Attributi dei livelli di accesso

I livelli di accesso definiscono vari attributi che vengono utilizzati per filtrare le richieste inviate a determinate risorse. La tabella seguente elenca gli attributi supportati dai livelli di accesso e fornisce ulteriori dettagli su ciascun attributo.

Quando crei o modifichi un livello di accesso utilizzando lo strumento a riga di comando gcloud, devi formattare gli attributi in YAML. Questa tabella include la sintassi YAML per ogni attributo e i valori validi. Sono inclusi anche i link alle informazioni di riferimento REST e RPC per ogni attributo.

Per saperne di più sui livelli di accesso e sul file YAML, consulta l'esempio di file YAML per un livello di accesso.

Puoi includere i seguenti attributi nel livello di accesso:

Attributi

Subnet IP

Descrizione

Verifica se una richiesta proviene da uno o più blocchi CIDR IPv4 e/o IPv6 specificati.

Quando specifichi più di una sottorete IP, i valori inseriti vengono combinati utilizzando un operatore OR durante la valutazione della condizione. Affinché la condizione restituisca il valore true, la richiesta deve corrispondere a uno dei valori specificati.

YAML ipSubnetworks
Valori validi Un elenco di uno o più blocchi CIDR IPv4 e/o IPv6.
Riferimento API

Regioni

Descrizione

Controlla se una richiesta ha avuto origine da una regione specifica. Le regioni sono identificate dai codici ISO 3166-1 alpha-2 corrispondenti.

Quando specifichi più di una regione, i valori inseriti vengono combinati con l'operatore OR durante la valutazione della condizione. L'accesso viene concesso agli utenti se si trovano in una delle regioni specificate.

YAML regions
Valori validi Un elenco di uno o più codici ISO 3166-1 alpha-2.
Riferimento API Nessuno

Dipendenza dal livello di accesso

Descrizione

Controlla se una richiesta soddisfa i criteri di uno o più livelli di accesso.

YAML requiredAccessLevels
Valori validi

Un elenco di uno o più livelli di accesso esistenti formattato come:

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

Dove:

  • POLICY-NAME è il nome numerico del criterio di accesso della tua organizzazione.
  • LEVEL-NAME è il nome del livello di accesso che vuoi aggiungere come dipendenza.
Riferimento API

Enti

Descrizione

Controlla se una richiesta proviene da un utente o da un account di servizio specifico.

Questo attributo può essere incluso nelle condizioni solo quando si crea o modifica un livello di accesso utilizzando lo strumento a riga di comando gcloud o l'API Access Context Manager. Se hai creato un livello di accesso utilizzando la console Google Cloud , puoi utilizzare uno dei metodi precedentemente menzionati per aggiungere i principali a quel livello di accesso.

YAML members
Valori validi

Un elenco di uno o più account utente o di servizio, formattato come:

  • user: EMAIL
  • serviceAccount: EMAIL

Dove:

  • EMAIL è l'indirizzo email corrispondente all'account utente o di servizio che vuoi includere nel livello di accesso.

I gruppi non sono supportati.

Riferimento API

Criteri dei dispositivi

Requisiti

Per utilizzare gli attributi dei criteri relativi ai dispositivi con i dispositivi mobili, devi configurare MDM per la tua organizzazione.

Per utilizzare gli attributi dei criteri relativi ai dispositivi con altri dispositivi, Verifica endpoint deve essere attivata.

Descrizione

Un criterio relativo al dispositivo è una raccolta di attributi che vengono utilizzati per filtrare le richieste in base alle informazioni sul dispositivo da cui è stata originata la richiesta.

Ad esempio, gli attributi dei criteri dei dispositivi vengono utilizzati in combinazione con Identity-Aware Proxy per supportare l'accesso sensibile al contesto.

YAML devicePolicy
Valori validi

devicePolicy è un elenco di uno o più attributi dei criteri relativi ai dispositivi. Sono supportati i seguenti attributi:

Solo alcuni attributi dei criteri relativi ai dispositivi possono essere utilizzati con i dispositivi mobili. La riga Supporta dispositivi mobili indica se un attributo può essere utilizzato con i dispositivi mobili.

Riferimento API
Attributi dei criteri relativi ai dispositivi
Richiedi blocco schermo
Descrizione

Controlla se su un dispositivo è attivo il blocco schermo.

Supporta i dispositivi mobili
YAML requireScreenlock
Valori validi
  • true
  • false

Se omesso, il valore predefinito è false.

Riferimento API
Crittografia dello spazio di archiviazione
Descrizione Controlla se il dispositivo è criptato, non criptato o non supporta la crittografia dello spazio di archiviazione.
Supporta i dispositivi mobili

YAML allowedEncryptionStatuses
Valori validi

Uno o più dei seguenti valori:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
Riferimento API
Richiedi l'approvazione dell'amministratore
Descrizione Controlla se il dispositivo è stato approvato da un amministratore.
Supporta i dispositivi mobili
YAML requireAdminApproval
Valori validi
  • true
  • false
  • Se omesso, il valore predefinito è false.

Riferimento API Nessuno
Richiedi un dispositivo di proprietà dell'azienda
Descrizione Controlla se il dispositivo è di proprietà della tua attività.
Supporta i dispositivi mobili
YAML requireCorpOwned
Valori validi
  • true
  • false
  • Se omesso, il valore predefinito è false.

Riferimento API Nessuno
Criteri del sistema operativo
Descrizione

Controlla se un dispositivo utilizza un sistema operativo specificato. Inoltre, puoi specificare una versione minima del sistema operativo che un dispositivo deve utilizzare.

Se crei un criterio per ChromeOS, puoi anche specificare che deve essere un ChromeOS verificato .

Quando selezioni più di un sistema operativo, i valori selezionati vengono combinati con l'operatore OR durante la valutazione della condizione. Agli utenti viene concesso l'accesso se hanno uno dei sistemi operativi specificati.

Supporta i dispositivi mobili
YAML osConstraints
Valori validi

osConstraints è un elenco che deve includere una o più istanze di osType. osType può essere accoppiato a un'istanza di minimumVersion, ma minimumVersion non è obbligatorio.

  • osType deve includere un elenco di uno o più dei seguenti valori:

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • DESKTOP_LINUX
    • IOS
    • ANDROID
  • Il valore minimumVersion è facoltativo. Se utilizzato, deve essere incluso con osType.

    minimumVersion deve includere una versione minima formattata come MAJOR.MINOR.PATCH.

    Ad esempio: 10.5.301.

  • Se specifichi DESKTOP_CHROME_OS per osType, puoi includere facoltativamente requireVerifiedChromeOs.

    I valori validi per requireVerifiedChromeOs sono:

    • true
    • false
  • Se specifichi IOS o ANDROID per osType, facoltativamente puoi includere qualsiasi attributo dei criteri relativi ai dispositivi che supporta i dispositivi mobili.

Riferimento API