Les niveaux d'accès définissent divers attributs utilisés pour filtrer les requêtes adressées à certaines ressources. Le tableau suivant répertorie les attributs acceptés par les niveaux d'accès et fournit des détails supplémentaires sur chaque attribut.
Lorsque vous créez ou modifiez un niveau d'accès à l'aide de l'outil de ligne de commande gcloud, vous devez formater les attributs au format YAML. Ce tableau inclut la syntaxe YAML pour chaque attribut, ainsi que les valeurs valides. Des liens vers les informations de référence REST et RPC sont également inclus pour chaque attribut.
Cet attribut permet de vérifier si une requête provient d'un ou de plusieurs blocs CIDR IPv4 et/ou IPv6 que vous spécifiez.
Vous ne pouvez pas inclure de plages d'adresses IP privées pour cet attribut. Par exemple, 192.168.0.0/16 ou 172.16.0.0/12.
Lorsque vous spécifiez plusieurs sous-réseaux IP, les valeurs que vous saisissez sont combinées à l'aide d'un opérateur OU lors de l'évaluation de la condition. La requête doit correspondre à l'une des valeurs que vous spécifiez pour que la condition soit remplie.
YAML
ipSubnetworks
Valeurs valides
Une liste contenant un ou plusieurs blocs CIDR IPv4 et/ou IPv6.
Cet attribut permet de vérifier si une requête provient d'une région spécifique.
Les régions sont identifiées par les codes ISO 3166-1 alpha-2 correspondants.
Lorsque vous spécifiez plusieurs régions, les valeurs que vous saisissez sont soumises à l'opérateur OR lorsque la condition est évaluée. Les utilisateurs se voient autoriser l'accès s'ils se trouvent dans l'une des régions que vous spécifiez.
Cet attribut permet de vérifier si une requête provient bien d'un utilisateur ou d'un compte de service spécifique.
Cet attribut ne peut être inclus que dans des conditions lors de la création ou de la modification d'un niveau d'accès à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager. Si vous avez créé un niveau d'accès à l'aide de Google Cloud Console, vous pouvez utiliser l'une ou l'autre des méthodes mentionnées précédemment pour ajouter des comptes principaux à ce niveau d'accès.
YAML
members
Valeurs valides
Une liste contenant un ou plusieurs utilisateurs ou comptes de service, formatée comme suit :
user: EMAIL
serviceAccount: EMAIL
Où :
EMAIL est l'e-mail qui correspond à l'utilisateur ou au compte de service que vous souhaitez inclure dans le niveau d'accès.
Pour utiliser les attributs de règles relatives aux appareils avec d'autres appareils, la validation des points de terminaison doit être activée.
Description
Une "règle relative aux appareils" est un ensemble d'attributs utilisé pour filtrer les requêtes en fonction de certaines informations relatives à l'appareil qui est à l'origine de la requête.
Par exemple, les attributs de règles relatives aux appareils sont utilisés conjointement avec Identity-Aware Proxy pour prendre en charge l'accès contextuel.
YAML
devicePolicy
Valeurs valides
devicePolicy est une liste d'un ou plusieurs attributs de règles relatives aux appareils. Les attributs suivants sont acceptés :
Seuls certains attributs de règles relatives aux appareils peuvent être utilisés avec des appareils mobiles. La ligne Compatible avec les appareils mobiles indique si un attribut peut être utilisé avec des appareils mobiles.
Cet attribut permet de vérifier si l'appareil a été approuvé par un administrateur.
Compatible avec les appareils mobiles
Oui
YAML
requireAdminApproval
Valeurs valides
true
false
En cas d'omission, la valeur par défaut est false.
Documentation de référence de l'API
Aucune
Exiger un appareil d'entreprise
Description
Cet attribut permet de vérifier si l'appareil appartient à votre entreprise.
Compatible avec les appareils mobiles
Oui
YAML
requireCorpOwned
Valeurs valides
true
false
En cas d'omission, la valeur par défaut est false.
Documentation de référence de l'API
Aucune
Règle sur l'OS
Description
Cet attribut permet de vérifier si un appareil utilise un système d'exploitation spécifié. En outre, vous pouvez définir la version minimale du système d'exploitation que l'appareil doit utiliser.
Si vous créez une règle propre à Chrome OS, vous pouvez également spécifier que le système d'exploitation doit être un Système Chrome OS validé.
Lorsque vous sélectionnez plusieurs systèmes d'exploitation, les valeurs que vous sélectionnez sont soumises à l'opérateur OR lorsque la condition est évaluée. Les utilisateurs se voient autoriser l'accès s'ils disposent de l'un des systèmes d'exploitation que vous spécifiez.
Compatible avec les appareils mobiles
Oui
YAML
osConstraints
Valeurs valides
osConstraints est une liste qui doit inclure une ou plusieurs instances de osType.
osType peut être associé à une instance de minimumVersion, mais minimumVersion n'est pas obligatoire.
osType doit inclure une liste d'une ou de plusieurs des valeurs suivantes:
DESKTOP_MAC
DESKTOP_WINDOWS
DESKTOP_CHROME_OS
IOS
ANDROID
minimumVersion est facultatif. Si vous l'utilisez, vous devez l'inclure avec osType.
minimumVersion doit inclure une version minimale au format MAJOR.MINOR.PATCH.
Exemple : 10.5.301.
Si vous spécifiez DESKTOP_CHROME_OS pour osType, vous pouvez éventuellement inclure requireVerifiedChromeOs.
Les valeurs valides pour requireVerifiedChromeOs sont:
true
false
Si vous spécifiez IOS ou ANDROID pour osType, vous pouvez éventuellement inclure n'importe quel attribut de stratégie d'appareil compatible avec les appareils mobiles.
