Zugriffsebenenattribute

Zugriffsebenen definieren verschiedene Attribute zum Filtern von Anfragen, die an bestimmte Ressourcen gesendet werden. Die folgende Tabelle enthält die Liste der Attribute, die von den Zugriffsebenen unterstützt werden, sowie zusätzliche Informationen zu den einzelnen Attributen.

Wenn Sie eine Zugriffsebene mit dem gcloud-Befehlszeilentool erstellen oder ändern, müssen Sie die Attribute in YAML formatieren. Diese Tabelle enthält die YAML-Syntax für jedes Attribut und die gültigen Werte. Außerdem finden Sie Links zu den REST- und RPC-Referenzinformationen für jedes Attribut.

Weitere Informationen über Zugriffsebenen und .yaml-Dateien finden Sie unter YAML-Beispieldatei für eine Zugriffsebene.

Sie können die folgenden Attribute in Ihre Zugriffsebene aufnehmen:

Attribute

IP-Subnetzwerke

Beschreibung

Prüft, ob eine Anfrage aus einem oder mehreren der CIDR-Blöcke von IPv4- und/oder IPv6-Adressbereichen kommt, die Sie festgelegt haben.

Wenn Sie mehr als ein IP-Subnetzwerk angeben, werden die von Ihnen eingegebenen Werte mit einem OR-Operator kombiniert, wenn die Bedingung ausgewertet wird. Die Anfrage muss mit einem der Werte übereinstimmen, die Sie angeben, damit die Bedingung als true ausgewertet wird.

YAML ipSubnetworks
Zulässige Werte Ein oder mehrere CIDR-Blöcke von IPv4- und/oder IPv6-Adressen
API-Referenz

Regionen

Beschreibung

Prüft, ob eine Anfrage aus einer bestimmten Region stammt. Regionen werden durch die entsprechenden ISO-3166-1-Alpha-2-Codes identifiziert.

Wenn Sie mehr als eine Region angeben, werden die von Ihnen eingegebenen Werte mit OR verknüpft, wenn die Bedingung ausgewertet wird. Nutzern wird der Zugriff gewährt, wenn sie sich in einer der von Ihnen angegebenen Regionen befinden.

YAML regions
Zulässige Werte Ein oder mehrere ISO 3166-1-Alpha-2-Codes.
API-Referenz

Abhängigkeit von Zugriffsebenen

Beschreibung

Prüft, ob eine Anfrage die Kriterien einer oder mehrerer Zugriffsebenen erfüllt.

YAML requiredAccessLevels
Zulässige Werte

Eine oder mehrere vorhandene Zugriffsebenen, die so formatiert sind:

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

Wobei:

  • POLICY-NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation.
  • LEVEL-NAME ist der Name der Zugriffsebene, die Sie als Abhängigkeit hinzufügen möchten.
API-Referenz

Hauptkonten

Beschreibung

Prüft, ob eine Anfrage von einem bestimmten Nutzer oder Dienstkonto stammt.

Dieses Attribut kann nur in Bedingungen einbezogen werden, wenn Sie eine Zugriffsebene mit dem gcloud-Befehlszeilentool oder der Access Context Manager API erstellen oder ändern. Wenn Sie eine Zugriffsebene mit Google Cloud Console kann eine der zuvor genannten Methoden kann dieser Zugriffsebene Hauptkonten hinzugefügt werden.

YAML members
Zulässige Werte

Ein oder mehrere Nutzer oder Dienstkonten, die so formatiert sind:

  • user: EMAIL
  • serviceAccount: EMAIL

Wobei:

  • EMAIL ist die E-Mail-Adresse des Nutzers oder Dienstkontos, den/das Sie in die Zugriffsebene aufnehmen möchten.

Google Groups wird nicht unterstützt.

API-Referenz

Geräterichtlinie

Voraussetzungen

Wenn Sie die Geräterichtlinienattribute für Mobilgeräte verwenden möchten, müssen Sie die Mobilgeräteverwaltung für Ihre Organisation konfigurieren.

Damit Sie die Geräterichtlinienattribute mit anderen Geräten verwenden können, muss Endpunktprüfung aktiviert sein.

Beschreibung

Eine Geräterichtlinie ist eine Sammlung von Attributen zum Filtern von Anfragen auf der Grundlage von Informationen über das Gerät, von dem die Anfrage gesendet wurde.

Beispielsweise werden Geräterichtlinienattribute in Verbindung mit Cloud Identity-Aware Proxy verwendet, um kontextsensitiven Zugriff zu unterstützen.

YAML devicePolicy
Zulässige Werte

devicePolicy ist eine Liste mit einem oder mehreren Geräterichtlinienattributen. Die folgenden Attribute sind zulässig:

Für Mobilgeräte können nur bestimmte Geräterichtlinienattribute verwendet werden. In der Zeile Unterstützt Mobilgeräte ist angegeben, ob ein Attribut mit Mobilgeräten verwendet werden kann.

API-Referenz
Geräterichtlinienattribute
Displaysperre erforderlich
Beschreibung

Prüft, ob an einem Gerät die Displaysperre aktiviert ist.

Unterstützt Mobilgeräte Ja
YAML requireScreenlock
Zulässige Werte
  • true
  • false

Der Standardwert ist false, wenn nichts angegeben ist.

API-Referenz
Speicherverschlüsselung
Beschreibung Prüft, ob das Gerät verschlüsselt oder nicht verschlüsselt ist oder die Speicherverschlüsselung nicht unterstützt.
Unterstützt Mobilgeräte

Ja

YAML allowedEncryptionStatuses
Zulässige Werte

Einer oder mehrere der folgenden Werte:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
API-Referenz
Genehmigung des Administrators erforderlich
Beschreibung Prüft, ob das Gerät von einem Administrator genehmigt wurde.
Unterstützt Mobilgeräte Ja
YAML requireAdminApproval
Zulässige Werte
  • true
  • false
  • Der Standardwert ist false, wenn nichts angegeben ist.

API-Referenz
Unternehmenseigenes Gerät erforderlich
Beschreibung Prüft, ob das Gerät Ihrem Unternehmen gehört.
Unterstützt Mobilgeräte Ja
YAML requireCorpOwned
Zulässige Werte
  • true
  • false
  • Der Standardwert ist false, wenn nichts angegeben ist.

API-Referenz
Betriebssystemrichtlinie
Beschreibung

Prüft, ob ein Gerät ein angegebenes Betriebssystem verwendet. Darüber hinaus können Sie die Mindestversion eines Betriebssystems angeben, das ein Gerät verwenden muss.

Wenn Sie eine Chrome OS-Richtlinie erstellen, können Sie auch festlegen, dass es sich um ein verifiziertes Chrome OS handeln muss.

Wenn Sie mehr als ein Betriebssystem auswählen, werden die von Ihnen ausgewählten Werte mit OR verknüpft, wenn die Bedingung ausgewertet wird. Nutzer erhalten Zugriff, wenn sie eines der von Ihnen angegebenen Betriebssysteme haben.

Unterstützt Mobilgeräte Ja
YAML osConstraints
Zulässige Werte

osConstraints ist eine Liste, die eine oder mehrere Instanzen von osType enthalten muss. osType kann mit einer Instanz von minimumVersion gekoppelt werden. minimumVersion ist jedoch nicht erforderlich.

  • osType muss eine Liste mit einem oder mehreren der folgenden Werte enthalten:

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • DESKTOP_LINUX
    • IOS
    • ANDROID
  • minimumVersion ist optional. Bei Verwendung muss der Wert in osType aufgenommen werden.

    minimumVersion muss eine Mindestversion enthalten, die als MAJOR.MINOR.PATCH formatiert ist.

    Beispiel: 10.5.301.

  • Wenn Sie DESKTOP_CHROME_OS für osType angeben, können Sie optional requireVerifiedChromeOs angeben.

    Gültige Werte für requireVerifiedChromeOs sind:

    • true
    • false
  • Wenn Sie IOS oder ANDROID für osType angeben, können Sie optional jedes Geräterichtlinienattribut angeben, das Mobilgeräte unterstützt.

API-Referenz