Zertifikatbasierten Zugriff für eine Nutzergruppe erzwingen

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) mithilfe von Richtlinien für den kontextsensitiven Zugriff erzwingen, die auf einer Nutzergruppe basieren.

Sie können den Zugriff auf alle Google Cloud Dienste einschränken, indem Sie eine CBA-Zugriffsebene an eine Nutzergruppe binden, für die Sie den Zugriff einschränken möchten. Diese Einschränkung gilt für alle Clientanwendungen, die die Google Cloud-APIs aufrufen.

Optional können Sie die Einschränkungen auf bestimmte Clientanwendungen anwenden oder bestimmte Anwendungen ausnehmen. Die Anwendungen umfassen sowohl Drittanbieteranwendungen als auch von Google entwickelte Anwendungen wie Cloud Console für die Google Cloud -Konsole und Google Cloud SDK für die Google Cloud CLI.

Hinweise

Sie müssen eine Zugriffsebene für den zertifikatbasierten Zugriff erstellt haben, die Zertifikate benötigt, um den Zugriff auf Ressourcen zu bestimmen.

Eine Nutzergruppe erstellen

Erstellen Sie eine Nutzergruppe mit den Mitgliedern, denen basierend auf der CBA-Zugriffsebene Zugriff gewährt werden soll.

Rolle „Administrator für Cloud-Zugriffsbindungen“ zuweisen

Weisen Sie der Nutzergruppe die Rolle Cloud Access Binding Admin zu.

Prüfen Sie, ob Sie über ausreichende Berechtigungen verfügen, um IAM-Berechtigungen auf Organisationsebene hinzuzufügen. Sie benötigen mindestens die Rollen Organisationsadministrator und Administrator für Cloud Access Binding.

Console

  1. Rufen Sie in der Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Berechtigungen auf Zugriff gewähren und konfigurieren Sie Folgendes:

    1. Neue Hauptkonten: Geben Sie die Gruppe an, der Sie die Rolle zuweisen möchten.
    2. Wählen Sie unter Rolle auswählen die Option Access Context Manager > Administrator für Cloud-Zugriffsbindungen aus.
    3. Klicken Sie auf Speichern.

gcloud

  1. Anmelden:

    gcloud auth login

  2. Weisen Sie die Rolle GcpAccessAdmin mit folgendem Befehl zu:

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID ist die ID Ihrer Organisation. Wenn Sie Ihre Organisations-ID noch nicht haben, können Sie sie mit dem folgenden Befehl ermitteln:

       gcloud organizations list

    • EMAIL ist die E-Mail-Adresse der Person oder Gruppe, der Sie die Rolle zuweisen möchten.

CBA-Zugriffsebene an eine Nutzergruppe binden

Bei dieser Bindungsoption gilt die CBA-Zugriffsebene für alle Clientanwendungen für die von Ihnen angegebene Nutzergruppe.

  1. Rufen Sie in der Console die Seite Chrome Enterprise Premium auf.

    Zu Chrome Enterprise Premium

  2. Wählen Sie eine Organisation aus und klicken Sie auf Auswählen.

  3. Klicken Sie auf Zugriff verwalten, um die Nutzergruppen auszuwählen, die Zugriff haben sollen.

  4. Klicken Sie auf Hinzufügen und konfigurieren Sie Folgendes:

    1. Mitgliedergruppen: Geben Sie die Gruppe an, der Sie Zugriff gewähren möchten. Sie können nur Gruppen auswählen, die nicht bereits an eine Zugriffsebene gebunden sind.
    2. Zugriffsebenen auswählen: Wählen Sie die CBA-Zugriffsebene aus, die auf die Gruppe angewendet werden soll.
    3. Klicken Sie auf Speichern.

CBA-Zugriffsebene an eine Nutzergruppe und bestimmte Anwendungen binden

In einigen Anwendungsfällen, z. B. bei Anwendungen, die Clientzertifikate unterstützen, ist die Verknüpfung einer CBA-Zugriffsebene mit einer Nutzergruppe möglicherweise zu allgemein. Mit dieser Option können Sie CBA-Zugriffsebenen auf Anwendungen anwenden, die Clientzertifikate unterstützen.

Im folgenden Beispiel wird eine CBA-Zugriffsebene an die Google Cloud Console, die gcloud CLI und die OAuth-Anwendung eines Nutzers gebunden.

  1. Melden Sie sich in der gcloud CLI an.

    gcloud auth application-default login

  2. Erstellen Sie eine policy_file.json-Datei.

    Sie können Anwendungen anhand ihrer OAuth-Client-ID angeben. Wenn Sie Google-Anwendungen angeben möchten, verwenden Sie den Anwendungsnamen, z. B. Cloud Console für dieGoogle Cloud -Konsole. Es werden nur die Google Cloud Console und Google Cloud SDK-Google-Anwendungen unterstützt.

    scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        name: Cloud Console
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        name: Google Cloud SDK
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        clientId: CLIENT_ID_1
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL

    Ersetzen Sie Folgendes:

    • CLIENT_ID_1: Die OAuth-Client-ID.
    • CBA_ACCESS_LEVEL: Der Name einer CBA-Zugriffsebene im Format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

  3. Erstellen Sie die Bindung der CBA-Zugriffsebene.

    gcloud access-context-manager cloud-bindings create \
  --group-key='GROUP_KEY' \
  --organization='ORG_ID' \
  --binding-file=.../policy_file.json

    Ersetzen Sie GROUP_KEY durch die Gruppe für kontextsensitiven Zugriff und ORG_ID durch Ihre Organisations-ID.

    Wenn Sie die GROUP_KEY nicht haben, können Sie sie abrufen, indem Sie die Methode get für die Gruppenressource aufrufen.

  4. Optional: Aktualisieren Sie eine vorhandene Bindung der Zugriffsebene.

    gcloud access-context-manager cloud-bindings update \
  --binding='BINDING_NAME' \
  --binding-file=.../policy_file.json

    Ersetzen Sie BINDING_NAME durch den Namen der Bindung, der beim Erstellen der Bindung automatisch generiert wurde.

Anwendung von einer Bindung ausnehmen

Eine andere Möglichkeit, eine CBA-Zugriffsebene anzuwenden, ohne Clientanwendungen zu blockieren, die keine Clientzertifikate unterstützen, besteht darin, diese Anwendungen von der Richtlinie auszunehmen.

Bei den folgenden Schritten wird davon ausgegangen, dass Sie bereits eine Zugriffsebene für die clientzertifikatbasierte Authentifizierung erstellt haben, die Zertifikate erfordert, um den Zugriff auf Ressourcen zu bestimmen.

  1. Erstellen Sie eine Zugriffsebene für Ausnahmen mit einer der folgenden Methoden.

  2. Erstellen Sie eine exemption_file.json-Datei.

    scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        clientId: CLIENT_ID_2
  activeSettings:
    accessLevels:
    - EXEMPT_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        name: APPLICATION_NAME_2
  activeSettings:
    accessLevels:
    - EXEMPT_ACCESS_LEVEL

    Ersetzen Sie Folgendes:

    • CLIENT_ID_2: Die OAuth-Client-ID.
    • APPLICATION_NAME_2: Der Name der Anwendung.
    • EXEMPT_ACCESS_LEVEL: Der Name einer Zugriffsebene für Ausnahmen im Format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

  3. Erstellen Sie die Richtlinie für die Ausnahmebindung.

    gcloud access-context-manager cloud-bindings create \
  --group-key='GROUP_KEY' \
  --organization='ORG_ID' \
  --binding-file=.../exemption_file.json

    Ersetzen Sie GROUP_KEY durch die Gruppe für kontextsensitiven Zugriff und ORG_ID durch Ihre Organisations-ID.

    Wenn Sie die GROUP_KEY nicht haben, können Sie sie abrufen, indem Sie die Methode get für die Gruppenressource aufrufen.