Appliquer un accès basé sur des certificats pour un groupe d'utilisateurs

Cette page explique comment appliquer l'accès basé sur un certificat (CBA) à l'aide de règles d'accès contextuel basées sur un groupe d'utilisateurs.

Vous pouvez limiter l'accès à tous les Cloud de Confiance by S3NS services en liant un niveau d'accès CBA à un groupe d'utilisateurs. Cette restriction s'applique à toutes les applications clientes qui appellent Cloud de Confiance des API.

Vous pouvez également appliquer les restrictions à des applications clientes spécifiques ou exclure certaines applications. Les applications incluent à la fois des applications tierces et des applications propriétaires créées par Google, telles que Cloud Console pour la Cloud de Confiance console et Google Cloud SDK pour la Google Cloud CLI.

Avant de commencer

Créez un niveau d'accès CBA qui nécessite des certificats pour déterminer l'accès aux ressources.

Créer un groupe d'utilisateurs

Créez un groupe d'utilisateurs contenant les membres auxquels l'accès doit être accordé en fonction du niveau d'accès CBA.

Attribuer le rôle d'administrateur de liaisons d'accès au cloud

Attribuez le rôle d'administrateur de liaisons d'accès au cloud au groupe d'utilisateurs.

Vous devez disposer des droits suffisants pour ajouter des autorisations IAM au niveau de l'organisation. Vous devez au moins disposer des rôles d'administrateur de l'organisation et d'administrateur de liaisons d'accès au cloud.

Console

  1. Dans la console, accédez à IAM.

    Accéder à IAM

  2. Dans l'onglet Autorisations, cliquez sur Accorder l'accès, puis configurez les éléments suivants :

    1. Nouveaux comptes principaux : spécifiez le groupe auquel vous souhaitez accorder le rôle.
    2. Pour l'option Sélectionner un rôle, sélectionnez Access Context Manager > Administrateur de la liaison d'accès cloud.
    3. Cliquez sur Enregistrer.

gcloud

  1. Connectez-vous :

    gcloud auth login

  2. Attribuez le rôle GcpAccessAdmin en exécutant la commande suivante :

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID est l'ID de votre organisation. Si vous ne disposez pas encore de l'ID de votre organisation, vous pouvez utiliser la commande suivante pour le trouver :

       gcloud organizations list

    • EMAIL est l'adresse e-mail de la personne ou du groupe auquel vous souhaitez accorder le rôle.

Lier un niveau d'accès CBA à un groupe d'utilisateurs

Dans cette option de liaison, le niveau d'accès CBA s'applique à toutes les applications clientes du groupe d'utilisateurs que vous spécifiez.

  1. Dans la console, accédez à la page Règles d'accès à la console et aux API :

    Accéder aux règles d'accès à la console et aux API

  2. Choisissez une organisation, puis cliquez sur Sélectionner.

  3. Cliquez sur Gérer l'accès pour choisir les groupes d'utilisateurs auxquels vous souhaitez accorder l'accès.

  4. Cliquez sur Ajouter, puis configurez les éléments suivants :

    1. Groupes de membres : spécifiez le groupe auquel vous souhaitez accorder l'accès. Vous ne pouvez sélectionner que des groupes qui ne sont pas déjà liés à un niveau d'accès.
    2. Sélectionner les niveaux d'accès : sélectionnez le niveau d'accès CBA à appliquer au groupe.
    3. Cliquez sur Enregistrer.

Lier un niveau d'accès CBA à un groupe d'utilisateurs et à des applications spécifiques

Dans certains cas d'utilisation, tels que les applications qui acceptent les certificats clients, la liaison d'un niveau d'accès CBA à un groupe d'utilisateurs peut être trop large. Vous pouvez utiliser cette option pour appliquer des niveaux d'accès CBA aux applications qui acceptent les certificats clients.

L'exemple suivant lie un niveau d'accès CBA à la Cloud de Confiance console, la gcloud CLI et à l'application OAuth d'un utilisateur.

  1. Connectez-vous à la gcloud CLI.

    gcloud auth application-default login

  2. Créez un fichier policy_file.yaml.

    Vous pouvez spécifier des applications à l'aide de leur ID client OAuth. Pour spécifier des applications Google, utilisez le nom de l'application, tel que Cloud Console pour la Cloud de Confiance console. Seules les applications Google Console et Google Cloud SDK sont compatibles. Cloud de Confiance 

    scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        name: Cloud Console
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        name: Google Cloud SDK
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        clientId: CLIENT_ID_1
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL

    Remplacez les éléments suivants :

    • CLIENT_ID_1 : ID client OAuth
    • CBA_ACCESS_LEVEL : nom de niveau d'accès CBA au format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME

  3. Créez la liaison de niveau d'accès CBA.

    gcloud access-context-manager cloud-bindings create \
   --group-key='GROUP_KEY' \
   --organization='ORG_ID' \
   --binding-file=policy_file.yaml

    Remplacez les éléments suivants :

    • GROUP_KEY : ID de groupe unique

    • ORG_ID : ID de l'organisation

    gcloud

    Vous pouvez utiliser l'ID de groupe unique comme GROUP_KEY. Pour obtenir l'ID de groupe unique, utilisez la commande suivante :

    gcloud identity groups describe EMAIL

    Remplacez EMAIL par l'adresse e-mail de votre groupe. L'ID de groupe unique est la valeur renvoyée après / dans le nom du groupe. Par exemple, l'ID de groupe unique dans groups/01gf8i8311xalqg est 01gf8i8311xalqg.

    REST

    Vous pouvez utiliser l'ID de groupe unique comme GROUP_KEY. Pour obtenir l' ID de groupe unique à l'aide de l'API REST, vous pouvez le récupérer en appelant la méthode get sur la ressource de groupe. L'ID de groupe unique est renvoyé dans le champ id de la ressource de groupe.

  4. Facultatif : Mettez à jour une liaison de niveau d'accès existante.

    gcloud access-context-manager cloud-bindings update \
   --binding='BINDING_NAME' \
   --binding-file=policy_file.yaml

    Remplacez BINDING_NAME par le nom de liaison généré automatiquement lors de la création de la liaison.

Exclure une application d'une liaison

Une autre façon d'appliquer un niveau d'accès CBA sans bloquer les applications clientes qui n'acceptent pas les certificats clients consiste à exclure ces applications de la règle.

Les étapes suivantes supposent que vous avez déjà créé un niveau d'accès CBA qui nécessite des certificats pour déterminer l'accès aux ressources.

  1. Créez un niveau d'accès d'exemption à l'aide de l'une des méthodes suivantes.

  2. Créez un fichier exemption_file.yaml.

    scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        clientId: CLIENT_ID_2
  activeSettings:
    accessLevels:
    - EXEMPT_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        name: APPLICATION_NAME_2
  activeSettings:
    accessLevels:
    - EXEMPT_ACCESS_LEVEL

    Remplacez les éléments suivants :

    • CLIENT_ID_2 : ID client OAuth
    • APPLICATION_NAME_2 : nom de l'application
    • EXEMPT_ACCESS_LEVEL : nom de niveau d'accès d'exemption au format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME

  3. Créez la règle de liaison d'exemption.

    gcloud access-context-manager cloud-bindings create \
   --group-key='GROUP_KEY' \
   --organization='ORG_ID' \
   --binding-file=exemption_file.yaml

    Remplacez les éléments suivants :

    • GROUP_KEY : ID de groupe unique
    • ORG_ID : ID de l'organisation