Halaman ini menjelaskan cara menyiapkan Akses Kontekstual, mengikat tingkat akses ke grup Google, dan men-deploy Verifikasi Endpoint. Anda dapat menggunakan Akses Kontekstual untuk melakukan hal berikut:
Menentukan kebijakan akses di Cloud de Confiance by S3NS resource berdasarkan atribut seperti identitas pengguna, jaringan, lokasi, dan status perangkat.
Mengontrol durasi sesi dan metode autentikasi ulang untuk akses berkelanjutan.
Akses Kontekstual diterapkan setiap kali pengguna mengakses aplikasi klien yang memerlukan Cloud de Confiance cakupan, termasuk Cloud de Confiance konsol di web dan Google Cloud CLI.
Sebelum memulai
Buat tingkat akses. Anda dapat membuat tingkat akses dasar atau tingkat akses kustom. Pelajari lebih lanjut tingkat akses.
Buat grup Google yang berisi pengguna yang ingin Anda terapkan tingkat aksesnya. Untuk menerapkan batasan Akses Kontekstual, Anda harus mengikat grup ke tingkat akses. Untuk mengakses resource, pengguna dalam grup ini harus memenuhi setidaknya salah satu tingkat akses yang Anda buat. Kebijakan Akses Kontekstual hanya berlaku untuk pengguna dalam organisasi Anda.
Peran yang diperlukan
Berikan peran Cloud Access Binding Admin (roles/accesscontextmanager.gcpAccessAdmin)
di tingkat organisasi. Peran ini diperlukan untuk membuat binding akses Access Context Manager.
Konsol
Di Cloud de Confiance konsol, buka halaman IAM.
Di menu pemilih project, pilih ID organisasi Anda.
Klik Berikan akses dan konfigurasi hal berikut:
Principal baru: Tentukan pengguna atau grup yang ingin Anda berikan izinnya.
Pilih peran: Pilih Access Context Manager > Cloud Access Binding Admin.
Klik Simpan.
gcloud
Pastikan Anda diautentikasi dengan hak istimewa yang memadai untuk menambahkan izin IAM di tingkat organisasi. Minimal, Anda memerlukan peran Organization Administrator.
Setelah mengonfirmasi bahwa Anda memiliki izin yang benar, login dengan menjalankan perintah berikut:
gcloud auth loginBerikan peran Cloud Access Binding Admin (
roles/accesscontextmanager.gcpAccessAdmin) dengan menjalankan perintah berikut:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=PRINCIPAL \ --role=roles/accesscontextmanager.gcpAccessAdminGanti kode berikut:
ORGANIZATION_ID: ID untuk organisasi Anda. Anda dapat menggunakan perintah berikut untuk menemukan ID organisasi:
gcloud organizations list ``` * <code><var>PRINCIPAL</var></code>: the user or group that you want to grant the role to.
Mengikat grup Google ke tingkat akses
Untuk menerapkan batasan Akses Kontekstual pada siapa yang dapat mengakses Cloud de Confiance resource, Anda harus mengikat grup Google ke satu atau beberapa tingkat akses. Pengguna dalam grup yang ditentukan hanya akan diberi akses jika mereka memenuhi kondisi yang ditentukan dalam tingkat akses terikat.
Mengikat grup ke tingkat akses
Anda dapat mengikat grup ke tingkat akses menggunakan Cloud de Confiance konsol atau gcloud CLI.
Konsol
Untuk mengikat grup ke tingkat akses menggunakan Cloud de Confiance konsol, lakukan hal berikut:
Di Cloud de Confiance konsol, buka halaman Chrome Enterprise Premium.
Buka Chrome Enterprise PremiumJika diminta, pilih organisasi Anda.
Klik Kelola Akses untuk Cloud de Confiance konsol dan API. Halaman ini mencantumkan binding akses yang ada.
Klik Buat Binding.
Di bagian Principal, klik Tambahkan.
Masukkan alamat email grup Google yang ingin Anda ikat.
Di bagian Tingkat akses, pilih tingkat akses yang harus dipenuhi oleh anggota grup untuk mendapatkan akses. Beberapa tingkat akses secara logis di-OR-kan. OR logis berarti bahwa untuk mengakses resource, pengguna harus memenuhi kondisi setidaknya salah satu tingkat yang dipilih.
Untuk menyimpan binding akses, klik Simpan.
Binding mungkin memerlukan waktu beberapa menit untuk diterapkan. Setelah binding aktif, anggota grup akan tunduk pada persyaratan tingkat akses yang dikonfigurasi saat mereka mengakses Cloud de Confiance konsol atau menggunakan alat seperti gcloud CLI yang berinteraksi dengan Cloud de Confiance API.
gcloud
Untuk mengikat grup ke tingkat akses, jalankan perintah berikut:
gcloud access-context-manager cloud-bindings create \ --group-key=GROUP_EMAIL \ --level=ACCESS_LEVEL_ID \ --organization=ORGANIZATION_ID
Ganti kode berikut:
GROUP_EMAIL: Alamat email grup Google yang akan diikat—misalnya,my-restricted-users@example.com.ACCESS_LEVEL_ID: Nama resource lengkap dari tingkat akses yang akan diterapkan. Nama resource dalam formataccessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
Anda dapat menemukan POLICY_ID dengan mencantumkan kebijakan dengan menjalankan perintah berikut:
gcloud access-context-manager policies list --organization ORGANIZATION_ID
ORGANIZATION_ID: Opsional. ID organisasi Anda. Cloud de Confiance ID organisasi hanya diperlukan jika Anda belum menetapkan organisasi default dalam konfigurasi gcloud CLI.
Mencantumkan binding grup
Untuk mencantumkan binding yang ada, jalankan perintah berikut:
gcloud access-context-manager cloud-bindings list \
--organization ORGANIZATION_ID
Men-deploy Verifikasi Endpoint
Men-deploy Verifikasi Endpoint adalah langkah opsional yang memungkinkan Anda mengintegrasikan atribut perangkat ke dalam kebijakan kontrol akses. Anda dapat menggunakan kemampuan ini untuk meningkatkan keamanan organisasi dengan memberikan atau menolak akses ke resource berdasarkan atribut perangkat seperti versi dan konfigurasi OS.
Verifikasi Endpoint berjalan sebagai ekstensi Chrome di macOS, Windows, dan Linux serta memungkinkan Anda membuat kebijakan kontrol akses berdasarkan karakteristik perangkat seperti model dan versi OS, serta karakteristik keamanan seperti keberadaan enkripsi disk, firewall, kunci layar, dan patch OS.
Langkah berikutnya
Pelajari cara mewajibkan akses berbasis sertifikat, yang menambahkan lapisan keamanan tambahan dengan memastikan bahwa hanya perangkat yang diotorisasi yang dapat mengakses resource, meskipun kredensialnya telah disusupi.
Deploy ekstensi Verifikasi Endpoint sebagai administrator ke perangkat milik perusahaan organisasi Anda menggunakan Cloud de Confiance konsol.
Izinkan pengguna menginstal ekstensi Verifikasi Endpoint sendiri.