アクセスレベルは、特定のリソースに対して行われたリクエストをフィルタするために使用されるさまざまな属性を定義します。次の表に、アクセスレベルでサポートされている属性と、各属性の詳細を示します。
gcloudコマンドライン ツールを使用してアクセスレベルを作成または変更するときは、属性を YAML でフォーマットする必要があります。この表には、各属性の YAML 構文と有効な値が含まれています。また、各属性の REST と RPC のリファレンス情報へのリンクも含まれています。
アクセスレベルと YAML の詳細については、アクセスレベルの YAML の例をご覧ください。
アクセスレベルには次の属性を含めることが可能です。
属性
|
IP サブネットワーク
|
| 説明
|
指定した 1 つ以上の IPv4 または IPv6 CIDR ブロック、あるいはその両方からリクエストが来ているかどうかを確認します。
この属性にプライベート IP 範囲を含めることはできません。例: 192.168.0.0/16 または 172.16.0.0/12。
複数の IP サブネットワークを指定した場合、入力した値は、条件が評価されたときに OR 演算子を使用して結合されます。条件が true と評価されるようにするには、リクエストは指定した値のいずれかに一致する必要があります。
|
|
YAML
|
ipSubnetworks
|
| 有効な値
|
1 つ以上の IPv4 / IPv6 CIDR ブロックのリスト。
|
|
API リファレンス
|
|
|
地域
|
|
説明
|
リクエストが特定のリージョンから行われたものかどうかを確認します。
リージョンは、対応する ISO 3166-1 alpha-2 コードによって識別されます。
複数のリージョンを指定した場合、入力した値は条件の評価時にに OR されます。指定したリージョンのいずれかにユーザーがいる場合、アクセス権が付与されます。
|
|
YAML
|
regions
|
|
有効な値
|
1 つ以上の ISO 3166-1 alpha-2 コードのリスト。
|
| API リファレンス
|
なし
|
|
アクセスレベルの依存関係
|
| 説明
|
リクエストが 1 つ以上のアクセスレベルの条件を満たしているかどうかを確認します。
|
| YAML
|
requiredAccessLevels
|
| 有効な値
|
以下の形式の 1 つ以上の既存のアクセスレベルのリスト。
accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME
ここで
- POLICY-NAME は組織のアクセス ポリシーの名前です。
- LEVEL-NAME は、依存関係として追加するアクセスレベルの名前です。
|
|
API リファレンス
|
|
|
プリンシパル
|
|
説明
|
リクエストが特定のユーザーまたはサービス アカウントから来ているかどうかを確認します。
この属性は、gcloud コマンドライン ツールや Access Context Manager API を使用してアクセスレベルを作成または変更する場合にのみ条件に含めることができます。Google Cloud Console を使用してアクセスレベルを作成した場合は、前述のいずれかの方法を使用してそのアクセスレベルにプリンシパルを追加できます。
|
|
YAML
|
members
|
| 有効な値
|
次の形式の 1 つ以上のユーザー アカウントまたはサービス アカウントのリスト。
-
user: EMAIL
-
serviceAccount: EMAIL
ここで
-
EMAIL は、アクセスレベルに含めるユーザーまたはサービス アカウントに対応するメールアドレスです。
グループはサポートされていません。
|
|
API リファレンス
|
|
|
デバイス ポリシー
|
|
要件
|
モバイル デバイスでデバイス ポリシー属性を使用するには、組織に対して MDM を構成する必要があります。
他のデバイスでデバイス ポリシー属性を使用するには、エンドポイントの確認を有効にする必要があります。
|
|
説明
|
デバイス ポリシーは、リクエストが送信されたデバイスに関する情報に基づいてリクエストをフィルタ処理するために使用される属性の集まりです。
たとえば、デバイス ポリシー属性は Identity-Aware Proxy と組み合わせて、コンテキスト アウェア アクセスをサポートするために使用されます。
|
| YAML
|
devicePolicy
|
| 有効な値
|
devicePolicy は、1 つ以上のデバイス ポリシー属性のリストです。次の属性がサポートされています。
特定のデバイス ポリシー属性のみがモバイル デバイスで使用できます。[モバイル デバイスをサポートする] 行は、属性がモバイル デバイスで使用できるかどうかを識別します。
|
|
API リファレンス
|
|
|
デバイス ポリシー属性
|
| 画面ロックを必須にする
|
| 説明
|
デバイスで画面ロックが有効になっているかどうかを確認します。
|
| モバイル デバイスをサポートする |
○
|
| YAML
|
requireScreenlock
|
| 有効な値
|
省略された場合、デフォルトの false になります。
|
|
API リファレンス
|
|
|
|
ストレージの暗号化
|
| 説明
|
デバイスが暗号化されているかどうか、またはストレージの暗号化がサポートされているかどうかを確認します。
|
| モバイル デバイスをサポートする
|
はい
|
| YAML
|
allowedEncryptionStatuses
|
| 有効な値
|
次の 1 つ以上の値:
-
ENCRYPTION_UNSUPPORTED
-
ENCRYPTED
-
UNENCRYPTED
|
|
API リファレンス
|
|
|
|
管理者の承認が必要
|
| 説明
|
デバイスが管理者によって承認されているかどうかを確認します。
|
| モバイル デバイスをサポートする
|
○
|
| YAML
|
requireAdminApproval
|
| 有効な値
|
|
| API リファレンス
|
なし
|
|
| 会社所有のデバイスが必要
|
| 説明
|
デバイスが企業によって所有されているかどうかを確認します。
|
| モバイル デバイスをサポートする
|
○
|
| YAML
|
requireCorpOwned
|
| 有効な値
|
|
| API リファレンス
|
なし
|
|
| OS ポリシー
|
| 説明
|
デバイスで、指定されたオペレーティング システムが使用されているかどうかを確認します。さらに、デバイスで使用する必要がある OS の最小バージョンを指定できます。
Chrome OS ポリシーを作成した場合は、承認済みの Chrome OS にする必要があることも指定できます。
複数のオペレーティング システムを選択すると、選択した値は条件の評価時に OR されます。ユーザーが指定したオペレーティング システムのいずれかを使用している場合、アクセス権が付与されます。
|
|
モバイル デバイスをサポートする
|
○
|
| YAML
|
osConstraints
|
| 有効な値
|
osConstraints は、osType の 1 つ以上のインスタンスを含む必要があるリストです。osType は minimumVersion のインスタンスとペア設定できますが、minimumVersion は必須ではありません。
-
osType には、次の値の 1 つ以上のリストを含める必要があります。
-
DESKTOP_MAC
-
DESKTOP_WINDOWS
-
DESKTOP_CHROME_OS
-
DESKTOP_LINUX
-
IOS
-
ANDROID
-
minimumVersion は任意です。使用する場合は、osType と一緒に含める必要があります。
minimumVersion には MAJOR.MINOR.PATCH 形式の最小バージョンを含める必要があります。
例: 10.5.301。
-
osType に DESKTOP_CHROME_OS を指定した場合は、オプションで requireVerifiedChromeOs を含めることができます。
requireVerifiedChromeOs の有効な値は次のとおりです。
-
osType に IOS または ANDROID を指定した場合は、モバイル デバイスをサポートするデバイス ポリシー属性をオプションで含めることができます。
|
|
API リファレンス
|
|
|
|
