Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Kontextsensitiven Zugriff einrichten

Auf dieser Seite wird erläutert, wie Sie den kontextsensitiven Zugriff einrichten, Zugriffsebenen an eine Google-Gruppe binden und die Endpunktprüfung bereitstellen. Mit dem kontextsensitiven Zugriff können Sie Folgendes tun:

Zugriffsrichtlinien für Cloud de Confiance by S3NS Ressourcen basierend auf Attributen wie Nutzeridentität, Netzwerk, Standort und Gerätestatus definieren.
Sitzungslänge und Methoden zur erneuten Authentifizierung für den fortlaufenden Zugriff steuern.

Vorschau — nur Funktion für Sitzungssteuerung

Diese Funktion unterliegt den „Bedingungen für Pre-GA-Angebote“ im Abschnitt „Allgemeine Dienstbedingungen“ der dienstspezifischen Nutzungsbedingungen. Pre-GA‑Funktionen stehen in der vorliegenden Form zur Verfügung und bieten möglicherweise nur eingeschränkten Support. Weitere Informationen finden Sie unter den Beschreibungen der Startphase.

Der kontextsensitive Zugriff wird immer dann erzwungen, wenn ein Nutzer auf eine Clientanwendung zugreift, für die ein Cloud de Confiance Bereich erforderlich ist, einschließlich der Cloud de Confiance Console im Web und der Google Cloud CLI.

Hinweis

Erstellen Sie Zugriffsebenen. Sie können grundlegende Zugriffsebenen oder benutzerdefinierte Zugriffsebenen erstellen. Weitere Informationen zu Zugriffsebenen.
Erstellen Sie eine Google-Gruppe mit den Nutzern, auf die die Zugriffsebenen angewendet werden sollen. Um Einschränkungen für den kontextsensitiven Zugriff anzuwenden, binden Sie die Gruppe an die Zugriffsebenen. Um auf die Ressource zuzugreifen, müssen Nutzer in dieser Gruppe mindestens eine der von Ihnen erstellten Zugriffsebenen erfüllen. Richtlinien für den kontextsensitiven Zugriff gelten nur für Nutzer in Ihrer Organisation.

Wichtig: Wir empfehlen, mindestens einen Organization Admin oder Organization Owner aus dieser Gruppe auszuschließen, um das Risiko einer versehentlichen Aussperrung zu verringern.

Erforderliche Rollen

Weisen Sie die Rolle „Administrator für Cloud-Zugriffsbindungen (roles/accesscontextmanager.gcpAccessAdmin)“ auf Organisationsebene zu. Diese Rolle ist erforderlich, um Zugriffsbindungen für Access Context Manager zu erstellen.

Console

Rufen Sie in der Cloud de Confiance Console die Seite IAM auf.

IAM aufrufen
Wählen Sie im Menü „Projektauswahl“ Ihre Organisations-ID aus.
Klicken Sie auf Zugriff erlauben und konfigurieren Sie Folgendes:
- Neue Prinzipale: Geben Sie den Nutzer oder die Gruppe an, dem bzw. der Sie die Berechtigungen gewähren möchten.
- Rolle auswählen: Wählen Sie Access Context Manager > Administrator für Cloud-Zugriffsbindungen aus.
Klicken Sie auf Speichern.

gcloud

Prüfen Sie, ob Sie über ausreichende Berechtigungen verfügen, um IAM-Berechtigungen auf Organisationsebene hinzuzufügen. Sie benötigen mindestens die Rolle Organisationsadministrator.

Nachdem Sie bestätigt haben, dass Sie die richtigen Berechtigungen haben, melden Sie sich mit dem folgenden Befehl an:
```
gcloud auth login
```

Weisen Sie die Rolle „Administrator für Cloud-Zugriffsbindungen“ (roles/accesscontextmanager.gcpAccessAdmin) mit dem folgenden Befehl zu:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

Ersetzen Sie Folgendes:

ORGANIZATION_ID: die ID für Ihre Organisation. Mit dem folgenden Befehl können Sie die Organisations-ID ermitteln:

  gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

Google-Gruppen an Zugriffsebenen binden

Um Einschränkungen für den kontextsensitiven Zugriff für den Zugriff auf Cloud de Confiance Ressourcen zu erzwingen, müssen Sie eine Google-Gruppe an eine oder mehrere Zugriffsebenen binden. Nutzer in der angegebenen Gruppe erhalten nur dann Zugriff, wenn sie die Bedingungen erfüllen, die in den gebundenen Zugriffsebenen definiert sind.

Gruppe an die Zugriffsebene binden

Sie können die Gruppe über die Cloud de Confiance Console oder die gcloud CLI an die Zugriffsebene binden.

Console

So binden Sie die Gruppe über die Cloud de Confiance Console an die Zugriffsebene:

Rufen Sie in der Cloud de Confiance Console die Seite Chrome Enterprise Premium auf.

Zu Chrome Enterprise Premium

Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf Zugriff für Cloud de Confiance Console und APIs verwalten. Auf der Seite werden die vorhandenen Zugriffsbindungen aufgeführt.
Klicken Sie auf Bindung erstellen.
Klicken Sie im Bereich Hauptkonten auf Hinzufügen.
Geben Sie die E-Mail-Adresse der Google-Gruppe ein, die Sie binden möchten.
Wählen Sie im Bereich Zugriffsebenen die Zugriffsebenen aus, die Mitglieder der Gruppe erfüllen müssen, um Zugriff zu erhalten. Mehrere Zugriffsebenen werden logisch mit OR verknüpft. Das logische OR bedeutet, dass der Nutzer die Bedingungen von mindestens einer der ausgewählten Ebenen erfüllen muss, um auf die Ressource zuzugreifen.
Klicken Sie auf Speichern, um die Zugriffsbindung zu speichern.

Es kann einige Minuten dauern, bis die Bindung weitergegeben wird. Nachdem die Bindung aktiv ist, unterliegen Mitglieder der Gruppe den konfigurierten Anforderungen für die Zugriffsebene, wenn sie auf die Cloud de Confiance Console zugreifen oder Tools wie die gcloud CLI verwenden, die mit Cloud de Confiance APIs interagieren.

gcloud

Führen Sie den folgenden Befehl aus, um die Gruppe an die Zugriffsebene zu binden:

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

Ersetzen Sie Folgendes:

GROUP_EMAIL: Die E-Mail-Adresse der zu bindenden Google-Gruppe, z. B. my-restricted-users@example.com.
ACCESS_LEVEL_ID: Der vollständige Ressourcenname der anzuwendenden Zugriffsebene. Der Ressourcenname hat das Format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

Sie finden POLICY_ID, indem Sie die Richtlinien mit dem folgenden Befehl auflisten:

gcloud access-context-manager policies list --organization ORGANIZATION_ID

ORGANIZATION_ID: Optional. Ihre Cloud de Confiance Organisations-ID. Die Organisations-ID ist nur erforderlich, wenn Sie die Standardorganisation nicht in Ihrer gcloud CLI-Konfiguration festgelegt haben.

Gruppenbindungen auflisten

Führen Sie den folgenden Befehl aus, um vorhandene Bindungen aufzulisten:

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

Endpunktprüfung bereitstellen

Die Bereitstellung der Endpunktprüfung ist ein optionaler Schritt, mit dem Sie Geräteattribute in Ihre Zugriffssteuerung einbeziehen können. Mit dieser Funktion können Sie die Sicherheit Ihrer Organisation verbessern, indem Sie den Zugriff auf Ressourcen basierend auf Geräteattributen wie Betriebssystemversion und -konfiguration gewähren oder verweigern.

Die Endpunktprüfung wird als Chrome-Erweiterung unter macOS, Windows und Linux ausgeführt. Sie können Zugriffssteuerungsrichtlinien basierend auf Geräteattributen wie Modell und Betriebssystemversion sowie Sicherheitsmerkmalen wie Festplattenverschlüsselung, Firewall, Displaysperre und Betriebssystem-Patches erstellen.

Nächste Schritte

Informationen zum Erzwingen des zertifikatbasierten Zugriffs, der eine zusätzliche Sicherheitsebene bietet, indem sichergestellt wird, dass nur autorisierte Geräte auf Ressourcen zugreifen können, auch wenn die Anmeldedaten kompromittiert wurden.
Stellen Sie die Erweiterung „Endpunktprüfung“ als Administrator über die Cloud de Confiance Console auf den unternehmenseigenen Geräten Ihrer Organisation bereit.
Nutzer können die Erweiterung „Endpunktprüfung“ selbst installieren.