Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer l'accès contextuel

Cette page explique comment configurer l'accès contextuel, associer des niveaux d'accès à un groupe Google et déployer la validation des points de terminaison. Vous pouvez utiliser l'accès contextuel pour effectuer les opérations suivantes :

Définir des règles d'accès sur les Cloud de Confiance by S3NS ressources en fonction d'attributs tels que l'identité de l'utilisateur, le réseau, l'emplacement et l'état de l'appareil.
Contrôler la durée des sessions et les méthodes de réauthentification pour un accès continu.

Aperçu — fonctionnalité de contrôle des sessions uniquement

Cette fonctionnalité est soumise aux "Conditions des offres de pré-DG" de la section "Conditions générales du service" des Conditions spécifiques du service. Les fonctionnalités pré-DG sont disponibles "en l'état" et peuvent avoir une prise en charge limitée. Pour en savoir plus, consultez les descriptions des étapes de lancement.

L'accès contextuel est appliqué chaque fois qu'un utilisateur accède à une application cliente qui nécessite un Cloud de Confiance champ d'application, y compris la Cloud de Confiance console sur le Web et Google Cloud CLI.

Avant de commencer

Créez des niveaux d'accès. Vous pouvez créer des niveaux d'accès de base ou des niveaux d'accès personnalisés. En savoir plus sur les niveaux d'accès.
Créez un groupe Google contenant les utilisateurs auxquels vous souhaitez appliquer les niveaux d'accès. Pour appliquer des restrictions d'accès contextuel, associez le groupe aux niveaux d'accès. Pour accéder à la ressource, les utilisateurs de ce groupe doivent respecter au moins l'un des niveaux d'accès que vous avez créés. Les règles d'accès contextuel ne s'appliquent qu'aux utilisateurs de votre organisation.

Important : Nous vous recommandons d'exclure au moins un Organization Admin ou Organization Owner de ce groupe afin de réduire le risque de verrouillage accidentel.

Rôles requis

Attribuez le rôle Administrateur de la liaison d'accès cloud (roles/accesscontextmanager.gcpAccessAdmin) au niveau de l'organisation. Ce rôle est requis pour créer des liaisons d'accès Access Context Manager.

Console

Dans la console Cloud de Confiance , accédez à la page IAM.

Accéder à IAM
Dans le menu de sélection du projet, sélectionnez l'ID de votre organisation.
Cliquez sur Accorder l'accès , puis configurez les éléments suivants :
- Nouveaux comptes principaux : spécifiez l'utilisateur ou le groupe auquel vous souhaitez accorder les autorisations.
- Sélectionner un rôle : sélectionnez Access Context Manager > Administrateur de la liaison d'accès cloud.
Cliquez sur Enregistrer.

gcloud

Assurez-vous d'être authentifié et de disposer des droits suffisants pour ajouter des autorisations IAM au niveau de l'organisation. Vous devez au minimum, disposer du rôle Administrateur de l'organisation.

Après vous être assuré que vous disposez des autorisations nécessaires, connectez-vous en exécutant la commande suivante :
```
gcloud auth login
```

Attribuez le rôle Administrateur de la liaison d'accès cloud (roles/accesscontextmanager.gcpAccessAdmin) en exécutant la commande suivante :

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

Remplacez les éléments suivants :

ORGANIZATION_ID : ID de votre organisation. Vous pouvez utiliser la commande suivante pour trouver l'ID de l'organisation :

  gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

Associer des groupes Google à des niveaux d'accès

Pour appliquer des restrictions d'accès contextuel aux personnes autorisées à accéder aux Cloud de Confiance ressources, vous devez associer un groupe Google à un ou plusieurs niveaux d'accès. Les utilisateurs du groupe spécifié ne sont autorisés à accéder aux ressources que s'ils remplissent les conditions définies dans les niveaux d'accès associés.

Associer un groupe au niveau d'accès

Vous pouvez associer le groupe au niveau d'accès à l'aide de la Cloud de Confiance console ou de gcloud CLI.

Console

Pour associer le groupe au niveau d'accès à l'aide de la Cloud de Confiance console, procédez comme suit :

Dans la Cloud de Confiance console, accédez à la page Chrome Enterprise Premium.

Accéder à Chrome Enterprise Premium

Si vous y êtes invité, sélectionnez votre organisation.
Cliquez sur Gérer l'accès à Cloud de Confiance la console et aux API. La page affiche les liaisons d'accès existantes.
Cliquez sur Créer une liaison.
Dans la section Comptes principaux, cliquez sur Ajouter.
Saisissez l'adresse e-mail du groupe Google que vous souhaitez associer.
Dans la section Niveaux d'accès, sélectionnez les niveaux d'accès que les membres du groupe doivent respecter pour obtenir l'accès. Plusieurs niveaux d'accès sont combinés par un "OU" logique. Cela signifie que, pour accéder à la ressource, l'utilisateur doit remplir les conditions d'au moins l'un des niveaux sélectionnés.
Pour enregistrer la liaison d'accès, cliquez sur Enregistrer.

La propagation de la liaison peut prendre quelques minutes. Une fois la liaison active, les membres du groupe sont soumis aux exigences de niveau d'accès configurées lorsqu'ils accèdent à la Cloud de Confiance console ou utilisent des outils tels que gcloud CLI qui interagissent avec les Cloud de Confiance API.

gcloud

Pour associer le groupe au niveau d'accès, exécutez la commande suivante :

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

Remplacez les éléments suivants :

GROUP_EMAIL: adresse e-mail du groupe Google à associer, par exemple my-restricted-users@example.com.
ACCESS_LEVEL_ID: nom complet de la ressource du niveau d'accès à appliquer. Le nom de la ressource est au format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

Vous pouvez trouver POLICY_ID en listant les règles à l'aide de la commande suivante :

gcloud access-context-manager policies list --organization ORGANIZATION_ID

ORGANIZATION_ID : facultatif. ID de l'organisation Cloud de Confiance. L'ID de l'organisation n'est requis que si vous n'avez pas défini l'organisation par défaut dans votre configuration gcloud CLI.

Lister les liaisons de groupe

Pour lister les liaisons existantes, exécutez la commande suivante :

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

Déployer Endpoint Verification

Le déploiement d'Endpoint Verification est une étape facultative qui vous permet d'intégrer des attributs d'appareil dans vos règles de contrôle des accès. Vous pouvez utiliser cette fonctionnalité pour renforcer la sécurité de votre organisation en accordant ou en refusant l'accès aux ressources en fonction d'attributs d'appareil tels que la version et la configuration de l'OS.

Endpoint Verification s'exécute en tant qu'extension Chrome sur macOS, Windows et Linux. Il vous permet de créer des règles de contrôle des accès basées sur les caractéristiques de l'appareil (modèle et version de l'OS, par exemple) et sur les caractéristiques de sécurité (présence d'un chiffrement de disque, d'un pare-feu, d'un verrouillage d'écran et de correctifs d'OS, par exemple).

Étape suivante

Découvrez comment exiger un accès basé sur un certificat, ce qui ajoute une couche de sécurité supplémentaire en veillant à ce que seuls les appareils autorisés puissent accéder aux ressources, même si les identifiants sont compromis.
Déployez l'extension Endpoint Verification en tant qu'administrateur sur les appareils détenus par l'entreprise à l'aide de la Cloud de Confiance console.
Autorisez les utilisateurs à installer eux-mêmes l'extension Endpoint Verification.