设置情境感知访问权限

本页介绍了如何设置情境感知访问权限。您可以使用感知上下文的访问权限执行以下操作:

  • 根据用户身份、网络、位置和设备状态等属性,为资源定义访问权限政策。 Google Cloud

  • 控制会话时长和重新身份验证方法,以便持续访问。

每当用户访问需要 Google Cloud 范围的客户端应用(包括 Web 版 Google Cloud 控制台和 Google Cloud CLI)时,系统都会强制执行情境感知访问权限。

授予所需的 IAM 权限

在组织级层授予创建 Access Context Manager 访问权限绑定所需的 IAM 权限。

控制台

  1. 在 Google Cloud 控制台中,转到 IAM 页面。

    进入 IAM

  2. 点击授予访问权限,然后配置以下内容:

    • 新主账号:指定要授予权限的用户或群组。
    • 选择角色:选择 Access Context Manager > Cloud Access Binding Admin

  3. 点击保存

gcloud

  1. 确保您已经过身份验证并拥有在组织级层添加 IAM 权限的足够权限。您至少需要具有 Organization Admin 角色。

    确认拥有适当权限后,请使用以下命令进行登录:

    gcloud auth login

  2. 通过运行以下命令来分配 GcpAccessAdmin 角色:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID 是您组织的 ID。如果您不知道组织 ID,可使用以下命令进行查找:

       gcloud organizations list

    • EMAIL 是您要授予角色的用户或群组的电子邮件地址。

创建用户组

创建一组应受情境感知限制约束的用户。该组中的任何用户(也是您组织的成员)都必须满足您创建的任何访问权限级别,才能访问 Google Cloud 控制台和Google Cloud API。

部署 Endpoint Verification

部署端点验证是一个可选步骤,可让您将设备属性集成到访问控制政策中。您可以使用此功能根据设备属性(例如操作系统版本和配置)授予或拒绝对资源的访问权限,从而增强贵组织的安全性。

Endpoint Verification 在 macOS、Windows 和 Linux 上作为 Chrome 扩展程序运行,可让您根据设备特征(例如型号和操作系统版本)以及安全特征(例如是否存在磁盘加密、防火墙、屏幕锁定和操作系统补丁)创建访问控制政策。

此外,您还可以要求使用基于证书的访问权限,以确保存在经过验证的设备证书,从而额外增强安全性,并确保只有已获授权的设备才能访问资源,即使用户凭据遭到破坏也是如此。

管理员可以使用 Google Cloud 控制台将该扩展程序部署到组织的公司自有设备上,组织的成员也可以自行安装