访问权限级别属性

访问权限级别定义用于过滤向某些资源发出的请求的各种属性。下表列出了访问权限级别支持的属性,并提供了每种属性的其他详细信息。

使用 gcloud 命令行工具创建或修改访问权限级别时,必须以 YAML 格式设置属性。该表包括每个属性的 YAML 语法和有效值。此外还包含每种属性的 REST 和 RPC 参考信息链接。

如需详细了解访问权限级别和 YAML,请参阅访问权限级别的示例 YAML

您可以在访问权限级别中包含以下属性:

属性

IP 子网

说明

检查请求是否来自于您指定的一个或多个 IPv4 和/或 IPv6 CIDR 地址块。

如果您指定多个 IP 子网,则在计算条件时,您输入的值会使用 OR 运算符进行组合。请求必须与您指定的任何值匹配,以便条件计算为 true。

YAML ipSubnetworks
有效值 由一个或多个 IPv4 和/或 IPv6 CIDR 地址块组成的列表。
API 参考

区域

说明

检查请求是否来自于特定区域。 区域由对应的 ISO 3166-1 alpha-2 代码标识。

如果您指定多个区域,则在计算条件时,您输入的值将进行 OR 运算。如果用户位于您指定的区域之一,则将获得访问权限。

YAML regions
有效值 由一个或多个 ISO 3166-1 alpha-2 代码组成的列表。
API 参考

访问权限级别依赖项

说明

检查请求是否符合一个或多个访问权限级别的条件。

YAML requiredAccessLevels
有效值

由一个或多个现有访问级权限别组成的列表,其格式为:

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

其中:

  • POLICY-NAME 是您组织的访问权限政策的数字名称。
  • LEVEL-NAME 是您要作为依赖项添加的访问权限级别的名称。
API 参考

主账号

说明

检查请求是来自于特定用户还是服务账号。

仅当使用 gcloud 命令行工具或 Access Context Manager API 创建或修改访问权限级别时,才能在条件中包含此条件。如果您使用 Google Cloud 控制台创建了访问权限级别,则可以使用前面提到的任一方法将主账号添加到该访问权限级别。

YAML members
有效值

由一个或多个用户或服务账号组成的列表,其格式为:

  • user: EMAIL
  • serviceAccount: EMAIL

其中:

  • EMAIL 是与您希望包含在访问权限级别中的用户或服务账号对应的电子邮件地址。

不支持 Google 群组。

API 参考

设备政策

要求

要将设备政策属性用于移动设备,必须为组织配置 MDM

要将设备政策属性用于其他设备,必须启用端点验证

说明

设备政策是一组属性,用于根据发出请求的设备的信息过滤请求。

例如,设备政策属性与 Identity-Aware Proxy 一起使用,以支持情境感知访问权限。

YAML devicePolicy
有效值

devicePolicy 是一个或多个设备政策属性的列表。支持以下属性:

仅某些设备政策属性可与移动设备搭配使用。支持移动设备行标识属性是否可以与移动设备搭配使用。

API 参考
设备政策属性
要求屏幕锁定
说明

检查设备是否启用了屏幕锁定。

支持移动设备
YAML requireScreenlock
有效值
  • true
  • false

如果省略,则默认为 false

API 参考
存储加密
说明 检查设备是已加密、未加密,还是不支持存储加密。
支持移动设备

YAML allowedEncryptionStatuses
有效值

以下值中的一个或多个:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
API 参考
需要管理员审批
说明 检查设备是否已获得管理员批准。
支持移动设备
YAML requireAdminApproval
有效值
  • true
  • false
  • 如果省略,则默认为 false

API 参考
需要公司自有设备
说明 检查设备是否为您的企业所有。
支持移动设备
YAML requireCorpOwned
有效值
  • true
  • false
  • 如果省略,则默认为 false

API 参考
操作系统政策
说明

检查设备是否使用指定的操作系统。此外,您还可以指定设备必须使用的最低操作系统版本。

如果您创建了 Chrome 操作系统政策,还可以指定它必须是经过验证的 Chrome 操作系统

如果您选择多个操作系统,则在计算条件时,您选择的值将进行 OR 运算。如果用户具有您指定的其中一个操作系统,便会被授予访问权限。

支持移动设备
YAML osConstraints
有效值

osConstraints 是一个列表,必须包含一个或多个 osType 实例。可以将 osTypeminimumVersion 的实例配对,但不需要 minimumVersion

  • osType 必须包含以下一个或多个值的列表:

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • DESKTOP_LINUX
    • IOS
    • ANDROID
  • minimumVersion 是可选的。如果使用,则必须与 osType 一同包含在内。

    minimumVersion 必须包含格式为 MAJOR.MINOR.PATCH 的最低版本。

    例如:10.5.301。

  • 如果为 osType 指定 DESKTOP_CHROME_OS,则可以选择包括 requireVerifiedChromeOs

    有效的 requireVerifiedChromeOs 值如下:

    • true
    • false
  • 如果为 osType 指定 IOSANDROID,则可以选择包括支持移动设备的任何设备政策属性。

API 参考