इस लेख में, कॉन्टेक्स्ट अवेयर ऐक्सेस के इस्तेमाल के सामान्य उदाहरण दिए गए हैं. इसमें बेसिक मोड में बनाए गए कॉन्फ़िगरेशन के सैंपल भी शामिल हैं.
ऐडवांस मोड (सीईएल एडिटर का इस्तेमाल करके) में बनाए गए ऐक्सेस लेवल के उदाहरणों के लिए, ऐडवांस मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण पर जाएं.
ठेकेदारों को सिर्फ़ कॉर्पोरेट नेटवर्क के ज़रिए ऐक्सेस करने की अनुमति दें
कई कंपनियां, ठेकेदारों को कॉर्पोरेट संसाधनों का ऐक्सेस देने पर पाबंदी लगाना चाहती हैं. उदाहरण के लिए, ऐसी कंपनियां जो सामान्य सहायता से जुड़े कॉल का जवाब देने के लिए ठेकेदारों का इस्तेमाल करती हैं या सहायता केंद्रों और कॉल सेंटर में काम करती हैं. फ़ुल टाइम कर्मचारियों की तरह, ठेकेदारों के पास भी कॉन्टेक्स्ट अवेयर ऐक्सेस की नीतियों के साथ काम करने वाला लाइसेंस होना चाहिए.
इस उदाहरण में, ठेकेदारों को कॉर्पोरेट संसाधनों का ऐक्सेस सिर्फ़ कॉर्पोरेट आईपी पते की किसी खास रेंज से मिलता है.
| ऐक्सेस लेवल का नाम | contractor_access |
| ठेकेदार को ऐक्सेस तब मिलता है, जब वह | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट | आईपी सबनेट (सार्वजनिक) 74.125.192.0/18 |
| ऐक्सेस लेवल असाइन करना | ठेकेदारों के लिए संगठनात्मक इकाइयां ठेकेदार इस्तेमाल करते हैं |
आईपी पते हाइजैक करने वाले जाने-पहचाने आईपी पतों से ऐक्सेस करने की सुविधा ब्लॉक करें
कंपनी के संसाधनों को सुरक्षित रखने के लिए, कई कंपनियां ज़्यादा जोखिम वाले सोर्स का ऐक्सेस ब्लॉक कर देती हैं.
इस उदाहरण में, आईपी पता 74.125.195.105 ब्लॉक किया गया है. अगर उपयोगकर्ताओं के सेशन किसी दूसरे आईपी पते से शुरू होते हैं, तो उन्हें कॉर्पोरेट संसाधनों का ऐक्सेस मिलता है. एक से ज़्यादा आईपी पते और रेंज तय की जा सकती हैं.
| ऐक्सेस लेवल का नाम | block_highrisk |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | विशेषताएं न हों |
| शर्त 1 एट्रिब्यूट | आईपी सबनेट (सार्वजनिक) 74.125.195.105 |
| ऐक्सेस लेवल असाइन करना | टॉप-लेवल की संगठनात्मक इकाई सभी ऐप्लिकेशन |
Google Cloud में किसी निजी नेटवर्क से ऐक्सेस करने की अनुमति देना
कई कंपनियां, वर्चुअल प्राइवेट क्लाउड (वीपीसी) के ज़रिए उपयोगकर्ता ट्रैफ़िक को Google पर भेजती हैं. VPC, Google Cloud एनवायरमेंट में एक सुरक्षित और अलग नेटवर्क होता है.
ध्यान रखें कि आपके वीपीसी से रूट किया गया ट्रैफ़िक, निजी आईपी पतों का इस्तेमाल कर सकता है. इससे सार्वजनिक आईपी या क्षेत्र की नीतियों से जुड़ी समस्याएं हो सकती हैं.
इस उदाहरण में, इन वीपीसी से आने वाले ट्रैफ़िक को अनुमति दी जा सकती है.
| ऐक्सेस लेवल का नाम | vpc_access |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब... | मीटिंग के एट्रिब्यूट |
| शर्त 1 के एट्रिब्यूट |
आईपी सबनेट (निजी) निजी आईपी सबनेटवर्क: //compute.googleapis.com/projects/project- name-test/global/networks/network-name वीपीसी सबनेट: 74.125.192.0/18 |
| ऐक्सेस लेवल असाइन करना |
सभी उपयोगकर्ताओं के लिए संगठन की इकाइयां ठेकेदारों के इस्तेमाल किए जाने वाले सभी ऐप्लिकेशन |
इन अहम बातों का ध्यान रखें:
- सिर्फ़ डायरेक्ट ट्रैफ़िक: यह ऐक्सेस लेवल सिर्फ़ उस ट्रैफ़िक के लिए काम करता है जो अनुमति वाली वीपीसी से सीधे Google के सर्वर तक पहुंचता है. अगर ट्रैफ़िक पहले किसी दूसरे नेटवर्क या टनल से होकर जाता है, तो ऐक्सेस नहीं दिया जाता. Google सिर्फ़ उस वीपीसी को पहचानता है जो अपने सर्वर पर ट्रैफ़िक भेजता है.
- एडमिन की अनुमतियां: वीपीसी देखने और ऐक्सेस लेवल कॉन्फ़िगर करने के लिए, एडमिन के पास Identity and Access Management (IAM) की सही भूमिका होनी चाहिए. उदाहरण के लिए, compute.networks.list, compute.subnetworks.list वगैरह.
- बाहरी वीपीसी: अनुमति वाली सूची में शामिल वीपीसी, आपके मौजूदा Google Cloud डोमेन से बाहर का हो सकता है. बाहरी वीपीसी जोड़ने के लिए, एडमिन के पास देखने की अनुमति होनी चाहिए.
चुनिंदा जगहों से ऐक्सेस करने की अनुमति देना या अनुमति न देना
अगर आपके कुछ कर्मचारी, कॉर्पोरेट या पार्टनर के ऑफ़िस में नियमित तौर पर यात्रा करते हैं, तो उन जगहों की जानकारी दी जा सकती है जहां वे कॉर्पोरेट संसाधनों को ऐक्सेस कर सकते हैं.
उदाहरण के लिए, अगर सेल्स टीम के कुछ सदस्य नियमित तौर पर ऑस्ट्रेलिया और भारत में खरीदारों से मिलते हैं, तो उनके लिए होम ऑफ़िस और ऑस्ट्रेलिया और भारत में ही ऐक्सेस सीमित किया जा सकता है. अगर वे कारोबार से जुड़ी यात्रा के दौरान निजी छुट्टी के लिए दूसरे देशों की यात्रा करते हैं, तो वे उन देशों में कॉर्पोरेट संसाधनों को ऐक्सेस नहीं कर सकते.
इस उदाहरण में, सेल्स ग्रुप सिर्फ़ अमेरिका (होम ऑफ़िस), ऑस्ट्रेलिया, और भारत से कॉर्पोरेट संसाधनों को ऐक्सेस कर सकता है.
| ऐक्सेस लेवल का नाम | sales_access |
| सेल्स टीम को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट | क्षेत्र या देश का नाम अमेरिका, ऑस्ट्रेलिया, भारत |
| ऐक्सेस लेवल असाइन करना | सेल्सपर्सन का ग्रुप सभी ऐप्लिकेशन के सेल्सपर्सन इसका इस्तेमाल करते हैं |
आपके पास किसी नीति को बनाने का विकल्प भी होता है. इससे कुछ देशों के उपयोगकर्ताओं को ऐक्सेस देने से रोका जा सकता है. इसके लिए, आपको यह तय करना होगा कि उपयोगकर्ता को ऐक्सेस तब मिलेगा, जब वह शर्तों को पूरा न करता हो. आपको उन देशों की सूची बनानी होगी जहां से ऐक्सेस ब्लॉक करना है.
असाइन करते समय एक से ज़्यादा ऐक्सेस लेवल चुनने के बजाय, नेस्ट किए गए ऐक्सेस लेवल का इस्तेमाल करें
कुछ मामलों में, किसी संगठन की इकाई या ग्रुप और किसी ऐप्लिकेशन (या ऐप्लिकेशन के सेट) को ऐक्सेस लेवल असाइन करने की कोशिश करने पर, आपको गड़बड़ी का मैसेज दिख सकता है. इसमें आपसे ऐप्लिकेशन या ऐक्सेस लेवल की संख्या कम करने के लिए कहा जाएगा.
इस गड़बड़ी से बचने के लिए, असाइनमेंट के दौरान इस्तेमाल किए जाने वाले ऐक्सेस लेवल की संख्या कम की जा सकती है. इसके लिए, उन्हें एक ही ऐक्सेस लेवल में नेस्ट करें. नेस्ट किए गए ऐक्सेस लेवल में, OR ऑपरेशन के साथ कई शर्तों को जोड़ा जाता है. साथ ही, हर शर्त में एक अलग ऐक्सेस लेवल होता है.
इस उदाहरण में, USWest, USEast, और USCentral को ऐक्सेस के तीन अलग-अलग लेवल में रखा गया है. मान लें कि आपको उपयोगकर्ताओं को ऐप्लिकेशन ऐक्सेस करने की अनुमति देनी है. इसके लिए, उन्हें USWest, USEast या USCentral में से किसी एक ऐक्सेस लेवल की शर्तों को पूरा करना होगा. ऐसे में, OR ऑपरेटर का इस्तेमाल करके, एक नेस्ट किया गया ऐक्सेस लेवल (जिसे USRegions कहा जाता है) बनाया जा सकता है. ऐक्सेस लेवल असाइन करते समय, संगठनात्मक इकाई या ग्रुप के लिए ऐप्लिकेशन को USRegions ऐक्सेस लेवल असाइन करें.
|
ऐक्सेस लेवल का नाम |
USRegions |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब |
मीटिंग के एट्रिब्यूट |
|
शर्त 1 एट्रिब्यूट (हर शर्त के लिए सिर्फ़ एक ऐक्सेस लेवल) |
ऐक्सेस लेवल USWest |
|
जॉइन कंडीशन 1 और कंडीशन 2 को इसके साथ जोड़ें |
या |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब |
मीटिंग के एट्रिब्यूट |
|
शर्त 2 एट्रिब्यूट |
ऐक्सेस लेवल USEast |
|
जॉइन कंडीशन 2 और कंडीशन 3 के साथ |
या |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब |
मीटिंग के एट्रिब्यूट |
|
शर्त 3 एट्रिब्यूट |
ऐक्सेस लेवल USCentral |
डेस्कटॉप पर कंपनी के मालिकाना हक वाला डिवाइस ज़रूरी है, लेकिन फ़ोन या टैबलेट पर नहीं
किसी कंपनी को कंपनी के मालिकाना हक वाले डेस्कटॉप डिवाइस की ज़रूरत हो सकती है, लेकिन कंपनी के मालिकाना हक वाले मोबाइल डिवाइस की नहीं.
सबसे पहले, डेस्कटॉप डिवाइसों के लिए ऐक्सेस लेवल बनाएं:
|
ऐक्सेस लेवल का नाम |
aldesktop_access |
|
उपयोगकर्ताओं को ऐक्सेस मिल सकता है, अगर वे |
मीटिंग के एट्रिब्यूट |
|
शर्त 1 एट्रिब्यूट |
डिवाइस से जुड़ी नीति
डिवाइस एन्क्रिप्शन = उपलब्ध नहीं है डिवाइस का ओएस macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
इसके बाद, मोबाइल डिवाइसों के लिए ऐक्सेस लेवल बनाएं:
|
ऐक्सेस लेवल का नाम |
almobile_access |
|
उपयोगकर्ताओं को ऐक्सेस मिल सकता है, अगर वे |
मीटिंग के एट्रिब्यूट |
|
शर्त 1 एट्रिब्यूट |
डिवाइस का ओएस iOS = 0.0.0 Android = 0.0.0 |
डिवाइस की बुनियादी सुरक्षा की ज़रूरत है
ज़्यादातर एंटरप्राइज़ कंपनियां अब कर्मचारियों को कॉर्पोरेट संसाधनों को ऐक्सेस करने के लिए, ऐसे डिवाइसों का इस्तेमाल करने के लिए कहती हैं जो एन्क्रिप्ट (सुरक्षित) किए गए हों और ऑपरेटिंग सिस्टम के ज़रूरी वर्शन के साथ काम करते हों. कुछ कंपनियां यह भी ज़रूरी करती हैं कि कर्मचारी, कंपनी के मालिकाना हक वाले डिवाइसों का इस्तेमाल करें.
इन नीतियों को अपनी सभी संगठनात्मक इकाइयों के लिए कॉन्फ़िगर किया जा सकता है. इसके अलावा, इन्हें सिर्फ़ उन इकाइयों के लिए भी कॉन्फ़िगर किया जा सकता है जो संवेदनशील डेटा के साथ काम करती हैं. जैसे, कंपनी के एक्ज़ीक्यूटिव, फ़ाइनेंस या मानव संसाधन.
डिवाइस के एन्क्रिप्शन, ऑपरेटिंग सिस्टम के कम से कम वर्शन, और कंपनी के मालिकाना हक वाले डिवाइसों के लिए, नीति को कॉन्फ़िगर करने के कई तरीके हैं. इन दोनों के अपने फ़ायदे और नुकसान हैं.
एक ऐक्सेस लेवल, जिसमें सुरक्षा से जुड़ी सभी ज़रूरी शर्तें शामिल हों
इस उदाहरण में, डिवाइस को एन्क्रिप्ट (सुरक्षित) करने की सुविधा, ऑपरेटिंग सिस्टम का कम से कम वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस की एट्रिब्यूट को एक ऐक्सेस लेवल में शामिल किया गया है. ऐक्सेस पाने के लिए, उपयोगकर्ताओं को सभी शर्तें पूरी करनी होंगी.
उदाहरण के लिए, अगर किसी उपयोगकर्ता का डिवाइस एन्क्रिप्ट (सुरक्षित) किया गया है और वह कंपनी के मालिकाना हक वाला है, लेकिन उसमें ऑपरेटिंग सिस्टम का अनुपालन करने वाला वर्शन नहीं चल रहा है, तो उसे ऐक्सेस नहीं दिया जाएगा.
फ़ायदा: इसे आसानी से सेट अप किया जा सकता है. किसी ऐप्लिकेशन को यह ऐक्सेस लेवल असाइन करने पर, उपयोगकर्ता को सभी ज़रूरी शर्तें पूरी करनी होंगी.
नुकसान: अलग-अलग इकाइयों के लिए सुरक्षा से जुड़ी ज़रूरी शर्तों को अलग-अलग असाइन करने के लिए, आपको हर ज़रूरी शर्त के लिए ऐक्सेस का अलग लेवल बनाना होगा.
| ऐक्सेस लेवल का नाम | device_security |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट (सभी एट्रिब्यूट को एक शर्त में जोड़ा जा सकता है या तीन शर्तें बनाकर, उन्हें AND से जोड़ा जा सकता है.) |
डिवाइस से जुड़ी नीति डिवाइस ओएस |
ऐक्सेस के तीन अलग-अलग लेवल
इस उदाहरण में, डिवाइस को एन्क्रिप्ट (सुरक्षित) करने की सुविधा, ऑपरेटिंग सिस्टम का कम से कम वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस की एट्रिब्यूट, ऐक्सेस के तीन अलग-अलग लेवल में हैं. ऐक्सेस पाने के लिए, उपयोगकर्ताओं को सिर्फ़ एक ऐक्सेस लेवल की शर्तें पूरी करनी होंगी. यह ऐक्सेस लेवल का लॉजिकल OR है.
उदाहरण के लिए, जिस उपयोगकर्ता के पास एन्क्रिप्ट (सुरक्षित) किया गया डिवाइस है और वह अपने निजी डिवाइस पर ऑपरेटिंग सिस्टम का पुराना वर्शन इस्तेमाल करता है उसे ऐक्सेस मिलता है.
फ़ायदा: ऐक्सेस लेवल तय करने का ज़्यादा बेहतर तरीका. संगठन की अलग-अलग इकाइयों के लिए, ऐक्सेस के लेवल अलग-अलग असाइन किए जा सकते हैं.
नुकसान: उपयोगकर्ताओं को सिर्फ़ एक ऐक्सेस लेवल की शर्तें पूरी करनी होती हैं.
| ऐक्सेस लेवल का नाम | device_encryption |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट |
डिवाइस की नीति |
| ऐक्सेस लेवल का नाम | corp_device |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट |
डिवाइस से जुड़ी नीति |
| ऐक्सेस लेवल का नाम | min_os |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट |
डिवाइस की नीति |
नेस्ट किए गए ऐक्सेस लेवल वाला 1 ऐक्सेस लेवल
इस उदाहरण में, डिवाइस को एन्क्रिप्ट (सुरक्षित) करने, ऑपरेटिंग सिस्टम के कम से कम वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस की सुरक्षा से जुड़ी ज़रूरी शर्तों को तीन अलग-अलग ऐक्सेस लेवल में रखा गया है. ये तीन ऐक्सेस लेवल, चौथे ऐक्सेस लेवल में नेस्ट किए गए हैं.
ऐप्लिकेशन को चौथा ऐक्सेस लेवल असाइन करने पर, उपयोगकर्ताओं को ऐक्सेस पाने के लिए, नेस्ट किए गए तीनों ऐक्सेस लेवल की शर्तों को पूरा करना होगा. यह ऐक्सेस लेवल का लॉजिकल AND है.
उदाहरण के लिए, अगर किसी उपयोगकर्ता के पास एन्क्रिप्ट (सुरक्षित) किया गया डिवाइस है और वह निजी डिवाइस पर ऑपरेटिंग सिस्टम का पुराना वर्शन इस्तेमाल करता है, तो उसे ऐक्सेस करने की अनुमति नहीं दी जाती.
फ़ायदा: आपके पास ऐक्सेस लेवल 1, 2, और 3 के लिए, सुरक्षा से जुड़ी ज़रूरी शर्तों को अलग-अलग रखने का विकल्प होता है. ऐक्सेस लेवल 4 का इस्तेमाल करके, सुरक्षा से जुड़ी सभी ज़रूरी शर्तों के साथ कोई नीति लागू की जा सकती है.
नुकसान: ऑडिट लॉग में सिर्फ़ ऐक्सेस लेवल 4 के लिए ऐक्सेस अस्वीकार किए जाने की जानकारी मिलती है. इसमें ऐक्सेस लेवल 1, 2, और 3 के लिए ऐक्सेस अस्वीकार किए जाने की जानकारी नहीं मिलती. इसकी वजह यह है कि ऐक्सेस लेवल 1, 2, और 3 को सीधे तौर पर ऐप्लिकेशन को असाइन नहीं किया जाता.
ऊपर "तीन अलग-अलग ऐक्सेस लेवल" में बताए गए तरीके से, तीन ऐक्सेस लेवल बनाएं: "device_encryption," "corp_device," और "min_os." इसके बाद, "device_security" नाम का चौथा ऐक्सेस लेवल बनाएं. इसमें तीन शर्तें शामिल हों. हर शर्त में, ऐक्सेस लेवल को एट्रिब्यूट के तौर पर इस्तेमाल किया जाता है. (हर शर्त के लिए, ऐक्सेस लेवल वाली सिर्फ़ एक विशेषता जोड़ी जा सकती है.)
| ऐक्सेस लेवल का नाम | device_security |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट (हर शर्त के लिए सिर्फ़ एक ऐक्सेस लेवल) |
ऐक्सेस लेवल device_encryption |
| जॉइन कंडीशन 1 और कंडीशन 2 को इसके साथ जोड़ें | और |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट | ऐक्सेस लेवल corp_device |
| जॉइन कंडीशन 2 और कंडीशन 3 के साथ | और |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट | ऐक्सेस लेवल min_os |
संबंधित जानकारी
- कॉन्टेक्स्ट अवेयर ऐक्सेस के बारे में खास जानकारी
- सॉफ़्टवेयर सेट अप करना और कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल बनाना
- ऐप्लिकेशन के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के लेवल असाइन करना
- ग्रुप की मदद से, कॉन्टेक्स्ट अवेयर ऐक्सेस को पसंद के मुताबिक बनाना
- ऐडवांस मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण
- कॉन्टेक्स्ट अवेयर ऐक्सेस का ऑडिट लॉग