Attributs de niveau d'accès

Les niveaux d'accès définissent divers attributs utilisés pour filtrer les requêtes adressées à certaines ressources. Le tableau suivant répertorie les attributs acceptés par les niveaux d'accès et fournit des détails supplémentaires sur chaque attribut.

Lorsque vous créez ou modifiez un niveau d'accès à l'aide de l'outil de ligne de commande gcloud, vous devez formater les attributs au format YAML. Ce tableau inclut la syntaxe YAML pour chaque attribut, ainsi que les valeurs valides. Des liens vers les informations de référence REST et RPC sont également inclus pour chaque attribut.

Pour plus d'informations sur les niveaux d'accès et YAML, reportez-vous à la page Exemple de fichier YAML pour un niveau d'accès.

Vous pouvez inclure les attributs suivants dans votre niveau d'accès :

Sous-réseaux IP
Régions
Dépendance du niveau d'accès
Membres
Règles relatives aux appareils

Attributs

Sous-réseaux IP

Description	Cet attribut permet de vérifier si une requête provient d'un ou de plusieurs blocs CIDR IPv4 et/ou IPv6 que vous spécifiez. Vous ne pouvez pas inclure de plages d'adresses IP privées pour cet attribut. Par exemple, `192.168.0.0/16` ou `172.16.0.0/12`.
YAML	`ipSubnetworks`
Valeurs valides	Une liste contenant un ou plusieurs blocs CIDR IPv4 et/ou IPv6.
Documentation de référence de l'API	`REST` `RPC`

Régions

Description	Cet attribut permet de vérifier si une requête provient d'une région spécifique. Les régions sont identifiées par les codes ISO 3166-1 alpha-2 correspondants. Attention : L'origine d'une requête est déterminée par la géolocalisation de l'adresse IP d'origine de la requête. Pour cette raison, l'attribut "région" ne fonctionne que pour les requêtes provenant d'une adresse IP publique. Étant donné que les adresses IP privées ne peuvent pas être géolocalisées, les niveaux d'accès qui requièrent une région refusent toujours les demandes provenant d'adresses IP privées et ne traitent pas les requêtes effectuées à l'aide de l'Accès privé à Google.
YAML	`regions`
Valeurs valides	Une liste contenant un ou plusieurs codes ISO 3166-1 alpha-2.
Référence d'API	Aucune

Dépendance du niveau d'accès

Description	Cet attribut permet de vérifier si une requête respecte les critères d'un ou de plusieurs niveaux d'accès.
YAML	`requiredAccessLevels`
Valeurs valides	Une liste contenant un ou plusieurs niveaux d'accès existants, formatée comme suit : `accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME` Où : `POLICY-NAME` est le nom (au format numérique) de la règle d'accès de votre organisation. `LEVEL-NAME` est le nom du niveau d'accès que vous souhaitez ajouter en tant que dépendance.
Documentation de référence de l'API	`REST` `RPC`

Membres

Description	Cet attribut permet de vérifier si une requête provient bien d'un utilisateur ou d'un compte de service spécifique. Cet attribut ne peut être inclus que dans des conditions lors de la création ou de la modification d'un niveau d'accès à l'aide de l'outil de ligne de commande `gcloud` ou de l'API Access Context Manager. Si vous avez créé un niveau d'accès à l'aide de Google Cloud Console, l'une des méthodes mentionnées précédemment peut être utilisée pour ajouter des membres à ce niveau d'accès.
YAML	`members`
Valeurs valides	Une liste contenant un ou plusieurs utilisateurs ou comptes de service, formatée comme suit : `user: EMAIL` `serviceAccount: EMAIL` Où : `EMAIL` est l'e-mail qui correspond à l'utilisateur ou au compte de service que vous souhaitez inclure dans le niveau d'accès. Les groupes ne sont pas acceptés en tant que membres.
Documentation de référence de l'API	`REST` `RPC`

Règles relatives aux appareils

Conditions requises

Pour utiliser les attributs de règles relatives aux appareils mobiles, vous devez configurer la gestion des appareils mobiles (MDM) pour votre organisation.

Pour utiliser les attributs de règles relatives à d'autres appareils, la validation des points de terminaison doit être activée.

Description

Une "règle relative aux appareils" est un ensemble d'attributs utilisé pour filtrer les requêtes en fonction de certaines informations relatives à l'appareil qui est à l'origine de la requête.

Par exemple, les attributs de règles relatives aux appareils sont utilisés conjointement avec Identity-Aware Proxy pour les accès contextuels.

YAML devicePolicy

Valeurs valides

devicePolicy est une liste d'un ou plusieurs attributs de règles relatives aux appareils. Les attributs suivants sont acceptés :

Exiger le verrouillage de l'écran
Chiffrement du stockage
Exiger l'approbation de l'administrateur
Exiger un appareil d'entreprise
Règle sur l'OS

Seuls certains attributs de règles relatives aux appareils peuvent être utilisés avec des appareils mobiles. La ligne Compatible avec les appareils mobiles indique si un attribut peut être utilisé avec des appareils mobiles.

Documentation de référence de l'API

REST
RPC

Attributs de règles relatives aux appareils

Exiger le verrouillage de l'écran

Description	Cet attribut permet de vérifier si le verrouillage de l'écran est activé sur un appareil.
Compatible avec les appareils mobiles	Oui
YAML	`requireScreenlock`
Valeurs valides	`true` `false` Si aucune valeur n'est spécifiée, la valeur par défaut est `false`.
Documentation de référence de l'API	`REST` `RPC`

Chiffrement du stockage

Description	Cet attribut permet de déterminer si l'appareil est chiffré, non chiffré, ou encore non compatible avec la fonctionnalité de chiffrement du stockage.
Compatible avec les appareils mobiles	Oui Important : Pour qu'un appareil iOS puisse satisfaire l'attribut de chiffrement du stockage, le verrouillage de l'écran doit être activé sur l'appareil.
YAML	`allowedEncryptionStatuses`
Valeurs valides	Une ou plusieurs des valeurs suivantes : `ENCRYPTION_UNSUPPORTED` `ENCRYPTED` `UNENCRYPTED`
Documentation de référence de l'API	`REST` `RPC`

Exiger l'approbation de l'administrateur

Description	Cet attribut permet de vérifier si l'appareil a été approuvé par un administrateur.
Compatible avec les appareils mobiles	Oui
YAML	`requireAdminApproval`
Valeurs valides	`true` `false` Si aucune valeur n'est spécifiée, la valeur par défaut est `false`.
Référence d'API	Aucune

Exiger un appareil d'entreprise

Description	Cet attribut permet de vérifier si l'appareil appartient à votre entreprise.
Compatible avec les appareils mobiles	Oui
YAML	`requireCorpOwned`
Valeurs valides	`true` `false` Si aucune valeur n'est spécifiée, la valeur par défaut est `false`.
Référence d'API	Aucune

Règle relative à l'OS

Description	Cet attribut permet de vérifier si un appareil utilise un système d'exploitation spécifié. En outre, vous pouvez définir la version minimale du système d'exploitation que l'appareil doit utiliser. Si vous créez une règle relative à Chrome OS, vous pouvez également spécifier que le système d'exploitation doit être un Système Chrome OS validé.
Compatible avec les appareils mobiles	Oui
YAML	`osConstraints`
Valeurs valides	`osConstraints` est une liste qui doit inclure une ou plusieurs instances de `osType`. `osType` peut être associé à une instance de `minimumVersion`, mais `minimumVersion` n'est pas obligatoire. `osType` doit inclure une liste d'une ou plusieurs des valeurs suivantes : `DESKTOP_MAC` `DESKTOP_WINDOWS` `DESKTOP_CHROME_OS` `IOS` `ANDROID` `minimumVersion` est facultatif. Si vous l'utilisez, vous devez l'inclure avec `osType`. `minimumVersion` doit inclure une version minimale au format `MAJOR.MINOR.PATCH`. Exemple : 10.5.301. Si vous spécifiez `DESKTOP_CHROME_OS` pour `osType`, vous pouvez éventuellement inclure `requireVerifiedChromeOs`. Les valeurs valides pour `requireVerifiedChromeOs` sont : `true` `false` Si vous spécifiez `IOS` ou `ANDROID` pour `osType`, vous pouvez éventuellement inclure tout attribut de règles relatives aux appareils compatible avec les appareils mobiles.
Documentation de référence de l'API	`REST` `RPC`