Attributs de niveau d'accès

Les niveaux d'accès définissent divers attributs utilisés pour filtrer les requêtes adressées à certaines ressources. Le tableau suivant répertorie les attributs acceptés par les niveaux d'accès et fournit des détails supplémentaires sur chaque attribut.

Lorsque vous créez ou modifiez un niveau d'accès à l'aide de l'outil de ligne de commande gcloud, vous devez formater les attributs au format YAML. Ce tableau inclut la syntaxe YAML pour chaque attribut, ainsi que les valeurs valides. Des liens vers les informations de référence REST et RPC sont également inclus pour chaque attribut.

Pour plus d'informations sur les niveaux d'accès et YAML, reportez-vous à la page Exemple de fichier YAML pour un niveau d'accès.

Vous pouvez inclure les attributs suivants dans votre niveau d'accès :

Attributs

Sous-réseaux IP

Description

Cet attribut permet de vérifier si une requête provient d'un ou de plusieurs blocs CIDR IPv4 et/ou IPv6 que vous spécifiez.

Vous ne pouvez pas inclure de plages d'adresses IP privées pour cet attribut. Par exemple, 192.168.0.0/16 ou 172.16.0.0/12.

YAML ipSubnetworks
Valeurs valides Une liste contenant un ou plusieurs blocs CIDR IPv4 et/ou IPv6.
Référence d'API

Régions

Description

Cet attribut permet de vérifier si une requête provient d'une région spécifique. Les régions sont identifiées par les codes ISO 3166-1 alpha-2 correspondants.

YAML regions
Valeurs valides Une liste contenant un ou plusieurs codes ISO 3166-1 alpha-2.
Référence d'API Aucune

Dépendance du niveau d'accès

Description

Cet attribut permet de vérifier si une requête respecte les critères d'un ou de plusieurs niveaux d'accès.

YAML requiredAccessLevels
Valeurs valides

Une liste contenant un ou plusieurs niveaux d'accès existants, formatée comme suit :

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

Où :

  • POLICY-NAME est le nom (au format numérique) de la règle d'accès de votre organisation.
  • LEVEL-NAME est le nom du niveau d'accès que vous souhaitez ajouter en tant que dépendance.
Documentation de référence de l'API

Membres

Description

Cet attribut permet de vérifier si une requête provient bien d'un utilisateur ou d'un compte de service spécifique.

Cet attribut ne peut être inclus que dans des conditions lors de la création ou de la modification d'un niveau d'accès à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager. Si vous avez créé un niveau d'accès à l'aide de Google Cloud Console, l'une des méthodes mentionnées précédemment peut être utilisée pour ajouter des membres à ce niveau d'accès.

YAML members
Valeurs valides

Une liste contenant un ou plusieurs utilisateurs ou comptes de service, formatée comme suit :

  • user: EMAIL
  • serviceAccount: EMAIL

Où :

  • EMAIL est l'e-mail qui correspond à l'utilisateur ou au compte de service que vous souhaitez inclure dans le niveau d'accès.

Les groupes ne sont pas acceptés en tant que membres.

Référence d'API

Règles relatives aux appareils

Description

Une "règle relative aux appareils" est un ensemble d'attributs utilisé pour filtrer les requêtes en fonction de certaines informations relatives à l'appareil qui est à l'origine de la requête.

Par exemple, les attributs de règles relatives aux appareils sont utilisés conjointement avec Identity-Aware Proxy pour les accès contextuels.

Tous les attributs de règles relatives aux appareils requièrent que la Validation des points de terminaison soit activée.

YAML devicePolicy
Valeurs valides

devicePolicy est une liste d'un ou plusieurs attributs de règles relatives aux appareils. Les attributs suivants sont acceptés :

Seuls certains attributs de règles relatives aux appareils peuvent être utilisés avec des appareils mobiles. La ligne Compatible avec les appareils mobiles indique si un attribut peut être utilisé avec des appareils mobiles.

Référence d'API
Attributs de règles relatives aux appareils
Exiger le verrouillage de l'écran
Description

Cet attribut permet de vérifier si le verrouillage de l'écran est activé sur un appareil.

Compatible avec les appareils mobiles Oui
YAML requireScreenlock
Valeurs valides
  • true
  • false

Si aucune valeur n'est spécifiée, la valeur par défaut est false.

Référence d'API
Chiffrement du stockage
Description Cet attribut permet de déterminer si l'appareil est chiffré, non chiffré, ou encore non compatible avec la fonctionnalité de chiffrement du stockage.
Compatible avec les appareils mobiles No
YAML allowedEncryptionStatuses
Valeurs valides

Une ou plusieurs des valeurs suivantes :

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
Référence d'API
Exiger l'approbation de l'administrateur
Description Cet attribut permet de vérifier si l'appareil a été approuvé par un administrateur.
Compatible avec les appareils mobiles No
YAML requireAdminApproval
Valeurs valides
  • true
  • false
  • Si aucune valeur n'est spécifiée, la valeur par défaut est false.

Référence d'API Aucune
Exiger un appareil d'entreprise
Description Cet attribut permet de vérifier si l'appareil appartient à votre entreprise.
Compatible avec les appareils mobiles No
YAML requireCorpOwned
Valeurs valides
  • true
  • false
  • Si aucune valeur n'est spécifiée, la valeur par défaut est false.

Référence d'API Aucune
Règle relative à l'OS
Description

Cet attribut permet de vérifier si un appareil utilise un système d'exploitation spécifié. En outre, vous pouvez définir la version minimale du système d'exploitation que l'appareil doit utiliser.

Si vous créez une règle relative à Chrome OS, vous pouvez également spécifier que le système d'exploitation doit être un Système Chrome OS validé.

Compatible avec les appareils mobiles Oui
YAML osConstraints
Valeurs valides

osConstraints est une liste qui doit inclure une ou plusieurs instances de osType. osType peut être associé à une instance de minimumVersion, mais minimumVersion n'est pas obligatoire.

  • osType doit inclure une liste d'une ou plusieurs des valeurs suivantes :

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • IOS
    • ANDROID
  • minimumVersion est facultatif. Si vous l'utilisez, vous devez l'inclure avec osType.

    minimumVersion doit inclure une version minimale au format MAJOR.MINOR.PATCH.

    Exemple : 10.5.301.

  • Si vous spécifiez DESKTOP_CHROME_OS pour osType, vous pouvez éventuellement inclure requireVerifiedChromeOs.

    Les valeurs valides pour requireVerifiedChromeOs sont :

    • true
    • false
  • Si vous spécifiez IOS ou ANDROID pour osType, vous pouvez éventuellement inclure tout attribut de règles relatives aux appareils compatible avec les appareils mobiles.

Référence d'API