構成などのデバイス属性に基づいてリソースへのアクセスを許可または拒否することで、組織のセキュリティを強化できます。

Endpoint Verification は、macOS、Windows、Linux で Chrome 拡張機能として実行され、モデルや OS バージョンなどのデバイス特性と、ディスク暗号化、ファイアウォール、画面ロック、OS パッチの有無などのセキュリティ特性に基づいてアクセス制御ポリシーを作成できます。

さらに、証明書ベースのアクセスを必須にすることもできます。これにより、確認済みデバイス証明書が存在することを確認してセキュリティを強化し、ユーザー認証情報が不正使用された場合でも、承認されたデバイスのみがリソースにアクセスできるようにできます。

管理者は、Google Cloud コンソールを使用して組織の会社所有デバイスに拡張機能をデプロイできます。また、組織のメンバーが自分でインストールすることもできます。