Gestione dei livelli di accesso

In questa pagina viene descritto come gestire i livelli di accesso esistenti. Puoi:

Elenca livelli di accesso
Elenco livelli di accesso (formattato)
Descrivi un livello di accesso
Aggiornare un livello di accesso
Eliminare un livello di accesso

Prima di iniziare

Imposta il criterio di accesso predefinito per l'utilizzo dello strumento a riga di comando gcloud.

-oppure-

Recuperare il nome della norma. Il nome del criterio è obbligatorio per i comandi che utilizzano lo strumento a riga di comando gcloud e per effettuare chiamate API. Se imposti un criterio di accesso predefinito, non è necessario specificare il criterio per lo strumento a riga di comando gcloud.
Assicurati di disporre di un ruolo Identity and Access Management (IAM) a livello di organizzazione che ti consenta di gestire i livelli di accesso. Chiedi all'amministratore di concederti uno dei seguenti ruoli o un ruolo personalizzato con le stesse autorizzazioni:
- Per visualizzare i livelli di accesso: Lettore Gestore contesto accesso (roles/accesscontextmanager.policyReader)
- Per visualizzare e modificare i livelli di accesso: Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor) o Amministratore Gestore contesto accesso (roles/accesscontextmanager.policyAdmin)

Elenca livelli di accesso

Console

Per elencare tutti i livelli di accesso, apri la pagina Gestore contesto accesso nella console Google Cloud e quindi, se richiesto, seleziona la tua organizzazione. I livelli di accesso della tua organizzazione vengono visualizzati in una griglia nella pagina, inclusi i dettagli sulla configurazione di ogni livello di accesso.

Apri la pagina Gestore contesto accesso

gcloud

Per elencare tutti i livelli di accesso, utilizza il comando list.

gcloud access-context-manager levels list \
  [--policy=POLICY_NAME]

Dove:

POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

L'output sarà simile al seguente:

NAME             TITLE                  LEVEL_TYPE
Device_Trust     Device_Trust Extended  Basic
Service_Group_A  Service_Group_A        Basic

API

Per elencare tutti i livelli di accesso per un criterio, chiama accessLevels.list.

GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels

Dove:

POLICY_NAME è il nome del criterio di accesso della tua organizzazione.

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Parametri facoltativi

Facoltativamente, includi uno o più dei seguenti parametri di ricerca.

Parametri

Parametri
`pageSize`	`number` Per impostazione predefinita, l'elenco dei livelli di accesso restituiti da `accessLevels.list` è impaginato. Ogni pagina è limitata a 100 livelli di accesso. Puoi utilizzare questo parametro per modificare il numero di livelli di accesso restituiti per pagina.
`pageToken`	`string` Se il numero di livelli di accesso restituiti dalla chiamata supera le dimensioni della pagina, il corpo della risposta includerà un token di pagina. Puoi utilizzare questo parametro in una chiamata successiva per ottenere la pagina dei risultati successiva.
`accessLevelFormat`	`enum(LevelFormat)` Normalmente, i livelli di accesso vengono restituiti così come sono stati definiti, come `BasicLevel` o `CustomLevel`. Puoi specificare il valore `CEL` di questo parametro in modo che restituisca `BasicLevels` come `CustomLevels` in Cloud Common Expression Language.

pageSize

number

Per impostazione predefinita, l'elenco dei livelli di accesso restituiti da accessLevels.list è impaginato. Ogni pagina è limitata a 100 livelli di accesso.

Puoi utilizzare questo parametro per modificare il numero di livelli di accesso restituiti per pagina.

pageToken

string

Se il numero di livelli di accesso restituiti dalla chiamata supera le dimensioni della pagina, il corpo della risposta includerà un token di pagina.

Puoi utilizzare questo parametro in una chiamata successiva per ottenere la pagina dei risultati successiva.

accessLevelFormat

enum(LevelFormat)

Normalmente, i livelli di accesso vengono restituiti così come sono stati definiti, come BasicLevel o CustomLevel.

Puoi specificare il valore CEL di questo parametro in modo che restituisca BasicLevels come CustomLevels in Cloud Common Expression Language.

Corpo della risposta

In caso di esito positivo, il corpo della risposta per la chiamata contiene un oggetto AccessLevels che elenca i livelli di accesso e una stringa nextPageToken. nextPageToken ha un valore solo se il numero di livelli di accesso restituiti supera le dimensioni della pagina. In caso contrario, nextPageToken viene restituito come stringa vuota.

Elenco livelli di accesso (formattato)

Utilizzando lo strumento a riga di comando gcloud, puoi ottenere un elenco dei tuoi livelli di accesso in formato YAML o JSON.

Per ottenere un elenco formattato dei livelli di accesso, utilizza il comando list.

gcloud access-context-manager levels list \
  --format=FORMAT \
  [--policy=POLICY_NAME]

Dove:

FORMAT è uno dei seguenti valori:
- list (formato YAML)
- json (formato JSON)
POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

L'output YAML sarà simile al seguente:

- basic: {'conditions': [{'ipSubnetworks': ['8.8.0/24']}]}
  description: Level for corp access.
  name: accessPolicies/165717541651/accessLevels/corp_level
  title: Corp Level
- basic: {'combiningFunction': 'OR', 'conditions': [{'ipSubnetworks': ['8.8.0/24']}]}
  description: Level for net access.
  name: accessPolicies/165717541651/accessLevels/net_level
  title: Net Level

L'output JSON sarà simile al seguente:

[
  {
    "basic": {
      "conditions": [
        {
          "ipSubnetworks": [
            "8.8.0/24"
          ]
        }
      ]
    },
    "description": "Level for corp access.",
    "name": "accessPolicies/165717541651/accessLevels/corp_level",
    "title": "Corp Level"
  },
  {
    "basic": {
      "combiningFunction": "OR",
      "conditions": [
        {
          "ipSubnetworks": [
            "8.8.0/24"
          ]
        }
      ]
    },
    "description": "Level for net access.",
    "name": "accessPolicies/165717541651/accessLevels/net_level",
    "title": "Net Level"
  }
]

Descrivi un livello di accesso

Console

Utilizzando la console Google Cloud, fai riferimento ai passaggi per elencare i livelli di accesso. Quando elenchi i livelli di accesso, i dettagli sono forniti nella griglia visualizzata.

gcloud

I livelli di accesso della scheda indicano solo il nome, il titolo e il tipo di livello. Per ottenere informazioni dettagliate sull'effettivo funzionamento di un livello, utilizza il comando describe.

gcloud access-context-manager levels describe LEVEL_NAME \
    [--policy=POLICY_NAME]

Dove:

LEVEL_NAME è il nome del livello di accesso che vuoi descrivere.
POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Il comando stamperà informazioni sul livello formattato come YAML. Ad esempio, se il livello ha limitato l'accesso a determinate versioni del sistema operativo, l'output potrebbe essere simile al seguente:

basic:
  conditions:
  - devicePolicy:
      allowedEncryptionStatuses:
      - ENCRYPTED
      osConstraints:
      - minimumVersion: 10.13.6
        osType: DESKTOP_MAC
      - minimumVersion: 10.0.18219
        osType: DESKTOP_WINDOWS
      - minimumVersion: 68.0.3440
        osType: DESKTOP_CHROME_OS
      requireScreenlock: true
name: accessPolicies/330193482019/accessLevels/Device_Trust
title: Device_Trust Extended

API

La scheda dei livelli di accesso fornisce solo il nome, il titolo e il tipo dei livelli. Per informazioni dettagliate su un livello di accesso, chiama il numero accessLevels.get.

GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME

Dove:

POLICY_NAME è il nome del criterio di accesso della tua organizzazione.
LEVEL_NAME è il nome del livello di accesso che vuoi descrivere.

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Parametri facoltativi

Se vuoi, includi il parametro di query accessLevelFormat. Normalmente, i livelli di accesso vengono restituiti così come sono stati definiti, come BasicLevel o CustomLevel.

Puoi specificare il valore CEL di questo parametro in modo che restituisca BasicLevels come CustomLevels nel linguaggio Cloud Common Expression.

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa AccessLevel che include dettagli sulla funzione del livello di accesso, l'ultima volta che il livello è stato aggiornato e altro ancora.

Aggiornare un livello di accesso

In questa sezione viene descritto come aggiornare i singoli livelli di accesso. Per aggiornare tutti i livelli di accesso della tua organizzazione in un'unica operazione, consulta Apportare modifiche collettive ai livelli di accesso.

Console

Per aggiornare un livello di accesso:

Apri la pagina Gestore contesto accesso nella console Google Cloud.

Apri la pagina Gestore contesto accesso
Se ti viene richiesto, seleziona la tua organizzazione.
Nella griglia, fai clic sul nome del livello di accesso che vuoi aggiornare.
Nel riquadro Modifica livello di accesso, apporta le modifiche al livello di accesso.

Per un elenco completo degli attributi che puoi aggiungere o modificare, scopri di più sugli attributi del livello di accesso.
Fai clic su Salva.

Oltre ad aggiornare o rimuovere condizioni esistenti, puoi aggiungere nuove condizioni e nuovi attributi a condizioni esistenti.

gcloud

Utilizza il comando update per aggiornare un livello di accesso.

Livello di accesso di base:

gcloud access-context-manager levels update LEVEL_NAME \
    --basic-level-spec=FILE \
    [--policy=POLICY_NAME]

Livello di accesso personalizzato:

gcloud access-context-manager levels update LEVEL_NAME \
    --custom-level-spec=FILE \
    [--policy=POLICY_NAME]

Dove:

LEVEL_NAME è il nome del livello di accesso che vuoi aggiornare.
FILE è il nome di un file .yaml che definisce le condizioni per il livello di accesso (per i livelli di accesso di base) o un'espressione CEL che si risolve in un singolo valore booleano (per i livelli di accesso personalizzati).

Per un elenco completo degli attributi che puoi utilizzare nelle condizioni di base del livello di accesso, consulta l'articolo sugli attributi del livello di accesso.
POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Puoi includere una o più delle seguenti opzioni.

Opzioni

Opzioni
`combine-function`	Questa opzione viene utilizzata solo per i livelli di accesso di base. Determina come vengono combinate le condizioni. Valori validi: `AND`, `OR`
`description`	Una descrizione estesa del livello di accesso.
`title`	Un breve titolo per il livello di accesso. Il titolo del livello di accesso viene visualizzato nella console Google Cloud.

combine-function

Questa opzione viene utilizzata solo per i livelli di accesso di base.

Determina come vengono combinate le condizioni.

Valori validi: AND, OR

description

Una descrizione estesa del livello di accesso.

title

Un breve titolo per il livello di accesso. Il titolo del livello di accesso viene visualizzato nella console Google Cloud.

Puoi includere uno qualsiasi dei flag gcloud-wide.

Comando di esempio

gcloud access-context-manager levels update Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=OR \
    --description='Access level that conforms to updated corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1034095178592

API

Per aggiornare un livello di accesso, chiama il numero accessLevels.patch.

PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME?updateMask=FIELDS

Dove:

POLICY_NAME è il nome del criterio di accesso della tua organizzazione.
LEVEL_NAME è il nome del livello di accesso che vuoi descrivere.
FIELDS è un elenco separato da virgole di nomi di campi completi che stai aggiornando.

Corpo della richiesta

Il corpo della richiesta deve includere una risorsa AccessLevel che specifichi le modifiche che vuoi apportare al livello di accesso.

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation che fornisce i dettagli sull'operazione di patch.

Eliminare un livello di accesso

Console

Per eliminare un livello di accesso:

Apri la pagina Gestore contesto accesso nella console Google Cloud

Apri la pagina Gestore contesto accesso
Se ti viene richiesto, seleziona la tua organizzazione.
Nella griglia, nella riga corrispondente al livello di accesso che vuoi eliminare, fai clic sul pulsante .
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, conferma che vuoi eliminare il livello di accesso.

Nota: i livelli di accesso possono fare riferimento a vicenda. Se si cerca di eliminare un livello di accesso a cui un altro livello di accesso fa riferimento, si verificherà un errore.

gcloud

Per eliminare un livello di accesso:

Utilizza il comando delete per eliminare un livello di accesso.
```
gcloud access-context-manager levels delete LEVEL_NAME \
    [--policy=POLICY_NAME]
```
Dove:
- LEVEL_NAME è il nome del livello di accesso che vuoi eliminare.
- POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato un criterio di accesso predefinito.

Conferma di voler eliminare il livello di accesso.

Ad esempio:

You are about to delete level Device_Trust

Do you want to continue (Y/n)?

You should see output similar to the following:

Waiting for operation [accessPolicies/330193482019/accessLevels/Device_Trust/delete/1531171874311645] to complete...done.
Deleted level [Device_Trust].

Note: Access levels can reference each other. Attempting to delete an
  access level referenced by another will result in an error.

API

Per eliminare un livello di accesso, chiama accessLevels.delete.

DELETE https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME

Dove:

POLICY_NAME è il nome del criterio di accesso della tua organizzazione.
LEVEL_NAME è il nome del livello di accesso che vuoi descrivere.

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation che fornisce i dettagli sull'operazione di eliminazione.