访问权限级别属性
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
访问权限级别定义用于过滤向某些资源发出的请求的各种属性。下表列出了访问权限级别支持的属性,并提供了每种属性的其他详细信息。
使用 gcloud 命令行工具创建或修改访问权限级别时,必须以 YAML 格式设置属性。该表包括每个属性的 YAML 语法和有效值。此外还包含每种属性的 REST 和 RPC 参考信息链接。
如需详细了解访问权限级别和 YAML,请参阅访问权限级别的示例 YAML。
您可以在访问权限级别中包含以下属性:
属性
|
IP 子网
|
|
说明
|
检查请求是否来自您指定的一个或多个 IPv4 和/或 IPv6 CIDR 地址块。
您不能为此属性添加专用 IP 范围,例如 192.168.0.0/16 或 172.16.0.0/12。
如果您指定多个 IP 子网,则在计算条件时,您输入的值会使用 OR 运算符进行组合。请求必须与您指定的任何值匹配,以便条件计算为 true。
|
|
YAML
|
ipSubnetworks
|
|
有效值
|
由一个或多个 IPv4 和/或 IPv6 CIDR 地址块组成的列表。 |
|
API 参考
|
|
|
区域
|
|
说明
|
检查请求是否来自于特定区域。
区域由对应的 ISO 3166-1 alpha-2 代码标识。
如果您指定多个区域,则在计算条件时,您输入的值将进行 OR 运算。如果用户位于您指定的区域之一,则将获得访问权限。
|
|
YAML
|
regions
|
|
有效值
|
由一个或多个 ISO 3166-1 alpha-2 代码组成的列表。
|
|
API 参考
|
无
|
|
访问权限级别依赖项
|
|
说明
|
检查请求是否符合一个或多个访问权限级别的条件。
|
|
YAML
|
requiredAccessLevels
|
|
有效值
|
包含一个或多个现有访问权限级别的列表,格式如下:
accessPolicies/POLICY-NAME/accessLevels/LEVEL-NAME
其中:
-
POLICY-NAME 是贵组织的访问权限政策的数字名称。
-
LEVEL-NAME 是您要作为依赖项添加的访问权限级别的名称。
|
|
API 参考
|
|
|
主账号
|
|
说明
|
检查请求是来自特定用户还是服务帐号。
仅当使用 gcloud 命令行工具或 Access Context Manager API 创建或修改访问权限级别时,才能在条件中包含此条件。如果您使用 Google Cloud 控制台创建了访问权限级别,则可以使用上述任一方法将主帐号添加到该访问权限级别。
|
|
YAML
|
members
|
|
有效值
|
一个或多个用户或服务帐号的列表,格式如下:
-
user: EMAIL
-
serviceAccount: EMAIL
其中:
-
EMAIL 是与您希望包含在访问权限级别中的用户或服务账号对应的电子邮件地址。
不支持 Google 网上论坛。
|
|
API 参考
|
|
|
设备政策
|
|
要求
|
要将设备政策属性用于移动设备,必须为组织配置 MDM。
要将设备政策属性用于其他设备,必须启用端点验证。
|
|
说明
|
设备政策是一组属性,用于根据发出请求的设备的信息过滤请求。
例如,设备政策属性与
Identity-Aware Proxy 结合使用,以支持情境感知访问权限。
|
|
YAML
|
devicePolicy
|
|
有效值
|
devicePolicy 是一个或多个设备政策属性的列表。支持以下属性:
仅某些设备政策属性可与移动设备搭配使用。支持移动设备行标识属性是否可以与移动设备搭配使用。
|
|
API 参考
|
|
|
设备政策属性
|
|
要求设置屏幕锁定
|
|
说明
|
检查设备是否已启用屏幕锁定。
|
|
支持移动设备
|
是
|
|
YAML
|
requireScreenlock
|
|
有效值
|
如果省略,则默认为 false。
|
|
API 参考
|
|
|
|
存储加密
|
|
说明
|
检查设备是已加密、未加密,还是不支持存储加密。
|
|
支持移动设备
|
是
|
|
YAML
|
allowedEncryptionStatuses
|
|
有效值
|
以下一个或多个值:
-
ENCRYPTION_UNSUPPORTED
-
ENCRYPTED
-
UNENCRYPTED
|
|
API 参考
|
|
|
|
需要管理员审批
|
|
说明
|
检查设备是否已获得管理员批准。
|
|
支持移动设备
|
是
|
|
YAML
|
requireAdminApproval
|
|
有效值
|
-
true
-
false
如果省略,则默认为 false。
|
|
API 参考
|
无
|
|
|
要求使用公司自有设备
|
|
说明
|
检查设备是否归您的企业所有。
|
|
支持移动设备
|
是
|
|
YAML
|
requireCorpOwned
|
|
有效值
|
-
true
-
false
如果省略,则默认为 false。
|
|
API 参考
|
无
|
|
|
操作系统政策
|
|
说明
|
检查设备是否使用指定的操作系统。此外,您还可以指定设备必须使用的最低操作系统版本。
如果您创建了 Chrome 操作系统政策,还可以指定它必须是经过验证的 Chrome 操作系统。
如果您选择多个操作系统,则在计算条件时,您选择的值将进行 OR 运算。如果用户具有您指定的其中一个操作系统,便会被授予访问权限。
|
|
支持移动设备
|
是
|
|
YAML
|
osConstraints
|
|
有效值
|
osConstraints 是一个列表,必须包含一个或多个 osType 实例。可以将 osType 与 minimumVersion 的实例配对,但不需要 minimumVersion。
-
osType 必须包含以下一个或多个值的列表:
-
DESKTOP_MAC
-
DESKTOP_WINDOWS
-
DESKTOP_CHROME_OS
-
DESKTOP_LINUX
-
IOS
-
ANDROID
-
minimumVersion 是可选的。如果使用,则必须与 osType 一同包含在内。
minimumVersion 必须包含格式为 MAJOR.MINOR.PATCH 的最低版本。
例如:10.5.301。
-
如果您为 osType 指定 DESKTOP_CHROME_OS,则可以选择性地添加 requireVerifiedChromeOs。
有效的 requireVerifiedChromeOs 值如下:
-
如果您为 osType 指定 IOS 或 ANDROID,则可以选择添加任何支持移动设备的设备政策属性。
|
|
API 参考
|
|
|
|
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2023-12-08。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]
