存取層級屬性
存取層級可定義各種屬性,這些屬性用來篩選對特定資源提出的要求。下表列出存取層級支援的屬性,並提供有關各項屬性的額外詳細資料。
使用 gcloud 指令列工具建立或修改存取層級時,您必須格式化 YAML 中的屬性。這個表格包含每個屬性的 YAML 語法以及有效值,並且也會針對各項屬性提供 REST 和 RPC 參考資料的連結。
如要進一步瞭解存取層級和 YAML,請參閱存取層級的 YAML 範例。
您可在存取層級納入下列屬性:
屬性
|
IP 子網路
|
|
說明
|
檢查要求是否來自一或多個您指定的 IPv4 和/或 IPv6 CIDR 區塊。
如果您指定多個 IP 子網路,系統會在評估條件時,使用 OR 運算子合併您輸入的值。要求必須符合您指定的任一值,條件才會評估為 true。
|
|
YAML
|
ipSubnetworks
|
|
有效值
|
一或多個 IPv4 和/或 IPv6 CIDR 區塊的清單。
|
|
API 參考資料
|
|
|
區域
|
|
說明
|
檢查要求是否來自特定地區。地區是由對應的 ISO 3166-1 alpha-2 代碼識別。
指定多個區域時,系統會在評估條件時對輸入的值執行 OR 運算。只要使用者位於您指定的其中一個區域,系統就會授予他們存取權。
|
|
YAML
|
regions
|
|
有效值
|
一或多個
ISO 3166-1 alpha-2 代碼的清單。
|
|
API 參考資料
|
無 |
|
存取層級依附元件
|
|
說明
|
檢查要求是否符合一或多個存取層級的條件。
|
|
YAML
|
requiredAccessLevels
|
|
有效值
|
一或多個現有存取層級的清單,格式如下:
accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME
其中:
-
「POLICY_NAME」POLICY-NAME是指您機構的存取權政策以數字表示的名稱。
-
LEVEL-NAME 是指您要視為依附元件新增的存取層級的名稱。
|
|
API 參考資料
|
|
|
主體
|
|
說明
|
檢查要求是否來自特定使用者或服務帳戶。
使用 gcloud 指令列工具或 Access Context Manager API 建立或修改存取層級時,只能在條件中加入這項屬性。如果您使用 Google Cloud 控制台建立存取層級,可以透過上述任一方法,將主體新增至該存取層級。
|
|
YAML
|
members
|
|
有效值
|
一或多個使用者或服務帳戶的清單,格式如下:
-
user: EMAIL
-
serviceAccount: EMAIL
其中:
-
EMAIL 是指您要納入存取層級的使用者或服務帳戶的個別電子郵件。
系統不支援群組。
|
|
API 參考資料
|
|
|
裝置政策
|
|
相關規定
|
如要在行動裝置上使用裝置政策屬性,您必須為貴機構設定 MDM。
如要在其他裝置上使用裝置政策屬性,必須啟用
端點驗證。
|
|
說明
|
裝置政策是一組
屬性集合,可根據要求來源裝置的相關資訊來篩選要求。
舉例來說,裝置政策屬性搭配
Identity-Aware Proxy 使用可支援情境感知存取權。
|
|
YAML
|
devicePolicy
|
|
有效值
|
devicePolicy 是一或多個裝置政策屬性的清單,以下是支援的屬性:
只有特定裝置政策屬性可與行動裝置搭配使用。「支援行動裝置」列會指出屬性是否可搭配行動裝置使用。
|
|
API 參考資料
|
|
| 裝置政策屬性 |
|
必須使用螢幕鎖定功能
|
|
說明
|
檢查裝置是否已啟用螢幕鎖定功能。
|
|
支援行動裝置
|
Yes
|
|
YAML
|
requireScreenlock
|
|
有效值
|
如果省略此屬性,系統會預設為 false。
|
|
API 參考資料
|
|
|
|
儲存空間加密
|
|
說明
|
檢查裝置是否加密、未加密或不支援儲存空間加密。 |
|
支援行動裝置
|
是
|
|
YAML
|
allowedEncryptionStatuses
|
|
有效值
|
下列其中一個或多個值:
-
ENCRYPTION_UNSUPPORTED
-
ENCRYPTED
-
UNENCRYPTED
|
|
API 參考資料
|
|
|
|
必須取得管理員核准
|
|
說明
|
檢查裝置是否已通過管理員核准。 |
|
支援行動裝置
|
Yes
|
|
YAML
|
requireAdminApproval
|
|
有效值
|
-
true
-
false
如果省略此屬性,系統會預設為 false。
|
|
API 參考資料
|
無 |
|
|
需要公司自有裝置
|
|
說明
|
檢查裝置是否由您的企業擁有。
|
|
支援行動裝置
|
Yes
|
|
YAML
|
requireCorpOwned
|
|
有效值
|
-
true
-
false
如果省略此屬性,系統會預設為 false。
|
|
API 參考資料
|
無 |
|
|
作業系統政策
|
|
說明
|
檢查政策目前使用的是否為指定的作業系統。此外,您還可指定裝置必須使用的最低 OS 版本。
如果您建立的是 Chrome OS 政策,也可指定必須使用
已驗證的 Chrome OS
。
選取多個作業系統時,系統會在評估條件時對選取的值執行 OR 運算。如果使用者搭載您指定的作業系統,系統就會授予他們存取權。
|
|
支援行動裝置
|
Yes
|
|
YAML
|
osConstraints
|
|
有效值
|
osConstraints 是一份必須包含一或多個 osType 執行個體的清單。osType 可與 minimumVersion 執行個體搭配使用,但不需要 minimumVersion。
-
osType 必須納入下列其中一個或多個值的清單:
-
DESKTOP_MAC
-
DESKTOP_WINDOWS
-
DESKTOP_CHROME_OS
-
DESKTOP_LINUX
-
IOS
-
ANDROID
-
minimumVersion 為選填欄位。如果要使用,就必須隨附於 osType。
minimumVersion 必須包含格式為 MAJOR.MINOR.PATCH 的最低版本。
例如:10.5.301。
-
如果您為 osType 指定 DESKTOP_CHROME_OS,則可自行選擇是否要納入 requireVerifiedChromeOs。
requireVerifiedChromeOs 的有效值如下:
-
如果您為 osType 指定 IOS 或 ANDROID,可以選擇性地加入支援行動裝置的任何裝置政策屬性。
|
|
API 參考資料
|
|
|
|
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-10-19 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-10-19 (世界標準時間)。"],[],[]]
