Configurer l'accès contextuel

Cette page explique comment configurer l'accès contextuel. L'accès contextuel vous permet d'effectuer les opérations suivantes :

  • Définissez des règles d'accès pour les ressources Google Cloud en fonction d'attributs tels que l'identité de l'utilisateur, le réseau, l'emplacement et l'état de l'appareil.

  • Contrôlez la durée des sessions et les méthodes de réauthentification pour l'accès continu.

L'accès contextuel est appliqué chaque fois qu'un utilisateur accède à une application cliente nécessitant un champ d'application Google Cloud , y compris la console Google Cloud sur le Web et la Google Cloud CLI.

Accorder les autorisations Cloud IAM requises

Accordez les autorisations IAM au niveau de l'organisation qui sont nécessaires pour créer les liaisons d'accès Access Context Manager.

Console

  1. Accédez à la page IAM de la console Google Cloud .

    Accéder à IAM

  2. Cliquez sur Accorder l'accès et configurez les éléments suivants :

    • Nouveaux comptes principaux : spécifiez l'utilisateur ou le groupe auquel vous souhaitez accorder les autorisations.
    • Sélectionner un rôle : sélectionnez Access Context Manager > Administrateur de la liaison d'accès cloud.

  3. Cliquez sur Enregistrer.

gcloud

  1. Vérifiez que vous êtes authentifié et que vous disposez des droits suffisants pour ajouter des autorisations IAM au niveau de l'organisation. Vous devez au minimum disposer du rôle d'administrateur de l'organisation.

    Après vous être assuré que vous disposez des autorisations nécessaires, connectez-vous avec :

    gcloud auth login

  2. Attribuez le rôle GcpAccessAdmin en exécutant la commande suivante :

    gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin

    • ORG_ID est l'ID de votre organisation. Si vous ne disposez pas encore de l'ID de votre organisation, vous pouvez utiliser la commande suivante pour le trouver :

       gcloud organizations list

    • EMAIL est l'adresse e-mail de la personne ou du groupe auquel vous souhaitez accorder le rôle.

Créer un groupe d'utilisateurs

Créez un groupe d'utilisateurs qui doivent être associés à des restrictions contextuelles. Tous les utilisateurs de ce groupe, qui sont également membres de votre organisation, doivent respecter les niveaux d'accès que vous avez créés pour accéder à la console Google Cloud et aux APIGoogle Cloud .

Déployer Endpoint Verification

Le déploiement de la validation des points de terminaison est une étape facultative qui vous permet d'intégrer les attributs des appareils à vos règles de contrôle des accès. Vous pouvez utiliser cette fonctionnalité pour renforcer la sécurité de votre organisation en accordant ou en refusant l'accès aux ressources en fonction des attributs de l'appareil, tels que la version et la configuration de l'OS.

La validation des points de terminaison s'exécute en tant qu'extension Chrome sur macOS, Windows et Linux. Elle vous permet de créer des règles de contrôle des accès basées sur les caractéristiques des appareils (modèle, version de l'OS, etc.) et les caractéristiques de sécurité (présence d'un chiffrement de disque, d'un pare-feu, d'un verrouillage d'écran et de correctifs de l'OS, par exemple).

Vous pouvez également exiger un accès basé sur un certificat, qui garantit la présence d'un certificat d'appareil validé pour ajouter une couche de sécurité supplémentaire et s'assurer que seuls les appareils autorisés peuvent accéder aux ressources, même si les identifiants de l'utilisateur sont compromis.

Un administrateur peut déployer l'extension sur les appareils détenus par l'entreprise à l'aide de la console Google Cloud , ou les membres de l'organisation peuvent l'installer eux-mêmes.