コンテキストアウェア アクセスを設定する

このページでは、コンテキストアウェア アクセスを設定し、アクセスレベルを Google グループにバインドして、Endpoint Verification をデプロイする方法について説明します。コンテキストアウェア アクセスを使用すると、次のことができるようになります。

コンテキストアウェア アクセスは、ユーザーが スコープを必要とするクライアント アプリケーション (ウェブ上の コンソールや Google Cloud CLI など)にアクセスするたびに適用されます。 Cloud de Confiance Cloud de Confiance

始める前に

  1. アクセスレベルを作成します。ベーシック アクセスレベル またはカスタム アクセスレベルを作成できます。 詳しくは、アクセスレベルについての記事をご覧ください。

  2. アクセスレベルを適用するユーザーを含む Google グループを作成します。コンテキストアウェア アクセスの制限を適用するには、グループをアクセスレベルにバインドします。 リソースにアクセスするには、このグループのユーザーが、作成したアクセスレベルの少なくとも 1 つを満たしている必要があります。コンテキストアウェア アクセス ポリシーは、組織内のユーザーにのみ適用されます。

必要なロール

組織レベルで Cloud アクセス バインディング管理者(roles/accesscontextmanager.gcpAccessAdmin)ロール を付与します。このロールは、Access Context Manager のアクセス バインディングを作成するために必要です。

コンソール

  1. Cloud de Confiance コンソールで、[IAM] ページに移動します。

    [IAM] に移動

  2. プロジェクト セレクタのメニューで、組織 ID を選択します。

  3. [アクセスを許可] をクリックして、以下を構成します。

    • 新しいプリンシパル: 権限を付与するユーザーまたはグループを指定します。

    • ロールを選択: [Access Context Manager] > [Cloud アクセス バインディング管理者] を選択します。

  4. [保存] をクリックします。

gcloud

  1. 組織レベルの IAM 権限を追加するのに十分な権限で認証されていることを確認してください。少なくとも、 組織管理者 のロールが必要です。

    正しい権限があることを確認したら、次のコマンドを実行してログインします。

    gcloud auth login

  2. 次のコマンドを実行して、Cloud アクセス バインディング管理者(roles/accesscontextmanager.gcpAccessAdmin)ロールを付与します。

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=PRINCIPAL \
    --role=roles/accesscontextmanager.gcpAccessAdmin

    次のように置き換えます。

    • ORGANIZATION_ID: 組織の ID。 組織 ID を確認するには、次のコマンドを使用します。
      gcloud organizations list
  ```

* <code><var>PRINCIPAL</var></code>: the user or group that you want to
grant the role to.

Google グループをアクセスレベルにバインドする

リソースにアクセスできるユーザーにコンテキストアウェア アクセスの制限を適用するには、Google グループを 1 つ以上のアクセスレベルにバインドする必要があります。 Cloud de Confiance指定したグループのユーザーは、バインドされたアクセスレベルで定義されている条件を満たしている場合にのみアクセス権が付与されます。

グループをアクセスレベルにバインドする

グループをアクセスレベルにバインドするには、 Cloud de Confiance コンソールまたは gcloud CLI を使用します。

コンソール

コンソールを使用してグループをアクセスレベルにバインドするには、次の操作を行います。 Cloud de Confiance

  1. コンソールで [Chrome Enterprise Premium] ページに移動します。 Cloud de Confiance


    Chrome Enterprise Premium に移動

    表示された指示に従って組織を選択します。

  2. [Manage Access for Cloud de Confiance コンソールと API] をクリックします。ページに既存のアクセス バインディングが一覧表示されます。

  3. [バインディングを作成] をクリックします。

  4. [プリンシパル] セクションで、[追加] をクリックします。

  5. バインドする Google グループのメールアドレスを入力します。

  6. [アクセスレベル] セクションで、グループのメンバーがアクセス権を取得するために満たす必要のあるアクセスレベルを選択します。複数のアクセスレベルは論理和(OR)で結合されます。論理和(OR)とは、リソースにアクセスするには、選択したレベルの少なくとも 1 つの条件を満たす必要があることを意味します。

  7. アクセス バインディングを保存するには、[保存] をクリックします。

バインディングが反映されるまでに数分かかることがあります。バインディングが有効になると、 グループのメンバーが構成されたアクセスレベルの要件の対象となります 。 Cloud de Confiance コンソールにアクセスしたり、 API とやり取りする gcloud CLI などのツールを使用したりする場合に適用されます。 Cloud de Confiance

gcloud

グループをアクセスレベルにバインドするには、次のコマンドを実行します。

gcloud access-context-manager cloud-bindings create \
  --group-key=GROUP_EMAIL \
  --level=ACCESS_LEVEL_ID \
  --organization=ORGANIZATION_ID

次のように置き換えます。

  • GROUP_EMAIL: バインドする Google グループのメールアドレス(例: my-restricted-users@example.com)。

  • ACCESS_LEVEL_ID: 適用するアクセスレベルの完全なリソース名。リソース名の形式は accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME です。

POLICY_ID を確認するには、次のコマンドを実行してポリシーを一覧表示します。

gcloud access-context-manager policies list --organization ORGANIZATION_ID
  • ORGANIZATION_ID: 省略可。組織の Cloud de Confiance ID。組織 ID は、gcloud CLI 構成でデフォルトの組織を設定していない場合にのみ必要です。

グループ バインディングを一覧表示する

既存のバインディングを一覧表示するには、次のコマンドを実行します。

gcloud access-context-manager cloud-bindings list \
    --organization ORGANIZATION_ID

Endpoint Verification をデプロイする

デバイス属性をアクセス制御ポリシーに統合するための手順として、Endpoint Verification をデプロイすることもできます。この機能を使用すると、OS バージョンや構成などのデバイス属性に基づいてリソースへのアクセスを許可または拒否することで、組織のセキュリティを強化できます。

Endpoint Verification は、macOS、Windows、Linux で Chrome 拡張機能として実行され、モデルや OS バージョンなどのデバイス特性と、ディスク暗号化、ファイアウォール、画面ロック、OS パッチの有無などのセキュリティ特性に基づいてアクセス制御ポリシーを作成できます。

次のステップ