カスタム アクセスレベルの作成

作成したカスタム アクセスレベルは、ベーシック アクセスレベルと同じ方法で管理できます。

カスタム アクセスレベルに Common Expression Language(CEL)式を作成する方法については、カスタム アクセスレベルの仕様をご覧ください。

Console

カスタム アクセスレベルを作成するには:

  1. Cloud Console で [Access Context Manager] ページを開きます。

    [Access Context Manager] ページを開く

  2. プロンプトが表示されたら、組織を選択します。

  3. [Access Context Manager] ページの上部にある [新規] をクリックします。

  4. [新しいアクセスレベル] パネルで、次の操作を行います。

    1. [アクセスレベルのタイトル] ボックスに、アクセスレベルのタイトルを入力します。タイトルは最大 50 文字です。先頭は英字にしてください。その後には、数字、英字、アンダースコア、スペースのみ使用できます。

    2. [条件の作成] に従って、[高度なモード] を選択します。

    3. [条件] セクションに、カスタム アクセスレベルの式を入力します。条件は、単一のブール値に解決される必要があります。

      Common Expression Language(CEL)のサポートとカスタム アクセスレベルの例と詳細については、カスタム アクセスレベルの仕様をご覧ください。

    4. [保存] をクリックします。

gcloud

始める前に

gcloud コマンドライン ツールを使用してカスタムアクセスレベルを作成するには、gcloud access-context-manager levels create コマンドを使用します。

gcloud access-context-manager levels create LEVEL_NAME \
  --title=TITLE \
  --custom-level-spec=FILE \
  --description=DESCRIPTION \
  --policy=POLICY_NAME

ここで

  • LEVEL_NAME はアクセスレベルの一意の名前です。先頭は英字にしてください。その後には英字、数字、アンダースコアのみ使用できます。名前は最大 50 文字です。

  • TITLE は、アクセスレベルの短い、人が読める形式のタイトルです。

  • FILEは、expression: "CEL_EXPRESSION" という形式の単一の Key-Value ペアである CEL 式を含む .yaml ファイルです。

    Common Expression Language(CEL)のサポートとカスタム アクセスレベルの例と詳細については、カスタム アクセスレベルの仕様をご覧ください。

  • DESCRIPTION(省略可)は、人が読めるアクセスレベルの説明です。

  • POLICY_NAME は組織のアクセス ポリシーの数値名です。

必要に応じて、gcloud の各フラグを含めることもできます。

custom-level-spec .yaml file

gcloud コマンドライン ツールを使用してカスタム アクセスレベルを作成する場合は、custom-level-spec オプション用の .yaml ファイルを指定する必要があります。.yaml ファイルは、単一のブール値に解決される CEL 式を定義します。.yaml ファイルには、expression: "CEL_EXPRESSION" という形式の Key-Value ペアを 1 つ含める必要があります。expression の値は、文字列である必要があります。

.yaml file の例

expression: "device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && (origin.region_code in ['US'] || device.is_admin_approved_device)"

コマンドの例

gcloud access-context-manager levels create Custom_Trust \
    --custom-level-spec=customspec.yaml \
    --description="Custom access level for corp." \
    --title="Custom Trust Level"

REST

始める前に

カスタム アクセスレベルを作成するには、accessPolicies.accessLevels.create メソッドを使用します。

リクエストの本文

この呼び出しリクエストの本文に、AccessLevel オブジェクトのインスタンスを含めます。

{
  "name": string,
  "title": string,
  "description": string,
  "custom": {
    "expr": {
      "expression": string,
      "title": string,
      "description": string
    }
  }
}

custom フィールドで、カスタム アクセスレベルの CEL 式を含むオブジェクトを作成します。完成した式は、ブール値に解決される必要があります。title フィールドと description フィールドは省略可能です。

{
  "name": "example_custom_level",
  "title": "Example custom level",
  "description": "An example custom access level.",
  "custom":  {
    "expr": {
      "expression": "device.is_corp_owned == true || (device.os_type != OsType.OS_UNSPECIFIED && device.is_admin_approved_device == true)",
      "title": "Check for known devices",
      "description": "Permits requests from corp-owned devices and admin-approved devices with a known OS."
    }
  }
}

RPC

始める前に

カスタム アクセスレベルを作成するには、CreateAccessLevel を呼び出します。

access_level フィールドには、AccessLevel のインスタンスを含めます。

項目
name
文字列
説明

必須。

アクセスレベルのリソース名。POLICY_ID は組織のアクセス ポリシーの数値名です。SHORT_NAME の先頭は英字にしてください。その後には英字、数字、アンダースコアのみ使用できます。

形式:


                accessPolicies/policy_id/accessLevels/short_name
                

title
文字列
説明

人が読める形式のアクセスレベルのラベル。アクセスレベルには一意の名前を付ける必要があります。

description
文字列
説明

アクセスレベルの説明。

custom
文字列
説明

カスタム アクセスレベルの CEL 式。完成した式は、ブール値に解決される必要があります。