Создание уровней контекстно-зависимого доступа

1. Выберите уровни доступа .
   Вы видите список определенных уровней доступа. Уровни доступа — это общий ресурс для Google Workspace и Google Cloud, поэтому в списке могут отображаться уровни доступа, которые вы не создавали. Чтобы указать, какая команда создала уровень доступа, рекомендуется добавить название платформы в имя уровня доступа.
2. В правом верхнем углу выберите «Создать уровень доступа» .
   По умолчанию выбран базовый режим. Уровень доступа определяется добавлением одного или нескольких условий. Затем каждое условие задается путем указания одного или нескольких атрибутов.

   Примечание : Мы рекомендуем не использовать интерфейс Google Cloud Platform (GCP) для добавления или изменения уровней доступа с учетом контекста, если вы являетесь клиентом, использующим только Workspace. Если вы добавляете или изменяете уровни доступа с помощью метода, отличного от интерфейса доступа с учетом контекста, может появиться следующее сообщение об ошибке: «В Google Workspace используются неподдерживаемые атрибуты , и пользователи могут быть заблокированы».

3. Добавьте название уровня доступа и, при необходимости, описание.
4. В добавляемом условии уровня доступа укажите, применяется ли это условие, когда пользователи:
   • Соответствие атрибутам — Пользователи должны удовлетворять всем атрибутам условия.
   • Don't meet attributes —Users don't meet any of the attributes in the condition. This option specifies the opposite of the condition and is most frequently used for IP subnet attributes. For example, if you specify an IP subnet and "don't meet," only users with IP addresses outside of the specified range will match the condition.
5. Нажмите кнопку «Добавить атрибут» , чтобы добавить один или несколько атрибутов к условию уровня доступа. Вы можете добавить следующие атрибуты:
   • IP-подсеть (публичная) — IPv4 или IPv6 адрес или префикс маршрутизации в формате CIDR-блоков.
     • Этот атрибут не поддерживает частные IP-адреса (включая домашние сети пользователя).
     • Поддерживаются статические IP-адреса.
     • Для использования динамического IP-адреса необходимо определить статическую подсеть IP-адресов для уровня доступа. Если известен диапазон динамического IP-адреса, и определенный статический IP-адрес на уровне доступа охватывает этот диапазон, доступ предоставляется. Доступ запрещен, если динамический IP-адрес не находится в определенной статической подсети IP-адресов.
   • IP-подсеть (частная) — позволяет определять политики контекстно-зависимого доступа, включающие частные IP-подсети из виртуальных частных облаков (VPC). Для организаций, использующих VPC, этот атрибут обеспечивает безопасный доступ к сервисам Workspace и соответствие определенным политикам контекстно-зависимого доступа. Это особенно важно для пользователей, получающих доступ к сервисам через инфраструктуру VPC, и для Apps Script, которые используют частные IP-адреса.
     • Для использования этого атрибута вам потребуются разрешения консоли Google Cloud на просмотр и отображение сетевых ресурсов Google Cloud, а также соответствующая роль управления идентификацией и доступом (IAM) (например, compute.networks.list , compute.subnetworks.list и т. д.).
     • Этот атрибут предназначен исключительно для частных IP-подсетей в управляемых средах VPC. Он не применяется к обычным частным IP-адресам, например, к адресам в домашних сетях пользователей или другим частным диапазонам, не входящим в VPC.
     • Для настройки этого атрибута выберите IP-подсеть (частная) в конструкторе уровней доступа. Вы можете добавить проекты консоли Google Cloud, связанные с ними сети VPC и, при необходимости, определенные диапазоны IP-подсетей VPC. Настраивать эти уровни доступа в консоли Google Cloud не требуется.
     • При оценке доступа пользователя используется VPC, которая направляет трафик на серверы Google (не обязательно VPC, откуда поступил запрос).
     • В настоящее время консоль администратора поддерживает редактирование имен VPC и соответствующих подсетей в произвольном текстовом формате.
     • Если вы используете VPC Service Controls для создания защищенных периметров для ваших ресурсов Google Cloud, при использовании атрибута IP-подсети (частная) действуют определенные ограничения:
       • Встроенные IP-адреса можно включить только при использовании базовых уровней доступа. Чтобы использовать частные IP-адреса в расширенных уровнях доступа, создайте базовый уровень доступа только с условиями использования частных IP-адресов, а затем включите его в расширенный уровень доступа.
       • Избегайте настройки уровней доступа для блокировки внутренних IP-адресов, так как это может привести к непредсказуемому поведению.
       • В рамках одного уровня доступа нельзя объединять атрибуты публичного и частного IP-адресов. Если вам нужны оба типа, создайте отдельные уровни доступа для каждого из них и объедините их в третьем уровне доступа.
   • Местоположение — страны/регионы, где пользователь получает доступ к сервисам Google Workspace. Устройства с внутренними IP-адресами не поддерживаются, поскольку эти IP-адреса не являются уникальными в глобальном масштабе.
   • Политика устройства (выберите только те политики устройств, которые необходимо реализовать) —
     • Требуется одобрение администратора (при необходимости устройство должно быть одобрено).
     • Требуется устройство, принадлежащее компании.
     • Экран защищен паролем

       Примечание : В операционной системе Windows этот атрибут проверяет, отображается ли экран входа в систему после истечения времени бездействия, что выполняется, если включена либо настройка «Требовать входа в систему» ​​(в параметрах входа), либо настройка «При возобновлении работы отображать экран входа в систему» ​​(в настройках заставки). Он не проверяет, установлен ли пароль.

     • Шифрование устройства (Не поддерживается, Не зашифровано, Зашифровано)
   • Операционная система устройства (пользователи могут получить доступ к Google Workspace только с выбранными вами операционными системами. Установите минимальную версию операционной системы или разрешите любую версию. Используйте формат major.minor.patch для указания версии операционной системы) —
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • Уровень доступа — Должен соответствовать требованиям существующего уровня доступа.
6. Чтобы добавить еще одно условие к уровню доступа, нажмите «Добавить условие» и добавьте к нему атрибуты.
7. Укажите условия, которым должны соответствовать пользователи:
   • И — Пользователи должны соответствовать первому условию и дополнительному условию.
   • Или — Пользователи должны соответствовать только одному из условий.
8. После добавления условий уровня доступа сохраните определение уровня доступа, нажав кнопку «Сохранить» .
9. Выберите, что делать с уровнем доступа:
   • Назначьте этот уровень доступа приложениям.
   • Создайте правило защиты данных с этим уровнем доступа. Если вы выберете этот вариант, запустится мастер создания правил. Узнайте больше о сочетании правил защиты данных с уровнями доступа, учитывающими контекст.

Пример уровня доступа — создан в базовом режиме

В этом примере показан уровень доступа под названием "corp_access". Если к Gmail применяется уровень доступа "corp_access", пользователи могут получить доступ к Gmail только с зашифрованного устройства, принадлежащего компании, и только из США или Канады.

Дополнительные примеры см. в разделе «Примеры контекстно-зависимого доступа для базового режима» .

Этот режим позволяет создавать уровни доступа, которые невозможно создать в конструкторе условий интерфейса контекстно-зависимого доступа. Например:

• Администратору может потребоваться создать уровни доступа, включающие условия для интеграции со сторонними сервисами.
• Некоторые расширенные параметры недоступны из интерфейса условий базового режима, например, возможность использования аутентификации на основе сертификатов.

В этом режиме вы создаете свой собственный уровень доступа в окне редактирования, используя язык выражений Common Expression Language (CEL).

Для определения уровней доступа в расширенном режиме:

1. Выберите уровни доступа .
   Вы видите список определенных уровней доступа. Уровни доступа — это общий ресурс для Google Workspace, Cloud Identity и Google Cloud, поэтому в списке могут отображаться уровни доступа, которые вы не создавали. Чтобы указать, какая команда создала уровень доступа, рекомендуется добавить название платформы в имя уровня доступа.
2. Выберите «Создать уровень доступа» .
3. Выберите расширенный режим .
4. Добавьте имя уровня доступа и, при необходимости, описание.
   Уровень доступа определяется путем написания выражения CEL.
5. Создайте собственный уровень доступа в редакторе выражений CEL.
   Для этого вам потребуется некоторый опыт работы с CEL. Рекомендации и примеры поддерживаемых выражений для создания пользовательских уровней доступа см. в спецификации пользовательских уровней доступа .
6. Нажмите « Сохранить ».
   Выражение компилируется, и все синтаксические ошибки сообщаются.
   • Если синтаксических ошибок нет, ваш пользовательский уровень доступа сохраняется, и вы можете назначить его приложениям.
   • Если обнаружены синтаксические ошибки, вы увидите сообщение «Исправьте ошибки, чтобы продолжить работу с ошибками компилятора» (только на английском языке), относящееся к только что созданному выражению. Вы можете исправить ошибку и сохранить изменения. Когда пользовательский уровень доступа не содержит ошибок и сохранен, вы можете назначить этот уровень доступа приложениям.

Пример уровня доступа — создан в расширенном режиме.

В этом примере показан уровень доступа, для разрешения запроса на котором необходимо соблюдение следующих условий:

• Исходное устройство зашифровано.
• Верно одно или несколько из следующих утверждений:
  • Запрос поступил из Соединенных Штатов.
  • Устройство, с которого поступил запрос, одобрено администратором домена.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

Дополнительные примеры см. в разделе «Примеры контекстно-зависимого доступа в расширенном режиме» .