Zugriffsebenenattribute

Zugriffsebenen definieren verschiedene Attribute zum Filtern von Anfragen, die an bestimmte Ressourcen gesendet werden. Die folgende Tabelle enthält die Liste der Attribute, die von den Zugriffsebenen unterstützt werden, sowie zusätzliche Informationen zu den einzelnen Attributen.

Wenn Sie eine Zugriffsebene mit dem gcloud-Befehlszeilentool erstellen oder ändern, müssen Sie die Attribute in YAML formatieren. Diese Tabelle enthält die YAML-Syntax für jedes Attribut und die gültigen Werte. Außerdem finden Sie Links zu den REST- und RPC-Referenzinformationen für jedes Attribut.

Weitere Informationen über Zugriffsebenen und .yaml-Dateien finden Sie unter YAML-Beispieldatei für eine Zugriffsebene.

Sie können die folgenden Attribute in Ihre Zugriffsebene aufnehmen:

Attribute

IP-Subnetzwerke

Beschreibung

Prüft, ob eine Anfrage aus einem oder mehreren der CIDR-Blöcke von IPv4- und/oder IPv6-Adressbereichen kommt, die Sie festgelegt haben.

Bereiche privater IP-Adressen sind für dieses Attribut nicht zulässig. Beispiel: 192.168.0.0/16 oder 172.16.0.0/12.

YAML ipSubnetworks
Zulässige Werte Ein oder mehrere CIDR-Blöcke von IPv4- und/oder IPv6-Adressen
API-Referenz

Regionen

Beschreibung

Prüft, ob eine Anfrage aus einer bestimmten Region stammt. Regionen werden durch die entsprechenden ISO-3166-1-Alpha-2-Codes identifiziert.

YAML regions
Zulässige Werte Ein oder mehrere ISO 3166-1-Alpha-2-Codes.
API-Referenz

Abhängigkeit von Zugriffsebenen

Beschreibung

Prüft, ob eine Anfrage die Kriterien einer oder mehrerer Zugriffsebenen erfüllt.

YAML requiredAccessLevels
Zulässige Werte

Eine oder mehrere vorhandene Zugriffsebenen, die so formatiert sind:

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

Wobei:

  • POLICY-NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation.
  • LEVEL-NAME ist der Name der Zugriffsebene, die Sie als Abhängigkeit hinzufügen möchten.
API-Referenz

Mitglieder

Beschreibung

Prüft, ob eine Anfrage von einem bestimmten Nutzer oder Dienstkonto stammt.

Dieses Attribut kann nur in Bedingungen einbezogen werden, wenn Sie eine Zugriffsebene mit dem gcloud-Befehlszeilentool oder der Access Context Manager API erstellen oder ändern. Wenn Sie mithilfe der Google Cloud Console eine Zugriffsebene erstellt haben, können Sie mit jeder der zuvor genannten Methoden Mitglieder zu dieser Zugriffsebene hinzufügen.

YAML members
Zulässige Werte

Ein oder mehrere Nutzer oder Dienstkonten, die so formatiert sind:

  • user: EMAIL
  • serviceAccount: EMAIL

Wobei:

  • EMAIL ist die E-Mail-Adresse des Nutzers oder Dienstkontos, den/das Sie in die Zugriffsebene aufnehmen möchten.

Gruppen werden als Mitglieder nicht unterstützt.

API-Referenz

Geräterichtlinie

Beschreibung

Eine Geräterichtlinie ist eine Sammlung von Attributen zum Filtern von Anfragen auf der Grundlage von Informationen über das Gerät, von dem die Anfrage gesendet wurde.

Beispielsweise werden Geräterichtlinienattribute in Verbindung mit Cloud Identity-Aware Proxy verwendet, um kontextsensitiven Zugriff zu unterstützen.

Für alle Geräterichtlinienattribute muss die Endpunktprüfung aktiviert sein.

YAML devicePolicy
Zulässige Werte

devicePolicy ist eine Liste mit einem oder mehreren Geräterichtlinienattributen. Die folgenden Attribute sind zulässig:

Für Mobilgeräte können nur bestimmte Geräterichtlinienattribute verwendet werden. In der Zeile Unterstützt Mobilgeräte ist angegeben, ob ein Attribut mit Mobilgeräten verwendet werden kann.

API-Referenz
Geräterichtlinienattribute
Displaysperre erforderlich
Beschreibung

Prüft, ob an einem Gerät die Displaysperre aktiviert ist.

Unterstützt Mobilgeräte Ja
YAML requireScreenlock
Zulässige Werte
  • true
  • false

Der Standardwert ist false, wenn nichts angegeben ist.

API-Referenz
Speicherverschlüsselung
Beschreibung Prüft, ob das Gerät verschlüsselt oder nicht verschlüsselt ist oder die Speicherverschlüsselung nicht unterstützt.
Unterstützt Mobilgeräte No
YAML allowedEncryptionStatuses
Zulässige Werte

Einer oder mehrere der folgenden Werte:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
API-Referenz
Genehmigung des Administrators erforderlich
Beschreibung Prüft, ob das Gerät von einem Administrator genehmigt wurde.
Unterstützt Mobilgeräte No
YAML requireAdminApproval
Zulässige Werte
  • true
  • false
  • Der Standardwert ist false, wenn nichts angegeben ist.

API-Referenz
Unternehmenseigenes Gerät erforderlich
Beschreibung Prüft, ob das Gerät Ihrem Unternehmen gehört.
Unterstützt Mobilgeräte No
YAML requireCorpOwned
Zulässige Werte
  • true
  • false
  • Der Standardwert ist false, wenn nichts angegeben ist.

API-Referenz
Betriebssystemrichtlinie
Beschreibung

Prüft, ob ein Gerät ein angegebenes Betriebssystem verwendet. Darüber hinaus können Sie die Mindestversion eines Betriebssystems angeben, das ein Gerät verwenden muss.

Wenn Sie eine Chrome OS-Richtlinie erstellen, können Sie auch festlegen, dass es sich um ein verifiziertes Chrome OS handeln muss.

Unterstützt Mobilgeräte Ja
YAML osConstraints
Zulässige Werte

osConstraints ist eine Liste, die eine oder mehrere Instanzen von osType enthalten muss. osType kann mit einer Instanz von minimumVersion gekoppelt werden. minimumVersion ist jedoch nicht erforderlich.

  • osType muss eine Liste mit einem oder mehreren der folgenden Werte enthalten:

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • IOS
    • ANDROID
  • minimumVersion ist optional. Bei Verwendung muss der Wert in osType aufgenommen werden.

    minimumVersion muss eine Mindestversion enthalten, die als MAJOR.MINOR.PATCH formatiert ist.

    Beispiel: 10.5.301.

  • Wenn Sie DESKTOP_CHROME_OS für osType angeben, können Sie optional requireVerifiedChromeOs angeben.

    Gültige Werte für requireVerifiedChromeOs sind:

    • true
    • false
  • Wenn Sie IOS oder ANDROID für osType angeben, können Sie optional jedes Geräterichtlinienattribut angeben, das Mobilgeräte unterstützt.

API-Referenz