設定情境感知存取權

本頁面說明如何設定依情境存取權。您可以使用情境感知存取權執行下列操作:

  • 根據使用者身分、網路、位置和裝置狀態等屬性,為 Google Cloud 資源定義存取權政策。

  • 控管持續存取的會話長度和重新驗證方法。

只要使用者存取需要 Google Cloud 範圍的用戶端應用程式 (包括網頁上的 Google Cloud 控制台和 Google Cloud CLI),系統就會強制執行情境感知存取權。

授予必要的 IAM 權限

在機構層級授予必要的 IAM 權限,才能建立 Access Context Manager 存取繫結。

主控台

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往「IAM」頁面

  2. 按一下「授予存取權」,然後設定下列項目:

    • New principals:指定您要授予權限的使用者或群組。
    • 選取角色:依序選取「Access Context Manager」>「Cloud Access Binding Admin」

  3. 按一下 [儲存]

gcloud

  1. 請確認您已驗證並具備足夠的權限,可在機構層級新增身分與存取權管理權限。您至少需要組織管理員角色。

    確認您具備適當權限後,請使用以下方式登入:

    gcloud auth login

  2. 執行下列指令,指派 GcpAccessAdmin 角色:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID 是貴機構的 ID。如果您還沒有機構 ID,可以使用下列指令尋找:

       gcloud organizations list

    • EMAIL 是您要授予角色的使用者或群組電子郵件地址。

建立使用者群組

建立一組使用者,並將其與情境感知限制綁定。這個群組中的使用者如果也是貴機構的成員,則必須達到您建立的存取層級,才能存取 Google Cloud 控制台和Google Cloud API。

部署端點驗證

部署端點驗證是可選步驟,可讓您將裝置屬性整合至存取權控管政策。您可以使用這項功能,根據裝置屬性 (例如 OS 版本和設定) 授予或拒絕資源存取權,進而提升貴機構的安全性。

端點驗證會在 macOS、Windows 和 Linux 上以 Chrome 擴充功能的形式執行,讓您根據裝置特徵 (例如型號和作業系統版本) 和安全性特徵 (例如磁碟加密、防火牆、螢幕鎖定和作業系統修補程式) 建立存取權控制政策。

此外,您可以要求以憑證為基礎的存取權,確保系統會使用經過驗證的裝置憑證,以便額外增加一層安全性,並確保只有經過授權的裝置才能存取資源,即使使用者憑證遭到入侵也不例外。

管理員可以使用 Google Cloud 控制台將擴充功能部署到機構的企業裝置,機構成員也可以自行安裝