设置情境感知访问权限

本页介绍了如何设置情境感知访问权限。您可以使用情境感知访问权限执行以下操作:

  • 根据用户身份、网络、位置和设备状态等属性,为 Google Cloud 资源定义访问权限政策。

  • 控制持续访问的会话时长和重新进行身份验证的方法。

每当用户访问需要 Google Cloud 范围的客户端应用(包括网页上的 Google Cloud 控制台和 Google Cloud CLI)时,系统都会强制执行情境感知访问权限。

授予所需的 IAM 权限

在组织级层授予创建 Access Context Manager 访问权限绑定所需的 IAM 权限。

控制台

  1. 前往 Google Cloud 控制台中的 IAM 页面。

    进入 IAM

  2. 点击授予访问权限,然后配置以下内容:

    • 新主账号:指定要授予权限的用户或群组。
    • 选择角色:选择 Access Context Manager > Cloud Access Binding Admin

  3. 点击保存

gcloud

  1. 确保您已经过身份验证并拥有在组织级层添加 IAM 权限的足够权限。您至少需要具有 Organization Admin 角色。

    确认拥有适当权限后,运行以下命令进行登录:

    gcloud auth login

  2. 通过运行以下命令来分配 GcpAccessAdmin 角色:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID 是您组织的 ID。如果您不知道组织 ID,可使用以下命令进行查找:

       gcloud organizations list

    • EMAIL 是您要授予角色的用户或群组的电子邮件地址。

创建用户组

创建一组应受情境感知限制约束的用户。该组中的任何用户(也是您组织的成员)都必须满足您创建的任何访问权限级别,才能访问 Google Cloud 控制台和Google Cloud API。

部署 Endpoint Verification

部署 Endpoint Verification 是一项可选步骤,可让您将设备属性集成到访问权限控制政策中。您可以根据设备属性(例如操作系统版本和配置)授予或拒绝资源访问权限,从而利用此功能增强组织的安全性。

Endpoint Verification 作为 Chrome 扩展程序在 macOS、Windows 和 Linux 上运行,可让您根据设备特征(如型号和操作系统版本)以及安全特征(如是否存在磁盘加密、防火墙、屏幕锁定和操作系统补丁)创建访问权限控制政策。

此外,您还可以要求基于证书的访问权限,以确保存在经过验证的设备证书,从而增加一层额外的安全性,并确保只有授权设备才能访问资源,即使用户凭据遭到入侵也是如此。

管理员可以使用 Google Cloud 控制台将该扩展程序部署到组织的公司自有设备上,组织的成员也可以自行安装