Bài viết này mô tả các trường hợp sử dụng phổ biến cho tính năng quyền truy cập dựa trên bối cảnh và bao gồm các cấu hình mẫu được phát triển ở Chế độ cơ bản.
Để xem các ví dụ về cấp truy cập được phát triển ở Chế độ nâng cao (sử dụng trình chỉnh sửa CEL), hãy chuyển đến phần Các ví dụ về quyền truy cập dựa trên bối cảnh cho Chế độ nâng cao.
Chỉ cho phép nhà thầu truy cập thông qua mạng công ty
Nhiều công ty muốn hạn chế quyền truy cập của nhà thầu vào các tài nguyên của công ty. Ví dụ: các công ty sử dụng nhà thầu để trả lời các cuộc gọi hỗ trợ chung hoặc làm việc tại các trung tâm trợ giúp và trung tâm cuộc gọi. Tương tự như nhân viên toàn thời gian, nhà thầu phải có giấy phép được hỗ trợ để được áp dụng các chính sách quyền truy cập dựa trên bối cảnh.
Trong ví dụ này, nhà thầu chỉ được truy cập vào các tài nguyên của công ty từ một dải địa chỉ IP cụ thể của công ty.
| Tên cấp truy cập | contractor_access |
| Nhà thầu sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 | Mạng con IP (Công khai) 74.125.192.0/18 |
| Chỉ định cấp truy cập | Đơn vị tổ chức dành cho nhà thầu Tất cả các ứng dụng mà nhà thầu sử dụng |
Chặn quyền truy cập từ các địa chỉ IP của kẻ xâm nhập đã biết
Để bảo vệ tài nguyên của công ty khỏi bị xâm phạm, nhiều công ty chặn quyền truy cập vào các nguồn có rủi ro cao đã biết.
Trong ví dụ này, địa chỉ IP 74.125.195.105 bị chặn. Người dùng sẽ được cấp quyền truy cập vào các tài nguyên của công ty nếu phiên của họ bắt nguồn từ bất kỳ địa chỉ IP nào khác. Bạn có thể chỉ định nhiều địa chỉ IP và dải địa chỉ IP.
| Tên cấp truy cập | block_highrisk |
| Người dùng sẽ được cấp quyền truy cập nếu họ | Không đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 | Mạng con IP (Công khai) 74.125.195.105 |
| Chỉ định cấp truy cập | Đơn vị tổ chức cấp cao nhất Tất cả các ứng dụng |
Cho phép truy cập từ một mạng riêng tư cụ thể trong Google Cloud
Nhiều công ty định tuyến lưu lượng truy cập của người dùng đến Google thông qua Đám mây riêng ảo (VPC). VPC là một mạng an toàn, biệt lập trong môi trường Google Cloud.
Xin lưu ý rằng lưu lượng truy cập được định tuyến thông qua VPC có thể sử dụng địa chỉ IP riêng tư. Điều này có thể gây ra vấn đề với các chính sách về khu vực hoặc IP công khai.
Trong ví dụ này, bạn có thể cho phép lưu lượng truy cập từ các VPC cụ thể này.
| Tên cấp truy cập | vpc_access |
| Người dùng sẽ được cấp quyền truy cập nếu họ... | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 |
Mạng con IP (Riêng tư) Mạng con IP riêng tư: //compute.googleapis.com/projects/project- name-test/global/networks/network-name Mạng con VPC: 74.125.192.0/18 |
| Chỉ định cấp truy cập |
Đơn vị tổ chức dành cho tất cả người dùng Tất cả các ứng dụng mà nhà thầu sử dụng |
Những điều quan trọng cần nhớ:
- Chỉ lưu lượng truy cập trực tiếp: Cấp truy cập này chỉ hoạt động đối với lưu lượng truy cập trực tiếp đến máy chủ của Google từ VPC được đưa vào danh sách cho phép. Nếu lưu lượng truy cập đi qua một mạng hoặc đường hầm khác trước, thì quyền truy cập sẽ không được cấp. Google chỉ nhận dạng VPC cuối cùng gửi lưu lượng truy cập đến máy chủ của mình.
- Quyền quản trị: Để xem VPC và định cấu hình cấp truy cập này, quản trị viên phải có vai trò Quản lý danh tính và quyền truy cập (IAM) thích hợp (ví dụ: compute.networks.list, compute.subnetworks.list, v.v.).
- VPC bên ngoài: VPC mà bạn đưa vào danh sách cho phép có thể nằm ngoài miền Google Cloud hiện tại của bạn. Quản trị viên phải có quyền xem để thêm VPC bên ngoài.
Cho phép hoặc không cho phép truy cập từ các vị trí cụ thể
Nếu có những nhân viên thường xuyên đi công tác đến các văn phòng đối tác hoặc văn phòng công ty ở xa, bạn có thể chỉ định các vị trí địa lý mà họ có thể truy cập vào các tài nguyên của công ty.
Ví dụ: nếu một nhóm nhân viên bán hàng thường xuyên đến thăm khách hàng ở Úc và Ấn Độ, bạn có thể giới hạn quyền truy cập của nhóm này vào văn phòng chính của họ, cũng như Úc và Ấn Độ. Nếu đi du lịch cá nhân đến các quốc gia khác trong chuyến công tác, họ sẽ không thể truy cập vào các tài nguyên của công ty từ những quốc gia khác đó.
Trong ví dụ này, nhóm bán hàng chỉ có thể truy cập vào các tài nguyên của công ty từ Hoa Kỳ (văn phòng chính), Úc và Ấn Độ.
| Tên cấp truy cập | sales_access |
| Nhân viên bán hàng sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 | Nguồn gốc địa lý Hoa Kỳ, Úc, Ấn Độ |
| Chỉ định cấp truy cập | Nhóm nhân viên bán hàng Tất cả các ứng dụng mà nhân viên bán hàng sử dụng |
Bạn cũng có thể tạo một chính sách để từ chối quyền truy cập từ các quốc gia cụ thể bằng cách chỉ định rằng người dùng sẽ được cấp quyền truy cập nếu họ không đáp ứng các điều kiện. Bạn sẽ liệt kê các quốc gia mà bạn muốn chặn quyền truy cập.
Sử dụng cấp truy cập lồng nhau thay vì chọn nhiều cấp truy cập trong quá trình chỉ định
Trong một số trường hợp, khi bạn cố gắng chỉ định cấp truy cập cho một đơn vị tổ chức hoặc nhóm và một ứng dụng (hoặc một tập hợp ứng dụng) nhất định, bạn có thể thấy một thông báo lỗi yêu cầu bạn giảm số lượng ứng dụng hoặc cấp truy cập.
Để ngăn lỗi này, bạn có thể giảm số lượng cấp truy cập được sử dụng trong quá trình chỉ định bằng cách lồng các cấp truy cập đó vào một cấp truy cập duy nhất. Cấp truy cập lồng nhau kết hợp nhiều điều kiện bằng một thao tác OR, trong đó mỗi điều kiện chứa một cấp truy cập riêng lẻ.
Trong ví dụ này, USWest, USEast và USCentral nằm trong 3 cấp truy cập riêng biệt. Giả sử bạn muốn người dùng có thể truy cập vào các ứng dụng nếu họ đáp ứng bất kỳ cấp truy cập nào trong số USWest HOẶC USEast HOẶC USCentral.Bạn có thể tạo một cấp truy cập lồng nhau duy nhất (gọi là USRegions) bằng toán tử OR. Khi đến thời điểm chỉ định cấp truy cập, hãy chỉ định cấp truy cập USRegions cho ứng dụng của đơn vị tổ chức hoặc nhóm.
|
Tên cấp truy cập |
USRegions |
|
Người dùng sẽ được cấp quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính điều kiện 1 (chỉ có 1 cấp truy cập cho mỗi điều kiện) |
Cấp truy cập USWest |
|
Kết hợp điều kiện 1 và điều kiện 2 bằng |
OR |
|
Người dùng sẽ được cấp quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính điều kiện 2 |
Cấp truy cập USEast |
|
Kết hợp điều kiện 2 và điều kiện 3 bằng |
OR |
|
Người dùng sẽ được cấp quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính điều kiện 3 |
Cấp truy cập USCentral |
Yêu cầu thiết bị thuộc sở hữu của công ty trên máy tính nhưng không yêu cầu trên thiết bị di động
Một công ty có thể yêu cầu thiết bị máy tính thuộc sở hữu của công ty, nhưng không yêu cầu thiết bị di động thuộc sở hữu của công ty.
Trước tiên, hãy tạo một cấp truy cập cho thiết bị máy tính:
|
Tên cấp truy cập |
aldesktop_access |
|
Người dùng sẽ được cấp quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính điều kiện 1 |
Chính sách thiết bị
Mã hoá thiết bị = Không được hỗ trợ Hệ điều hành của thiết bị macOS = 0.0.0 Windows =0.0.0 Hệ điều hành Linux = 0.0.0 Chrome OS = 0.0.0 |
Sau đó, hãy tạo một cấp truy cập cho thiết bị di động:
|
Tên cấp truy cập |
almobile_access |
|
Người dùng sẽ được cấp quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính điều kiện 1 |
Hệ điều hành của thiết bị iOS = 0.0.0 Android = 0.0.0 |
Yêu cầu bảo mật thiết bị cơ bản
Hầu hết các công ty đều yêu cầu nhân viên truy cập vào các tài nguyên của công ty thông qua các thiết bị được mã hoá và đáp ứng các phiên bản hệ điều hành tối thiểu. Một số công ty cũng yêu cầu nhân viên sử dụng thiết bị thuộc sở hữu của công ty.
Bạn có thể định cấu hình các chính sách này cho tất cả các đơn vị tổ chức hoặc chỉ cho những đơn vị làm việc với dữ liệu nhạy cảm, chẳng hạn như ban điều hành công ty, bộ phận tài chính hoặc bộ phận nhân sự.
Có một số cách để bạn có thể định cấu hình một chính sách bao gồm mã hoá thiết bị, phiên bản hệ điều hành tối thiểu và thiết bị thuộc sở hữu của công ty. Mỗi cách đều có ưu điểm và nhược điểm riêng.
1 cấp truy cập chứa tất cả các yêu cầu bảo mật
Trong ví dụ này, các thuộc tính mã hoá thiết bị, phiên bản hệ điều hành tối thiểu và thiết bị thuộc sở hữu của công ty được đưa vào một cấp truy cập. Người dùng phải đáp ứng tất cả các điều kiện để được cấp quyền truy cập.
Ví dụ: nếu thiết bị của người dùng được mã hoá và thuộc sở hữu của công ty nhưng không chạy phiên bản hệ điều hành tuân thủ, thì người dùng sẽ bị từ chối quyền truy cập.
Ưu điểm: Dễ thiết lập. Khi bạn chỉ định cấp truy cập này cho một ứng dụng, người dùng phải đáp ứng tất cả các yêu cầu.
Nhược điểm: Để chỉ định riêng các yêu cầu bảo mật cho các đơn vị tổ chức khác nhau, bạn cần tạo một cấp truy cập riêng cho từng yêu cầu bảo mật.
| Tên cấp truy cập | device_security |
| Người dùng sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 (Bạn có thể thêm tất cả các thuộc tính vào một điều kiện hoặc tạo 3 điều kiện và kết hợp các điều kiện đó bằng toán tử AND.) |
Chính sách thiết bị Hệ điều hành của thiết bị |
3 cấp truy cập riêng biệt
Trong ví dụ này, các thuộc tính mã hoá thiết bị, phiên bản hệ điều hành tối thiểu và thiết bị thuộc sở hữu của công ty nằm trong 3 cấp truy cập riêng biệt. Người dùng chỉ cần đáp ứng các điều kiện trong một cấp truy cập để được cấp quyền truy cập. Đây là một phép toán OR logic của các cấp truy cập.
Ví dụ: người dùng có thiết bị được mã hoá và chạy phiên bản hệ điều hành cũ hơn trên thiết bị cá nhân sẽ được cấp quyền truy cập.
Ưu điểm: Cách xác định cấp truy cập chi tiết. Bạn có thể chỉ định riêng các cấp truy cập cho các đơn vị tổ chức khác nhau.
Nhược điểm: Người dùng chỉ cần đáp ứng các điều kiện trong một cấp truy cập.
| Tên cấp truy cập | device_encryption |
| Người dùng sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 |
Chính sách thiết bị |
| Tên cấp truy cập | corp_device |
| Người dùng sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 |
Chính sách thiết bị |
| Tên cấp truy cập | min_os |
| Người dùng sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 |
Chính sách thiết bị |
1 cấp truy cập có các cấp truy cập lồng nhau
Trong ví dụ này, các yêu cầu bảo mật về mã hoá thiết bị, phiên bản hệ điều hành tối thiểu và thiết bị thuộc sở hữu của công ty nằm trong 3 cấp truy cập riêng biệt. 3 cấp truy cập này được lồng bên trong cấp truy cập thứ tư.
Khi bạn chỉ định cấp truy cập thứ tư cho các ứng dụng, người dùng phải đáp ứng các điều kiện trong mỗi cấp truy cập trong số 3 cấp truy cập lồng nhau để được cấp quyền truy cập. Đây là một phép toán AND logic của các cấp truy cập.
Ví dụ: người dùng có thiết bị được mã hoá và chạy phiên bản hệ điều hành cũ hơn trên thiết bị cá nhân sẽ bị từ chối quyền truy cập.
Ưu điểm: Bạn vẫn có thể linh hoạt tách các yêu cầu bảo mật trên các cấp truy cập 1, 2 và 3. Khi sử dụng cấp truy cập 4, bạn cũng có thể thực thi một chính sách có tất cả các yêu cầu bảo mật.
Nhược điểm: Nhật ký kiểm tra chỉ ghi lại quyền truy cập bị từ chối đối với cấp truy cập 4 (không phải đối với các cấp truy cập 1, 2 và 3), vì các cấp truy cập 1, 2 và 3 không được chỉ định trực tiếp cho các ứng dụng.
Tạo 3 cấp truy cập như mô tả trong phần "3 cấp truy cập riêng biệt" ở trên: "device_encryption", "corp_device" và "min_os". Sau đó, tạo cấp truy cập thứ tư có tên là "device_security" có 3 điều kiện. Mỗi điều kiện có một cấp truy cập làm thuộc tính. (Bạn chỉ có thể thêm 1 thuộc tính cấp truy cập cho mỗi điều kiện.)
| Tên cấp truy cập | device_security |
| Người dùng sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 (chỉ có 1 cấp truy cập cho mỗi điều kiện) |
Cấp truy cập device_encryption |
| Kết hợp điều kiện 1 và điều kiện 2 bằng | AND |
| Người dùng sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 | Cấp truy cập corp_device |
| Kết hợp điều kiện 2 và điều kiện 3 bằng | AND |
| Người dùng sẽ được cấp quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 | Cấp truy cập min_os |
Thông tin có liên quan
- Tổng quan về quyền truy cập dựa trên bối cảnh
- Thiết lập phần mềm và tạo cấp truy cập theo bối cảnh
- Chỉ định cấp truy cập theo bối cảnh cho ứng dụng
- Tuỳ chỉnh quyền truy cập theo bối cảnh bằng nhóm
- Các ví dụ về quyền truy cập dựa trên bối cảnh cho Chế độ nâng cao
- Nhật ký kiểm tra quyền truy cập dựa trên bối cảnh