החלת כללי מדיניות על קבוצות משתמשים באמצעות הגדרות כבילת גישה

אתם יכולים להשתמש בהרשאות גישה כדי לקבוע לאילו אפליקציות ולמשאבים קבוצות המשתמשים שלכם יכולות לגשת. הקצאת הרשאות גישה מציינת איך להחיל רמות גישה ואמצעי בקרה על סשנים על קבוצת משתמשים. אתם יכולים להחיל את אותה רמת גישה ואת אותו אמצעי בקרה על הסשן על כל האפליקציות, או להגדיר התנהגויות ספציפיות לאפליקציות נפרדות.

כדי לוודא שהגדרתם הכול בצורה נכונה, מומלץ לבדוק את כללי המדיניות לפני שמפעילים אותם.

כשעובדים עם הקצאות הרשאות גישה, חשוב לזכור את ההתנהגות הבאה:

  • לקבוצת משתמשים יכול להיות רק קשר הרשאת גישה אחד.
  • אם משתמש שייך לכמה קבוצות, הוא מקבל גישה אם אחת ממדיניות הגישה מאפשרת זאת (OR ולא AND).
  • לגבי אמצעי בקרה על סשנים, חל רק הקישור האחרון שנוצר להרשאות גישה.

שימוש בהגדרה אחת לכל האפליקציות

בשיטה הזו, אותה רמת גישה ואותם אמצעי בקרה על הסשן חלים על כל האפליקציות שקבוצת משתמשים ניגשת אליהן.

מומלץ לבדוק את המדיניות באמצעות הרצה יבשה או להחיל אותה על קבוצת בדיקה קטנה לפני שמיישמים אותה בסביבת הייצור.

gcloud

יוצרים את הקישור של הגישה.

gcloud access-context-manager cloud-bindings create \
     --group-key GROUP_ID
     --organization ORG_ID
     --level DEFAULT_ACCESS_LEVEL
  [  --session-length=DEFAULT_SESSION_LENGTH                ]
  [  --session-reauth-method=DEFAULT_SESSION_REAUTH_METHOD  ]

מחליפים את מה שכתוב בשדות הבאים:

  • GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה get במשאב הקבוצה.
  • ORG_ID: מזהה הארגון.
  • DEFAULT_ACCESS_LEVEL: השם האופציונלי של רמת הגישה, בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. מחליפים את POLICY_ID במזהה מדיניות הגישה ואת ACCESS_LEVEL_NAME בשם רמת הגישה.
  • DEFAULT_SESSION_LENGTH: משך הסשן האופציונלי בפורמט של שעות, כמו 15h ל-15 שעות או 2h לשעתיים.
  • DEFAULT_SESSION_REAUTH_METHOD: השיטה האופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם, שיכולה להיות אחת מהאפשרויות הבאות:
    • LOGIN: החלת הכניסה הרגילה, שיכולה לכלול MFA או גורמים אחרים שהוגדרו ב-Workspace.
    • PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן של ספק ה-IdP פעיל, המשתמשים עוברים אימות מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP.
    • SECURITY_KEY: דורש מפתח אבטחה פיזי.

API

  1. יוצרים גוף JSON:

    {
      "groupKey": "GROUP_ID",
      "accessLevels": [
        "DEFAULT_ACCESS_LEVEL"
      ],
      // optional:
      "sessionSettings": {
        "sessionLength": "DEFAULT_SESSION_LENGTH",
        "sessionReauthMethod": "DEFAULT_SESSION_REAUTH_METHOD"
      }
    }
    

    מחליפים את מה שכתוב בשדות הבאים:

    • GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה get במשאב הקבוצה.
    • DEFAULT_ACCESS_LEVEL: השם האופציונלי של רמת הגישה, בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. מחליפים את POLICY_ID במזהה מדיניות הגישה ואת ACCESS_LEVEL_NAME בשם רמת הגישה.
    • DEFAULT_SESSION_LENGTH: משך הסשן האופציונלי בפורמט של שעות, כמו 15h ל-15 שעות או 2h לשעתיים.
    • DEFAULT_SESSION_REAUTH_METHOD: השיטה האופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם, שיכולה להיות אחת מהאפשרויות הבאות:
      • LOGIN: החלת הכניסה הרגילה, שיכולה לכלול MFA או גורמים אחרים שהוגדרו ב-Workspace.
      • PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן של ספק ה-IdP פעיל, המשתמשים עוברים אימות מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP.
      • SECURITY_KEY: דורש מפתח אבטחה פיזי.
  2. שולחים את בקשת ה-POST:

    POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings
    

    ORG_ID הוא המזהה של הארגון שבו השתמשתם כדי ליצור את התפקיד אדמין של קישור גישה ל-Cloud. אם הנכס access-context-manager/organization לא הוגדר, מחליפים את ORG_ID בדגל האופציונלי --organization במזהה של הארגון שבו השתמשתם כשיצרתם את התפקיד 'אדמין של קישור לגישה ל-Cloud'.

אם הפעולה בוצעה ללא שגיאות, תקבלו ייצוג של אובייקט JSON. אם מתרחשת בעיה, מוצגת הודעת שגיאה.

הגדרת תצורות לאפליקציות ספציפיות

השיטה הזו מאפשרת להחיל רמות גישה שונות ובקרות שונות על סשנים באפליקציות שונות. אפשר גם להגדיר כללי ברירת מחדל לאפליקציות שלא הוגדרו להן הגדרות ספציפיות.

אפשר לציין אפליקציות בקישורי גישה באמצעות מזהה הלקוח שלהן ב-OAuth. אפשר לציין את האפליקציות הבאות באמצעות השם שלהן:

השיטה הזו שימושית כשרוצים לבצע את הפעולות הבאות:

  • החלת מדיניות רק על אפליקציות מסוימות.
  • ליצור מדיניות כללית, אבל להחריג ממנה אפליקציות מסוימות.

gcloud

  1. יוצרים קובץ הרשאת גישה בפורמט YAML עם רשימה של רשומות היקף בתוך הרשימה scopedAccessSettings. לכל אפליקציה שרוצים למפות לרמת גישה ספציפית, מוסיפים רשומה של clientScope.

    scopedAccessSettings:
    - scope:
        clientScope:
          restrictedClientApplication:
            clientId: CLIENT_ID
      activeSettings:
        accessLevels:
        - ACCESS_LEVEL_A
        sessionSettings:
        - sessionLength: SESSION_LENGTH
          sessionReauthMethod: SESSION_REAUTH_METHOD
          sessionLengthEnabled: true
    - scope:
        clientScope:
          restrictedClientApplication:
            #
            # because this app is specified by `name`,
            # it won't work with sessionSettings.
            #
            # if you add sessionSettings, make sure to
            # replace the `name` key with `clientId`,
            # and use the OAuth client ID as the value.
            #
            name: CLIENT_NAME
      activeSettings:
        accessLevels:
        - ACCESS_LEVEL_B
    

    מחליפים את מה שכתוב בשדות הבאים:

    • CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש בערך clientId כשאפליקציה מכילה sessionSettings.
    • ACCESS_LEVEL_A: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
    • SESSION_LENGTH: משך הסשן בפורמט של שעות, למשל 15h ל-15 שעות או 2h לשעתיים.
    • SESSION_REAUTH_METHOD: שיטה אופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם. השיטה צריכה להיות אחת מהאפשרויות הבאות:

      • LOGIN: משתמשים בכניסה הרגילה, שיכולה לכלול אימות רב-שלבי (MFA) או גורמים אחרים שהוגדרו ב-Workspace.
      • PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן ב-IdP פעיל, המשתמשים יאומתו מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP.
      • SECURITY_KEY: דורש מפתח אבטחה פיזי.
    • CLIENT_NAME: שם הלקוח. אם הבקשה מכילה את התו sessionSettings, אי אפשר להשתמש בשם הלקוח. במקום זאת, משתמשים במזהה הלקוח ב-OAuth.

    • ACCESS_LEVEL_B: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

    כדי להגדיר רמת גישה כברירת מחדל לאפליקציות שלא מוגדרות בקובץ ה-YAML, משתמשים בארגומנט --level. קובץ ה-YAML תומך רק בהגדרות ספציפיות לאפליקציה (scopedAccessSettings).

  2. יוצרים את הקישור של הגישה.

    gcloud access-context-manager cloud-bindings create
        --organization ORG_ID
        --group-key GROUP_ID
        --binding-file BINDING_FILE_PATH
      [  --level DEFAULT_ACCESS_LEVEL ]
      [  --session-length=DEFAULT_SESSION_LENGTH                ]
      [  --session-reauth-method=DEFAULT_SESSION_REAUTH_METHOD  ]
    

    מחליפים את מה שכתוב בשדות הבאים:

    • ORG_ID: מזהה הארגון.
    • GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה get במשאב הקבוצה.
    • BINDING_FILE_PATH: הנתיב לקובץ ה-YAML שמכיל את סכמת קישור הגישה. קובץ הקישור תומך רק ב-scopedAccessSettings.
    • DEFAULT_ACCESS_LEVEL: השם האופציונלי של רמת הגישה, בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. מחליפים את POLICY_ID במזהה מדיניות הגישה ואת ACCESS_LEVEL_NAME בשם רמת הגישה.
    • DEFAULT_SESSION_LENGTH: משך הסשן האופציונלי בפורמט של שעות, כמו 15h ל-15 שעות או 2h לשעתיים.
    • DEFAULT_SESSION_REAUTH_METHOD: השיטה האופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם, שיכולה להיות אחת מהאפשרויות הבאות:
      • LOGIN: החלת הכניסה הרגילה, שיכולה לכלול MFA או גורמים אחרים שהוגדרו ב-Workspace.
      • PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן של ספק ה-IdP פעיל, המשתמשים עוברים אימות מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP.
      • SECURITY_KEY: דורש מפתח אבטחה פיזי.

איך הארגומנטים --level ו---binding-file פועלים יחד

  • אם משתמשים רק ב---binding-file, המדיניות חלה רק על האפליקציות בקובץ.
  • אם משתמשים רק ב---level, רמת הגישה חלה על כל האפליקציות.
  • אם משתמשים בשניהם, הכללים משולבים. הערך --level חל על כל האפליקציות, ואילו המדיניות בקובץ ה-YAML שצוין על ידי --binding-file חלה רק על האפליקציות כפי שהוגדרו בקובץ.

עבודה עם אמצעי בקרה על סשנים

  • כדי להגדיר אמצעי בקרה על הפעילות של כל האפליקציות כברירת מחדל, משתמשים ב---session-length וב---session-reauth-method.
  • אם מגדירים גם אמצעי בקרה על סשנים בקובץ ה-YAML, אמצעי הבקרה האלה מבטלים את הגדרות ברירת המחדל של האפליקציות הספציפיות האלה.
  • חובה להשתמש ב---session-length וב---session-reauth-method ביחד.

API

יוצרים גוף JSON:

{
  "groupKey": "GROUP_ID",
   //
   // Optional; if specified, all applications that aren't defined in
   // scopedAccessSettings have these access levels applied.
   //
   // If more than one access level is specified, the user is
   // granted access if any one resolves to TRUE (OR logic, not AND).
   //
   // If you omit this key entirely, then no policy enforcement is
   // applied by default.
   //
  "accessLevels": [
    "DEFAULT_ACCESS_LEVEL"
  ],
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "clientId": "CLIENT_ID"
          }
        }
      },
      "activeSettings": {
        "accessLevels": [
          "ACCESS_LEVEL_A"
        ],
        "sessionSettings": [
          {
            "sessionLength": "SESSION_LENGTH",
            "sessionReauthMethod": "SESSION_REAUTH_METHOD",
            "sessionLengthEnabled": true
          }
        ]
      }
    },
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "CLIENT_NAME"
          }
        },
        "activeSettings": {
          "accessLevels": [
            "ACCESS_LEVEL_B"
          ]
        }
      }
    }
  ]
}

מחליפים את מה שכתוב בשדות הבאים:

  • GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה get במשאב הקבוצה.
  • DEFAULT_ACCESS_LEVEL: השם האופציונלי של רמת הגישה, בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. מחליפים את POLICY_ID במזהה מדיניות הגישה ואת ACCESS_LEVEL_NAME בשם רמת הגישה.
  • CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש ב-clientId כשבאפליקציה יש sessionSettings.
  • ACCESS_LEVEL_A: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
  • SESSION_LENGTH: משך הסשן בפורמט של שעות, למשל 2h לשעתיים.
  • SESSION_REAUTH_METHOD: השיטה האופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם. השיטה חייבת להיות אחת מהאפשרויות הבאות:

    • LOGIN: החלת הכניסה הרגילה, שיכולה לכלול MFA או גורמים אחרים שהוגדרו ב-Workspace.
    • PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן ב-IdP פעיל, המשתמשים יאומתו מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP.
    • SECURITY_KEY: דורש מפתח אבטחה פיזי.
  • CLIENT_NAME: שם הלקוח. אם הבקשה מכילה את התו sessionSettings, אי אפשר להשתמש בשם הלקוח. במקום זאת, משתמשים במזהה הלקוח ב-OAuth.

  • ACCESS_LEVEL_B: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

שולחים את בקשת ה-POST:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

ORG_ID הוא המזהה של הארגון שבו השתמשתם כדי ליצור את התפקיד אדמין של קישור גישה ל-Cloud. אם לא הוגדר הנכס access-context-manager/organization, מחליפים את ORG_ID בדגל האופציונלי --organization במזהה של הארגון שבו השתמשתם כשיצרתם את תפקיד האדמין של Cloud Access Binding.

אם הפעולה בוצעה ללא שגיאות, אמור להתקבל ייצוג של אובייקט ה-JSON, או הודעת שגיאה אם הייתה בעיה.

שימוש ברמות גישה במצב ניסיון כדי לדמות אכיפה

רמות גישה בהרצה יבשה מאפשרות לכם לבדוק את מדיניות הגישה בלי לאכוף אותה בפועל. כך תוכלו להבין את ההשפעה של מדיניות מסוימת לפני שהיא תופעל. אתם יכולים לראות את היומנים של ההרצה היבשה כדי להבין מה היה קורה אם המדיניות הייתה פעילה.

אפשר להשתמש ברמות גישה רק במצב הרצה יבשה. אמצעי הבקרה של הסשן לא זמינים במצב הרצה יבשה.

יצירת מדיניות כללית להרצת בדיקה

בשיטה הזו, אותה רמת גישה של הרצה יבשה מוחלת על כל האפליקציות שאליהן יש גישה לקבוצת משתמשים.

gcloud

יוצרים את קישור הגישה באמצעות הדגל --dry-run-level.

gcloud access-context-manager cloud-bindings create \
     --group-key=<var>GROUP_ID</var> \
     --organization=<var>ORG_ID</var> \
     --dry-run-level=<var>DEFAULT_DRY_RUN_ACCESS_LEVEL</var>

מחליפים את מה שכתוב בשדות הבאים:

  • GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה get במשאב הקבוצה.
  • ORG_ID: מזהה הארגון.
  • DEFAULT_DRY_RUN_ACCESS_LEVEL: השם של רמת הגישה בהרצה היבשה, בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

API

  1. יוצרים גוף JSON שמכיל את dry_run_access_levels.

    {
      "group_key": "GROUP_ID",
      "dry_run_access_levels": [
        "DEFAULT_DRY_RUN_ACCESS_LEVEL"
      ]
    }
    

    מחליפים את מה שכתוב בשדות הבאים:

    • GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה get במשאב הקבוצה.
    • DEFAULT_DRY_RUN_ACCESS_LEVEL: השם של רמת הגישה בהרצה היבשה, בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
  2. שולחים את בקשת ה-POST:

    POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings
    

    ORG_ID הוא המזהה של הארגון שבו השתמשתם כדי ליצור את התפקיד אדמין של קישור גישה ל-Cloud. אם המאפיין access-context-manager/organization לא הוגדר, מחליפים את ORG_ID בדגל האופציונלי --organization במזהה של הארגון שבו השתמשתם כשיצרתם את תפקיד האדמין של Cloud Access Binding.

יצירת מדיניות להרצת בדיקה עבור אפליקציות ספציפיות

השיטה הזו מאפשרת להחיל רמות גישה שונות של הרצה יבשה על אפליקציות שונות. אפשר גם להגדיר כללי ברירת מחדל לאפליקציות ללא הגדרה ספציפית.

gcloud

  1. מגדירים את הגדרות הגישה בקובץ YAML binding באמצעות השדה dryRunSettings.

    scopedAccessSettings:
    - scope:
        clientScope:
          restrictedClientApplication:
            name: CLIENT_NAME
      activeSettings:
        accessLevels:
        - ACCESS_LEVEL_A
      dryRunSettings:
        accessLevels:
        - DRY_RUN_ACCESS_LEVEL_1
    - scope:
        clientScope:
          restrictedClientApplication:
            clientId: CLIENT_ID
      dryRunSettings:
        accessLevels:
        - DRY_RUN_ACCESS_LEVEL_2
    

    מחליפים את מה שכתוב בשדות הבאים:

    • CLIENT_NAME: שם הלקוח. אם האפליקציה מכילה את sessionSettings, אי אפשר להשתמש בשם הלקוח. במקום זאת, משתמשים במזהה הלקוח ב-OAuth.
    • ACCESS_LEVEL_A: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
    • DRY_RUN_ACCESS_LEVEL_1: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
    • CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש בערך clientId כשאפליקציה מכילה sessionSettings.
    • DRY_RUN_ACCESS_LEVEL_2: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
  2. יוצרים את הקישור של הגישה.

    gcloud access-context-manager cloud-bindings create \
      --organization ORG_ID \
      --group-key GROUP_ID \
      --binding-file BINDING_FILE_PATH
      --dry-run-level DEFAULT_DRY_RUN_ACCESS_LEVEL
    

    מחליפים את מה שכתוב בשדות הבאים:

    • ORG_ID: מזהה הארגון.
    • GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה get במשאב הקבוצה.
    • BINDING_FILE_PATH: הנתיב לקובץ ה-YAML שמכיל את סכמת קישור הגישה. קובץ הקישור תומך רק ב-scopedAccessSettings.
    • DEFAULT_DRY_RUN_ACCESS_LEVEL: שם אופציונלי של רמת גישה להרצה יבשה, בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

    צריך לכלול את הדגל הזה כדי להחיל את רמת הגישה שצוינה בהרצת הניסיון על כל האפליקציות כברירת מחדל, אם הן לא צוינו ב-YAML.

API

  1. יוצרים גוף JSON:

    {
      "group_key": "GROUP_ID",
      //
      // Optional; if specified, all applications that aren't defined in scopedAccessSettings will have these dry-run access levels applied.
      //
      "dry_run_access_levels": [
        "DEFAULT_DRY_RUN_ACCESS_LEVEL"
      ],
      "scoped_access_settings": [
        {
          "scope": {
            "client_scope": {
              "restricted_client_application": {
                "name": "CLIENT_NAME"
              }
            }
          },
          "active_settings": {
            "access_levels": [
              "ACCESS_LEVEL_A"
            ]
          },
          "dry_run_settings": {
            "access_levels": [
              "DRY_RUN_ACCESS_LEVEL_1"
            ]
          }
        },
        {
          "scope": {
            "client_scope": {
              "restricted_client_application": {
                "client_id": "CLIENT_ID"
              }
            }
          },
          "dry_run_settings": {
            "access_levels": [
              "DRY_RUN_ACCESS_LEVEL_2"
            ]
          }
        }
      ]
    }
    

    מחליפים את מה שכתוב בשדות הבאים:

    • GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה get במשאב הקבוצה.
    • DEFAULT_DRY_RUN_ACCESS_LEVEL: שם אופציונלי של רמת גישה להרצה יבשה, בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
    • CLIENT_NAME: שם הלקוח. אם האפליקציה מכילה את sessionSettings, אי אפשר להשתמש בשם הלקוח. במקום זאת, משתמשים במזהה הלקוח ב-OAuth.
    • ACCESS_LEVEL_A: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
    • DRY_RUN_ACCESS_LEVEL_1: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
    • CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש בערך client_id כשאפליקציה מכילה sessionSettings.
    • DRY_RUN_ACCESS_LEVEL_2: שם של רמת גישה בפורמט accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
  2. שולחים את בקשת ה-POST:

    POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings
    

    ORG_ID הוא המזהה של הארגון שבו השתמשתם כדי ליצור את התפקיד אדמין של קישור גישה ל-Cloud. אם המאפיין access-context-manager/organization לא הוגדר, מחליפים את ORG_ID בדגל האופציונלי --organization במזהה של הארגון שבו השתמשתם כשיצרתם את תפקיד האדמין של Cloud Access Binding.

    אם הפעולה בוצעה ללא שגיאות, תקבלו ייצוג של אובייקט JSON. אם מתרחשת בעיה, מוצגת הודעת שגיאה.

צפייה ביומנים של הרצת בדיקה

אחרי שמגדירים הרצה יבשה, אפשר לבדוק את היומנים כדי לראות אילו ניסיונות גישה היו נדחים.

בטבלה הבאה מפורטים שדות היומן שבהם אפשר להשתמש כדי ליצור את השאילתה ולהריץ אותה כדי לקבל את היומנים:

שם השדה תיאור
protoPayload.authenticationInfo.principalEmail מזהה האימייל של חשבון המשתמש שהגישה שלו נדחתה.
protoPayload.metadata.deniedApplications שם האפליקציה שהגישה אליה נדחתה.
protoPayload.metadata.evaluationResult תוצאת ההערכה של מדיניות הגישה הפעילה. ערכים אפשריים: GRANTED או DENIED.
protoPayload.metadata.appliedAccessLevels רמות הגישה שנדרשות על ידי מדיניות הגישה הפעילה.
protoPayload.metadata.appliedDryRunAccessLevels רמות הגישה שנדרשות על ידי מדיניות הגישה של הרצת הניסיון.
protoPayload.metadata.dryRunEvaluationResult תוצאת ההערכה של מדיניות הגישה בהרצה היבשה, שמציינת את הפעולה המיועדת כשמדיניות הגישה נאכפת. ערכים אפשריים: GRANTED או DENIED.

הוראות ליצירת שאילתה ליומנים מופיעות במאמר שפת השאילתות של Logging.