Diese Seite wurde von der Cloud Translation API übersetzt.

Eine grundlegende Zugriffsebene erstellen

Auf dieser Seite wird allgemein beschrieben, wie Sie einfache Zugriffsebenen erstellen. Wie Sie benutzerdefinierte Zugriffsebenen erstellen und in der Google Cloud -Console den erweiterten Modus verwenden, erfahren Sie unter Benutzerdefinierte Zugriffsebene erstellen.

Auf dieser Seite finden Sie gezieltere Implementierungen von Zugriffsebenen. Betrachten Sie die folgenden Beispiele:

Zugriff auf ein Unternehmensnetzwerk beschränken
Zugriff nach Geräteattributen beschränken
Zugriff nach Nutzern oder Dienstkonten gewähren

Hinweise

Weitere Informationen zu Zugriffsebenen

Einfache Zugriffsebene erstellen

Console

So erstellen Sie eine einfache Zugriffsebene:

Öffnen Sie in der Google Cloud -Console die Seite Access Context Manager.

Zur Seite "Access Context Manager"
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie oben auf der Seite Access Context Manager auf Neu.
Im Bereich Neue Zugriffsebene:
1. Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene ein. Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.
2. Klicken Sie im Bereich Bedingungen auf die Schaltfläche Hinzufügen für den Attributtyp, den Sie hinzufügen möchten, und geben Sie dann die Werte ein, die auf dieses Attribut angewendet werden sollen.
  
  Eine vollständige Liste der Attribute, die Sie einfügen können, finden Sie unter Attribute für Zugriffsebenen.
  
  Wenn auf der Zugriffsebene zum Beispiel berücksichtigt werden soll, woher aus Ihrem Netzwerk eine Anfrage kommt, wählen Sie das Attribut IP-Subnetzwerke aus.
  
  Wiederholen Sie diesen Schritt, um der gleichen Bedingung mehrere Attribute hinzuzufügen. Wenn eine Bedingung mehrere Attribute hat, müssen alle Attribute von der Zugriffsanfrage erfüllt werden.
  
  Jede Bedingung einer Zugriffsebene kann jeweils nur einen Attributtyp enthalten. Einige Attribute, beispielsweise das Attribut Geräterichtlinie, enthalten zusätzliche Optionen.
  
  Zugriffsebenen unterstützen Bedingungen, die auf der Nutzeridentität basieren. Wenn Sie einer Bedingung jedoch Identitäten hinzufügen möchten, müssen Sie die Zugriffsebene mit der gcloud CLI oder der API erstellen oder aktualisieren.
3. Verwenden Sie die Option Wenn Bedingung erfüllt ist, um anzugeben, ob eine Anfrage auf der Zugriffsebene alle angegebenen Attribute erfüllen muss (TRUE) oder diese festgelegten Attribute nicht erfüllen darf (FALSE).
  
  Wenn Sie beispielsweise Anfragen aus einem bestimmten IP-Adressbereich Ihres Netzwerks ablehnen möchten, geben Sie den IP-Adressbereich mit dem Attribut IP Subnetworks an und setzen Sie die Bedingung auf FALSE.
4. Klicken Sie, falls gewünscht, auf Weitere Bedingung hinzufügen, um der Zugriffsebene eine zusätzliche Bedingung hinzuzufügen. Wiederholen Sie dann die beiden vorherigen Schritte.
  
  Wenn Sie beispielsweise den Zugriff auf eine Teilmenge von IP-Adressen innerhalb eines breiteren IP-Adressbereichs verweigern möchten, erstellen Sie eine neue Bedingung, geben Sie den Teilmengen-IP-Adressbereich für das Attribut IP Subnetworks an und legen Sie die Bedingung so fest, dass sie FALSE zurückgibt.
  
  Wiederholen Sie diesen Schritt, um einer Zugriffsebene mehrere Bedingungen hinzuzufügen.
5. Wenn Sie mehrere Bedingungen erstellt haben, verwenden Sie Bedingung mit, um anzugeben, ob Anfragen auf dieser Zugriffsebene mindestens eine der Bedingungen (OR) oder alle Bedingungen (AND) erfüllen müssen.
6. Klicken Sie auf Speichern.

gcloud

Vorbereitung

Falls noch nicht vorhanden, erstellen Sie eine Zugriffsrichtlinie für Ihre Organisation.

Verwenden Sie den Befehl gcloud access-context-manager levels create, um eine Zugriffsebene mit dem gcloud-Befehlszeilentool zu erstellen.

gcloud access-context-manager levels create LEVEL_NAME OPTIONS \
    --policy=POLICY

Wobei:

LEVEL_NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten. Der Name darf maximal 50 Zeichen lang sein.

OPTIONS sind die erforderlichen Optionen aus der folgenden Tabelle.

Optionen
`basic-level-spec`	YAML-Datei, in der eine oder mehrere Bedingungen für die Zugriffsebene definiert sind.
`title`	Kurzer Titel für die Zugriffsebene; Der Titel der Zugriffsebene wird in der Google Cloud -Console angezeigt.
`combine-function`	(Optional) Legt fest, wie Bedingungen kombiniert werden. Gültige Werte: `AND`, `OR`
`description`	(Optional) Ausführliche Beschreibung der Zugriffsebene

POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.

Optional können Sie beliebige allgemeine gcloud-Flags angeben.

YAML-Datei für die Option „basic-level-spec“

Wenn Sie das gcloud-Befehlszeilentool verwenden, um eine Zugriffsebene zu erstellen, müssen Sie eine YAML-Datei für die Option basic-level-spec bereitstellen. In der YAML-Datei werden eine oder mehrere Bedingungen für die Zugriffsebene definiert. Bedingungen müssen mindestens ein Attribut enthalten. Wenn eine Bedingung mehrere Attribute enthält, werden sie entweder als AND-Vorgang (alle müssen wahr sein) oder als NAND-Vorgang (keins darf wahr sein) kombiniert, je nachdem, ob das negate-Attribut in der Bedingung enthalten ist.

Eine vollständige Liste der Attribute, die Sie in die YAML-Datei aufnehmen können, finden Sie unter Attribute für Zugriffsebenen.

Weitere Informationen über Zugriffsebenen und .yaml-Dateien finden Sie unter YAML-Beispieldatei für eine Zugriffsebene.

Beispielbefehl

gcloud access-context-manager levels create Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=AND \
    --description='Access level that conforms to corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1521580097614100

API

Vorbereitung

Falls noch nicht vorhanden, erstellen Sie eine Zugriffsrichtlinie für Ihre Organisation.

Rufen Sie zum Erstellen einer Zugriffsebene accessLevels.create auf.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

Wobei:

POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Anfragetext

Der Anfragetext muss eine AccessLevel-Ressource enthalten, die die gewünschten Bedingungen für die neue Zugriffsebene angibt. Jede Condition hat ein oder mehrere Attribute, die je nachdem, ob das Feld negate auf true festgelegt ist, als AND-Operation (alle müssen wahr sein) oder als NAND-Operation (keines darf wahr sein) ausgewertet werden. Anhand der resultierenden Auswertung wird ermittelt, ob die Bedingung erfüllt ist oder nicht.

Antworttext

Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang POST.

Beispielimplementierungen

In den folgenden Beispielen werden einige praktische Möglichkeiten beschrieben, mit denen Sie Zugriffsebenen für eine Organisation implementieren können. In diesen Beispielen wird davon ausgegangen, dass die Organisation bereits eine Zugriffsrichtlinie hat.

Zugriff auf ein Unternehmensnetzwerk beschränken

In diesem Beispiel wird beschrieben, wie Sie eine Bedingung für eine Zugriffsebene erstellen können, die den Zugriff nur aus einem angegebenen Bereich von IP-Adressen zulässt (z. B. innerhalb eines Unternehmensnetzwerks).

Durch das Einschränken des Bereichs von IP-Adressen, denen Zugriff gewährt wird, können Sie die Datenexfiltration für einen Angreifer innerhalb oder außerhalb der Organisation erschweren.

Angenommen, Sie möchten eine Zugriffsebene erstellen, mit der eine Gruppe interner Prüfer auf den Cloud-Logging-Dienst für ein Projekt mit dem Namen sensible Daten zugreifen kann. Hierfür können Sie den Geräten der Prüfer IP-Adressen zwischen 203.0.113.0 und 203.0.113.127 in einem Subnetz zuweisen. Sie wissen, dass diesem Subnetz keine anderen Geräte als die der Prüfer zugewiesen sind.

Wenn Sie einen Bereich privater IP-Adressen verwenden möchten (z. B. 192.168.0.0/16 oder 172.16.0.0/12), finden Sie unter Zugriff auf geschützte Ressourcen von einer internen IP-Adresse aus zulassen weitere Informationen und eine Beispielimplementierung mit VPC Service Controls.

Console

Öffnen Sie in der Google Cloud -Console die Seite Access Context Manager.

Zur Seite "Access Context Manager"
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie oben auf der Seite Access Context Manager auf Neu.
Klicken Sie im Bereich Neue Zugriffsebene im Abschnitt Bedingungen auf Attribut hinzufügen und dort auf IP-Subnetzwerke.
Wählen Sie im Feld IP-Subnetzwerke entweder Öffentliche IP-Adresse oder Private IP-Adresse aus.
- Wenn Sie Öffentliche IP-Adresse auswählen, geben Sie einen oder mehrere IPv4- oder IPv6-Bereiche als CIDR ein.
  
  In diesem Beispiel geben Sie in das Feld IP-Subnetzwerke 203.0.113.0/25 ein, um den Zugriff auf die Prüfer zu beschränken.
- Wenn Sie Private IP auswählen, klicken Sie auf VPC-Netzwerke auswählen. Sie können VPC-Netzwerke mit einer der drei Optionen in der Liste Importoptionen angeben.
  - Option 1:
    1. Wählen Sie VPC-Netzwerke in Ihrer Organisation suchen und dann die VPC-Netzwerke aus.
    2. Klicken Sie auf Ausgewählte VPC-Netzwerke hinzufügen.
    3. Klicken Sie auf IP-Subnetzwerke auswählen und wählen Sie die Subnetze aus.
    4. Klicken Sie auf IP-Subnetze hinzufügen.
  - Option 2:
    1. Wählen Sie VPC-VPC-Netzwerk manuell eingeben aus und geben Sie ein oder mehrere VPC-Netzwerke ein.
    2. Klicken Sie auf VPC-Netzwerk hinzufügen.
    3. Klicken Sie auf IP-Subnetzwerke auswählen und wählen Sie die Subnetze aus.
    4. Klicken Sie auf IP-Subnetze hinzufügen.
  - Option 3:
    1. Wählen Sie CSV-Datei hochladen (überschreibt bestehende Netzwerke) aus.
      
      Wenn Sie einer Zugriffsebene mit einer CSV-Datei VPC-Netzwerke und ‑Subnetze hinzufügen, werden die zuvor ausgewählten VPC-Netzwerke und ‑Subnetze von Access Context Manager überschrieben.
    2. Klicken Sie auf Durchsuchen und laden Sie die CSV-Datei hoch. In der CSV-Datei müssen Sie die VPC-Netzwerke und Subnetze im folgenden Format angeben:
      VPC_NETWORK_NAME_1 | IP_RANGE_1 | IP_RANGE_2 | ... VPC_NETWORK_NAME_2 | . | . | ... . | . | . | ... . | . | . | ...
    3. Klicken Sie auf Netzwerke importieren.
      
      Anhand der CSV-Datei füllt Access Context Manager die VPC-Netzwerknamen und ‑Subnetzinformationen in den Feldern VPC-Netzwerkadresse und IP-Subnetze aus.
  Informationen zum Namen des VPC-Netzwerk und zum Format der privaten IP-Adresse finden Sie unter Interne IP-Adresse in Zugriffsebenen verwenden.
Klicken Sie auf Speichern.

gcloud

Erstellen Sie eine YAML-Datei für eine Zugriffsebene und legen Sie dort einen oder mehrere Bereiche von IPv4- oder IPv6-Adressen fest, die als CIDR formatiert sind.

In diesem Beispiel geben Sie Folgendes in die YAML-Datei ein, um den Zugriff nur auf die Prüfer zu beschränken:
```
- ipSubnetworks:
  - 203.0.113.0/25
```
Wenn Sie eine private IP-Adresse verwenden möchten, müssen Sie die folgenden Informationen in die YAML-Datei eingeben:
```
- vpcNetworkSources:
  - vpcSubnetwork:
      network: VPC_NETWORK_NAME
      vpcIpSubnetworks:
      - IP_RANGE
```
Ersetzen Sie VPC_NETWORK_NAME und IP_RANGE durch die Werte, die im Abschnitt Interne IP-Adresse in Zugriffsebenen verwenden beschrieben sind.
Speichern Sie die Datei. In diesem Beispiel heißt die Datei CONDITIONS.yaml.
Erstellen Sie die Zugriffsebene.
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.
Die Ausgabe sollte etwa so aussehen:
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource und legen Sie dort einen oder mehrere Bereiche von IPv4- oder IPv6-Adressen fest, die als CIDR-Blöcke formatiert sind.

In diesem Beispiel geben Sie Folgendes in den Anfragetext ein, um den Zugriff nur auf die Prüfer zu beschränken:
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "ipSubnetworks": [
         "203.0.113.0/25"
       ]
     }
   ]
 }
}
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
Wenn Sie eine private IP-Adresse verwenden möchten, müssen Sie die folgenden Informationen in den Anfragetext eingeben:
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "vpcNetworkSources": [
        {
          "vpcSubnetwork": {
            "network": VPC_NETWORK_NAME,
            "vpcIpSubnetworks": [
              IP_RANGE
            ]
          }
        }
       ]
     }
   ]
 }
}
```
Ersetzen Sie VPC_NETWORK_NAME und IP_RANGE durch die Werte, die im Abschnitt Interne IP-Adresse in Zugriffsebenen verwenden beschrieben sind.
Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
Wobei:
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Zugriff nach Geräteattributen beschränken

In diesem Beispiel wird beschrieben, wie Sie eine Zugriffsebene erstellen, die nur Geräten Zugriff gewährt, die bestimmte Anforderungen erfüllen, z. B. eine bestimmte Betriebssystemversion haben.

Gerätedaten werden für Access Context Manager mithilfe der Endpunktprüfung bereitgestellt. Sie können den Zugriff von folgenden Kriterien abhängig machen:

Bildschirmsperre ist aktiviert
Speicherverschlüsselung ist aktiviert
Typ und Version des Betriebssystems, das auf dem Gerät ausgeführt wird

Nehmen Sie für dieses Beispiel an, dass in Ihrer Organisation nur Computer verwendet werden, auf denen Chrome OS oder Windows installiert ist. Sie möchten eine Sicherheitsebene einfügen und dafür eine Zugriffsebene erstellen, die den Zugriff von Personen verhindert, die andere Betriebssysteme verwenden. Für das Risikomanagement möchten Sie außerdem, dass nur Geräte mit bestimmten Versionen der Betriebssysteme Zugriff erhalten.

Console

Öffnen Sie in der Google Cloud -Console die Seite Access Context Manager.

Zur Seite "Access Context Manager"
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie oben auf der Seite Access Context Manager auf Neu.
Klicken Sie im Bereich Neue Zugriffsebene im Abschnitt Bedingungen auf Attribut hinzufügen und dort auf Geräterichtlinie.
Legen Sie die Attribute für die Geräterichtlinie fest:
1. Klicken Sie auf Richtlinie für Betriebssystem hinzufügen und dann auf Richtlinie für Chrome OS.
2. Geben Sie in das Feld Mindestversion die Mindestversion von Chrome OS ein, die Sie zulassen möchten.
3. Wiederholen Sie die Schritte 1 und 2 für die Richtlinie für Windows Betriebssystem.
Klicken Sie auf Speichern.

gcloud

Erstellen Sie eine YAML-Datei für eine Zugriffsebene, die eine Geräterichtlinie mit Betriebssystemeinschränkungen enthält.

In diesem Beispiel geben Sie Folgendes in die YAML-Datei ein, um nur Geräte mit der festgelegten Mindestversion von Chrome OS und Windows zuzulassen:
```
- devicePolicy:
    osConstraints:
      - osType: DESKTOP_CHROME_OS
        minimumVersion: 11316.165.0
      - osType: DESKTOP_WINDOWS
        minimumVersion: 10.0.1809
```
Speichern Sie die Datei. In diesem Beispiel heißt die Datei CONDITIONS.yaml.
Erstellen Sie die Zugriffsebene.
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.
Die Ausgabe sollte etwa so aussehen:
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource, die eine Geräterichtlinie mit Betriebssystemeinschränkungen enthält.

In diesem Beispiel geben Sie Folgendes in den Anfragetext ein, um nur Geräte mit der festgelegten Mindestversion von Chrome OS und Windows zuzulassen:

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "devicePolicy": {
         "osConstraints": [
           {
             "osType": "DESKTOP_CHROME_OS",
             "minimumVersion": "11316.165.0"
           },
           {
             "osType": "DESKTOP_WINDOWS",
             "minimumVersion": "10.0.1809"
           }
         ]
       {
     }
   ]
 }
}

Wobei:

NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
Wobei:
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Zugriff nach Nutzer oder Dienstkonto gewähren

Identitätsbasierte Zugriffsbeschränkungen sind häufig in Verbindung mit Dienstkonten nützlich, z. B. um einer Cloud Function den Zugriff auf Daten zu ermöglichen.

In diesem Beispiel wird beschrieben, wie bestimmten Nutzern und Dienstkonten Zugriff gewährt wird. Dabei werden vorhandene Zugriffsebenen berücksichtigt, um ein Beispiel für verschachtelte Zugriffsebenen zu zeigen. In diesem Fall werden die angegebenen Nutzer in diese Zugriffsebene aufgenommen, unabhängig davon, ob sie die in den vorhandenen Zugriffsebenen angegebenen Bedingungen erfüllen. Diese neue Zugriffsebene könnte als weniger restriktiv als die vorhandenen Zugriffsebenen betrachtet werden.

Console

Die Google Cloud -Console unterstützt derzeit nicht das Hinzufügen von Hauptkonten zu Zugriffsebenen. Wenn Sie Hauptkonten zu Zugriffsebenen hinzufügen möchten, müssen Sie das gcloud-Befehlszeilentool oder die API verwenden.

gcloud

Erstellen Sie eine YAML-Datei mit einer Bedingung, in der die Hauptkonten aufgeführt sind, denen Sie Zugriff gewähren möchten.

In diesem Beispiel möchten Sie Ihren Systemadministrator (sysadmin@example.com) und ein Dienstkonto (service@project.iam.gserviceaccount.com) hinzufügen.
```
- members:
    - user:sysadmin@example.com
    - serviceAccount:service@project.iam.gserviceaccount.com
```
Fügen Sie eine Bedingung hinzu, in der die vorhandenen Zugriffsebenen aufgeführt sind, die Sie in diese Zugriffsebene aufnehmen möchten.

In diesem Beispiel wird angenommen, dass die Zugriffsebenen Device_Trust und IP_Trust heißen und 247332951433 der Name Ihrer Zugriffsrichtlinie ist.
```
- members:
    - user:sysadmin@example.com
    - serviceAccount:service@project.iam.gserviceaccount.com

- requiredAccessLevels:
    - accessPolicies/247332951433/accessLevels/Device_Trust
    - accessPolicies/247332951433/accessLevels/IP_Trust
```
Speichern Sie die Datei. In diesem Beispiel heißt die Datei CONDITIONS.yaml.
Erstellen Sie die Zugriffsebene mit dem Befehl create.
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --combine-function=OR \
   --policy=POLICY
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.
- combine-function ist auf OR gesetzt. Der Standardwert AND erfordert, dass alle Bedingungen erfüllt sind, bevor eine Zugriffsebene gewährt wird. Bei Einstellung des Wertes OR erhalten die Mitglieder Zugriff, auch wenn andere Bedingungen nicht erfüllt sind.
Die Ausgabe sollte etwa so aussehen:
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource mit einer Bedingung, in der die Mitglieder aufgelistet sind, die Zugriff erhalten sollen.

In diesem Beispiel möchten Sie Ihren Systemadministrator (sysadmin@example.com) und ein Dienstkonto (service@project.iam.gserviceaccount.com) hinzufügen.
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     }
   ]
 }
}
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

Fügen Sie eine Bedingung hinzu, in der die vorhandenen Zugriffsebenen aufgeführt sind, die Sie in diese Zugriffsebene aufnehmen möchten.

In diesem Beispiel wird angenommen, dass die Zugriffsebenen Device_Trust und IP_Trust heißen und 247332951433 der Name Ihrer Zugriffsrichtlinie ist.

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     },
     {
       "requiredAccessLevels": [
         "accessPolicies/247332951433/accessLevels/Device_Trust",
         "accessPolicies/247332951433/accessLevels/IP_Trust"
       ]
     }
   ]
 }
}

Setzen Sie combiningFunction auf OR.

Der Standardwert für combiningFunction, AND, legt fest, dass alle Bedingungen erfüllt sein müssen, bevor eine Zugriffsebene gewährt wird. Bei Einstellung des Wertes OR erhalten die Mitglieder Zugriff, auch wenn andere Bedingungen nicht erfüllt sind, wie z. B. in Bezug auf eine IP-Adresse oder Bedingungen, die von anderen erforderlichen Zugriffsebenen übernommen werden.

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     },
     {
       "requiredAccessLevels": [
         "accessPolicies/247332951433/accessLevels/Device_Trust",
         "accessPolicies/247332951433/accessLevels/IP_Trust"
       ]
     }
   ],
   "combiningFunction": "OR"
 }
}

Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
Wobei:
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.