Attributi dei livelli di accesso

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

I livelli di accesso definiscono i vari attributi utilizzati per filtrare le richieste effettuate a determinate risorse. La tabella riportata di seguito elenca gli attributi supportati dai livelli di accesso e fornisce ulteriori dettagli su ciascun attributo.

Quando crei o modifichi un livello di accesso utilizzando lo strumento a riga di comando gcloud, devi formattare gli attributi in YAML. Questa tabella include la sintassi YAML per ogni attributo e i valori validi. Sono inclusi anche i link alle informazioni di riferimento REST e RPC per ogni attributo.

Per ulteriori informazioni sui livelli di accesso e YAML, consulta l'esempio di YAML per un livello di accesso.

Nel livello di accesso puoi includere i seguenti attributi:

Attributi

Subnet IP

Descrizione

Controlla se una richiesta proviene da uno o più blocchi CIDR IPv4 e/o IPv6 specificati.

Non puoi includere intervalli IP privati per questo attributo. Ad esempio, 192.168.0.0/16 o 172.16.0.0/12.

Quando specifichi più subnet IP, i valori inseriti vengono combinati utilizzando un operatore OR al momento della valutazione della condizione. La richiesta deve corrispondere a uno qualsiasi dei valori specificati affinché la condizione venga valutata come vera.

YAML ipSubnetworks
Valori validi Un elenco di uno o più blocchi CIDR IPv4 e/o IPv6.
Riferimento API

Regioni

Descrizione

Controlla se una richiesta proviene da un'area geografica specifica. Le aree geografiche sono identificate dai corrispondenti codici ISO 3166-1 alpha-2.

Quando specifichi più di un'area geografica, i valori inseriti sono ORd quando viene valutata la condizione. L'accesso viene concesso agli utenti che si trovano in una delle aree geografiche specificate.

YAML regions
Valori validi Un elenco di uno o più codici alpha-2 nel formato ISO 3166-1.
Riferimento API Nessuno

Dipendenza livello di accesso

Descrizione

Verifica se una richiesta soddisfa i criteri di uno o più livelli di accesso.

YAML requiredAccessLevels
Valori validi

Un elenco di uno o più livelli di accesso esistenti formattati come:

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

Dove:

  • POLICY-NAME è il nome numerico del criterio di accesso della tua organizzazione.
  • LEVEL-NAME è il nome del livello di accesso che vuoi aggiungere come dipendenza.
Riferimento API

Entità

Descrizione

Controlla se una richiesta proviene da un utente o da un account di servizio specifico.

Questo attributo può essere incluso solo nelle condizioni quando crei o modifichi un livello di accesso utilizzando lo strumento a riga di comando gcloud o l'API Access Context Manager. Se hai creato un livello di accesso tramite Google Cloud Console, uno dei metodi menzionati in precedenza può essere utilizzato per aggiungere entità a quel livello di accesso.

YAML members
Valori validi

Un elenco di uno o più account utente o di servizio, con il seguente formato:

  • user: EMAIL
  • serviceAccount: EMAIL

Dove:

  • EMAIL è l'indirizzo email che corrisponde all'utente o all'account di servizio che vuoi includere nel livello di accesso.

I gruppi non sono supportati.

Riferimento API

Criteri relativi ai dispositivi

Requisiti

Per utilizzare gli attributi dei criteri relativi ai dispositivi con i dispositivi mobili, devi configurare MDM per la tua organizzazione.

Per utilizzare gli attributi dei criteri relativi ai dispositivi con altri dispositivi, è necessario attivare la verifica degli endpoint.

Descrizione

Un criterio relativo ai dispositivi è una raccolta di attributi che viene utilizzata per filtrare le richieste in base alle informazioni relative al dispositivo da cui ha avuto origine la richiesta.

Ad esempio, gli attributi dei criteri relativi ai dispositivi vengono utilizzati insieme a Identity-Aware Proxy per supportare l'accesso sensibile al contesto.

YAML devicePolicy
Valori validi

devicePolicy è un elenco di uno o più attributi di criteri relativi ai dispositivi. Sono supportati i seguenti attributi:

Con alcuni dispositivi mobili è possibile usare soltanto alcuni attributi dei criteri relativi ai dispositivi. La riga Supporta dispositivi mobili identifica se un attributo può essere utilizzato con i dispositivi mobili.

Riferimento API
Attributi dei criteri relativi ai dispositivi
Richiedi blocco schermo
Descrizione

Controlla se sul dispositivo è attivo il blocco schermo.

Supporta dispositivi mobili
YAML requireScreenlock
Valori validi
  • true
  • false

Se omesso, il valore predefinito è false.

Riferimento API
Crittografia dell'archiviazione
Descrizione Verifica se il dispositivo è criptato, non criptato o non supporta la crittografia dello spazio di archiviazione.
Supporta dispositivi mobili

YAML allowedEncryptionStatuses
Valori validi

Uno o più dei seguenti valori:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
Riferimento API
Richiedere l'approvazione dell'amministratore
Descrizione Controlla se il dispositivo è stato approvato da un amministratore.
Supporta dispositivi mobili
YAML requireAdminApproval
Valori validi
  • true
  • false
  • Se omesso, il valore predefinito è false.

Riferimento API Nessuno
Richiedi dispositivo di proprietà dell'azienda
Descrizione Controlla se il dispositivo è di proprietà della tua azienda.
Supporta dispositivi mobili
YAML requireCorpOwned
Valori validi
  • true
  • false
  • Se omesso, il valore predefinito è false.

Riferimento API Nessuno
Criterio del sistema operativo
Descrizione

Verifica se un dispositivo utilizza un sistema operativo specificato. Inoltre, puoi specificare la versione minima di un sistema operativo che deve essere utilizzato da un dispositivo.

Se crei un criterio di Chrome OS, puoi anche specificare che deve essere un Chrome OS verificato.

Quando selezioni più di un sistema operativo, i valori selezionati sono ORd quando viene valutata la condizione. Gli utenti hanno accesso se dispongono di uno dei sistemi operativi specificati da te.

Supporta dispositivi mobili
YAML osConstraints
Valori validi

osConstraints è un elenco che deve includere una o più istanze di osType. osType può essere associato a un'istanza di minimumVersion, ma minimumVersion non è obbligatorio.

  • osType deve includere un elenco di uno o più dei seguenti valori:

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • IOS
    • ANDROID
  • minimumVersion è facoltativo. Se utilizzato, deve essere incluso con osType.

    minimumVersion deve includere una versione minima formattata come MAJOR.MINOR.PATCH.

    Ad esempio: 10.5.301.

  • Se specifichi DESKTOP_CHROME_OS per osType, puoi anche includere requireVerifiedChromeOs.

    I valori validi per requireVerifiedChromeOs sono:

    • true
    • false
  • Se specifichi IOS o ANDROID per osType, puoi includere qualsiasi attributo dei criteri relativi ai dispositivi che supporta i dispositivi mobili.

Riferimento API