יצירת רמות של בקרת גישה מבוססת-הקשר

1. בוחרים באפשרות רמות גישה.
   מוצגת רשימה של רמות גישה מוגדרות. רמות הגישה הן משאב משותף ל-Google Workspace ול-Google Cloud, ולכן יכול להיות שברשימה יופיעו רמות גישה שלא יצרתם. כדי לציין איזה צוות יצר רמת גישה, כדאי לכלול את הפלטפורמה בשם של רמת הגישה.
2. בפינה השמאלית העליונה, לוחצים על יצירת רמת גישה.
   מצב בסיסי נבחר כברירת מחדל. מגדירים את רמת הגישה על ידי הוספת תנאי אחד או יותר. לאחר מכן מגדירים כל תנאי על ידי ציון מאפיין אחד או יותר.

   הערה: אם אתם לקוחות של Workspace בלבד, מומלץ לא להשתמש בממשק של Google Cloud Platform ‏ (GCP) כדי להוסיף או לשנות רמות גישה מודעות-הקשר. אם מוסיפים או משנים רמות גישה באמצעות שיטה אחרת מלבד הממשק של בקרת רמות גישה מבוססת-הקשר, יכול להיות שתופיע הודעת השגיאה הבאה: נעשה שימוש במאפיינים לא נתמכים ב-Google Workspace, והמשתמשים עלולים להיחסם.

3. מוסיפים שם לרמת הגישה ותיאור אופציונלי.
4. לתנאי רמת הגישה שמוסיפים, מציינים אם התנאי חל כשהמשתמשים:
   • מאפייני Meet – המשתמשים צריכים לעמוד בכל המאפיינים בתנאי.
   • לא עומדים בדרישות המאפיינים – המשתמשים לא עומדים בדרישות של אף אחד מהמאפיינים בתנאי. האפשרות הזו מציינת את ההפך מהתנאי, והיא משמשת הכי הרבה למאפייני רשת משנה של כתובות IP. לדוגמה, אם מציינים רשת משנה של כתובות IP ובוחרים באפשרות 'לא עומדים בדרישות', רק משתמשים עם כתובות IP מחוץ לטווח שצוין יעמדו בתנאי.
5. לוחצים על הוספת מאפיין כדי להוסיף מאפיין אחד או יותר לתנאי של רמת הגישה. אלה המאפיינים שאפשר להוסיף:
   • רשת משנה של כתובות IP (ציבורית) – כתובת IPv4 או IPv6 או קידומת ניתוב בפורמט בלוקים של CIDR.
     • המאפיין הזה לא תומך בכתובות IP פרטיות (כולל רשתות ביתיות של משתמשים).
     • יש תמיכה בכתובות IP סטטיות.
     • כדי להשתמש בכתובת IP דינמית, צריך להגדיר רשת משנה של כתובות IP סטטיות לרמת הגישה. אם אתם יודעים מהו טווח כתובות ה-IP הדינמיות וכתובת ה-IP הסטטית שהוגדרה כלולה בטווח הזה, הגישה תאושר. הגישה נדחית כשכתובת ה-IP הדינמית לא נמצאת ברשת המשנה של כתובת ה-IP הסטטית שהוגדרה.
   • רשת משנה של כתובות IP (פרטית) – מאפשרת להגדיר מדיניות של בקרת גישה מבוססת-הקשר שכוללת רשתות משנה של כתובות IP פרטיות מסביבות של ענן וירטואלי פרטי (VPC). בארגונים שמשתמשים ב-VPC, המאפיין הזה מבטיח גישה מאובטחת לשירותי Workspace ועמידה במדיניות שהוגדרה לבקרת גישה מבוססת-הקשר. זה חשוב במיוחד למשתמשים שניגשים לשירותים דרך תשתית VPC ול-Apps Script שמסתמך על כתובות IP פרטיות.
     • כדי להשתמש במאפיין הזה, אתם צריכים הרשאות במסוף Google Cloud להצגה של משאבי רשת ב-Google Cloud, ואת תפקיד ניהול הזהויות והגישה (IAM) המתאים (לדוגמה, compute.networks.list, ‏ compute.subnetworks.list וכו').
     • המאפיין הזה מיועד רק לרשתות משנה של כתובות IP פרטיות בסביבות VPC מנוהלות. היא לא חלה על כתובות IP פרטיות כלליות, כמו אלה שנמצאות ברשתות ביתיות של משתמשים או בטווחים פרטיים אחרים שאינם VPC.
     • כדי להגדיר את המאפיין הזה, בוחרים באפשרות רשת משנה של כתובות IP (פרטית) בכלי ליצירת רמות גישה. אפשר להוסיף פרויקטים במסוף Google Cloud, רשתות VPC שמשויכות אליהם, ואם רוצים, טווחי רשתות משנה של כתובות IP ספציפיים ב-VPC. אין צורך להגדיר את רמות הגישה האלה במסוף Google Cloud.
     • כשמעריכים את גישת המשתמש, נעשה שימוש ב-VPC ששולח תנועה לשרתי Google (לא בהכרח ה-VPC שממנו הבקשה נשלחה).
     • במסוף Admin יש כרגע תמיכה בעריכה של שמות VPC ושל רשתות המשנה התואמות בטקסט חופשי.
     • אם אתם משתמשים ב-VPC Service Controls כדי ליצור גבולות גזרה מאובטחים למשאבים שלכם ב-Google Cloud, יש מגבלות ספציפיות שחלות כשמשתמשים במאפיין של רשת משנה של כתובות IP (פרטית):
       • אפשר להפעיל כתובות IP פנימיות רק עם רמות גישה בסיסיות. כדי להשתמש בכתובות IP פרטיות ברמות גישה מתקדמות, צריך ליצור רמת גישה בסיסית עם תנאים של כתובות IP פרטיות בלבד, ואז לכלול אותה ברמת הגישה המתקדמת.
       • מומלץ להימנע מהגדרת רמות גישה לחסימת כתובות IP פנימיות, כי זה עלול לגרום להתנהגות לא צפויה.
       • רמת גישה אחת לא יכולה לשלב מאפיינים של כתובות IP פרטיות וציבוריות. אם אתם צריכים את שתי ההרשאות, אתם יכולים ליצור רמות גישה נפרדות לכל אחת מהן ולשלב אותן ברמת גישה שלישית.
   • מיקום – מדינות או אזורים שבהם המשתמש ניגש לשירותי Google Workspace. לא ניתן להשתמש במכשירים עם כתובות IP פנימיות, כי כתובות ה-IP האלה לא ייחודיות באופן גלובלי.
   • מדיניות המכשיר (בוחרים רק את מדיניות המכשיר שרוצים להטמיע) –
     • נדרש אישור אדמין (אם נדרש, המכשיר צריך להיות מאושר)
     • נדרש מכשיר בבעלות החברה
     • מוגן בסיסמה

       הערה: במערכת הפעלה Windows, המאפיין הזה בודק אם מסך הכניסה מוצג אחרי זמן קצוב לתפוגה של חוסר פעילות. התשובה היא חיובית אם ההגדרה 'דרישת כניסה' (באמצעי הכניסה) או ההגדרה 'בהמשך, הצגת מסך הכניסה' (בהגדרות שומר המסך) מופעלות. הוא לא בודק אם הסיסמה מוגדרת.

     • הצפנת המכשיר (לא נתמכת, לא מוצפן, מוצפן)
   • OS של המכשיר (המשתמשים יכולים לגשת ל-Google Workspace רק עם מערכות ההפעלה שתבחרו). הגדרת גרסה מינימלית של מערכת ההפעלה או מתן אפשרות לשימוש בכל גרסה. צריך להשתמש בפורמט major.minor.patch לגרסת מערכת ההפעלה) –
     • macOS
     • Windows
     • Linux
     • Chrome OS
     • iOS
     • Android
   • רמת גישה – המשתמש צריך לעמוד בדרישות של רמת גישה קיימת.
6. כדי להוסיף עוד תנאי לרמת הגישה, לוחצים על הוספת תנאי ומוסיפים לו מאפיינים.
7. מציינים את התנאים שבהם המשתמשים צריכים לעמוד:
   • וגם – המשתמשים צריכים לעמוד בתנאי הראשון וגם בתנאי הנוסף.
   • או – המשתמשים צריכים לעמוד רק באחד מהתנאים.
8. כשמסיימים להוסיף תנאים לרמת הגישה, לוחצים על שמירה כדי לשמור את ההגדרה של רמת הגישה.
9. בוחרים מה לעשות עם רמת הגישה:
   • הקצאה של רמת גישה זו לאפליקציות.
   • יצירת כלל להגנה על נתונים עם רמת הגישה הזו. אם בוחרים באפשרות הזו, מתחילים את אשף יצירת הכללים. מידע נוסף על שילוב של כללים להגנה על נתונים עם רמות גישה מבוססות-הקשר.

רמת גישה לדוגמה – נוצרה במצב בסיסי

בדוגמה הזו מוצגת רמת גישה בשם corp_access. אם התווית corp_access מוחלת על Gmail, המשתמשים יכולים לגשת ל-Gmail רק ממכשיר מוצפן שבבעלות החברה, ורק מארה"ב או מקנדה.

דוגמאות נוספות זמינות במאמר דוגמאות לבקרת גישה מבוססת-הקשר במצב בסיסי.

במצב הזה אפשר ליצור רמות גישה שלא ניתן ליצור בכלי ליצירת תנאים בממשק של בקרת הגישה מבוססת-הקשר. לדוגמה:

• יכול להיות שהאדמין יצטרך ליצור רמות גישה שיכללו תנאי ספק לשילובים של צד שלישי.
• חלק מהמאפיינים המתקדמים לא נגישים מממשק התנאים במצב הבסיסי, כמו האפשרות להשתמש באימות מבוסס-אישורים.

במצב הזה, אתם יוצרים את רמת הגישה המותאמת אישית בחלון עריכה באמצעות Common Expression Language ‏ (CEL).

כדי להגדיר רמות גישה באמצעות מצב מתקדם:

1. בוחרים באפשרות רמות גישה.
   מוצגת רשימה של רמות גישה מוגדרות. רמות הגישה הן משאב משותף ל-Google Workspace, ל-Cloud Identity ול-Google Cloud, ולכן יכול להיות שיופיעו ברשימה רמות גישה שלא יצרתם. כדי לציין איזה צוות יצר רמת גישה, כדאי לכלול את הפלטפורמה בשם של רמת הגישה.
2. בוחרים באפשרות יצירת רמת גישה.
3. בוחרים באפשרות מצב מתקדם.
4. מוסיפים שם לרמת הגישה ותיאור אופציונלי.
   מגדירים את רמת הגישה על ידי כתיבת ביטוי CEL.
5. יוצרים את רמת הגישה המותאמת אישית בעורך הביטויים של CEL.
   כדי לעשות זאת, צריך ניסיון ב-CEL. להנחיות ולדוגמאות של ביטויים נתמכים ליצירת רמות גישה מותאמות אישית, אפשר לעבור אל מפרט רמות הגישה המותאמות אישית .
6. לוחצים על שמירה.
   הביטוי עובר קומפילציה וכל שגיאות התחביר מדווחות.
   • אם אין שגיאות תחביר, רמת הגישה המותאמת אישית נשמרת ואפשר להקצות אותה לאפליקציות.
   • אם יש שגיאות בתחביר, מוצגת ההודעה Fix errors to continue עם שגיאות של קומפיילר (באנגלית בלבד) שספציפיות לביטוי שיצרתם. אפשר לתקן את השגיאה ולשמור שוב. אחרי שרמת הגישה המותאמת אישית לא מכילה שגיאות ונשמרת, אפשר להקצות אותה לאפליקציות.

רמת גישה לדוגמה – נוצרה במצב מתקדם

בדוגמה הזו מוצגת רמת גישה שבה כדי לאשר בקשה, התנאים הבאים צריכים להתקיים:

• המכשיר שממנו מתבצעת ההעברה מוצפן.
• אחד או יותר מהתנאים הבאים מתקיימים:
  • הבקשה הגיעה מארצות הברית.
  • המכשיר שממנו נשלחה הבקשה אושר על ידי האדמין של הדומיין.

device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ["US"] || device.is_admin_approved_device)

דוגמאות נוספות זמינות במאמר דוגמאות לבקרת גישה מבוססת-הקשר במצב מתקדם.