アクセスレベルの属性

アクセスレベルは、特定のリソースに対して行われたリクエストをフィルタするために使用されるさまざまな属性を定義します。次の表に、アクセスレベルでサポートされている属性と、各属性の詳細を示します。

gcloudコマンドラインツールを使用してアクセスレベルを作成または変更するときは、属性を YAML でフォーマットする必要があります。この表には、各属性の YAML 構文と有効な値が含まれています。また、各属性の REST と RPC のリファレンス情報へのリンクも含まれています。

アクセスレベルと YAML の詳細については、アクセスレベルの YAML の例をご覧ください。

アクセスレベルには次の属性を含めることが可能です。

IP サブネットワーク
地域
アクセスレベルの依存関係
プリンシパル
デバイスポリシー

属性

IP サブネットワーク

説明	指定した 1 つ以上の IPv4 または IPv6 CIDR ブロック、あるいはその両方からリクエストが来ているかどうかを確認します。複数の IP サブネットワークを指定した場合、入力した値は条件の評価時に OR 演算子を使用して結合されます。条件が true と評価されるようにするには、リクエストは指定した値のいずれかに一致する必要があります。
YAML	`ipSubnetworks`
有効な値	1 つ以上の IPv4 / IPv6 CIDR ブロックのリスト。
API リファレンス	`REST` `RPC`

地域

説明	リクエストが特定のリージョンから行われたものかどうかを確認します。リージョンは、対応する ISO 3166-1 alpha-2 コードによって識別されます。注意: リクエストの送信元は、リクエストの送信元の IP アドレスの位置情報によって決まります。このため、リージョン属性は、パブリック IP アドレスから送信されたリクエストに対してのみ機能します。プライベート IP アドレスは位置情報によって配置できないため、リージョンを必要とするアクセスレベルでは、プライベート IP アドレスからのリクエストは常に拒否され、プライベート Google アクセスを使用したリクエストはサポートされません。複数のリージョンを指定した場合、入力した値は条件の評価時にに OR されます。指定したリージョンのいずれかにユーザーがいる場合、アクセス権が付与されます。
YAML	`regions`
有効な値	1 つ以上の ISO 3166-1 alpha-2 コードのリスト。
API リファレンス	なし

アクセスレベルの依存関係

説明	リクエストが 1 つ以上のアクセスレベルの条件を満たしているかどうかを確認します。
YAML	`requiredAccessLevels`
有効な値	以下の形式の 1 つ以上の既存のアクセスレベルのリスト。 `accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME` ここで `POLICY-NAME` は組織のアクセスポリシーの名前です。 `LEVEL-NAME` は、依存関係として追加するアクセスレベルの名前です。
API リファレンス	`REST` `RPC`

プリンシパル

説明	リクエストが特定のユーザーまたはサービスアカウントから来ているかどうかを確認します。この属性は、`gcloud` コマンドラインツールや Access Context Manager API を使用してアクセスレベルを作成または変更する場合にのみ条件に含めることができます。Google Cloud Console を使用してアクセスレベルを作成した場合は、前述のいずれかの方法を使用してそのアクセスレベルにプリンシパルを追加できます。
YAML	`members`
有効な値	次の形式の 1 つ以上のユーザーアカウントまたはサービスアカウントのリスト。 `user: EMAIL` `serviceAccount: EMAIL` ここで `EMAIL` は、アクセスレベルに含めるユーザーまたはサービスアカウントに対応するメールアドレスです。グループはサポートされていません。
API リファレンス	`REST` `RPC`

デバイスポリシー

要件

モバイルデバイスでデバイスポリシー属性を使用するには、組織に対して MDM を構成する必要があります。

他のデバイスでデバイスポリシー属性を使用するには、エンドポイントの確認を有効にする必要があります。

説明

デバイスポリシーは、リクエストが送信されたデバイスに関する情報に基づいてリクエストをフィルタ処理するために使用される属性の集まりです。

たとえば、デバイスポリシー属性は Identity-Aware Proxy と組み合わせて、コンテキストアウェアアクセスをサポートするために使用されます。

YAML devicePolicy

有効な値

devicePolicy は、1 つ以上のデバイスポリシー属性のリストです。次の属性がサポートされています。

画面ロックを必須にする
ストレージの暗号化
管理者の承認が必要
会社所有のデバイスが必要
OS ポリシー

特定のデバイスポリシー属性のみがモバイルデバイスで使用できます。[モバイルデバイスをサポートする] 行は、属性がモバイルデバイスで使用できるかどうかを識別します。

API リファレンス

REST
RPC

デバイスポリシー属性

画面ロックを必須にする

説明	デバイスで画面ロックが有効になっているかどうかを確認します。
モバイルデバイスをサポートする	○
YAML	`requireScreenlock`
有効な値	`true` `false` 省略された場合、デフォルトの `false` になります。
API リファレンス	`REST` `RPC`

ストレージの暗号化

説明	デバイスが暗号化されているかどうか、またはストレージの暗号化がサポートされているかどうかを確認します。
モバイルデバイスをサポートする	はい重要: iOS デバイスのストレージ暗号化属性を満たすには、デバイスの画面ロックを有効にする必要があります。
YAML	`allowedEncryptionStatuses`
有効な値	次の 1 つ以上の値: `ENCRYPTION_UNSUPPORTED` `ENCRYPTED` `UNENCRYPTED`
API リファレンス	`REST` `RPC`

管理者の承認が必要

説明	デバイスが管理者によって承認されているかどうかを確認します。
モバイルデバイスをサポートする	○
YAML	`requireAdminApproval`
有効な値	`true` `false` 省略された場合、デフォルトの `false` になります。
API リファレンス	なし

会社所有のデバイスが必要

説明	デバイスが企業によって所有されているかどうかを確認します。
モバイルデバイスをサポートする	○
YAML	`requireCorpOwned`
有効な値	`true` `false` 省略された場合、デフォルトの `false` になります。
API リファレンス	なし

OS ポリシー

説明	デバイスで、指定されたオペレーティングシステムが使用されているかどうかを確認します。さらに、デバイスで使用する必要がある OS の最小バージョンを指定できます。 Chrome OS ポリシーを作成した場合は、承認済みの Chrome OS にする必要があることも指定できます。複数のオペレーティングシステムを選択すると、選択した値は条件の評価時に OR されます。ユーザーが指定したオペレーティングシステムのいずれかを使用している場合、アクセス権が付与されます。
モバイルデバイスをサポートする	○
YAML	`osConstraints`
有効な値	`osConstraints` は、`osType` の 1 つ以上のインスタンスを含む必要があるリストです。`osType` は `minimumVersion` のインスタンスとペア設定できますが、`minimumVersion` は必須ではありません。 `osType` には、次の値の 1 つ以上のリストを含める必要があります。 `DESKTOP_MAC` `DESKTOP_WINDOWS` `DESKTOP_CHROME_OS` `DESKTOP_LINUX` `IOS` `ANDROID` `minimumVersion` は任意です。使用する場合は、`osType` と一緒に含める必要があります。 `minimumVersion` には `MAJOR.MINOR.PATCH` 形式の最小バージョンを含める必要があります。例: 10.5.301。 `osType` に `DESKTOP_CHROME_OS` を指定した場合は、オプションで `requireVerifiedChromeOs` を含めることができます。 `requireVerifiedChromeOs` の有効な値は次のとおりです。 `true` `false` `osType` に `IOS` または `ANDROID` を指定した場合は、モバイルデバイスをサポートするデバイスポリシー属性をオプションで含めることができます。
API リファレンス	`REST` `RPC`