Atributos de nivel de acceso

Los niveles de acceso definen varios atributos que se usan para filtrar solicitudes realizadas a ciertos recursos. En la siguiente tabla, se enumeran los atributos admitidos por los niveles de acceso y se proporcionan detalles adicionales sobre cada atributo.

Cuando creas o modificas un nivel de acceso mediante la herramienta de línea de comandos de gcloud, debes dar formato a los atributos en YAML. En esta tabla, se incluye la sintaxis YAML para cada atributo y los valores válidos. También se incluyen vínculos a la información de referencia de REST y RPC de cada atributo.

A fin de obtener más información sobre los niveles de acceso y YAML, consulta el ejemplo de YAML para un nivel de acceso.

Puedes incluir los siguientes atributos en tu nivel de acceso:

Atributos

Subredes de IP

Descripción

Comprueba si una solicitud proviene de uno o más bloques de CIDR de IPv4 o IPv6 que especificaste.

No puedes incluir rangos de IP privados para este atributo. Por ejemplo, 192.168.0.0/16 o 172.16.0.0/12.

YAML ipSubnetworks
Valores válidos Una lista de uno o más bloques IPv4 o IPv6 CIDR.
Referencia de la API

regiones

Descripción

Comprueba si una solicitud se originó de una región específica. Las regiones se identifican con los códigos ISO 3166-1 alpha-2 correspondientes.

YAML regions
Valores válidos Una lista de uno o más códigos ISO 3166-1 alpha-2.
Referencia de API None

Dependencia de nivel de acceso

Descripción

Comprueba si una solicitud cumple con los criterios de uno o más niveles de acceso.

YAML requiredAccessLevels
Valores válidos

Una lista de uno o más niveles de acceso existentes formateados como se muestra a continuación:

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

Aquí:

  • POLICY-NAME es el nombre numérico de la política de acceso de tu organización.
  • LEVEL-NAME es el nombre del nivel de acceso que deseas agregar como dependencia.
Referencia de la API

Directores

Descripción

Comprueba si una solicitud proviene de un usuario específico o una cuenta de servicio.

Este atributo solo se puede incluir en las condiciones cuando se crea o modifica un nivel de acceso mediante la herramienta de línea de comandos de gcloud o la API de Access Context Manager. Si creaste un nivel de acceso con Google Cloud Console, se puede usar cualquiera de los métodos mencionados con anterioridad para agregar principales a ese nivel de acceso.

YAML members
Valores válidos

Una lista de una o más cuentas de usuario o servicio, con el siguiente formato:

  • user: EMAIL
  • serviceAccount: EMAIL

Aquí:

  • EMAIL es el correo electrónico que corresponde al usuario o la cuenta de servicio que deseas incluir en el nivel de acceso.

No se admiten los grupos.

Referencia de la API

Política de dispositivo

Requisitos

Si quieres usar los atributos de política de dispositivo con dispositivos móviles, debes configurar la MDM para tu organización.

Para usar los atributos de política de dispositivo con otros dispositivos, se debes habilitar la Verificación de extremos.

Descripción

Una política de dispositivo es una colección de atributos que se usa para filtrar solicitudes según la información sobre el dispositivo en el que se originó la solicitud.

Por ejemplo, los atributos de la política de dispositivos se usan junto con Identity-Aware Proxy para admitir el acceso adaptado al contexto.

YAML devicePolicy
Valores válidos

devicePolicy es una lista de uno o más atributos de las políticas del dispositivo. Los siguientes atributos son compatibles:

Solo se pueden usar ciertos atributos de política de dispositivo con dispositivos móviles. En la fila Compatibilidad con dispositivos móviles, se identifica si un atributo se puede usar con dispositivos móviles.

Referencia de la API
Atributos de la política de dispositivo
Exigir bloqueo de pantalla
Descripción

Comprueba si un dispositivo tiene habilitado el bloqueo de pantalla.

Compatible con dispositivos móviles
YAML requireScreenlock
Valores válidos
  • true
  • false

Si se omite, el valor predeterminado es false.

Referencia de la API
Encriptación de almacenamiento
Descripción Comprueba si el dispositivo está encriptado, no encriptado o no admite la encriptación de almacenamiento.
Compatible con dispositivos móviles

YAML allowedEncryptionStatuses
Valores válidos

Uno o más de los siguientes valores:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
Referencia de la API
Exigir aprobación del administrador
Descripción Comprueba si el administrador aprobó el dispositivo.
Compatible con dispositivos móviles
YAML requireAdminApproval
Valores válidos
  • true
  • false
  • Si se omite, el valor predeterminado es false.

Referencia de API None
Exigir dispositivo propiedad de la empresa
Descripción Comprueba si el dispositivo es propiedad de tu empresa.
Compatible con dispositivos móviles
YAML requireCorpOwned
Valores válidos
  • true
  • false
  • Si se omite, el valor predeterminado es false.

Referencia de API None
Políticas del SO
Descripción

Comprueba si un dispositivo usa un sistema operativo especificado. Además, puedes especificar una versión mínima de un SO que debe usar un dispositivo.

Si creas una política del Sistema operativo Chrome, también puedes especificar que debe ser un Sistema operativo Chrome verificado.

Compatible con dispositivos móviles
YAML osConstraints
Valores válidos

osConstraints es una lista que debe incluir una o más instancias de osType. osType se puede vincular con una instancia de minimumVersion, pero no es obligatorio usar minimumVersion.

  • osType debe incluir una lista de uno o más de los siguientes valores:

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • IOS
    • ANDROID
  • minimumVersion es opcional. Si se usa, debe incluirse con osType.

    minimumVersion debe incluir una versión mínima con el formato MAJOR.MINOR.PATCH.

    Por ejemplo: 10.5.301.

  • Si especificas DESKTOP_CHROME_OS para osType, puedes incluir requireVerifiedChromeOs.

    Los valores válidos para requireVerifiedChromeOs son los siguientes:

    • true
    • false
  • Si especificas IOS o ANDROID para osType, tienes la opción de incluir cualquier atributo de política de dispositivo compatible con dispositivos móviles.

Referencia de la API