Diese Seite wurde von der Cloud Translation API übersetzt.

Eine grundlegende Zugriffsebene erstellen

Auf dieser Seite wird allgemein beschrieben, wie Sie einfache Zugriffsebenen erstellen. Zum Erstellen und den erweiterten Modus in der Google Cloud Console verwenden, finden Sie Benutzerdefinierte Zugriffsebene erstellen

Auf dieser Seite finden Sie gezieltere Implementierungen von Zugriffsebenen. Betrachten Sie die folgenden Beispiele:

Zugriff auf ein Unternehmensnetzwerk beschränken
Zugriff nach Geräteattributen beschränken
Zugriff nach Nutzer oder Dienstkonto gewähren

Hinweise

Weitere Informationen zu Zugriffsebenen

Einfache Zugriffsebene erstellen

Console

So erstellen Sie eine einfache Zugriffsebene:

Öffnen Sie in der Google Cloud Console die Seite Access Context Manager.

Zur Seite "Access Context Manager"
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie oben auf der Seite Access Context Manager auf Neu.
Im Bereich Neue Zugriffsebene:
1. Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene ein. Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.
2. Klicken Sie im Abschnitt Bedingungen auf das Symbol add für den Typ des hinzuzufügenden Attributs und geben Sie die Werte, die auf dieses Attribut angewendet werden sollen.
  
  Eine vollständige Liste der Attribute, die Sie einfügen können, finden Sie unter Attribute für Zugriffsebenen.
  
  Wenn auf der Zugriffsebene zum Beispiel berücksichtigt werden soll, woher aus Ihrem Netzwerk eine Anfrage kommt, wählen Sie das Attribut IP-Subnetzwerke aus.
  
  Wiederholen Sie diesen Schritt, um der gleichen Bedingung mehrere Attribute hinzuzufügen. Wenn eine Bedingung mehrere Attribute hat, müssen alle Attribute von der Zugriffsanfrage erfüllt werden.
  
  Eine Bedingung für die Zugriffsebene kann jeweils einen der folgenden Typen enthalten: . Einige Attribute, beispielsweise das Attribut Geräterichtlinie, enthalten zusätzliche Optionen.
  
  Zugriffsebenen unterstützen Bedingungen basierend auf Nutzeridentität. Um einer Bedingung jedoch Identitäten hinzuzufügen, Sie müssen die Zugriffsebene mit der gcloud CLI oder API erstellen oder aktualisieren.
3. Verwenden Sie die Option Wenn Bedingung erfüllt ist, Rückgabe, um anzugeben, ob soll die Bedingung voraussetzen, dass eine Anfrage alle angegebene Attribute angeben (TRUE) oder ob die Anfrage erfüllen jedoch nur diese Attribute (FALSCH).
  
  Wenn Sie beispielsweise Anfragen aus einem bestimmten IP-Adressbereich Ihres Netzwerks ablehnen möchten, geben Sie den IP-Adressbereich mit dem Attribut IP Subnetworks an und setzen Sie die Bedingung auf FALSE.
4. Klicken Sie, falls gewünscht, auf Weitere Bedingung hinzufügen, um der Zugriffsebene eine zusätzliche Bedingung hinzuzufügen. Wiederholen Sie dann die beiden vorherigen Schritte.
  
  Wenn Sie beispielsweise den Zugriff auf eine Teilmenge von IP-Adressen innerhalb eines breiteren IP-Adressbereichs verweigern möchten, erstellen Sie eine neue Bedingung, geben Sie den Teilmengen-IP-Adressbereich für das Attribut IP Subnetworks an und legen Sie die Bedingung so fest, dass sie FALSE zurückgibt.
  
  Wiederholen Sie diesen Schritt, um einer Zugriffsebene mehrere Bedingungen hinzuzufügen.
5. Wenn Sie mehrere Bedingungen erstellt haben, verwenden Sie Kombinieren Sie die Bedingung mit, um anzugeben, ob die -Zugriffsebene festgelegt werden, damit eine Anfrage mindestens einer der Bedingungen (OR) oder alle Bedingungen (AND) enthalten.
6. Klicken Sie auf Speichern.

gcloud

Vorbereitung

Falls noch nicht vorhanden, erstellen Sie eine Zugriffsrichtlinie für Ihre Organisation.

Verwenden Sie den Befehl gcloud access-context-manager levels create, um eine Zugriffsebene mit dem gcloud-Befehlszeilentool zu erstellen.

gcloud access-context-manager levels create LEVEL_NAME OPTIONS \
    --policy=POLICY

Wobei:

LEVEL_NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten. Der Name darf maximal 50 Zeichen lang sein.

OPTIONS sind die erforderlichen Optionen aus der folgenden Tabelle.

Optionen
`basic-level-spec`	Eine YAML-Datei, die einen oder mehrere weitere Bedingungen für die Zugriffsebene.
`title`	Kurzer Titel für die Zugriffsebene; Titel der Zugriffsebene in der Google Cloud Console angezeigt.
`combine-function`	(Optional) Legt fest, wie Bedingungen kombiniert werden. Gültige Werte: `AND`, `OR`
`description`	(Optional) Ausführliche Beschreibung der Zugriffsebene

POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.

Optional können Sie beliebige allgemeine gcloud-Flags angeben.

YAML-Datei für Basic-Level-Spezifikation

Wenn Sie das gcloud-Befehlszeilentool zum Erstellen einer Zugriffsebene verwenden, müssen Sie eine YAML-Datei bereitstellen. für die Option basic-level-spec. In der YAML-Datei werden ein oder mehrere Bedingungen für die Zugriffsebene. Bedingungen müssen mindestens ein Attribut enthalten. Wenn eine Bedingung mehr als ein Attribut enthält, sind diese kombiniert als AND-Operation (alle müssen wahr sein) oder als NAND-Operation Vorgang (keiner kann "true" sein), je nachdem, ob das negate-Attribut in der Bedingung enthalten ist.

Eine vollständige Liste der Attribute, die Sie in Ihre YAML-Datei aufnehmen können, finden Sie unter Weitere Informationen zu Attributen für Zugriffsebenen

Weitere Informationen über Zugriffsebenen und .yaml-Dateien finden Sie unter YAML-Beispieldatei für eine Zugriffsebene.

Beispielbefehl

gcloud access-context-manager levels create Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=AND \
    --description='Access level that conforms to corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1521580097614100

API

Vorbereitung

Falls noch nicht vorhanden, erstellen Sie eine Zugriffsrichtlinie für Ihre Organisation.

Rufen Sie zum Erstellen einer Zugriffsebene accessLevels.create auf.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

Wobei:

POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Anfragetext

Der Anfragetext muss eine AccessLevel-Ressource enthalten, die die gewünschten Bedingungen für die neue Zugriffsebene angibt. Jedes Condition-Element hat ein oder mehrere Attribute, die als AND-Operation (alle Werte müssen wahr sein) oder als NAND-Vorgang (keiner kann „true“ sein), je nachdem, ob der negate ist auf true festgelegt. Die daraus resultierende Bewertung entscheidet, Bedingung erfüllt ist oder nicht.

Antworttext

Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang POST.

Beispielimplementierungen

In den folgenden Beispielen werden einige praktische Möglichkeiten beschrieben, mit denen Sie Zugriffsebenen für eine Organisation implementieren können. In diesen Beispielen wird davon ausgegangen, dass die Organisation bereits eine Zugriffsrichtlinie hat.

Zugriff auf ein Unternehmensnetzwerk beschränken

In diesem Beispiel wird beschrieben, wie Sie eine Bedingung für eine Zugriffsebene erstellen können, die den Zugriff nur aus einem angegebenen Bereich von IP-Adressen zulässt (z. B. innerhalb eines Unternehmensnetzwerks).

Durch das Einschränken des Bereichs von IP-Adressen, denen Zugriff gewährt wird, können Sie die Datenexfiltration für einen Angreifer innerhalb oder außerhalb der Organisation erschweren.

Angenommen, Sie möchten eine Zugriffsebene erstellen, mit der eine Gruppe interner Prüfer auf den Cloud-Logging-Dienst für ein Projekt mit dem Namen sensible Daten zugreifen kann. Hierfür können Sie den Geräten der Prüfer IP-Adressen zwischen 203.0.113.0 und 203.0.113.127 in einem Subnetz zuweisen. Sie wissen, dass diesem Subnetz keine anderen Geräte als die der Prüfer zugewiesen sind.

Wenn Sie einen privaten IP-Adressbereich verwenden möchten (z. B. 192.168.0.0/16) oder 172.16.0.0/12), siehe Zugriff auf geschützte Ressourcen von einem internen IP-Adresse für weitere und eine Beispielimplementierung mit VPC Service Controls.

Console

Öffnen Sie in der Google Cloud Console die Seite Access Context Manager.

Zur Seite "Access Context Manager"
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie oben auf der Seite Access Context Manager auf Neu.
Klicken Sie im Bereich Neue Zugriffsebene im Abschnitt Bedingungen auf Attribut hinzufügen und dort auf IP-Subnetzwerke.
Wählen Sie im Feld IP-Subnetzwerke entweder Öffentliche IP-Adresse oder Privat aus. IP-Adresse.
- Wenn Sie Öffentliche IP-Adresse auswählen, geben Sie einen oder mehrere IPv4- oder IPv6-Bereiche ein als CIDR formatiert.
  
  In diesem Beispiel geben Sie Folgendes ein, um den Zugriff auf die Prüfer zu beschränken: 203.0.113.0/25 im Feld IP-Subnetzwerke.
- Wenn Sie Private IP-Adresse auswählen, klicken Sie auf VPC-Netzwerke auswählen. Sie können VPC-Netzwerke mit einer der drei Optionen in der Liste Importoptionen verfügbar.
  - Option 1:
    1. Wählen Sie Nach VPC-Netzwerken in Ihrer Organisation suchen und dann VPC-Netzwerke
    2. Klicken Sie auf Ausgewählte VPC-Netzwerke hinzufügen.
    3. Klicken Sie auf IP-Subnetze auswählen und wählen Sie die Subnetze aus.
    4. Klicken Sie auf IP-Subnetze hinzufügen.
  - Option 2:
    1. Wählen Sie VPC-VPC-Netzwerk manuell eingeben aus und geben Sie mindestens eine Adresse ein VPC-Netzwerke
    2. Klicken Sie auf VPC-Netzwerk hinzufügen.
    3. Klicken Sie auf IP-Subnetze auswählen und wählen Sie die Subnetze aus.
    4. Klicken Sie auf IP-Subnetze hinzufügen.
  - Option 3:
    1. Wählen Sie CSV-Datei hochladen (überschreibt vorhandene Netzwerke) aus.
      
      Wenn Sie eine CSV-Datei verwenden, um VPC-Netzwerke und Subnetze hinzuzufügen auf eine Zugriffsebene hat, überschreibt Access Context Manager die zuvor ausgewählte VPC Netzwerken und Subnetzen.
    2. Klicken Sie auf Durchsuchen und laden Sie die CSV-Datei hoch. In der CSV-Datei müssen Sie die VPC-Netzwerke und Subnetze im folgenden Format:
```
VPC_NETWORK_NAME_1       | IP_RANGE_1       | IP_RANGE_2       | ...
VPC_NETWORK_NAME_2       | .                | .                | ...
.                        | .                | .                | ...
.                        | .                | .                | ...
```
    3. Klicken Sie auf Netzwerke importieren.
      
      Mithilfe der CSV-Datei füllt Access Context Manager das VPC-Netzwerk aus Namen und Subnetzinformationen in den Feldern VPC-Netzwerkadresse und IP Subnetzwerke.
  Informationen zum VPC-Netzwerknamen und zum privaten Netzwerk Format der IP-Adresse, siehe Interne IP-Adresse im Zugriff verwenden Stufen.
Klicken Sie auf Speichern.

gcloud

Erstellen Sie eine YAML-Datei für eine Zugriffsebene, die eine oder mehrere enthält Als CIDR formatierte IPv4- oder IPv6-Bereiche.

In diesem Beispiel geben Sie Folgendes ein, um den Zugriff auf die Prüfer zu beschränken: Folgendes in die YAML-Datei ein:
```
- ipSubnetworks:
  - 203.0.113.0/25
```
Wenn Sie eine private IP-Adresse verwenden möchten, müssen Sie Folgendes eingeben: in der YAML-Datei:
```
- vpcNetworkSources:
  - vpcSubnetwork:
      network: VPC_NETWORK_NAME
      vpcIpSubnetworks:
      - IP_RANGE
```
Ersetzen Sie VPC_NETWORK_NAME und IP_RANGE durch die Werte Interne IP-Adresse im Zugriff verwenden Mitgliedschaftsstufen.
Speichern Sie die Datei. In diesem Beispiel heißt die Datei CONDITIONS.yaml.
Erstellen Sie die Zugriffsebene.
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.
Die Ausgabe sollte etwa so aussehen:
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource und legen Sie dort einen oder mehrere Bereiche von IPv4- oder IPv6-Adressen fest, die als CIDR-Blöcke formatiert sind.

In diesem Beispiel geben Sie Folgendes in den Anfragetext ein, um den Zugriff nur auf die Prüfer zu beschränken:
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "ipSubnetworks": [
         "203.0.113.0/25"
       ]
     }
   ]
 }
}
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
Wenn Sie eine private IP-Adresse verwenden möchten, müssen Sie Folgendes eingeben: Informationen im Anfragetext:
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "vpcNetworkSources": [
        {
          "vpcSubnetwork": {
            "network": VPC_NETWORK_NAME,
            "vpcIpSubnetworks": [
              IP_RANGE
            ]
          }
        }
       ]
     }
   ]
 }
}
```
Ersetzen Sie VPC_NETWORK_NAME und IP_RANGE durch die Werte Interne IP-Adresse im Zugriff verwenden Mitgliedschaftsstufen.
Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
Wobei:
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Zugriff nach Geräteattributen beschränken

In diesem Beispiel wird beschrieben, wie Sie eine Zugriffsebene erstellen, die nur Geräten Zugriff gewährt, die bestimmte Anforderungen erfüllen, z. B. eine bestimmte Betriebssystemversion haben.

Gerätedaten werden für Access Context Manager mithilfe der Endpunktprüfung bereitgestellt. Sie können den Zugriff von folgenden Kriterien abhängig machen:

Bildschirmsperre ist aktiviert
Speicherverschlüsselung ist aktiviert
Typ und Version des Betriebssystems, das auf dem Gerät ausgeführt wird

Nehmen Sie für dieses Beispiel an, dass in Ihrer Organisation nur Computer verwendet werden, auf denen Chrome OS oder Windows installiert ist. Sie möchten eine Sicherheitsebene einfügen und dafür eine Zugriffsebene erstellen, die den Zugriff von Personen verhindert, die andere Betriebssysteme verwenden. Für das Risikomanagement möchten Sie außerdem, dass nur Geräte mit bestimmten Versionen der Betriebssysteme Zugriff erhalten.

Console

Öffnen Sie in der Google Cloud Console die Seite Access Context Manager.

Zur Seite "Access Context Manager"
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie oben auf der Seite Access Context Manager auf Neu.
Klicken Sie im Bereich Neue Zugriffsebene im Abschnitt Bedingungen auf Attribut hinzufügen und dort auf Geräterichtlinie.
Legen Sie die Attribute für die Geräterichtlinie fest:
1. Klicken Sie auf Richtlinie für Betriebssystem hinzufügen und dann auf Richtlinie für Chrome OS.
2. Geben Sie in das Feld Mindestversion die Mindestversion von Chrome OS ein, die Sie zulassen möchten.
3. Wiederholen Sie die Schritte 1 und 2 für die Richtlinie für Windows Betriebssystem.
Klicken Sie auf Speichern.

gcloud

Erstellen Sie eine YAML-Datei für eine Zugriffsebene, die eine Geräterichtlinie mit Betriebssystemeinschränkungen

In diesem Beispiel sollen nur Geräte mit der zulässigen Mindestversion zugelassen werden. von ChromeOS und Windows geben Sie Folgendes in die YAML-Datei ein: Datei:
```
- devicePolicy:
    osConstraints:
      - osType: DESKTOP_CHROME_OS
        minimumVersion: 11316.165.0
      - osType: DESKTOP_WINDOWS
        minimumVersion: 10.0.1809
```
Speichern Sie die Datei. In diesem Beispiel heißt die Datei CONDITIONS.yaml.
Erstellen Sie die Zugriffsebene.
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, ist dieser Parameter optional.
Die Ausgabe sollte etwa so aussehen:
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

Verfassen Sie einen Anfragetext für das Erstellen einer AccessLevel-Ressource, die eine Geräterichtlinie mit Betriebssystemeinschränkungen enthält.

In diesem Beispiel geben Sie Folgendes in den Anfragetext ein, um nur Geräte mit der festgelegten Mindestversion von Chrome OS und Windows zuzulassen:
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "devicePolicy": {
         "osConstraints": [
           {
             "osType": "DESKTOP_CHROME_OS",
             "minimumVersion": "11316.165.0"
           },
           {
             "osType": "DESKTOP_WINDOWS",
             "minimumVersion": "10.0.1809"
           }
         ]
       {
     }
   ]
 }
}
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
Wobei:
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.

Zugriff nach Nutzer oder Dienstkonto gewähren

Das Gewähren des Zugriffs auf der Grundlage der Identität ist oft nützlich in Verbindung mit Dienstkonten, um beispielsweise einer Cloud Functions-Funktion den Zugriff auf Daten zu ermöglichen.

In diesem Beispiel wird beschrieben, wie Sie bestimmten Nutzern und Diensten Zugriff gewähren Konten und die vorhandenen Zugriffsebenen, um ein Beispiel verschachtelte Zugriffsebenen erstellen. In diesem Fall sind die angegebenen Nutzer Zugriffsebene unabhängig davon, ob sie die in der Zugriffsebenen zugewiesen sind. Diese neue Zugriffsebene könnte eine weniger restriktive als die vorhandenen Zugriffsebenen.

Console

In der Google Cloud Console können derzeit keine Hauptkonten zu Zugriffsebenen. Wenn Sie Hauptkonten zu Zugriffsebenen hinzufügen möchten, müssen Sie das gcloud-Befehlszeilentool oder die API verwenden.

gcloud

YAML-Datei mit einer Bedingung erstellen, in der die Hauptkonten aufgelistet sind auf die Sie Zugriff gewähren möchten.

In diesem Beispiel möchten Sie Ihren Systemadministrator (sysadmin@example.com) und ein Dienstkonto (service@project.iam.gserviceaccount.com) hinzufügen.
```
- members:
    - user:sysadmin@example.com
    - serviceAccount:service@project.iam.gserviceaccount.com
```
Fügen Sie eine Bedingung hinzu, in der die vorhandenen Zugriffsebenen aufgelistet sind, die Sie verwenden möchten in diese Zugriffsebene aufnehmen.

In diesem Beispiel wird angenommen, dass die Zugriffsebenen Device_Trust und IP_Trust heißen und 247332951433 der Name Ihrer Zugriffsrichtlinie ist.
```
- members:
    - user:sysadmin@example.com
    - serviceAccount:service@project.iam.gserviceaccount.com

- requiredAccessLevels:
    - accessPolicies/247332951433/accessLevels/Device_Trust
    - accessPolicies/247332951433/accessLevels/IP_Trust
```
Speichern Sie die Datei. In diesem Beispiel heißt die Datei CONDITIONS.yaml.
Erstellen Sie die Zugriffsebene mit dem Befehl create.
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --combine-function=OR \
   --policy=POLICY
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation. Wenn Sie eine Standardrichtlinie festgelegt haben, wird dieser Parameter ist optional.
- combine-function ist auf OR gesetzt. Der Standardwert AND erfordert, dass alle Bedingungen erfüllt sind, bevor eine Zugriffsebene gewährt wird. Das OR gibt den Hauptkonten Zugriff, auch wenn andere Bedingungen erfüllt sind nicht erfüllt.
Die Ausgabe sollte etwa so aussehen:
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

Anfragetext zum Erstellen eines AccessLevel formulieren Ressource mit einer Bedingung, die die Hauptkonten auflistet auf die Sie Zugriff gewähren möchten.

In diesem Beispiel möchten Sie Ihren Systemadministrator (sysadmin@example.com) und ein Dienstkonto (service@project.iam.gserviceaccount.com) hinzufügen.
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     }
   ]
 }
}
```
Wobei:
- NAME ist der eindeutige Name für die Zugriffsebene. Dieser Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Unterstriche enthalten.
- TITLE ist ein für Menschen lesbarer Titel. Er muss für die Richtlinie eindeutig sein.

Fügen Sie eine Bedingung hinzu, in der die vorhandenen Zugriffsebenen aufgelistet sind, die Sie verwenden möchten in diese Zugriffsebene aufnehmen.

In diesem Beispiel wird angenommen, dass die Zugriffsebenen Device_Trust und IP_Trust heißen und 247332951433 der Name Ihrer Zugriffsrichtlinie ist.

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     },
     {
       "requiredAccessLevels": [
         "accessPolicies/247332951433/accessLevels/Device_Trust",
         "accessPolicies/247332951433/accessLevels/IP_Trust"
       ]
     }
   ]
 }
}

Setzen Sie combiningFunction auf OR.

Der Standardwert für combiningFunction, AND, legt fest, dass alle Bedingungen erfüllt sein müssen, bevor eine Zugriffsebene gewährt wird. Bei Einstellung des Wertes OR erhalten die Mitglieder Zugriff, auch wenn andere Bedingungen nicht erfüllt sind, wie z. B. in Bezug auf eine IP-Adresse oder Bedingungen, die von anderen erforderlichen Zugriffsebenen übernommen werden.

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     },
     {
       "requiredAccessLevels": [
         "accessPolicies/247332951433/accessLevels/Device_Trust",
         "accessPolicies/247332951433/accessLevels/IP_Trust"
       ]
     }
   ],
   "combiningFunction": "OR"
 }
}

Rufen Sie zum Erstellen der Zugriffsebene Folgendes auf: accessLevels.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
Wobei:
- POLICY ist die ID der Zugriffsrichtlinie Ihrer Organisation.