Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, explicamos como configurar o Acesso baseado no contexto. É possível usar o acesso
com reconhecimento de contexto para fazer o seguinte:
Defina políticas de acesso para recursos do Google Cloud com base em atributos como identidade do usuário, rede, local e estado do dispositivo.
Controle a duração da sessão e os métodos de autenticação para acesso contínuo.
O acesso baseado no contexto é aplicado sempre que um usuário acessa um aplicativo cliente
que exige um escopo Google Cloud , incluindo o console Google Cloud na
Web e a Google Cloud CLI.
Conceder as permissões necessárias do IAM
Conceda as permissões do IAM no nível da organização que são
necessárias para criar vinculações de acesso do Access Context Manager.
Novos principais: especifique o usuário ou grupo em que você quer conceder as
permissões.
Selecione um papel: selecione Access Context Manager > Administrador de vinculação de acesso à nuvem.
Clique em Save.
gcloud
Verifique se você está autenticado com privilégios suficientes para adicionar
permissões do IAM no nível da organização. Você precisa, no mínimo,
do papel
Administrador da
organização.
Depois de confirmar que você tem as permissões certas, faça login com:
gcloudauthlogin
Atribua o papel GcpAccessAdmin executando o seguinte comando:
ORG_ID é o ID da organização. Se você
ainda não tiver o ID da organização, use o seguinte
comando para encontrá-lo:
gcloudorganizationslist
EMAIL é o endereço de e-mail da pessoa ou
do grupo a que você quer conceder o papel.
Criar um grupo de usuários
Crie um grupo de usuários que precisa estar vinculado por restrições baseadas no contexto. Todos os usuários desse
grupo que também são membros da sua organização precisam atender aos níveis de acesso
criados para acessar o console Google Cloud e as APIs
Google Cloud .
Implantar a Verificação de endpoints
Implantar a Verificação de endpoint
é uma etapa opcional que permite integrar atributos de
dispositivo às suas políticas de controle de acesso. Use esse recurso para
melhorar a segurança da sua organização concedendo ou negando acesso a
recursos com base em atributos do dispositivo, como versão e configuração do SO.
A Verificação de endpoints é executada como uma extensão do Chrome no macOS, Windows e Linux e
permite criar políticas de controle de acesso com base em características do dispositivo, como
modelo e versão do SO, e características de segurança, como a presença de criptografia
de disco, um firewall, um bloqueio de tela e patches do SO.
Além disso, é possível exigir o acesso baseado em certificado, que garante a presença de um certificado de dispositivo verificado para adicionar uma camada extra de segurança e garantir que apenas dispositivos autorizados possam acessar recursos, mesmo que as credenciais do usuário estejam comprometidas.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[],[],null,["# Set up context-aware access\n\nThis page explains how to set up context-aware access. You can use context-aware\naccess to do the following:\n\n- Define access policies for Google Cloud resources based on attributes like user identity, network, location, and device state.\n- Control session length and reauthentication methods for ongoing access.\n\n\n | **Preview\n | --- Session controls feature only**\n |\n |\n | This feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n | of the [Service Specific Terms](/terms/service-terms#1).\n |\n | Pre-GA features are available \"as is\" and might have limited support.\n |\n | For more information, see the\n | [launch stage descriptions](/products#product-launch-stages).\n\n \u003cbr /\u003e\n\nContext-aware access is enforced any time a user accesses a client application\nthat requires a Google Cloud scope, including the Google Cloud console on the\nweb and the Google Cloud CLI.\n\nGrant the required IAM permissions\n----------------------------------\n\nGrant the IAM permissions at the organization level that are\nrequired to create Access Context Manager access bindings. \n\n### Console\n\n1. Go to the **IAM** page in the Google Cloud console.\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n2. Click **Grant access** and configure the following:\n\n - **New principals**: Specify the user or group you want to grant the permissions.\n - **Select a role** : Select **Access Context Manager \\\u003e Cloud Access\n Binding Admin**.\n3. Click **Save**.\n\n| **Note:** For read-only access to the bindings, you can assign the **Cloud Access Binding Reader** role.\n\n### gcloud\n\n1. Ensure that you are authenticated with sufficient privileges to add\n IAM permissions at the organization level. At a minimum,\n you need the\n [Organization Admin](/resource-manager/docs/creating-managing-organization#setting-up)\n role.\n\n After you've confirmed you have the right permissions, sign in with: \n\n gcloud auth login\n\n2. Assign the `GcpAccessAdmin` role by running the following command:\n\n gcloud organizations add-iam-policy-binding \u003cvar translate=\"no\"\u003eORG_ID\u003c/var\u003e \\\n --member=user:\u003cvar translate=\"no\"\u003eEMAIL\u003c/var\u003e \\\n --role=roles/accesscontextmanager.gcpAccessAdmin\n\n - \u003cvar translate=\"no\"\u003eORG_ID\u003c/var\u003e is the ID for your organization. If you\n don't already have your organization ID, you can use the following\n command to find it:\n\n gcloud organizations list\n\n - \u003cvar translate=\"no\"\u003eEMAIL\u003c/var\u003e is the email address of the person or\n group you want to grant the role.\n\n | **Note:** For read-only access to the bindings, you can assign the `accesscontextmanager.gcpAccessReader` role.\n\nCreate a group of users\n-----------------------\n\n[Create a group of users](https://support.google.com/cloudidentity/answer/33343)\nthat should be bound by context-aware restrictions. Any users in this\ngroup who are also members of your organization must satisfy any access levels\nthat you created to access the Google Cloud console and the\nGoogle Cloud APIs.\n| **Note:** We recommend excluding at least one Organization Admin or Organization Owner from this group to reduce the risk of an accidental lockout.\n\nDeploy Endpoint Verification\n----------------------------\n\n[Deploying Endpoint Verification](/endpoint-verification/docs/deploying-with-admin-console)\nis an optional step that lets you integrate device\nattributes into your access control policies. You can use this capability to\nenhance the security of your organization by granting or denying access to\nresources based on device attributes such as OS version and configuration.\n\nEndpoint Verification runs as a Chrome extension on macOS, Windows, and Linux and\nlets you create access control policies based on device characteristics like\nmodel, and OS version, and security characteristics like the presence of disk\nencryption, a firewall, a screen lock, and OS patches.\n\nAdditionally, you can require\n[certificate-based access](/chrome-enterprise-premium/docs/securing-resources-with-certificate-based-access),\nwhich ensures the presence of a verified device certificate to add an extra\nlayer of security and ensure that only authorized devices can access\nresources, even if user credentials are compromised.\n\nAn administrator can [deploy the extension](/endpoint-verification/docs/deploying-with-admin-console)\nto an organization's company-owned devices using the Google Cloud console,\nor members of the organization can\n[install it themselves](/endpoint-verification/docs/self-install-extension)."]]
