Attributi dei livelli di accesso

I livelli di accesso definiscono vari attributi utilizzati per filtrare le richieste effettuate a determinate risorse. La tabella riportata di seguito elenca gli attributi supportati dai livelli di accesso e fornisce ulteriori dettagli su ciascun attributo.

Quando crei o modifichi un livello di accesso utilizzando lo strumento a riga di comando gcloud, devi formattare gli attributi in YAML. Questa tabella include la sintassi YAML per ogni attributo e i valori validi. Sono inclusi anche i link alle informazioni di riferimento REST e RPC per ciascun attributo.

Per ulteriori informazioni sui livelli di accesso e YAML, consulta l'esempio di YAML per un livello di accesso.

Nel tuo livello di accesso puoi includere i seguenti attributi:

Subnet IP
Regioni
Dipendenza dal livello di accesso
Entità
Criteri relativi ai dispositivi

Attributi

Subnet IP

Descrizione	Verifica se una richiesta proviene da uno o più blocchi CIDR IPv4 e/o IPv6 specificati. Non puoi includere intervalli IP privati per questo attributo. Ad esempio, `192.168.0.0/16` o `172.16.0.0/12`. Quando specifichi più di una subnet IP, i valori inseriti vengono combinati utilizzando un operatore OR durante la valutazione della condizione. Affinché la condizione restituisca il valore true, la richiesta deve corrispondere a uno qualsiasi dei valori specificati.
YAML	`ipSubnetworks`
Valori validi	Un elenco di uno o più blocchi CIDR IPv4 e/o IPv6.
Riferimento API	`REST` `RPC`

Regioni

Descrizione	Verifica se una richiesta ha avuto origine da una regione specifica. Le regioni sono identificate dai codici alpha-2 nel formato ISO 3166-1 corrispondenti. Attenzione: l'origine di una richiesta è determinata dalla geolocalizzazione dell'indirizzo IP da cui ha avuto origine la richiesta. Per questo motivo, l'attributo regione funziona solo per le richieste che hanno origine da un indirizzo IP pubblico. Poiché gli indirizzi IP privati non possono essere geolocalizzati, i livelli di accesso che richiedono un'area geografica rifiutano sempre le richieste provenienti da indirizzi IP privati e non supportano le richieste effettuate utilizzando l'accesso privato Google. Se specifichi più di una regione, i valori inseriti sono ORd quando viene valutata la condizione. Agli utenti viene concesso l'accesso se si trovano in una delle aree geografiche da te specificate.
YAML	`regions`
Valori validi	Un elenco con uno o più codici ISO 3166-1 alpha-2.
Riferimento API	Nessuno

Dipendenza dal livello di accesso

Descrizione	Verifica se una richiesta soddisfa i criteri di uno o più livelli di accesso.
YAML	`requiredAccessLevels`
Valori validi	Un elenco di uno o più livelli di accesso esistenti con il seguente formato: `accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME` Dove: `POLICY-NAME` è il nome numerico del criterio di accesso della tua organizzazione. `LEVEL-NAME` è il nome del livello di accesso che vuoi aggiungere come dipendenza.
Riferimento API	`REST` `RPC`

Entità

Descrizione	Controlla se una richiesta proviene da un account utente o di servizio specifico. Questo attributo può essere incluso nelle condizioni solo al momento di creare o modificare un livello di accesso utilizzando lo strumento a riga di comando `gcloud` o l'API Gestore contesto accesso. Se hai creato un livello di accesso utilizzando Google Cloud Console, uno dei metodi menzionati in precedenza può essere utilizzato per aggiungere entità a tale livello di accesso.
YAML	`members`
Valori validi	Un elenco di uno o più account utente o di servizio, con il seguente formato: `user: EMAIL` `serviceAccount: EMAIL` Dove: `EMAIL` è l'indirizzo email corrispondente all'account utente o di servizio che vuoi includere nel livello di accesso. I gruppi non sono supportati.
Riferimento API	`REST` `RPC`

Criteri relativi ai dispositivi

Requisiti

Per utilizzare gli attributi dei criteri relativi ai dispositivi con i dispositivi mobili, devi configurare MDM per la tua organizzazione.

Per utilizzare gli attributi dei criteri relativi ai dispositivi con altri dispositivi, è necessario attivare la verifica degli endpoint.

Descrizione

Un criterio relativo ai dispositivi è una raccolta di attributi utilizzata per filtrare le richieste in base alle informazioni sul dispositivo da cui ha avuto origine la richiesta.

Ad esempio, gli attributi dei criteri relativi ai dispositivi vengono utilizzati insieme a Identity-Aware Proxy per supportare l'accesso sensibile al contesto.

YAML devicePolicy

Valori validi

devicePolicy è un elenco di uno o più attributi dei criteri dei dispositivi. Sono supportati i seguenti attributi:

Richiedi blocco schermo
Crittografia spazio di archiviazione
Richiedere l'approvazione dell'amministratore
Richiedi dispositivo di proprietà dell'azienda
Criterio del sistema operativo

Solo alcuni attributi dei criteri relativi ai dispositivi possono essere utilizzati con i dispositivi mobili. La riga Supporta dispositivi mobili identifica se un attributo può essere utilizzato con dispositivi mobili.

Riferimento API

REST
RPC

Attributi dei criteri relativi ai dispositivi

Richiedi blocco schermo

Descrizione	Controlla se un dispositivo ha un blocco schermo attivato.
Supporta dispositivi mobili	Sì
YAML	`requireScreenlock`
Valori validi	`true` `false` Se omesso, il valore predefinito è `false`.
Riferimento API	`REST` `RPC`

Crittografia spazio di archiviazione

Descrizione	Controlla se il dispositivo è criptato, non criptato o se non supporta la crittografia dello spazio di archiviazione.
Supporta dispositivi mobili	Sì Importante: affinché un dispositivo iOS soddisfi l'attributo crittografia dello spazio di archiviazione, deve essere abilitato il blocco schermo.
YAML	`allowedEncryptionStatuses`
Valori validi	Uno o più dei seguenti valori: `ENCRYPTION_UNSUPPORTED` `ENCRYPTED` `UNENCRYPTED`
Riferimento API	`REST` `RPC`

Richiedere l'approvazione dell'amministratore

Descrizione	Controlla se il dispositivo è stato approvato da un amministratore.
Supporta dispositivi mobili	Sì
YAML	`requireAdminApproval`
Valori validi	`true` `false` Se omesso, il valore predefinito è `false`.
Riferimento API	Nessuno

Richiedi dispositivo di proprietà dell'azienda

Descrizione	Controlla se il dispositivo è di proprietà della tua azienda.
Supporta dispositivi mobili	Sì
YAML	`requireCorpOwned`
Valori validi	`true` `false` Se omesso, il valore predefinito è `false`.
Riferimento API	Nessuno

Criterio del sistema operativo

Descrizione	Verifica se un dispositivo utilizza un sistema operativo specificato. Inoltre, puoi specificare una versione minima di un sistema operativo che deve essere utilizzato da un dispositivo. Se crei un criterio di Chrome OS, puoi anche specificare che deve essere un Chrome OS verificato. Se selezioni più di un sistema operativo, i valori selezionati vengono impostati su OR quando la condizione viene valutata. L'accesso è concesso agli utenti che hanno uno dei sistemi operativi specificati.
Supporta dispositivi mobili	Sì
YAML	`osConstraints`
Valori validi	`osConstraints` è un elenco che deve includere una o più istanze di `osType`. `osType` può essere associato a un'istanza di `minimumVersion`, ma `minimumVersion` non è obbligatorio. `osType` deve includere un elenco di uno o più dei seguenti valori: `DESKTOP_MAC` `DESKTOP_WINDOWS` `DESKTOP_CHROME_OS` `DESKTOP_LINUX` `IOS` `ANDROID` `minimumVersion` è facoltativo. Se utilizzato, deve essere incluso con `osType`. `minimumVersion` deve includere una versione minima formattata come `MAJOR.MINOR.PATCH`. Ad esempio: 10.5.301. Se specifichi `DESKTOP_CHROME_OS` per `osType`, puoi anche includere `requireVerifiedChromeOs`. I valori validi per `requireVerifiedChromeOs` sono: `true` `false` Se specifichi `IOS` o `ANDROID` per `osType`, puoi includere facoltativamente qualsiasi attributo dei criteri relativi ai dispositivi che supporta i dispositivi mobili.
Riferimento API	`REST` `RPC`