创建基于设备的访问权限级别

在 Cloud Console 中，转到 Access Context Manager 页面。

转到 Access Context Manager 页面

如果收到提示，请选择您的组织。

在 Access Context Manager 页面的顶部，点击新建。

在新建访问权限级别窗格的条件部分中，点击添加属性，然后点击设备政策。

点击存储加密下拉列表，然后选择加密。请注意，仅当在您员工的设备上设置 Endpoint Verification 后，此规则才有效。

点击保存。

创建设定访问权限级别的 .yaml 文件，其中包含设备政策属性。

在本示例中，要将访问权限仅授予具有加密设备存储空间的用户，您可以在 .yaml 文件中输入以下内容：

- devicePolicy:
    allowedEncryptionStatuses
      - ENCRYPTED

如需查看设备政策访问权限级别属性及其 YAML 格式的列表，请参阅设备政策属性。如需查看所有可能属性的完整 YAML 文件，请参阅此示例访问权限级别 YAML 文件。

请注意，仅当在您员工的设备上设置 Endpoint Verification 后，devicePolicy 规则才有效。

保存文件。在本示例中，该文件命名为 CONDITIONS.yaml。

创建访问权限级别。

gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY_NAME

其中：

• NAME 是访问权限级别的唯一名称，必须以字母开头，并且只包含字母、数字和下划线。

• TITLE 是直观易懂的标题，必须为政策所独有。

• POLICY_NAME 是您组织的访问权限政策名称。

您应看到如下输出：

Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.

编写请求正文以创建 AccessLevel 资源。

在本示例中，要将访问权限仅授予具有加密设备存储空间的用户，您可以在 .yaml 文件中输入以下内容：

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
     "devicePolicy": [
       "allowedEncryptionStatuses": [
         "ENCRYPTED"
       ]
     ]
     }
   ]
 }
}

其中：

• NAME 是访问权限级别的唯一名称，必须以字母开头，并且只包含字母、数字和下划线。

• TITLE 是直观易懂的标题，必须为政策所独有。

如需查看设备政策访问权限级别属性及其 YAML 格式的列表，请参阅设备政策属性。如需查看所有可能属性的完整 YAML 文件，请参阅此示例访问权限级别 YAML 文件。

通过调用 accessLevels.create，创建访问权限级别。

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels

其中：

• POLICY_NAME 是您组织的访问权限政策名称。