Atributos de nivel de acceso

Los niveles de acceso definen diversos atributos que se usan para filtrar las solicitudes realizadas a ciertos recursos. En la siguiente tabla, se enumeran los atributos compatibles con los niveles de acceso y se proporcionan detalles adicionales sobre cada atributo.

Cuando creas o modificas un nivel de acceso con la herramienta de línea de comandos de gcloud, debes formatear los atributos en YAML. En esta tabla, se incluye la sintaxis YAML para cada atributo y los valores válidos. También se incluyen los vínculos a la información de referencia de REST y RPC para cada atributo.

A fin de obtener más información sobre los niveles de acceso y YAML, consulta el ejemplo de YAML para un nivel de acceso.

Puedes incluir los siguientes atributos en tu nivel de acceso:

Subredes de IP
regiones
Dependencia de nivel de acceso
Miembros
Política de dispositivo

Atributos

Subredes de IP

Descripción	Verifica si una solicitud proviene de uno o más bloques CIDR IPv4 o IPv6 que especifiques. No puedes incluir rangos de IP privados para este atributo. Por ejemplo, `192.168.0.0/16` o `172.16.0.0/12`.
YAML	`ipSubnetworks`
Valores válidos	Una lista de uno o más bloques IPv4 o IPv6 CIDR.
Referencia de la API	`REST` `RPC`

regiones

Descripción	Comprueba si una solicitud se originó de una región específica. Las regiones se identifican mediante los códigos ISO 3166-1 alpha-2 correspondientes. Precaución: El origen de una solicitud se determina según la ubicación geográfica de la dirección IP desde la que se originó la solicitud. Debido a esto, el atributo de región solo funciona para solicitudes que se originan desde una dirección IP pública. Debido a que las direcciones IP privadas no se pueden ubicar geográficamente, los niveles de acceso que requieren una región siempre rechazarán las solicitudes de direcciones IP privadas y no admiten solicitudes realizadas con el Acceso privado a Google.
YAML	`regions`
Valores válidos	Una lista de uno o más códigos ISO 3166-1 alpha-2.
Referencia de API	None

Dependencia de nivel de acceso

Descripción	Verifica si una solicitud cumple con los criterios de uno o más niveles de acceso.
YAML	`requiredAccessLevels`
Valores válidos	Una lista de uno o más niveles de acceso existentes formateados como se muestra a continuación: `accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME` Aquí: `POLICY-NAME` es el nombre numérico de la política de acceso de tu organización. `LEVEL-NAME` es el nombre del nivel de acceso que deseas agregar como una dependencia.
Referencia de la API	`REST` `RPC`

Miembros

Descripción	Verifica si una solicitud proviene de un usuario o de una cuenta de servicio específicos. Este atributo solo se puede incluir en las condiciones cuando se crea o modifica un nivel de acceso con la herramienta de línea de comandos de `gcloud` o la API de Access Context Manager. Si creaste un nivel de acceso con Google Cloud Console, cualquiera de los métodos mencionados antes se puede usar para agregar miembros a ese nivel de acceso.
YAML	`members`
Valores válidos	Una lista de una o más cuentas de usuario o servicio, con el siguiente formato: `user: EMAIL` `serviceAccount: EMAIL` Aquí: `EMAIL` es el correo electrónico que corresponde al usuario o cuenta de servicio que deseas incluir en el nivel de acceso. No se admiten grupos como miembros.
Referencia de la API	`REST` `RPC`

Política de dispositivo

Requisitos

A fin de usar los atributos de la política de dispositivo con dispositivos móviles, debes configurar MDM para tu organización.

Para usar los atributos de política de dispositivo con otros dispositivos, se debes habilitar la Verificación de extremos.

Descripción

Una política de dispositivo es una colección de atributos que se usa para filtrar solicitudes según la información sobre el dispositivo en el que se originó la solicitud.

Por ejemplo, los atributos de la política de dispositivos se usan junto con Identity-Aware Proxy para admitir el acceso adaptado al contexto.

YAML devicePolicy

Valores válidos

devicePolicy es una lista de uno o más atributos de las políticas del dispositivo. Los siguientes atributos son compatibles:

Exigir bloqueo de pantalla
Encriptación de almacenamiento
Exigir aprobación del administrador
Exigir dispositivo propiedad de la empresa
Políticas del SO

Solo algunos atributos de la política de dispositivo se pueden usar con dispositivos móviles. La fila Compatibilidad con dispositivos móviles identifica si un atributo se puede usar con dispositivos móviles.

Referencia de la API

REST
RPC

Atributos de la política de dispositivo

Exigir bloqueo de pantalla

Descripción	Comprueba si un dispositivo tiene habilitado el bloqueo de pantalla.
Compatible con dispositivos móviles	Sí
YAML	`requireScreenlock`
Valores válidos	`true` `false` Si se omite, el valor predeterminado es `false`.
Referencia de la API	`REST` `RPC`

Encriptación de almacenamiento

Descripción	Comprueba si el dispositivo está encriptado, no está encriptado o no es compatible con la encriptación de almacenamiento.
Compatible con dispositivos móviles	Sí Importante:Para que un dispositivo iOS cumpla con el atributo de encriptación de almacenamiento, se debe habilitar el bloqueo de pantalla en el dispositivo.
YAML	`allowedEncryptionStatuses`
Valores válidos	Uno o más de los siguientes valores: `ENCRYPTION_UNSUPPORTED` `ENCRYPTED` `UNENCRYPTED`
Referencia de la API	`REST` `RPC`

Exigir aprobación del administrador

Descripción	Comprueba si un administrador aprobó el dispositivo.
Compatible con dispositivos móviles	Sí
YAML	`requireAdminApproval`
Valores válidos	`true` `false` Si se omite, el valor predeterminado es `false`.
Referencia de API	None

Exigir dispositivo propiedad de la empresa

Descripción	Verifica si el dispositivo pertenece a tu empresa.
Compatible con dispositivos móviles	Sí
YAML	`requireCorpOwned`
Valores válidos	`true` `false` Si se omite, el valor predeterminado es `false`.
Referencia de API	None

Políticas del SO

Descripción	Comprueba si un dispositivo usa un sistema operativo especificado. Además, puedes especificar una versión mínima de un SO que debe usar un dispositivo. Si creas una política del Sistema operativo Chrome, también puedes especificar que debe ser un Sistema operativo Chrome verificado.
Compatible con dispositivos móviles	Sí
YAML	`osConstraints`
Valores válidos	`osConstraints` es una lista que debe incluir una o más instancias de `osType`. `osType` se puede sincronizar con una instancia de `minimumVersion`, pero `minimumVersion` no es obligatoria. `osType` debe incluir una lista de uno o más de los siguientes valores: `DESKTOP_MAC` `DESKTOP_WINDOWS` `DESKTOP_CHROME_OS` `IOS` `ANDROID` `minimumVersion` es opcional. Si se usa, debe incluirse con `osType`. `minimumVersion` debe incluir una versión mínima con formato `MAJOR.MINOR.PATCH`. Por ejemplo: 10.5.301. Si especificas `DESKTOP_CHROME_OS` para `osType`, tienes la opción de incluir `requireVerifiedChromeOs`. Los valores válidos para `requireVerifiedChromeOs` son los siguientes: `true` `false` Si especificas `IOS` o `ANDROID` para `osType`, de manera opcional, puedes incluir cualquier atributo de política de dispositivo que admita dispositivos móviles.
Referencia de la API	`REST` `RPC`