Halaman ini menjelaskan cara mengelola tingkat akses yang ada. Anda dapat:
Sebelum memulai
Tetapkan kebijakan akses default untuk menggunakan alat command line
gcloud
.-atau-
Dapatkan nama kebijakan Anda. Nama kebijakan diperlukan untuk perintah yang menggunakan alat command line
gcloud
dan melakukan panggilan API. Jika menetapkan kebijakan akses default, Anda tidak perlu menentukan kebijakan untuk alat command linegcloud
.Pastikan Anda memiliki peran Identity and Access Management (IAM) di tingkat organisasi yang memungkinkan Anda mengelola tingkat akses. Minta administrator untuk memberi Anda salah satu peran berikut, atau peran khusus dengan izin yang sama:
Untuk melihat tingkat akses: Access Context Manager Reader (
roles/accesscontextmanager.policyReader
)Untuk melihat dan mengubah tingkat akses: Access Context Manager Editor (
roles/accesscontextmanager.policyEditor
) atau Access Context Manager Admin (roles/accesscontextmanager.policyAdmin
)
Mencantumkan tingkat akses
Konsol
Untuk mencantumkan semua tingkat akses, buka halaman Access Context Manager di konsol Google Cloud, lalu, jika diminta, pilih organisasi Anda. Tingkat akses organisasi Anda ditampilkan dalam petak di halaman, termasuk detail tentang konfigurasi setiap tingkat akses.
gcloud
Untuk mencantumkan semua tingkat akses, gunakan perintah list
.
gcloud access-context-manager levels list \ [--policy=POLICY_NAME]
Dengan keterangan:
- POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Outputnya akan terlihat seperti ini:
NAME TITLE LEVEL_TYPE Device_Trust Device_Trust Extended Basic Service_Group_A Service_Group_A Basic
API
Untuk mencantumkan semua tingkat akses untuk kebijakan, panggil
accessLevels.list
.
GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels
Dengan keterangan:
- POLICY_NAME adalah nama kebijakan akses organisasi Anda.
Isi permintaan
Isi permintaan harus kosong.
Parameter opsional
Jika ingin, sertakan satu atau beberapa parameter kueri berikut.
Parameter | |
---|---|
pageSize
|
Secara default, daftar
tingkat akses yang ditampilkan oleh Anda dapat menggunakan parameter ini untuk mengubah jumlah tingkat akses yang ditampilkan per halaman. |
pageToken
|
Jika jumlah tingkat akses yang ditampilkan oleh panggilan Anda melebihi ukuran halaman, isi respons akan menyertakan token halaman. Anda dapat menggunakan parameter ini dalam panggilan berikutnya untuk mendapatkan halaman hasil berikutnya. |
accessLevelFormat
|
Biasanya, tingkat akses ditampilkan seperti yang ditentukan, baik
sebagai
Anda dapat menentukan nilai |
Isi respons
Jika berhasil, isi respons untuk panggilan akan berisi objek AccessLevels
yang mencantumkan tingkat akses, dan string nextPageToken
. nextPageToken
hanya
memiliki nilai jika jumlah tingkat akses yang ditampilkan melebihi
ukuran halaman. Jika tidak, nextPageToken
akan ditampilkan sebagai
string kosong.
Mencantumkan tingkat akses (diformat)
Dengan menggunakan alat command line gcloud
, Anda bisa mendapatkan daftar tingkat akses dalam format
YAML atau JSON.
Untuk mendapatkan daftar tingkat akses yang diformat, gunakan perintah list
.
gcloud access-context-manager levels list \ --format=FORMAT \ [--policy=POLICY_NAME]
Dengan keterangan:
FORMAT adalah salah satu nilai berikut:
list
(format YAML)json
(format JSON)
POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Output YAML akan terlihat seperti ini:
- basic: {'conditions': [{'ipSubnetworks': ['8.8.0/24']}]} description: Level for corp access. name: accessPolicies/165717541651/accessLevels/corp_level title: Corp Level - basic: {'combiningFunction': 'OR', 'conditions': [{'ipSubnetworks': ['8.8.0/24']}]} description: Level for net access. name: accessPolicies/165717541651/accessLevels/net_level title: Net Level
Output JSON akan terlihat seperti ini:
[ { "basic": { "conditions": [ { "ipSubnetworks": [ "8.8.0/24" ] } ] }, "description": "Level for corp access.", "name": "accessPolicies/165717541651/accessLevels/corp_level", "title": "Corp Level" }, { "basic": { "combiningFunction": "OR", "conditions": [ { "ipSubnetworks": [ "8.8.0/24" ] } ] }, "description": "Level for net access.", "name": "accessPolicies/165717541651/accessLevels/net_level", "title": "Net Level" } ]
Menjelaskan tingkat akses
Konsol
Dengan menggunakan Konsol Google Cloud, lihat langkah-langkah untuk mencantumkan tingkat akses. Saat Anda mencantumkan tingkat akses, detail akan diberikan dalam petak yang muncul.
gcloud
Mencantumkan tingkat akses hanya memberikan nama, judul, dan jenis tingkat. Untuk
mendapatkan informasi mendetail tentang fungsi sebenarnya dari level, gunakan
perintah describe
.
gcloud access-context-manager levels describe LEVEL_NAME \ [--policy=POLICY_NAME]
Dengan keterangan:
LEVEL_NAME adalah nama tingkat akses yang ingin Anda deskripsikan.
POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Perintah ini akan mencetak informasi tentang level yang diformat sebagai YAML. Misalnya, jika tingkat membatasi akses ke versi sistem operasi tertentu, outputnya mungkin terlihat seperti:
basic: conditions: - devicePolicy: allowedEncryptionStatuses: - ENCRYPTED osConstraints: - minimumVersion: 10.13.6 osType: DESKTOP_MAC - minimumVersion: 10.0.18219 osType: DESKTOP_WINDOWS - minimumVersion: 68.0.3440 osType: DESKTOP_CHROME_OS requireScreenlock: true name: accessPolicies/330193482019/accessLevels/Device_Trust title: Device_Trust Extended
API
Mencantumkan tingkat akses hanya memberikan nama, judul, dan jenis tingkat.
Untuk mendapatkan informasi mendetail tentang tingkat akses,
panggil accessLevels.get
.
GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME
Dengan keterangan:
POLICY_NAME adalah nama kebijakan akses organisasi Anda.
LEVEL_NAME adalah nama tingkat akses yang ingin Anda deskripsikan.
Isi permintaan
Isi permintaan harus kosong.
Parameter opsional
Secara opsional, sertakan parameter kueri accessLevelFormat
. Biasanya, tingkat akses ditampilkan seperti yang ditentukan,
baik sebagai BasicLevel
maupun CustomLevel
.
Anda dapat menentukan nilai CEL
untuk parameter ini agar menampilkan BasicLevels
sebagai CustomLevels
dalam Cloud Common Expression Language.
Isi respons
Jika berhasil, isi respons untuk panggilan akan berisi
resource AccessLevel
yang menyertakan detail tentang
fungsi tingkat akses, waktu terakhir tingkat diperbarui, dan lainnya.
Memperbarui tingkat akses
Bagian ini menjelaskan cara memperbarui setiap tingkat akses. Untuk memperbarui semua tingkat akses organisasi dalam satu operasi, lihat Melakukan perubahan massal pada tingkat akses.
Konsol
Untuk memperbarui tingkat akses:
Buka halaman Access Context Manager di konsol Google Cloud.
Jika diminta, pilih organisasi Anda.
Di petak, klik nama tingkat akses yang ingin diperbarui.
Di panel Edit Access Level, buat perubahan pada tingkat akses.
Untuk mengetahui daftar lengkap atribut yang dapat Anda tambahkan atau ubah, baca artikel tentang atribut tingkat akses.
Klik Simpan.
Selain memperbarui atau menghapus kondisi yang ada, Anda dapat menambahkan kondisi baru dan menambahkan atribut baru ke kondisi yang ada.
gcloud
Gunakan perintah update
untuk memperbarui tingkat akses.
Tingkat akses dasar:
gcloud access-context-manager levels update LEVEL_NAME \ --basic-level-spec=FILE \ [--policy=POLICY_NAME]
Tingkat akses kustom:
gcloud access-context-manager levels update LEVEL_NAME \ --custom-level-spec=FILE \ [--policy=POLICY_NAME]
Dengan keterangan:
LEVEL_NAME adalah nama tingkat akses yang ingin Anda perbarui.
FILE adalah nama file .yaml yang menentukan kondisi untuk tingkat akses (untuk tingkat akses dasar) atau ekspresi CEL yang me-resolve ke satu nilai Boolean (untuk tingkat akses kustom).
Untuk mengetahui daftar lengkap atribut yang dapat Anda gunakan dalam kondisi tingkat akses dasar, baca artikel tentang atribut tingkat akses.
POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Anda dapat menyertakan satu atau beberapa opsi berikut.
Opsi combine-function
Opsi ini hanya digunakan untuk tingkat akses dasar.
Menentukan cara penggabungan kondisi.
Nilai yang valid:
AND
,OR
description
Deskripsi panjang tingkat akses.
title
Judul singkat untuk tingkat akses. Judul tingkat akses ditampilkan di konsol Google Cloud.
Anda dapat menyertakan salah satu flag seluruh gcloud.
Contoh perintah
gcloud access-context-manager levels update Device_Trust \ --basic-level-spec=corpdevspec.yaml \ --combine-function=OR \ --description='Access level that conforms to updated corporate spec.' \ --title='Device_Trust Extended' \ --policy=1034095178592
API
Untuk memperbarui tingkat akses, panggil accessLevels.patch
.
PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME?updateMask=FIELDS
Dengan keterangan:
POLICY_NAME adalah nama kebijakan akses organisasi Anda.
LEVEL_NAME adalah nama tingkat akses yang ingin Anda deskripsikan.
FIELDS adalah daftar yang dipisahkan koma dari nama kolom yang sepenuhnya memenuhi syarat yang Anda perbarui.
Isi permintaan
Isi permintaan harus menyertakan resource AccessLevel
yang menentukan perubahan yang ingin Anda buat pada tingkat akses.
Isi respons
Jika berhasil, isi respons untuk panggilan akan berisi resource Operation
yang memberikan detail tentang operasi patch.
Menghapus tingkat akses
Konsol
Untuk menghapus tingkat akses:
Buka halaman Access Context Manager di konsol Google Cloud
Jika diminta, pilih organisasi Anda.
Di petak, pada baris untuk tingkat akses yang ingin Anda hapus, klik tombol
.Klik Hapus.
Di kotak dialog yang muncul, konfirmasi bahwa Anda ingin menghapus tingkat akses.
gcloud
Untuk menghapus tingkat akses:
Gunakan perintah
delete
untuk menghapus tingkat akses.gcloud access-context-manager levels delete LEVEL_NAME \ [--policy=POLICY_NAME]
Dengan keterangan:
LEVEL_NAME adalah nama tingkat akses yang ingin Anda hapus.
POLICY_NAME adalah nama kebijakan akses organisasi Anda. Nilai ini hanya diperlukan jika Anda belum menetapkan kebijakan akses default.
Konfirmasi bahwa Anda ingin menghapus tingkat akses.
Contoh:
You are about to delete level Device_Trust Do you want to continue (Y/n)?
You should see output similar to the following:
Waiting for operation [accessPolicies/330193482019/accessLevels/Device_Trust/delete/1531171874311645] to complete...done. Deleted level [Device_Trust].
API
Untuk menghapus tingkat akses, panggil accessLevels.delete
.
DELETE https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME
Dengan keterangan:
POLICY_NAME adalah nama kebijakan akses organisasi Anda.
LEVEL_NAME adalah nama tingkat akses yang ingin Anda deskripsikan.
Isi permintaan
Isi permintaan harus kosong.
Isi respons
Jika berhasil, isi respons untuk panggilan akan berisi resource Operation
yang memberikan detail tentang operasi penghapusan.