为基于证书的访问权限创建访问权限级别

如需使用基于证书的访问权限保护资源,请创建一个在确定对资源的访问权限时需要证书的访问权限级别。如需创建访问权限级别,请参阅创建自定义访问权限级别

您在创建自定义访问权限级别时使用的值可以是任何对您有意义的值,但自定义访问权限级别的表达式必须为:

certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE

例如,您可以使用 gcloud CLI 运行以下命令来创建自定义访问权限级别:

gcloud access-context-manager levels create LEVEL_NAME \
  --title=TITLE \
  --custom-level-spec=FILE \
  --description=DESCRIPTION \
  --policy=POLICY_NAME

通过 FILE 引用的 .yaml 文件的内容是以下自定义表达式:

expression: "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE"

后续步骤