Attributs de niveau d'accès

Les niveaux d'accès définissent divers attributs utilisés pour filtrer les requêtes adressées à certaines ressources. Le tableau suivant répertorie les attributs acceptés par les niveaux d'accès et fournit des détails supplémentaires sur chaque attribut.

Lorsque vous créez ou modifiez un niveau d'accès à l'aide de l'outil de ligne de commande gcloud, vous devez formater les attributs au format YAML. Ce tableau inclut la syntaxe YAML pour chaque attribut, ainsi que les valeurs valides. Des liens vers les informations de référence REST et RPC sont également inclus pour chaque attribut.

Pour plus d'informations sur les niveaux d'accès et YAML, reportez-vous à la page Exemple de fichier YAML pour un niveau d'accès.

Vous pouvez inclure les attributs suivants dans votre niveau d'accès :

Attributs

Sous-réseaux IP

Description

Cet attribut permet de vérifier si une requête provient d'un ou de plusieurs blocs CIDR IPv4 et/ou IPv6 que vous spécifiez.

Vous ne pouvez pas inclure de plages d'adresses IP privées pour cet attribut. Par exemple, 192.168.0.0/16 ou 172.16.0.0/12.

Lorsque vous spécifiez plusieurs sous-réseaux IP, les valeurs que vous saisissez sont combinées à l'aide d'un opérateur OR lors de l'évaluation de la condition. Pour que la condition renvoie la valeur "true", la requête doit correspondre à l'une des valeurs que vous spécifiez.

YAML ipSubnetworks
Valeurs valides Une liste contenant un ou plusieurs blocs CIDR IPv4 et/ou IPv6.
Documentation de référence de l'API

Régions

Description

Cet attribut permet de vérifier si une requête provient d'une région spécifique. Les régions sont identifiées par les codes ISO 3166-1 alpha-2 correspondants.

Lorsque vous spécifiez plusieurs régions, les valeurs que vous saisissez sont ORd lorsque la condition est évaluée. L'accès est accordé aux utilisateurs si ceux-ci se trouvent dans l'une des régions que vous spécifiez.

YAML regions
Valeurs valides Une liste contenant un ou plusieurs codes ISO 3166-1 alpha-2.
Référence d'API Aucune

Dépendance du niveau d'accès

Description

Cet attribut permet de vérifier si une requête respecte les critères d'un ou de plusieurs niveaux d'accès.

YAML requiredAccessLevels
Valeurs valides

Une liste contenant un ou plusieurs niveaux d'accès existants, formatée comme suit :

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

Où :

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation.
  • LEVEL-NAME est le nom du niveau d'accès que vous souhaitez ajouter en tant que dépendance.
Documentation de référence de l'API

Comptes principaux

Description

Cet attribut permet de vérifier si une requête provient bien d'un utilisateur ou d'un compte de service spécifique.

Cet attribut ne peut être inclus que dans des conditions lors de la création ou de la modification d'un niveau d'accès à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager. Si vous avez créé un niveau d'accès à l'aide de Google Cloud Console, l'une des méthodes mentionnées précédemment peut être utilisée pour ajouter des comptes principaux à ce niveau d'accès.

YAML members
Valeurs valides

Une liste contenant un ou plusieurs utilisateurs ou comptes de service, formatée comme suit :

  • user: EMAIL
  • serviceAccount: EMAIL

Où :

  • EMAIL est l'e-mail qui correspond à l'utilisateur ou au compte de service que vous souhaitez inclure dans le niveau d'accès.

Les groupes ne sont pas acceptés.

Documentation de référence de l'API

Règles relatives aux appareils

Conditions requises

Pour utiliser les attributs de règles relatives aux appareils mobiles, vous devez configurer la gestion des appareils mobiles (MDM) pour votre organisation.

Pour utiliser les attributs de règles relatives à d'autres appareils, la validation des points de terminaison doit être activée.

Description

Une "règle relative aux appareils" est un ensemble d'attributs utilisé pour filtrer les requêtes en fonction de certaines informations relatives à l'appareil qui est à l'origine de la requête.

Par exemple, les attributs de règles relatives aux appareils sont utilisés conjointement avec Identity-Aware Proxy pour les accès contextuels.

YAML devicePolicy
Valeurs valides

devicePolicy est une liste d'un ou plusieurs attributs de règles relatives aux appareils. Les attributs suivants sont acceptés :

Seuls certains attributs de règles relatives aux appareils peuvent être utilisés avec des appareils mobiles. La ligne Compatible avec les appareils mobiles indique si un attribut peut être utilisé avec des appareils mobiles.

Documentation de référence de l'API
Attributs de règles relatives aux appareils
Exiger le verrouillage de l'écran
Description

Cet attribut permet de vérifier si le verrouillage de l'écran est activé sur un appareil.

Compatible avec les appareils mobiles Oui
YAML requireScreenlock
Valeurs valides
  • true
  • false

Si aucune valeur n'est spécifiée, la valeur par défaut est false.

Documentation de référence de l'API
Chiffrement du stockage
Description Cet attribut permet de déterminer si l'appareil est chiffré, non chiffré, ou encore non compatible avec la fonctionnalité de chiffrement du stockage.
Compatible avec les appareils mobiles

Oui

YAML allowedEncryptionStatuses
Valeurs valides

Une ou plusieurs des valeurs suivantes :

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
Documentation de référence de l'API
Exiger l'approbation de l'administrateur
Description Cet attribut permet de vérifier si l'appareil a été approuvé par un administrateur.
Compatible avec les appareils mobiles Oui
YAML requireAdminApproval
Valeurs valides
  • true
  • false
  • Si aucune valeur n'est spécifiée, la valeur par défaut est false.

Référence d'API Aucune
Exiger un appareil d'entreprise
Description Cet attribut permet de vérifier si l'appareil appartient à votre entreprise.
Compatible avec les appareils mobiles Oui
YAML requireCorpOwned
Valeurs valides
  • true
  • false
  • Si aucune valeur n'est spécifiée, la valeur par défaut est false.

Référence d'API Aucune
Règle propre à l'OS
Description

Cet attribut permet de vérifier si un appareil utilise un système d'exploitation spécifié. En outre, vous pouvez définir la version minimale du système d'exploitation que l'appareil doit utiliser.

Si vous créez une règle propre à Chrome OS, vous pouvez également spécifier que le système d'exploitation doit être un Système Chrome OS validé.

Lorsque vous sélectionnez plusieurs systèmes d'exploitation, les valeurs que vous sélectionnez sont ORd lorsque la condition est évaluée. L'accès est accordé aux utilisateurs si ceux-ci disposent de l'un des systèmes d'exploitation que vous spécifiez.

Compatible avec les appareils mobiles Oui
YAML osConstraints
Valeurs valides

osConstraints est une liste qui doit inclure une ou plusieurs instances de osType. osType peut être associé à une instance de minimumVersion, mais minimumVersion n'est pas obligatoire.

  • osType doit inclure une liste d'une ou plusieurs des valeurs suivantes :

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • IOS
    • ANDROID
  • minimumVersion est facultatif. Si vous l'utilisez, vous devez l'inclure avec osType.

    minimumVersion doit inclure une version minimale au format MAJOR.MINOR.PATCH.

    Exemple : 10.5.301.

  • Si vous spécifiez DESKTOP_CHROME_OS pour osType, vous pouvez éventuellement inclure requireVerifiedChromeOs.

    Les valeurs valides pour requireVerifiedChromeOs sont :

    • true
    • false
  • Si vous spécifiez IOS ou ANDROID pour osType, vous pouvez éventuellement inclure tout attribut de règles relatives aux appareils compatible avec les appareils mobiles.

Documentation de référence de l'API