本頁面說明如何設定情境感知存取權。您可以使用情境感知存取權執行下列操作:
- 根據使用者身分、網路、位置和裝置狀態等屬性,為 Google Cloud 資源定義存取政策。
控管持續存取的工作階段長度和重新驗證方式。
每當使用者存取需要 Google Cloud 範圍的用戶端應用程式 (包括網頁上的 Google Cloud 控制台和 Google Cloud CLI) 時,系統就會強制執行情境感知存取權。
授予必要的 IAM 權限
在機構層級授予建立 Access Context Manager 存取權繫結所需的 IAM 權限。
主控台
前往 Google Cloud 控制台的「IAM」IAM頁面。
按一下「授予存取權」,然後設定下列項目:
- 「New principals」(新增主體):指定您要授予權限的使用者或群組。
- 「Select a role」(選取角色):依序選取「Access Context Manager」>「Cloud Access Binding Admin」(雲端存取繫結管理員)。
按一下 [儲存]。
gcloud
請確認您已通過驗證,且具備足夠的權限,可在機構層級新增 IAM 權限。您至少需要機構管理員角色。
確認具備適當權限後,請使用下列方式登入:
gcloud auth login執行下列指令來指派
GcpAccessAdmin角色:gcloud organizations add-iam-policy-binding ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdminORG_ID是貴機構的 ID。如果還沒有機構 ID,可以使用下列指令尋找:gcloud organizations listEMAIL是要授予角色的使用者或群組電子郵件地址。
建立使用者群組
建立使用者群組,這些使用者應受到情境感知限制。如果這個群組中的使用者也是貴機構的成員,就必須達到您建立的存取層級,才能存取 Google Cloud 控制台和Google Cloud API。
部署端點驗證
部署端點驗證是選用步驟,可讓您將裝置屬性整合至存取控管政策。您可以根據裝置屬性 (例如 OS 版本和設定) 授予或拒絕資源存取權,藉此提升機構的安全性。
Endpoint Verification 會在 macOS、Windows 和 Linux 上以 Chrome 擴充功能的形式執行,讓您根據裝置特徵 (例如型號和 OS 版本) 和安全性特徵 (例如磁碟加密、防火牆、螢幕鎖定和 OS 修補程式) 建立存取控制政策。
此外,您也可以要求以憑證為基礎的存取權,確保裝置憑證經過驗證,進一步提升安全性,即使使用者憑證遭盜用,只有授權裝置才能存取資源。
管理員可以透過 Google Cloud 控制台,將擴充功能部署到機構的自有裝置,機構成員也可以自行安裝。