Zugriffsebenen verwalten

Auf dieser Seite wird beschrieben, wie Sie vorhandene Zugriffsebenen verwalten können. Sie haben folgende Möglichkeiten:

Zugriffsebenen auflisten
Zugriffsebenen auflisten (formatiert)
Zugriffsebene beschreiben
Zugriffsebene aktualisieren
Zugriffsebene löschen

Hinweise

Legen Sie Ihre Standardzugriffsrichtlinie fest, um das gcloud-Befehlszeilentool zu verwenden.

– oder –

Rufen Sie den Namen Ihrer Richtlinie ab. Der Richtlinienname ist für Befehle erforderlich, die das gcloud-Befehlszeilentool verwenden und API-Aufrufe ausführen. Wenn Sie eine Standardzugriffsrichtlinie festlegen, müssen Sie die Richtlinie nicht für das gcloud-Befehlszeilentool angeben.
Sie benötigen eine IAM-Rolle (Identity and Access Management) auf Organisationsebene, mit der Sie Zugriffsebenen verwalten können. Bitten Sie Ihren Administrator, Ihnen eine der folgenden Rollen oder eine benutzerdefinierte Rolle mit denselben Berechtigungen zuzuweisen:
- So rufen Sie Zugriffsebenen auf:Access Context Manager-Leser (roles/accesscontextmanager.policyReader)
- So rufen Sie Zugriffsebenen auf: Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor) oder Access Context Manager-Administrator (roles/accesscontextmanager.policyAdmin)

Zugriffsebenen auflisten

Console

Öffnen Sie zum Auflisten aller Zugriffsebenen in der Google Cloud Console die Seite Access Context Manager und wählen Sie dann Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Die Zugriffsebenen Ihrer Organisation werden auf der Seite in einer Übersicht angezeigt, einschließlich Details zur Konfiguration der einzelnen Zugriffsebenen.

Zur Seite "Access Context Manager"

gcloud

Verwenden Sie den Befehl list, um alle Zugriffsebenen aufzulisten.

gcloud access-context-manager levels list \
  [--policy=POLICY_NAME]

Wobei:

POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Die Ausgabe sieht etwa so aus:

NAME             TITLE                  LEVEL_TYPE
Device_Trust     Device_Trust Extended  Basic
Service_Group_A  Service_Group_A        Basic

API

Rufen Sie zum Auflisten aller Zugriffsebenen für eine Richtlinie accessLevels.list auf.

GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels

Wobei:

POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation.

Anfragetext

Der Anfragetext muss leer sein.

Optionale Parameter

Geben Sie einen oder mehrere der folgenden Abfrageparameter an.

Parameter

Parameter
`pageSize`	`number` Standardmäßig hat die Liste der von `accessLevels.list` zurückgegebenen Zugriffsebenen Seitenumbrüche. Auf jeder Seite werden höchstens 100 Zugriffsebenen angezeigt. Mit diesem Parameter können Sie die Anzahl der Zugriffsebenen ändern, die pro Seite zurückgegeben werden sollen:
`pageToken`	`string` Wenn die Anzahl der zurückgegebenen Zugriffsebenen die Seitengröße überschreitet, enthält der Antworttext ein Seitentoken. Sie können diesen Parameter in einem nachfolgenden Aufruf verwenden, um die nächste Ergebnisseite zu öffnen.
`accessLevelFormat`	`enum(LevelFormat)` Normalerweise werden Zugriffsebenen so zurückgegeben, wie sie definiert sind, entweder als `BasicLevel` oder `CustomLevel`. Sie können den Wert `CEL` für diesen Parameter angeben, um `BasicLevels` als `CustomLevels` in Cloud Common Expression Language zurückzugeben.

pageSize

number

Standardmäßig hat die Liste der von accessLevels.list zurückgegebenen Zugriffsebenen Seitenumbrüche. Auf jeder Seite werden höchstens 100 Zugriffsebenen angezeigt.

Mit diesem Parameter können Sie die Anzahl der Zugriffsebenen ändern, die pro Seite zurückgegeben werden sollen:

pageToken

string

Wenn die Anzahl der zurückgegebenen Zugriffsebenen die Seitengröße überschreitet, enthält der Antworttext ein Seitentoken.

Sie können diesen Parameter in einem nachfolgenden Aufruf verwenden, um die nächste Ergebnisseite zu öffnen.

accessLevelFormat

enum(LevelFormat)

Normalerweise werden Zugriffsebenen so zurückgegeben, wie sie definiert sind, entweder als BasicLevel oder CustomLevel.

Sie können den Wert CEL für diesen Parameter angeben, um BasicLevels als CustomLevels in Cloud Common Expression Language zurückzugeben.

Antworttext

Bei Erfolg enthält der Antworttext für den Aufruf ein AccessLevels-Objekt, das die Zugriffsebenen auflistet, und einen nextPageToken-String. nextPageToken hat nur dann einen Wert, wenn die Anzahl der zurückgegebenen Zugriffsebenen die Seitengröße überschreitet. Andernfalls wird nextPageToken als leerer String zurückgegeben.

Zugriffsebenen auflisten (formatiert)

Mit dem gcloud-Befehlszeilentool können Sie eine Liste Ihrer Zugriffsebenen im YAML- oder JSON-Format abrufen.

Eine formatierte Liste von Zugriffsebenen rufen Sie mit dem Befehl list auf.

gcloud access-context-manager levels list \
  --format=FORMAT \
  [--policy=POLICY_NAME]

Wobei:

FORMAT ist einer der folgenden Werte:
- list (YAML-Format)
- json (JSON-Format)
POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Die YAML-Ausgabe sieht etwa so aus:

- basic: {'conditions': [{'ipSubnetworks': ['8.8.0/24']}]}
  description: Level for corp access.
  name: accessPolicies/165717541651/accessLevels/corp_level
  title: Corp Level
- basic: {'combiningFunction': 'OR', 'conditions': [{'ipSubnetworks': ['8.8.0/24']}]}
  description: Level for net access.
  name: accessPolicies/165717541651/accessLevels/net_level
  title: Net Level

Die JSON-Ausgabe sieht etwa so aus:

[
  {
    "basic": {
      "conditions": [
        {
          "ipSubnetworks": [
            "8.8.0/24"
          ]
        }
      ]
    },
    "description": "Level for corp access.",
    "name": "accessPolicies/165717541651/accessLevels/corp_level",
    "title": "Corp Level"
  },
  {
    "basic": {
      "combiningFunction": "OR",
      "conditions": [
        {
          "ipSubnetworks": [
            "8.8.0/24"
          ]
        }
      ]
    },
    "description": "Level for net access.",
    "name": "accessPolicies/165717541651/accessLevels/net_level",
    "title": "Net Level"
  }
]

Zugriffsebene beschreiben

Console

Folgen Sie in der Google Cloud Console den Schritten zum Auflisten von Zugriffsebenen. Wenn Sie Ihre Zugriffsebenen auflisten, werden in der Tabelle die Details angezeigt.

gcloud

Beim Auflisten von Zugriffsebenen werden nur der Name, der Titel und der Ebenentyp angezeigt. Detailinformationen über die Funktionsweise der Zugriffsebene erhalten Sie mit dem Befehl describe.

gcloud access-context-manager levels describe LEVEL_NAME \
    [--policy=POLICY_NAME]

Wobei:

LEVEL_NAME ist der Name der Zugriffsebene, die Sie beschreiben möchten
POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Mit dem Befehl werden Informationen über die Ebene ausgegeben, die als YAML formatiert ist. Wenn beispielsweise durch diese Ebene der Zugriff auf bestimmte Betriebssystemversionen eingeschränkt wurde, könnte die Ausgabe in etwa so aussehen:

basic:
  conditions:
  - devicePolicy:
      allowedEncryptionStatuses:
      - ENCRYPTED
      osConstraints:
      - minimumVersion: 10.13.6
        osType: DESKTOP_MAC
      - minimumVersion: 10.0.18219
        osType: DESKTOP_WINDOWS
      - minimumVersion: 68.0.3440
        osType: DESKTOP_CHROME_OS
      requireScreenlock: true
name: accessPolicies/330193482019/accessLevels/Device_Trust
title: Device_Trust Extended

API

Beim Auflisten von Zugriffsebenen werden nur der Name, der Titel und der Ebenentyp angezeigt. Um detaillierte Informationen zu einer Zugriffsebene zu erhalten, rufen Sie accessLevels.get auf.

GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME

Wobei:

POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation.
LEVEL_NAME ist der Name der Zugriffsebene, die Sie beschreiben möchten

Anfragetext

Der Anfragetext muss leer sein.

Optionale Parameter

Fügen Sie optional den Abfrageparameter accessLevelFormat ein. Normalerweise werden Zugriffsebenen so zurückgegeben, wie sie definiert sind, entweder als BasicLevel oder als CustomLevel.

Sie können den Wert CEL für diesen Parameter angeben, um BasicLevels als CustomLevels in Cloud Common Expression Language zurückzugeben.

Antworttext

Bei Erfolg enthält der Antworttext für den Aufruf eine AccessLevel-Ressource, die Details zu den Funktionen der Zugriffsebene, der letzten Aktualisierung der Ebene und mehr enthält.

Zugriffsebene aktualisieren

In diesem Abschnitt wird beschrieben, wie Sie einzelne Zugriffsebenen aktualisieren können. Informationen zum Aktualisieren aller Zugriffsebenen Ihrer Organisation in einem Vorgang finden Sie unter Bulk-Änderungen an Zugriffsebenen vornehmen.

Console

So aktualisieren Sie eine Zugriffsebene:

Öffnen Sie in der Google Cloud Console die Seite Access Context Manager.

Zur Seite "Access Context Manager"
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie in der Tabelle auf den Namen der Zugriffsebene, die Sie aktualisieren möchten.
Nehmen Sie im Bereich Zugriffsebene bearbeiten die gewünschten Änderungen an der Zugriffsebene vor.

Eine vollständige Liste der Attribute, die Sie hinzufügen oder ändern können, finden Sie unter Attribute für Zugriffsebenen.
Klicken Sie auf Speichern.

Neben dem Aktualisieren oder Entfernen vorhandener Bedingungen können Sie neue Bedingungen einfügen sowie vorhandene Bedingungen um neue Attribute erweitern.

gcloud

Verwenden Sie zum Aktualisieren einer Zugriffsebene den Befehl update.

Einfache Zugriffsebene:

gcloud access-context-manager levels update LEVEL_NAME \
    --basic-level-spec=FILE \
    [--policy=POLICY_NAME]

Benutzerdefinierte Zugriffsebene:

gcloud access-context-manager levels update LEVEL_NAME \
    --custom-level-spec=FILE \
    [--policy=POLICY_NAME]

Wobei:

LEVEL_NAME ist der Name der Zugriffsebene, die Sie aktualisieren möchten
FILE ist der Name einer YAML-Datei, die die Bedingungen für die Zugriffsebene (für einfache Zugriffsebenen) oder einen CEL-Ausdruck definiert, der in einen einzelnen booleschen Wert aufgelöst wird (für benutzerdefinierte Zugriffsebenen).

Eine vollständige Liste der Attribute, die Sie in Ihren einfachen Zugriffsebenenbedingungen verwenden können, finden Sie unter Attribute für Zugriffsebenen.
POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Sie können eine oder mehrere der folgenden Optionen einfügen

Optionen

Optionen
`combine-function`	Diese Option wird nur für einfache Zugriffsebenen verwendet. Legt fest, wie Bedingungen kombiniert werden. Gültige Werte: `AND`, `OR`
`description`	Ausführliche Beschreibung der Zugriffsebene
`title`	Kurzer Titel für die Zugriffsebene; Der Titel der Zugriffsebene wird in der Google Cloud Console angezeigt.

combine-function

Diese Option wird nur für einfache Zugriffsebenen verwendet.

Legt fest, wie Bedingungen kombiniert werden.

Gültige Werte: AND, OR

description

Ausführliche Beschreibung der Zugriffsebene

title

Kurzer Titel für die Zugriffsebene; Der Titel der Zugriffsebene wird in der Google Cloud Console angezeigt.

Optional können Sie beliebige allgemeine gcloud-Flags angeben.

Beispielbefehl

gcloud access-context-manager levels update Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=OR \
    --description='Access level that conforms to updated corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1034095178592

API

Rufen Sie zum Aktualisieren einer Zugriffsebene Folgendes auf: accessLevels.patch.

PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME?updateMask=FIELDS

Wobei:

POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation.
LEVEL_NAME ist der Name der Zugriffsebene, die Sie beschreiben möchten
FIELDS ist eine durch Kommas getrennte Liste vollständig qualifizierter Feldnamen, die Sie aktualisieren

Anfragetext

Der Anfragetext muss eine AccessLevel-Ressource enthalten, die die Änderungen angibt, die Sie an der Zugriffsebene vornehmen möchten.

Antworttext

Bei Erfolg enthält der Antworttext für den Aufruf eine Operation-Ressource, die Details zum Patch-Vorgang enthält.

Zugriffsebene löschen

Console

So löschen Sie eine Zugriffsebene:

Öffnen Sie in der Google Cloud Console die Seite Access Context Manager.

Zur Seite "Access Context Manager"
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie im Raster in der Zeile der Zugriffsebene, die Sie löschen möchten, auf die Schaltfläche .
Klicken Sie auf Löschen.
Bestätigen Sie im angezeigten Dialogfeld, dass Sie die Zugriffsebene löschen möchten.

Hinweis: Zugriffsebenen können aufeinander verweisen. Der Versuch, eine Zugriffsebene zu löschen, auf die von einer anderen verwiesen wird, führt zu einem Fehler.

gcloud

So löschen Sie eine Zugriffsebene:

Verwenden Sie zum Löschen einer Zugriffsebene den Befehl delete.
```
gcloud access-context-manager levels delete LEVEL_NAME \
    [--policy=POLICY_NAME]
```
Wobei:
- LEVEL_NAME ist der Name der Zugriffsebene, die Sie löschen möchten
- POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation. Dieser Wert ist nur erforderlich, wenn Sie keine Standardzugriffsrichtlinie festgelegt haben.

Bestätigen Sie, dass Sie die Zugriffsrichtlinie löschen möchten.

Beispiel:

You are about to delete level Device_Trust

Do you want to continue (Y/n)?

You should see output similar to the following:

Waiting for operation [accessPolicies/330193482019/accessLevels/Device_Trust/delete/1531171874311645] to complete...done.
Deleted level [Device_Trust].

Note: Access levels can reference each other. Attempting to delete an
  access level referenced by another will result in an error.

API

Rufen Sie accessLevels.delete auf, um eine Zugriffsebene zu löschen.

DELETE https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME

Wobei:

POLICY_NAME ist der Name der Zugriffsrichtlinie Ihrer Organisation.
LEVEL_NAME ist der Name der Zugriffsebene, die Sie beschreiben möchten

Anfragetext

Der Anfragetext muss leer sein.

Antworttext

Bei Erfolg enthält der Antworttext für den Aufruf eine Operation-Ressource, die Details zum Löschvorgang enthält.