Zugriffsebenenattribute

Zugriffsebenen definieren verschiedene Attribute zum Filtern von Anfragen, die an bestimmte Ressourcen gesendet werden. Die folgende Tabelle enthält die Liste der Attribute, die von den Zugriffsebenen unterstützt werden, sowie zusätzliche Informationen zu den einzelnen Attributen.

Wenn Sie eine Zugriffsebene mit dem gcloud-Befehlszeilentool erstellen oder ändern, müssen Sie die Attribute in YAML formatieren. Diese Tabelle enthält die YAML-Syntax für jedes Attribut und die gültigen Werte. Außerdem finden Sie Links zu den REST- und RPC-Referenzinformationen für jedes Attribut.

Weitere Informationen über Zugriffsebenen und .yaml-Dateien finden Sie unter YAML-Beispieldatei für eine Zugriffsebene.

Sie können die folgenden Attribute in Ihre Zugriffsebene aufnehmen:

IP-Subnetzwerke
Regionen
Abhängigkeit von Zugriffsebenen
Hauptkonten
Geräterichtlinie

Attribute

IP-Subnetzwerke

Beschreibung	Prüft, ob eine Anfrage aus einem oder mehreren der CIDR-Blöcke von IPv4- und/oder IPv6-Adressbereichen kommt, die Sie festgelegt haben. Bereiche privater IP-Adressen sind für dieses Attribut nicht zulässig. Beispiel: `192.168.0.0/16` oder `172.16.0.0/12`. Wenn Sie mehr als ein IP-Subnetzwerk angeben, werden die von Ihnen eingegebenen Werte mit einem OR-Operator kombiniert, wenn die Bedingung ausgewertet wird. Die Anfrage muss mit einem der Werte übereinstimmen, die Sie angeben, damit die Bedingung als true ausgewertet wird.
YAML	`ipSubnetworks`
Zulässige Werte	Ein oder mehrere CIDR-Blöcke von IPv4- und/oder IPv6-Adressen
API-Referenz	`REST` `RPC`

Regionen

Beschreibung	Prüft, ob eine Anfrage aus einer bestimmten Region stammt. Regionen werden durch die entsprechenden ISO-3166-1-Alpha-2-Codes identifiziert. Achtung: Der Ursprung einer Anfrage wird durch die Geolokalisierung der IP-Adresse bestimmt, von der die Anfrage stammt. Aus diesem Grund funktioniert das Regionsattribut nur für Anfragen, die von einer öffentlichen IP-Adresse stammen. Da private IP-Adressen nicht geocodiert werden können, lehnen Zugriffsebenen, die eine Region erfordern, Anfragen von privaten IP-Adressen immer ab und unterstützen keine Anfragen über den privater Google-Zugriff. Wenn Sie mehr als eine Region angeben, werden die von Ihnen eingegebenen Werte mit OR verknüpft, wenn die Bedingung ausgewertet wird. Nutzern wird der Zugriff gewährt, wenn sie sich in einer der von Ihnen angegebenen Regionen befinden.
YAML	`regions`
Zulässige Werte	Ein oder mehrere ISO 3166-1-Alpha-2-Codes.
API-Referenz	–

Abhängigkeit von Zugriffsebenen

Beschreibung	Prüft, ob eine Anfrage die Kriterien einer oder mehrerer Zugriffsebenen erfüllt.
YAML	`requiredAccessLevels`
Zulässige Werte	Eine oder mehrere vorhandene Zugriffsebenen, die so formatiert sind: `accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME` Wobei: `POLICY-NAME` ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation. `LEVEL-NAME` ist der Name der Zugriffsebene, die Sie als Abhängigkeit hinzufügen möchten.
API-Referenz	`REST` `RPC`

Hauptkonten

Beschreibung	Prüft, ob eine Anfrage von einem bestimmten Nutzer oder Dienstkonto stammt. Dieses Attribut kann nur in Bedingungen einbezogen werden, wenn Sie eine Zugriffsebene mit dem `gcloud`-Befehlszeilentool oder der Access Context Manager API erstellen oder ändern. Wenn Sie eine Zugriffsebene mit der Google Cloud Console erstellt haben, können Sie mit einer der zuvor genannten Methoden dieser Zugriffsebene Hauptkonten hinzufügen.
YAML	`members`
Zulässige Werte	Ein oder mehrere Nutzer oder Dienstkonten, die so formatiert sind: `user: EMAIL` `serviceAccount: EMAIL` Wobei: `EMAIL` ist die E-Mail-Adresse des Nutzers oder Dienstkontos, den/das Sie in die Zugriffsebene aufnehmen möchten. Google Groups wird nicht unterstützt.
API-Referenz	`REST` `RPC`

Geräterichtlinie

Voraussetzungen

Wenn Sie die Geräterichtlinienattribute für Mobilgeräte verwenden möchten, müssen Sie die Mobilgeräteverwaltung für Ihre Organisation konfigurieren.

Damit Sie die Geräterichtlinienattribute mit anderen Geräten verwenden können, muss Endpunktprüfung aktiviert sein.

Beschreibung

Eine Geräterichtlinie ist eine Sammlung von Attributen zum Filtern von Anfragen auf der Grundlage von Informationen über das Gerät, von dem die Anfrage gesendet wurde.

Beispielsweise werden Geräterichtlinienattribute in Verbindung mit Identity-Aware Proxy verwendet, um den kontextsensitiven Zugriff zu unterstützen.

YAML devicePolicy

Zulässige Werte

devicePolicy ist eine Liste mit einem oder mehreren Geräterichtlinienattributen. Die folgenden Attribute sind zulässig:

Displaysperre erforderlich
Speicherverschlüsselung
Genehmigung des Administrators erforderlich
Unternehmenseigenes Gerät erforderlich
Betriebssystemrichtlinie

Für Mobilgeräte können nur bestimmte Geräterichtlinienattribute verwendet werden. In der Zeile Unterstützt Mobilgeräte ist angegeben, ob ein Attribut mit Mobilgeräten verwendet werden kann.

API-Referenz

REST
RPC

Geräterichtlinienattribute

Displaysperre erforderlich

Beschreibung	Prüft, ob an einem Gerät die Displaysperre aktiviert ist.
Unterstützt Mobilgeräte	Ja
YAML	`requireScreenlock`
Zulässige Werte	`true` `false` Der Standardwert ist `false`, wenn nichts angegeben ist.
API-Referenz	`REST` `RPC`

Speicherverschlüsselung

Beschreibung	Prüft, ob das Gerät verschlüsselt oder nicht verschlüsselt ist oder die Speicherverschlüsselung nicht unterstützt.
Unterstützt Mobilgeräte	Ja Wichtig:Damit ein iOS-Gerät das Attribut für die Speicherverschlüsselung erfüllt, muss auf dem Gerät die Displaysperre aktiviert sein.
YAML	`allowedEncryptionStatuses`
Zulässige Werte	Einer oder mehrere der folgenden Werte: `ENCRYPTION_UNSUPPORTED` `ENCRYPTED` `UNENCRYPTED`
API-Referenz	`REST` `RPC`

Genehmigung des Administrators erforderlich

Beschreibung	Prüft, ob das Gerät von einem Administrator genehmigt wurde.
Unterstützt Mobilgeräte	Ja
YAML	`requireAdminApproval`
Zulässige Werte	`true` `false` Der Standardwert ist `false`, wenn nichts angegeben ist.
API-Referenz	Keine

Unternehmenseigenes Gerät erforderlich

Beschreibung	Prüft, ob das Gerät Ihrem Unternehmen gehört.
Unterstützt Mobilgeräte	Ja
YAML	`requireCorpOwned`
Zulässige Werte	`true` `false` Der Standardwert ist `false`, wenn nichts angegeben ist.
API-Referenz	Keine

Betriebssystemrichtlinie

Beschreibung	Prüft, ob ein Gerät ein angegebenes Betriebssystem verwendet. Darüber hinaus können Sie die Mindestversion eines Betriebssystems angeben, das ein Gerät verwenden muss. Wenn Sie eine Chrome OS-Richtlinie erstellen, können Sie auch festlegen, dass es sich um ein verifiziertes Chrome OS handeln muss. Wenn Sie mehr als ein Betriebssystem auswählen, werden die von Ihnen ausgewählten Werte mit OR verknüpft, wenn die Bedingung ausgewertet wird. Nutzer erhalten Zugriff, wenn sie eines der von Ihnen angegebenen Betriebssysteme haben.
Unterstützt Mobilgeräte	Ja
YAML	`osConstraints`
Zulässige Werte	`osConstraints` ist eine Liste, die eine oder mehrere Instanzen von `osType` enthalten muss. `osType` kann mit einer Instanz von `minimumVersion` gekoppelt werden. `minimumVersion` ist jedoch nicht erforderlich. `osType` muss eine Liste mit einem oder mehreren der folgenden Werte enthalten: `DESKTOP_MAC` `DESKTOP_WINDOWS` `DESKTOP_CHROME_OS` `DESKTOP_LINUX` `IOS` `ANDROID` `minimumVersion` ist optional. Bei Verwendung muss der Wert in `osType` aufgenommen werden. `minimumVersion` muss eine Mindestversion im Format `MAJOR.MINOR.PATCH` enthalten. Beispiel: 10.5.301. Wenn Sie `DESKTOP_CHROME_OS` für `osType` angeben, können Sie optional `requireVerifiedChromeOs` angeben. Gültige Werte für `requireVerifiedChromeOs` sind: `true` `false` Wenn Sie `IOS` oder `ANDROID` für `osType` angeben, können Sie optional jedes Geräterichtlinienattribut angeben, das Mobilgeräte unterstützt.
API-Referenz	`REST` `RPC`