存取層級屬性

存取層級可定義各種屬性,這些屬性用來篩選對特定資源提出的要求。下表列出存取層級支援的屬性,並提供有關各項屬性的額外詳細資料。

使用 gcloud 指令列工具建立或修改存取層級時,您必須格式化 YAML 中的屬性。這個表格包含每個屬性的 YAML 語法以及有效值,並且也會針對各項屬性提供 REST 和 RPC 參考資料的連結。

如要進一步瞭解存取層級和 YAML,請參閱存取層級的 YAML 範例

您可在存取層級納入下列屬性:

屬性

IP 子網路

說明

檢查要求是否來自一或多個您指定的 IPv4 和/或 IPv6 CIDR 區塊。

您不可為這項屬性提供私人 IP 範圍,例如 192.168.0.0/16172.16.0.0/12

YAML ipSubnetworks
有效值 一或多個 IPv4 和/或 IPv6 CIDR 區塊的清單。
API 參考資料

地區

說明 檢查要求是否來自特定地區。地區是由對應的 ISO 3166-1 alpha-2 代碼識別。
YAML regions
有效值 一或多個 ISO 3166-1 alpha-2 代碼的清單。
API 參考資料

存取層級依附元件

說明

檢查要求是否符合一或多個存取層級的條件。

雖然特定產品會驗證存取層級是否只包含該產品支援的屬性,但系統不會檢查以依附元件形式隨附的存取層級。

舉例來說,VPC Service Controls 服務範圍目前不支援裝置政策屬性。

如果您嘗試將包含裝置政策屬性的存取層級加入服務範圍,將會出現錯誤而且無法新增存取層級。

不過,如果存取層級將不含裝置政策屬性的額外存取層級視為依附元件納入,就不會出現錯誤;但可能會產生非預期的行為。

YAML requiredAccessLevels
有效值

一或多個現有存取層級的清單,格式如下:

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

其中:

  • 「POLICY_NAME」是指您機構的存取權政策以數字表示的名稱。
  • 「LEVEL-NAME」是指您要視為依附元件新增的存取層級的名稱。
API 參考資料

成員

說明

檢查要求是否來自特定使用者或服務帳戶。

只有在使用 gcloud 指令列工具或 Access Context Manager API 建立或修改存取層級時,才能在條件中納入這項屬性。如果您使用 Google Cloud Platform 主控台建立存取層級,就可以透過上述任何一個方法將成員新增到該存取層級。

YAML members
有效值

一或多個使用者或服務帳戶的清單,格式如下:

  • user: EMAIL
  • serviceAccount: EMAIL

其中:

  • 「EMAIL」是指您要納入存取層級的使用者或服務帳戶的個別電子郵件。

群組並非以成員的形式來獲取支援。

API 參考資料

裝置政策

說明

裝置政策是一組屬性集合,可根據要求來源裝置的相關資訊來篩選要求。

舉例來說,裝置政策屬性搭配 Cloud Identity-Aware Proxy 使用可支援情境感知存取權。

所有裝置政策屬性都要求啟用端點驗證

YAML devicePolicy
有效值

devicePolicy 是一或多個裝置政策屬性的清單,以下是支援的屬性:

API 參考資料
裝置政策屬性
必須啟用螢幕鎖定功能
說明 檢查裝置是否已啟用螢幕鎖定功能。
YAML requireScreenlock
有效值
  • true
  • false

如果省略此屬性,系統會預設為 false

API 參考資料
儲存空間加密
說明 檢查裝置是否加密、未加密或不支援儲存空間加密。
YAML allowedEncryptionStatuses
有效值

下列其中一個或多個值:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
API 參考資料
必須取得管理員核准
說明 檢查裝置是否已通過管理員核准。
YAML requireAdminApproval
有效值
  • true
  • false
  • 如果省略此屬性,系統會預設為 false

API 參考資料
必須輸入公司自有裝置
說明 檢查裝置是否由您的企業擁有。
YAML requireCorpOwned
有效值
  • true
  • false
  • 如果省略此屬性,系統會預設為 false

API 參考資料
OS 政策
說明

檢查政策目前使用的是否為指定的作業系統。此外,您還可指定裝置必須使用的最低 OS 版本。

如果您建立的是 Chrome OS 政策,也可指定必須使用已驗證的 Chrome OS

YAML osConstraints
有效值

osConstraints 是一份必須包含一或多個 osType 執行個體的清單。 osType 可與 minimumVersion 執行個體搭配使用,但不需要 minimumVersion

  • osType 必須納入下列其中一個或多個值的清單:

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
  • minimumVersion 為選用項目;如果要使用,就必須隨附於 osType

    minimumVersion 必須包含格式為 MAJOR.MINOR.PATCH 的最低版本。

    例如 10.5.301。

  • 如果您為 osType 指定 DESKTOP_CHROME_OS,則可自行選擇是否要納入 requireVerifiedChromeOs

    requireVerifiedChromeOs 的有效值為:

    • true
    • false
API 參考資料
本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Access Context Manager