访问权限级别属性

访问权限级别定义用于过滤向某些资源发出的请求的各种属性。下表列出了访问权限级别支持的属性,并提供了每种属性的其他详细信息。

使用 gcloud 命令行工具创建或修改访问权限级别时,必须以 YAML 格式设置属性。该表包括每个属性的 YAML 语法和有效值。此外还包含每种属性的 REST 和 RPC 参考信息链接。

如需详细了解访问权限级别和 YAML,请参阅访问权限级别的示例 YAML

您可以在访问权限级别中包含以下属性:

属性

IP 子网

说明

检查请求是否来自于您指定的一个或多个 IPv4 和/或 IPv6 CIDR 地址块。

您不能为此属性添加专用 IP 范围,例如 192.168.0.0/16172.16.0.0/12

YAML ipSubnetworks
有效值 由一个或多个 IPv4 和/或 IPv6 CIDR 地址块组成的列表。
API 参考

地区

说明

检查请求是否来自于特定区域。 区域由对应的 ISO 3166-1 alpha-2 代码标识。

YAML regions
有效值 由一个或多个 ISO 3166-1 alpha-2 代码组成的列表。
API 参考

访问权限级别依赖项

说明

检查请求是否符合一个或多个访问权限级别的条件。

YAML requiredAccessLevels
有效值

由一个或多个现有访问级权限别组成的列表,其格式为:

accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME

其中:

  • POLICY-NAME 是您组织的访问权限政策的数字名称。
  • LEVEL-NAME 是您要作为依赖项添加的访问权限级别的名称。
API 参考

成员

说明

检查请求是来自于特定用户还是服务帐号。

仅当使用 gcloud 命令行工具或 Access Context Manager API 创建或修改访问权限级别时,才能在条件中包含此条件。如果您使用 Google Cloud Console 创建访问权限级别,则可以使用前面提到的任一方法将成员添加到该访问权限级别。

YAML members
有效值

由一个或多个用户或服务帐号组成的列表,其格式为:

  • user: EMAIL
  • serviceAccount: EMAIL

其中:

  • EMAIL 是与您希望包含在访问权限级别中的用户或服务帐号对应的电子邮件地址。

不支持将群组作为成员。

API 参考

设备政策

要求

要将设备政策属性用于移动设备,必须为组织配置 MDM

要将设备政策属性用于其他设备,必须启用端点验证

说明

设备政策是一组属性,用于根据发出请求的设备的信息过滤请求。

例如,设备政策属性与 Identity-Aware Proxy 一起使用,以支持情境感知访问权限。

YAML devicePolicy
有效值

devicePolicy 是一个或多个设备政策属性的列表。支持以下属性:

仅某些设备政策属性可与移动设备搭配使用。支持移动设备行标识属性是否可以与移动设备搭配使用。

API 参考
设备政策属性
要求屏幕锁定
说明

检查设备是否启用了屏幕锁定。

支持移动设备
YAML requireScreenlock
有效值
  • true
  • false

如果省略,则默认为 false

API 参考
存储加密
说明 检查设备是已加密、未加密,还是不支持存储加密。
支持移动设备

YAML allowedEncryptionStatuses
有效值

以下值中的一个或多个:

  • ENCRYPTION_UNSUPPORTED
  • ENCRYPTED
  • UNENCRYPTED
API 参考
需要管理员审批
说明 检查设备是否已获得管理员批准。
支持移动设备
YAML requireAdminApproval
有效值
  • true
  • false
  • 如果省略,则默认为 false

API 参考
需要公司自有设备
说明 检查设备是否为您的企业所有。
支持移动设备
YAML requireCorpOwned
有效值
  • true
  • false
  • 如果省略,则默认为 false

API 参考
操作系统政策
说明

检查设备是否使用指定的操作系统。此外,您还可以指定设备必须使用的最低操作系统版本。

如果您创建了 Chrome 操作系统政策,还可以指定它必须是经过验证的 Chrome 操作系统

支持移动设备
YAML osConstraints
有效值

osConstraints 是一个列表,必须包含一个或多个 osType 实例。可以将 osTypeminimumVersion 的实例配对,但不需要 minimumVersion

  • osType 必须包含以下一个或多个值的列表:

    • DESKTOP_MAC
    • DESKTOP_WINDOWS
    • DESKTOP_CHROME_OS
    • IOS
    • ANDROID
  • minimumVersion 是可选的。如果使用,则必须与 osType 一同包含在内。

    minimumVersion 必须包含格式为 MAJOR.MINOR.PATCH 的最低版本。

    例如:10.5.301。

  • 如果为 osType 指定 DESKTOP_CHROME_OS,则可以选择包括 requireVerifiedChromeOs

    有效的 requireVerifiedChromeOs 值如下:

    • true
    • false
  • 如果为 osType 指定 IOSANDROID,则可以选择包括支持移动设备的任何设备政策属性。

API 参考