アクセスレベルの属性

アクセスレベルは、特定のリソースに対して行われたリクエストをフィルタするために使用されるさまざまな属性を定義します。次の表に、アクセスレベルでサポートされている属性と、各属性の詳細を示します。

gcloudコマンドライン ツールを使用してアクセスレベルを作成または変更するときは、属性を YAML でフォーマットする必要があります。この表には、各属性の YAML 構文と有効な値が含まれています。また、各属性の REST と RPC のリファレンス情報へのリンクも含まれています。

アクセスレベルと YAML の詳細については、アクセスレベルの YAML の例をご覧ください。

アクセスレベルには次の属性を含めることが可能です。

属性

IP サブネットワーク

説明

指定した 1 つ以上の IPv4 または IPv6 CIDR ブロック、あるいはその両方からリクエストが来ているかどうかを確認します。

複数の IP サブネットワークを指定した場合、入力した値は条件の評価時に OR 演算子を使用して結合されます。条件が true と評価されるようにするには、リクエストは指定した値のいずれかに一致する必要があります。

YAML ipSubnetworks
有効な値 1 つ以上の IPv4 / IPv6 CIDR ブロックのリスト。
API リファレンス

地域

説明

リクエストが特定のリージョンから行われたものかどうかを確認します。 リージョンは、対応する ISO 3166-1 alpha-2 コードによって識別されます。

複数のリージョンを指定した場合、入力した値は条件の評価時にに OR されます。指定したリージョンのいずれかにユーザーがいる場合、アクセス権が付与されます。

YAML regions
有効な値 1 つ以上の ISO 3166-1 alpha-2 コードのリスト。
API リファレンス なし

アクセスレベルの依存関係

説明

リクエストが 1 つ以上のアクセスレベルの条件を満たしているかどうかを確認します。

YAML requiredAccessLevels
有効な値

以下の形式の 1 つ以上の既存のアクセスレベルのリスト。

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

ここで

  • POLICY-NAME は組織のアクセス ポリシーの名前です。
  • LEVEL-NAME は、依存関係として追加するアクセスレベルの名前です。
API リファレンス

プリンシパル

説明

リクエストが特定のユーザーまたはサービス アカウントから来ているかどうかを確認します。

この属性は、gcloud コマンドライン ツールや Access Context Manager API を使用してアクセスレベルを作成または変更する場合にのみ条件に含めることができます。Google Cloud Console を使用してアクセスレベルを作成した場合は、前述のいずれかの方法を使用してそのアクセスレベルにプリンシパルを追加できます。

YAML members
有効な値

次の形式の 1 つ以上のユーザー アカウントまたはサービス アカウントのリスト。

  • user: EMAIL
  • serviceAccount: EMAIL

ここで

  • EMAIL は、アクセスレベルに含めるユーザーまたはサービス アカウントに対応するメールアドレスです。

グループはサポートされていません。

API リファレンス

デバイス ポリシー

要件

モバイル デバイスでデバイス ポリシー属性を使用するには、組織に対して MDM を構成する必要があります

他のデバイスでデバイス ポリシー属性を使用するには、エンドポイントの確認を有効にする必要があります。

説明

デバイス ポリシーは、リクエストが送信されたデバイスに関する情報に基づいてリクエストをフィルタ処理するために使用される属性の集まりです。

たとえば、デバイス ポリシー属性は Identity-Aware Proxy と組み合わせて、コンテキスト アウェア アクセスをサポートするために使用されます。

YAML devicePolicy
有効な値

devicePolicy は、1 つ以上のデバイス ポリシー属性のリストです。次の属性がサポートされています。

特定のデバイス ポリシー属性のみがモバイル デバイスで使用できます。[モバイル デバイスをサポートする] 行は、属性がモバイル デバイスで使用できるかどうかを識別します。

API リファレンス
デバイス ポリシー属性
画面ロックを必須にする
説明

デバイスで画面ロックが有効になっているかどうかを確認します。

モバイル デバイスをサポートする
YAML requireScreenlock
有効な値
  • true
  • false

省略された場合、デフォルトの false になります。

API リファレンス
ストレージの暗号化
説明 デバイスが暗号化されているかどうか、またはストレージの暗号化がサポートされているかどうかを確認します。
モバイル デバイスをサポートする

はい

YAML allowedEncryptionStatuses
有効な値

次の 1 つ以上の値:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
API リファレンス
管理者の承認が必要
説明 デバイスが管理者によって承認されているかどうかを確認します。
モバイル デバイスをサポートする
YAML requireAdminApproval
有効な値
  • true
  • false
  • 省略された場合、デフォルトの false になります。

API リファレンス なし
会社所有のデバイスが必要
説明 デバイスが企業によって所有されているかどうかを確認します。
モバイル デバイスをサポートする
YAML requireCorpOwned
有効な値
  • true
  • false
  • 省略された場合、デフォルトの false になります。

API リファレンス なし
OS ポリシー
説明

デバイスで、指定されたオペレーティング システムが使用されているかどうかを確認します。さらに、デバイスで使用する必要がある OS の最小バージョンを指定できます。

Chrome OS ポリシーを作成した場合は、承認済みの Chrome OS にする必要があることも指定できます。

複数のオペレーティング システムを選択すると、選択した値は条件の評価時に OR されます。ユーザーが指定したオペレーティング システムのいずれかを使用している場合、アクセス権が付与されます。

モバイル デバイスをサポートする
YAML osConstraints
有効な値

osConstraints は、osType の 1 つ以上のインスタンスを含む必要があるリストです。osTypeminimumVersion のインスタンスとペア設定できますが、minimumVersion は必須ではありません。

  • osType には、次の値の 1 つ以上のリストを含める必要があります。

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • DESKTOP_LINUX
    • IOS
    • ANDROID
  • minimumVersion は任意です。使用する場合は、osType と一緒に含める必要があります。

    minimumVersion には MAJOR.MINOR.PATCH 形式の最小バージョンを含める必要があります。

    例: 10.5.301。

  • osTypeDESKTOP_CHROME_OS を指定した場合は、オプションで requireVerifiedChromeOs を含めることができます。

    requireVerifiedChromeOs の有効な値は次のとおりです。

    • true
    • false
  • osTypeIOS または ANDROID を指定した場合は、モバイル デバイスをサポートするデバイス ポリシー属性をオプションで含めることができます。

API リファレンス