Den här artikeln beskriver vanliga användningsområden för kontextmedveten åtkomst och innehåller exempelkonfigurationer som utvecklats i grundläggande läge.
För exempel på åtkomstnivåer som utvecklats i avancerat läge (med CEL-redigeraren), gå till Exempel på kontextmedveten åtkomst för avancerat läge .
Tillåt endast åtkomst till entreprenörer via företagets nätverk
Många företag vill begränsa entreprenörers åtkomst till företagets resurser. Till exempel företag som använder entreprenörer för att svara på allmänna supportsamtal eller arbeta på hjälpcenter och callcenter. I likhet med heltidsanställda måste entreprenörer ha en stödd licens för att omfattas av kontextmedvetna åtkomstpolicyer.
I det här exemplet får entreprenörer endast åtkomst till företagsresurser från ett specifikt företags-IP-adressintervall.
| Åtkomstnivånamn | entreprenörsåtkomst |
| En entreprenör får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 | IP-subnät (offentligt) 74.125.192.0/18 |
| Tilldelning av åtkomstnivå | Organisationsenheter för entreprenörer Alla appar som entreprenörer använder |
Blockera åtkomst från kända kapar-IP-adresser
För att skydda företagets resurser från att äventyras blockerar många företag åtkomst till kända högriskkällor.
I det här exemplet är IP-adressen 74.125.195.105 blockerad. Användare får åtkomst till företagsresurser om deras sessioner kommer från någon annan IP-adress. Du kan ange flera IP-adresser och intervall.
| Åtkomstnivånamn | block_högrisk |
| En användare får åtkomst om de | Uppfyller inte attributen |
| Attribut för villkor 1 | IP-subnät (offentligt) 74.125.195.105 |
| Tilldelning av åtkomstnivå | Organisationsenhet på högsta nivå Alla appar |
Tillåt åtkomst från ett specifikt privat nätverk i Google Cloud
Många företag dirigerar användartrafik till Google via ett virtuellt privat moln (VPC). Ett VPC är ett säkert, isolerat nätverk inom Google Cloud-miljön.
Var medveten om att trafik som dirigeras via din VPC kan använda privata IP-adresser. Detta kan orsaka problem med offentliga IP-adresser eller regionpolicyer.
I det här exemplet kan du tillåta trafik från dessa specifika VPC:er.
| Åtkomstnivånamn | vpc_åtkomst |
| En användare får åtkomst om de... | Meet-attribut |
| Attribut för villkor 1 | IP-subnät (privat) Privat IP-subnätverk: //compute.googleapis.com/projects/project- namn-test/global/nätverk/nätverksnamn VPC-subnät: 74.125.192.0/18 |
| Tilldelning av åtkomstnivå | Organisationsenheter för alla användare Alla appar som entreprenörer använder |
Viktiga saker att komma ihåg:
- Endast direkt trafik : Denna åtkomstnivå fungerar endast för trafik som direkt når Googles servrar från den tillåtna VPC:n. Om trafiken först går genom ett annat nätverk eller en tunnel beviljas inte åtkomst. Google känner bara igen den sista VPC:n som skickar trafiken till sina servrar.
- Administratörsbehörigheter : För att visa VPC:er och konfigurera denna åtkomstnivå måste administratörer ha lämplig roll för identitets- och åtkomsthantering (IAM) (till exempel compute.networks.list , compute.subnetworks.list och så vidare).
- Externa VPC :er: Den VPC som du godkänner kan komma från en annan källa än din nuvarande Google Cloud-domän. En administratör måste ha visningsbehörighet för att lägga till den externa VPC:n.
Tillåt eller neka åtkomst från specifika platser
Om du har anställda som regelbundet reser till distanskontor på företaget eller partnerkontor kan du ange de geografiska platser där de kan komma åt företagets resurser.
Om till exempel en grupp säljare regelbundet besöker kunder i Australien och Indien kan du begränsa gruppens åtkomst till deras hemmakontor samt Australien och Indien. Om de reser till andra länder för en personlig semester som en del av en affärsresa kan de inte få tillgång till företagsresurser från dessa andra länder.
I det här exemplet har säljgruppen endast åtkomst till företagsresurser från USA (huvudkontoret), Australien och Indien.
| Åtkomstnivånamn | sales_access |
| Försäljning får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 | Geografiskt ursprung USA, Australien, Indien |
| Tilldelning av åtkomstnivå | Grupp av säljare Alla appar som säljare använder |
Du kan också skapa en policy för att neka åtkomst från specifika länder genom att ange att användare får åtkomst om de inte uppfyller villkoren. Du skulle lista de länder från vilka du vill blockera åtkomst.
Använd kapslade åtkomstnivåer istället för att välja flera åtkomstnivåer under tilldelning
I vissa fall, när du försöker tilldela åtkomstnivåer till en given organisationsenhet eller grupp och en applikation (eller en uppsättning applikationer), kan du få ett felmeddelande som ber dig att minska antalet applikationer eller åtkomstnivåer.
För att förhindra detta fel kan du minska antalet åtkomstnivåer som används under tilldelningen genom att kapsla dem i en enda åtkomstnivå. Den kapslade åtkomstnivån sammanfogar flera villkor med en ELLER-operation, där varje villkor innehåller en individuell åtkomstnivå.
I det här exemplet har USWest, USEast och USCentral tre separata åtkomstnivåer. Låt oss säga att du vill att användare ska kunna komma åt applikationer om de uppfyller någon av åtkomstnivåerna USWest ELLER USEast ELLER USCentral. Du kan skapa en enda kapslad åtkomstnivå (kallad USRegions) med hjälp av operatorn ELLER. När det är dags att tilldela åtkomstnivåerna, tilldela åtkomstnivån USRegions till applikationen för organisationsenheten eller gruppen.
Namn på åtkomstnivå | USA:s regioner |
En användare får åtkomst om de | Meet-attribut |
Attribut för villkor 1 (endast 1 åtkomstnivå per villkor) | Åtkomstnivå USWest |
Koppla ihop villkor 1 och villkor 2 med | ELLER |
En användare får åtkomst om de | Meet-attribut |
Attribut för villkor 2 | Åtkomstnivå USA:s östkust |
Koppla ihop villkor 2 och villkor 3 med | ELLER |
En användare får åtkomst om de | Meet-attribut |
Attribut för villkor 3 | Åtkomstnivå USCentral |
Kräv företagsägt på dator men inte på mobila enheter
Ett företag kan behöva en företagsägd stationär enhet, men inte en företagsägd mobil enhet.
Skapa först en åtkomstnivå för stationära enheter:
Åtkomstnivånamn | aldesktop_access |
Användare får åtkomst om de | Meet-attribut |
Attribut för villkor 1 | Enhetspolicy
Enhetskryptering = Stöds inte Enhetens operativsystem macOS = 0.0.0 Fönster =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
Skapa sedan en åtkomstnivå för mobila enheter:
Åtkomstnivånamn | almobile_access |
Användare får åtkomst om de | Meet-attribut |
Attribut för villkor 1 | Enhetens operativsystem iOS = 0.0.0 Android = 0.0.0 |
Kräv grundläggande enhetssäkerhet
De flesta företag kräver nu att anställda får åtkomst till företagets resurser via enheter som är krypterade och uppfyller minimikraven för operativsystemversioner. Vissa kräver också att anställda använder företagsägda enheter.
Du kan konfigurera dessa policyer för alla dina organisationsenheter eller bara för de som arbetar med känsliga uppgifter, till exempel företagsledare, ekonomi eller personal.
Det finns flera sätt att konfigurera en policy som inkluderar enhetskryptering, lägsta operativsystemversion och företagsägda enheter. De har alla fördelar och nackdelar.
1 åtkomstnivå som innehåller alla säkerhetskrav
I det här exemplet ingår enhetskryptering, lägsta operativsystemversion och företagsägda enhetsattribut i en åtkomstnivå. Användare måste uppfylla alla villkor för att få åtkomst.
Om till exempel en användarenhet är krypterad och ägs av företaget men inte kör en kompatibel version av operativsystemet, nekas de åtkomst.
Fördel : Enkel att konfigurera. När du tilldelar den här åtkomstnivån till en app måste en användare uppfylla alla krav.
Nackdel : För att separat tilldela säkerhetskraven till olika organisationsenheter måste du skapa en separat åtkomstnivå för varje säkerhetskrav.
| Åtkomstnivånamn | enhetssäkerhet |
| En användare får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 (Du kan lägga till alla attribut till ett villkor eller skapa 3 villkor och förena dem med OCH.) | Enhetspolicy Enhetens operativsystem |
3 separata åtkomstnivåer
I det här exemplet finns enhetskryptering, lägsta operativsystemversion och företagsägda enhetsattribut i tre separata åtkomstnivåer. Användare måste endast uppfylla villkoren i en åtkomstnivå för att få åtkomst. Det är ett logiskt ELLER-system av åtkomstnivåer.
Till exempel får en användare som har en krypterad enhet och kör en äldre version av operativsystemet på en personlig enhet åtkomst.
Fördel : Ett detaljerat sätt att definiera åtkomstnivåer. Du kan tilldela åtkomstnivåer separat till olika organisationsenheter.
Nackdel : Användare behöver bara uppfylla villkoren på en åtkomstnivå.
| Åtkomstnivånamn | enhetskryptering |
| En användare får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 | Enhetspolicy |
| Åtkomstnivånamn | företagsenhet |
| En användare får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 | Enhetspolicy |
| Åtkomstnivånamn | min_os |
| En användare får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 | Enhetspolicy |
1 åtkomstnivå med kapslade åtkomstnivåer
I det här exemplet finns enhetskryptering, lägsta operativsystemversion och säkerhetskrav för företagsägda enheter i tre separata åtkomstnivåer. Dessa tre åtkomstnivåer är inbäddade i en fjärde åtkomstnivå.
När du tilldelar den fjärde åtkomstnivån till appar måste användarna uppfylla villkoren i var och en av de tre kapslade åtkomstnivåerna för att få åtkomst. Det är ett logiskt OCH av åtkomstnivåer.
Till exempel nekas en användare som har en krypterad enhet och kör en äldre version av operativsystemet på en personlig enhet åtkomst.
Fördel : Du behåller flexibiliteten att separera säkerhetskrav mellan åtkomstnivåerna 1, 2 och 3. Med åtkomstnivå 4 kan du också tillämpa en policy med alla säkerhetskrav.
Nackdel : Granskningsloggen registrerar endast nekad åtkomst till åtkomstnivå 4 (inte till åtkomstnivåerna 1, 2 och 3), eftersom åtkomstnivåerna 1, 2 och 3 inte är direkt tilldelade appar.
Skapa 3 åtkomstnivåer enligt beskrivningen i "3 separata åtkomstnivåer" ovan: "device_encryption", "corp_device" och "min_os". Skapa sedan en fjärde åtkomstnivå som heter "device_security" och som har 3 villkor. Varje villkor har en åtkomstnivå som attribut. (Du kan bara lägga till ett åtkomstnivåattribut per villkor.)
| Åtkomstnivånamn | enhetssäkerhet |
| En användare får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 (endast 1 åtkomstnivå per villkor) | Åtkomstnivå enhetskryptering |
| Koppla ihop villkor 1 och villkor 2 med | OCH |
| En användare får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 | Åtkomstnivå företagsenhet |
| Koppla ihop villkor 2 och villkor 3 med | OCH |
| En användare får åtkomst om de | Meet-attribut |
| Attribut för villkor 1 | Åtkomstnivå min_os |