设置情境感知访问权限

本页介绍了如何设置情境感知访问权限。您可以使用感知上下文的访问权限执行以下操作:

  • 根据用户身份、网络、位置和设备状态等属性,为资源定义访问权限政策。 Google Cloud

  • 控制会话时长和重新身份验证方法,以便持续访问。

每当用户访问需要 Google Cloud 范围的客户端应用(包括 Google Cloud Web 版控制台和 Google Cloud CLI)时,系统都会强制执行情境感知访问权限。

授予所需的 IAM 权限

在组织级层授予创建 Access Context Manager 访问权限绑定所需的 IAM 权限。

控制台

  1. 前往 Google Cloud 控制台中的 IAM 页面。

    进入 IAM

  2. 点击授予访问权限,然后配置以下内容:

    • 新主账号:指定要授予权限的用户或群组。
    • 选择角色:选择 Access Context Manager > Cloud Access Binding Admin

  3. 点击保存

gcloud

  1. 确保您已经过身份验证并拥有在组织级层添加 IAM 权限的足够权限。您至少需要具有 Organization Admin 角色。

    确认拥有适当权限后,请使用以下命令进行登录:

    gcloud auth login

  2. 通过运行以下命令来分配 GcpAccessAdmin 角色:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID 是您组织的 ID。如果您不知道组织 ID,可使用以下命令进行查找:

       gcloud organizations list

    • EMAIL 是您要授予角色的用户或群组的电子邮件地址。

创建用户组

创建一组应受情境感知限制约束的用户。该组中的任何用户(也是您组织的成员)都必须满足您创建的任何访问权限级别,才能访问 Google Cloud 控制台和Google Cloud API。

部署 Endpoint Verification

部署端点验证是一个可选步骤,可让您将设备属性集成到访问控制政策中。您可以使用此功能根据设备属性(例如操作系统版本和配置)授予或拒绝对资源的访问权限,从而增强贵组织的安全性。

Endpoint Verification 在 macOS、Windows 和 Linux 上作为 Chrome 扩展程序运行,可让您根据设备特性(例如型号和操作系统版本)以及安全特性(例如是否存在磁盘加密、防火墙、屏幕锁定和操作系统补丁)创建访问权限控制政策。

此外,您还可以要求使用基于证书的访问权限,以确保存在经过验证的设备证书,从而额外增强安全性,并确保只有已获授权的设备才能访问资源,即使用户凭据遭到破坏也是如此。

管理员可以使用 Google Cloud 控制台将该扩展程序部署到组织的公司自有设备上,组织的成员也可以自行安装