Atributos do nível de acesso

Os níveis de acesso definem vários atributos usados para filtrar solicitações feitas a determinados recursos. A tabela a seguir lista e fornece outros detalhes sobre os atributos compatíveis com os níveis de acesso.

Ao criar ou modificar um nível de acesso usando a ferramenta de linha de comando gcloud, é necessário formatar os atributos no YAML. Esta tabela inclui a sintaxe YAML para cada atributo e os valores válidos. Os links para as informações de referência REST e RPC para cada atributo também estão incluídos.

Para mais informações sobre níveis de acesso e YAML, consulte o exemplo YAML para um nível de acesso.

É possível incluir os seguintes atributos no nível de acesso:

Sub-redes de IP
regiões
Dependência do nível de acesso
Principais
Política do dispositivo

Atributos

Sub-redes de IP

Descrição	Verifica se uma solicitação está vindo de um ou mais blocos CIDR IPv4 e/ou IPv6 especificados. Não é possível incluir intervalos IP particulares para este atributo. Por exemplo, `192.168.0.0/16` ou `172.16.0.0/12`. Quando você especifica mais de uma sub-rede IP, os valores inseridos são combinados usando um operador OR quando a condição é avaliada. A solicitação precisa corresponder a qualquer um dos valores especificados para que a condição seja avaliada como verdadeira.
YAML	`ipSubnetworks`
Valores válidos	Uma lista de um ou mais blocos CIDR IPv4 e/ou IPv6.
Referência da API	`REST` `RPC`

regiões

Descrição	Verifica se uma solicitação foi originada a partir de uma região específica. As regiões são identificadas pelos códigos ISO 3166-1 alpha-2 correspondentes. Cuidado: a origem de uma solicitação é determinada pela geolocalização do endereço IP de onde a solicitação se originou. Por esse motivo, o atributo region funciona apenas para solicitações originadas de um endereço IP público. Como os endereços IP particulares não podem ser geolocalizados, os níveis de acesso que exigem uma região sempre negarão solicitações de endereços IP particulares e não dão suporte a solicitações feitas usando o Acesso privado do Google. Ao especificar mais de uma região, os valores inseridos serão ORd quando a condição for avaliada. Os usuários receberão acesso se estiverem em uma das regiões que você especificar.
YAML	`regions`
Valores válidos	Uma lista de um ou mais códigos ISO 3166-1 alpha-2 (em inglês).
Referência da API	Nenhum

Dependência do nível de acesso

Descrição	Verifica se uma solicitação atende aos critérios de um ou mais níveis de acesso.
YAML	`requiredAccessLevels`
Valores válidos	Uma lista de um ou mais níveis de acesso atuais formatados como: `accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME` Em que: `POLICY-NAME` é o nome numérico da política de acesso da sua organização. `LEVEL-NAME` é o nome do nível de acesso a ser adicionado como dependência.
Referência da API	`REST` `RPC`

Principais

Descrição	Verifica se uma solicitação está vindo de um usuário ou conta de serviço específicos. Este atributo pode ser incluído apenas em condições ao criar ou modificar um nível de acesso usando a ferramenta de linha de comando `gcloud` ou a API Access Context Manager. Se você criou um nível de acesso usando o console do Google Cloud, qualquer um dos métodos mencionados anteriormente pode ser usado para adicionar principais a ele.
YAML	`members`
Valores válidos	Uma lista de uma ou mais contas de usuário ou serviço, formatadas como: `user: EMAIL` `serviceAccount: EMAIL` Em que: `EMAIL` é o e-mail correspondente ao usuário ou conta de serviço a ser incluído no nível de acesso. Grupos não são compatíveis.
Referência da API	`REST` `RPC`

Política do dispositivo

Requisitos

Para usar os atributos de política de dispositivo com dispositivos móveis, é necessário configurar o MDM para sua organização.

Para usar os atributos de política do dispositivo com outros dispositivos, a Verificação de endpoints precisa estar ativada.

Descrição

Uma política de dispositivo é uma coleção de atributos usados para filtrar solicitações com base nas informações sobre o dispositivo de origem da solicitação.

Por exemplo, os atributos de política do dispositivo são usados em conjunto com o Identity-Aware Proxy para oferecer suporte ao acesso baseado no contexto.

YAML devicePolicy

Valores válidos

devicePolicy é uma lista de um ou mais atributos de política do dispositivo. São aceitos os seguintes atributos:

Exigir bloqueio de tela
Criptografia de armazenamento
Requer aprovação do administrador
Exigir dispositivo da empresa
Política de SO

Somente determinados atributos de política do dispositivo podem ser usados com dispositivos móveis. A linha Suporta dispositivos móveis identifica se um atributo pode ser usado com dispositivos móveis.

Referência da API

REST
RPC

Atributos de políticas do dispositivo

Exigir bloqueio de tela

Descrição	Verifica se um dispositivo tem o bloqueio de tela ativado.
Compatível com dispositivos móveis	Sim
YAML	`requireScreenlock`
Valores válidos	`true` `false` Se omitido, o padrão é `false`.
Referência da API	`REST` `RPC`

Criptografia de armazenamento

Descrição	Verifica se o dispositivo está criptografado ou não, ou se não oferece suporte à criptografia de armazenamento.
Compatível com dispositivos móveis	Sim Importante:para que um dispositivo iOS atenda ao atributo de criptografia de armazenamento, o bloqueio de tela precisa estar ativado.
YAML	`allowedEncryptionStatuses`
Valores válidos	Um ou mais dos seguintes valores: `ENCRYPTION_UNSUPPORTED` `ENCRYPTED` `UNENCRYPTED`
Referência da API	`REST` `RPC`

Requer aprovação do administrador

Descrição	Verifica se o dispositivo foi aprovado por um administrador.
Compatível com dispositivos móveis	Sim
YAML	`requireAdminApproval`
Valores válidos	`true` `false` Se omitido, o padrão é `false`.
Referência da API	Nenhum

Exigir dispositivo da empresa

Descrição	Verifica se o dispositivo é de propriedade da sua empresa.
Compatível com dispositivos móveis	Sim
YAML	`requireCorpOwned`
Valores válidos	`true` `false` Se omitido, o padrão é `false`.
Referência da API	Nenhum

Política de SO

Descrição	Verifica se um dispositivo está usando um sistema operacional especificado. Além disso, é possível especificar uma versão mínima de um SO que um dispositivo precisa estar usando. Se você criar uma política do Chrome OS, também poderá especificar que ela precisa ser um Chrome OS verificado. Quando você seleciona mais de um sistema operacional, os valores selecionados são ORd quando a condição é avaliada. Os usuários terão acesso se tiverem um dos sistemas operacionais especificados.
Compatível com dispositivos móveis	Sim
YAML	`osConstraints`
Valores válidos	`osConstraints` é uma lista que precisa incluir uma ou mais instâncias de `osType`. `osType` pode ser emparelhado com uma instância de `minimumVersion`, mas `minimumVersion` não é necessário. `osType` precisa incluir uma lista de um ou mais dos seguintes valores: `DESKTOP_MAC` `DESKTOP_WINDOWS` `DESKTOP_CHROME_OS` `DESKTOP_LINUX` `IOS` `ANDROID` `minimumVersion` é opcional. Se usado, ele deve ser incluído com `osType`. `minimumVersion` precisa incluir uma versão mínima formatada como `MAJOR.MINOR.PATCH`. Exemplo: 10.5.301. Se você especificar `DESKTOP_CHROME_OS` para `osType`, será possível incluir `requireVerifiedChromeOs` como opção. Estes são os valores válidos para `requireVerifiedChromeOs`: `true` `false` Se você especificar `IOS` ou `ANDROID` para `osType`, será possível incluir qualquer atributo de política de dispositivo que ofereça suporte a dispositivos móveis.
Referência da API	`REST` `RPC`