Creazione di un livello di accesso personalizzato

Dopo aver creato un livello di accesso personalizzato, puoi gestirlo allo stesso modo dei livelli di accesso di base.

Per maggiori dettagli sulla creazione di espressioni CEL (Common Expression Language) per i livelli di accesso personalizzati, consulta la specifica del livello di accesso personalizzato.

Console

Per creare un livello di accesso personalizzato:

  1. Apri la pagina Gestore contesto accesso nella console Google Cloud.

    Apri la pagina Gestore contesto accesso

  2. Se richiesto, seleziona la tua organizzazione.

  3. Nella parte superiore della pagina Gestore contesto accesso, fai clic su Nuovo.

  4. Nel riquadro Nuovo livello di accesso:

    1. Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e contenere solo numeri, lettere, trattini bassi e spazi.

    2. Segui Crea condizioni in, seleziona la Modalità avanzata.

    3. Nella sezione Condizioni, inserisci le espressioni per il tuo livello di accesso personalizzato. La condizione deve risolversi in un unico valore booleano.

      Per esempi e ulteriori informazioni sul supporto CEL (Common Expression Language) e sui livelli di accesso personalizzati, consulta la Specifica del livello di accesso personalizzato.

    4. Fai clic su Salva.

gcloud

Prima di iniziare

Per creare un livello di accesso personalizzato utilizzando lo strumento a riga di comando gcloud, utilizza il comando gcloud access-context-manager levels create.

gcloud access-context-manager levels create LEVEL_NAME \
  --title=TITLE \
  --custom-level-spec=FILE \
  --description=DESCRIPTION \
  --policy=POLICY_NAME

Dove:

  • LEVEL_NAME è un nome univoco per il livello di accesso. Deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi. Il nome può contenere un massimo di 50 caratteri.

  • TITLE è il titolo breve e leggibile per il livello di accesso.

  • FILE è un file .yaml contenente l'espressione CEL formattata come un'unica coppia chiave-valore: expression: "CEL_EXPRESSION".

    Per esempi e ulteriori informazioni sul supporto CEL (Common Expression Language) e sui livelli di accesso personalizzati, consulta la specifica del livello di accesso personalizzato.

  • DESCRIPTION (facoltativo) è una descrizione leggibile del livello di accesso.

  • POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione.

Se vuoi, puoi includere uno qualsiasi dei flag a livello di gcloud.

custom-level-spec file YAML

Quando utilizzi lo strumento a riga di comando gcloud per creare un livello di accesso personalizzato, devi fornire un file .yaml per l'opzione custom-level-spec. Il file .yaml definisce un'espressione CEL che si risolve in un singolo valore booleano. Il file .yaml deve contenere una singola coppia chiave-valore formattata come expression: "CEL_EXPRESSION". Il valore di expression deve essere una stringa.

File YAML di esempio

expression: "device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ['US'] || device.is_admin_approved_device)"

Comando di esempio

gcloud access-context-manager levels create Custom_Trust \
    --custom-level-spec=customspec.yaml \
    --description="Custom access level for corp." \
    --title="Custom Trust Level" \
    --policy=1521580097614100

REST

Prima di iniziare

Per creare un livello di accesso personalizzato, utilizza il metodo accessPolicies.accessLevels.create.

Corpo della richiesta

Nel corpo della richiesta della chiamata, includi un'istanza dell'oggetto AccessLevel.

{
  "name": string,
  "title": string,
  "description": string,
  "custom": {
    "expr": {
      "expression": string,
      "title": string,
      "description": string
    }
  }
}

Per il campo custom, crea un oggetto che includa le espressioni CEL per il tuo livello di accesso personalizzato. L'espressione completa deve risolversi in un valore booleano. I campi title e description sono facoltativi.

Esempio

{
  "name": "example_custom_level",
  "title": "Example custom level",
  "description": "An example custom access level.",
  "custom":  {
    "expr": {
      "expression": "device.is_corp_owned == true || (device.os_type != OsType.OS_UNSPECIFIED && device.is_admin_approved_device == true)",
      "title": "Check for known devices",
      "description": "Permits requests from corp-owned devices and admin-approved devices with a known OS."
    }
  }
}

RPC

Prima di iniziare

Per creare un livello di accesso personalizzato, chiama CreateAccessLevel.

Per il campo access_level, includi un'istanza di AccessLevel.

Campi
name
Tipo string
Description

obbligatorio.

Il nome della risorsa per il livello di accesso. POLICY_ID è il nome numerico del criterio di accesso della tua organizzazione. SHORT_NAME deve iniziare con una lettera e includere solo lettere, numeri e trattini bassi.

Formato: 


                accessPolicies/policy_id/accessLevels/short_name

title
Tipo string
Description

Un'etichetta leggibile per il livello di accesso. I livelli di accesso devono avere nomi univoci.

description
Tipo string
Description

Una descrizione del livello di accesso.

custom
Tipo string
Description

Le espressioni CEL per il livello di accesso personalizzato. L'espressione completa deve risolversi in un valore booleano.