Attributi dei livelli di accesso

I livelli di accesso definiscono vari attributi utilizzati per filtrare le richieste effettuate a determinate risorse. La seguente tabella elenca gli attributi supportati dai livelli di accesso e fornisce ulteriori dettagli su ciascun attributo.

Quando crei o modifichi un livello di accesso utilizzando lo strumento a riga di comando gcloud, devi formattare gli attributi in YAML. Questa tabella include la sintassi YAML per ogni attributo e i valori validi. Sono inclusi anche i link alle informazioni di riferimento REST e RPC per ogni attributo.

Per saperne di più sui livelli di accesso e YAML, consulta il articolo YAML di esempio per un livello di accesso.

Puoi includere i seguenti attributi nel tuo livello di accesso:

Subnet IP
Regioni
Dipendenza livello di accesso
Presidi
Criteri relativi ai dispositivi

Attributi

Subnet IP

Description	Controlla se una richiesta proviene da uno o più blocchi CIDR IPv4 e/o IPv6 specificati. Non puoi includere intervalli IP privati per questo attributo. Ad esempio, `192.168.0.0/16` o `172.16.0.0/12`. Quando specifichi più di una subnet IP, i valori inseriti vengono combinati utilizzando un operatore OR durante la valutazione della condizione. Affinché la condizione restituisca il valore true, la richiesta deve corrispondere a uno qualsiasi dei valori specificati.
YAML	`ipSubnetworks`
Valori validi	Un elenco di uno o più blocchi CIDR IPv4 e/o IPv6.
Riferimento API	`REST` `RPC`

Regioni

Description	Verifica se una richiesta ha avuto origine da una regione specifica. Le regioni sono identificate dai codici ISO 3166-1 alpha-2 corrispondenti. Attenzione: l'origine di una richiesta è determinata dalla geolocalizzazione dell'indirizzo IP da cui ha avuto origine la richiesta. Per questo motivo, l'attributo regione funziona solo per le richieste provenienti da un indirizzo IP pubblico. Poiché gli indirizzi IP privati non possono essere geolocalizzati, i livelli di accesso che richiedono una regione rifiutano sempre le richieste da indirizzi IP privati e non supportano le richieste effettuate utilizzando l'accesso privato Google. Quando specifichi più di una regione, i valori inseriti sono impostati su OR quando viene valutata la condizione. Gli utenti possono accedere se si trovano in una delle regioni da te specificate.
YAML	`regions`
Valori validi	Un elenco di uno o più codici ISO 3166-1 alpha-2.
Riferimento API	Nessuna esperienza

Dipendenza livello di accesso

Description	Verifica se una richiesta soddisfa i criteri di uno o più livelli di accesso.
YAML	`requiredAccessLevels`
Valori validi	Un elenco di uno o più livelli di accesso esistenti formattati come: `accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME` Dove: `POLICY-NAME` è il nome numerico del criterio di accesso della tua organizzazione. `LEVEL-NAME` è il nome del livello di accesso che vuoi aggiungere come dipendenza.
Riferimento API	`REST` `RPC`

Presidi

Description	Verifica se una richiesta proviene da un account utente o di servizio specifico. Questo attributo può essere incluso solo nelle condizioni durante la creazione o la modifica di un livello di accesso utilizzando lo strumento a riga di comando `gcloud` o l'API Access Context Manager. Se hai creato un livello di accesso utilizzando la console Google Cloud, puoi utilizzare uno dei metodi menzionati in precedenza per aggiungere entità a quel livello di accesso.
YAML	`members`
Valori validi	Un elenco di uno o più account utente o di servizio, con il formato seguente: `user: EMAIL` `serviceAccount: EMAIL` Dove: `EMAIL` è l'email che corrisponde all'account utente o di servizio che vuoi includere nel livello di accesso. I gruppi non sono supportati.
Riferimento API	`REST` `RPC`

Criteri relativi ai dispositivi

Requisiti

Per utilizzare gli attributi dei criteri relativi ai dispositivi con i dispositivi mobili, devi configurare la gestione dei dispositivi mobili per la tua organizzazione.

Per utilizzare gli attributi dei criteri relativi ai dispositivi con altri dispositivi, è necessario abilitare la verifica degli endpoint.

Description

Un criterio relativo ai dispositivi è una raccolta di attributi che vengono utilizzati per filtrare le richieste in base alle informazioni sul dispositivo da cui la richiesta ha avuto origine.

Ad esempio, gli attributi dei criteri relativi ai dispositivi vengono utilizzati in combinazione con Identity-Aware Proxy per supportare l'accesso sensibile al contesto.

YAML devicePolicy

Valori validi

devicePolicy è un elenco di uno o più attributi dei criteri relativi ai dispositivi. Sono supportati i seguenti attributi:

Richiedere il blocco schermo
Crittografia dello spazio di archiviazione
Richiedere l'approvazione dell'amministratore
Richiedere un dispositivo di proprietà dell'azienda
Criterio del sistema operativo

Con i dispositivi mobili è possibile utilizzare solo alcuni attributi dei criteri relativi ai dispositivi. La riga Supporta i dispositivi mobili indica se un attributo può essere utilizzato con i dispositivi mobili.

Riferimento API

REST
RPC

Attributi dei criteri relativi ai dispositivi

Richiedere il blocco schermo

Description	Verifica se su un dispositivo è attivo il blocco schermo.
Supporta i dispositivi mobili	Sì
YAML	`requireScreenlock`
Valori validi	`true` `false` Se omesso, il valore predefinito è `false`.
Riferimento API	`REST` `RPC`

Crittografia dello spazio di archiviazione

Description	Verifica se il dispositivo è criptato, non criptato o non supporta la crittografia dello spazio di archiviazione.
Supporta i dispositivi mobili	Sì Importante: affinché un dispositivo iOS soddisfi l'attributo di crittografia dello spazio di archiviazione, è necessario attivare il blocco schermo sul dispositivo.
YAML	`allowedEncryptionStatuses`
Valori validi	Uno o più dei seguenti valori: `ENCRYPTION_UNSUPPORTED` `ENCRYPTED` `UNENCRYPTED`
Riferimento API	`REST` `RPC`

Richiedere l'approvazione dell'amministratore

Description	Consente di verificare se il dispositivo è stato approvato da un amministratore.
Supporta i dispositivi mobili	Sì
YAML	`requireAdminApproval`
Valori validi	`true` `false` Se omesso, il valore predefinito è `false`.
Riferimento API	Nessuna esperienza

Richiedere un dispositivo di proprietà dell'azienda

Description	Verifica se il dispositivo è di proprietà della tua azienda.
Supporta i dispositivi mobili	Sì
YAML	`requireCorpOwned`
Valori validi	`true` `false` Se omesso, il valore predefinito è `false`.
Riferimento API	Nessuna esperienza

Criterio del sistema operativo

Description	Verifica se un dispositivo utilizza un sistema operativo specifico. Inoltre, puoi specificare una versione minima di un sistema operativo che un dispositivo deve utilizzare. Se crei un criterio di Chrome OS, puoi anche specificare che deve essere un sistema ChromeOS verificato . Quando selezioni più di un sistema operativo, i valori selezionati sono impostati su OR quando viene valutata la condizione. L'accesso viene concesso agli utenti che hanno uno dei sistemi operativi da te specificati.
Supporta i dispositivi mobili	Sì
YAML	`osConstraints`
Valori validi	`osConstraints` è un elenco che deve includere una o più istanze di `osType`. `osType` può essere abbinato a un'istanza di `minimumVersion`, ma `minimumVersion` non è richiesto. `osType` deve includere un elenco di uno o più dei seguenti valori: `DESKTOP_MAC` `DESKTOP_WINDOWS` `DESKTOP_CHROME_OS` `DESKTOP_LINUX` `IOS` `ANDROID` Il campo `minimumVersion` è facoltativo. Se utilizzata, deve essere inclusa in `osType`. `minimumVersion` deve includere una versione minima nel formato `MAJOR.MINOR.PATCH`. Ad esempio: 10.5.301. Se specifichi `DESKTOP_CHROME_OS` per `osType`, puoi facoltativamente includere `requireVerifiedChromeOs`. I valori validi per `requireVerifiedChromeOs` sono: `true` `false` Se specifichi `IOS` o `ANDROID` per `osType`, puoi facoltativamente includere qualsiasi attributo dei criteri relativi ai dispositivi che supporti i dispositivi mobili.
Riferimento API	`REST` `RPC`