אתם יכולים להשתמש בהרשאות גישה כדי לקבוע לאילו אפליקציות ולמשאבים קבוצות המשתמשים שלכם יכולות לגשת. הקצאת הרשאות גישה מציינת איך להחיל רמות גישה ואמצעי בקרה על סשנים על קבוצת משתמשים. אתם יכולים להחיל את אותה רמת גישה ואת אותו אמצעי בקרה על הסשן על כל האפליקציות, או להגדיר התנהגויות ספציפיות לאפליקציות נפרדות.
כדי לוודא שהגדרתם הכול בצורה נכונה, מומלץ לבדוק את כללי המדיניות לפני שמפעילים אותם.
כשעובדים עם הקצאות הרשאות גישה, חשוב לזכור את ההתנהגות הבאה:
- לקבוצת משתמשים יכול להיות רק קשר הרשאת גישה אחד.
- אם משתמש שייך לכמה קבוצות, הוא מקבל גישה אם אחת ממדיניות הגישה מאפשרת זאת (
ORולאAND). - לגבי אמצעי בקרה על סשנים, חל רק הקישור האחרון שנוצר להרשאות גישה.
שימוש בהגדרה אחת לכל האפליקציות
בשיטה הזו, אותה רמת גישה ואותם אמצעי בקרה על הסשן חלים על כל האפליקציות שקבוצת משתמשים ניגשת אליהן.
מומלץ לבדוק את המדיניות באמצעות הרצה יבשה או להחיל אותה על קבוצת בדיקה קטנה לפני שמיישמים אותה בסביבת הייצור.
gcloud
יוצרים את הקישור של הגישה.
gcloud access-context-manager cloud-bindings create \ --group-key GROUP_ID --organization ORG_ID --level DEFAULT_ACCESS_LEVEL [ --session-length=DEFAULT_SESSION_LENGTH ] [ --session-reauth-method=DEFAULT_SESSION_REAUTH_METHOD ]
מחליפים את מה שכתוב בשדות הבאים:
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
getבמשאב הקבוצה. - ORG_ID: מזהה הארגון.
-
DEFAULT_ACCESS_LEVEL: השם האופציונלי של רמת הגישה, בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. מחליפים אתPOLICY_IDבמזהה מדיניות הגישה ואתACCESS_LEVEL_NAMEבשם רמת הגישה. -
DEFAULT_SESSION_LENGTH: משך הסשן האופציונלי בפורמט של שעות, כמו
15hל-15 שעות או2hלשעתיים. -
DEFAULT_SESSION_REAUTH_METHOD: השיטה האופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם, שיכולה להיות אחת מהאפשרויות הבאות:
-
LOGIN: החלת הכניסה הרגילה, שיכולה לכלול MFA או גורמים אחרים שהוגדרו ב-Workspace. -
PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן של ספק ה-IdP פעיל, המשתמשים עוברים אימות מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP. -
SECURITY_KEY: דורש מפתח אבטחה פיזי.
-
API
יוצרים גוף JSON:
{ "groupKey": "GROUP_ID", "accessLevels": [ "DEFAULT_ACCESS_LEVEL" ], // optional: "sessionSettings": { "sessionLength": "DEFAULT_SESSION_LENGTH", "sessionReauthMethod": "DEFAULT_SESSION_REAUTH_METHOD" } }מחליפים את מה שכתוב בשדות הבאים:
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
getבמשאב הקבוצה. -
DEFAULT_ACCESS_LEVEL: השם האופציונלי של רמת הגישה, בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. מחליפים אתPOLICY_IDבמזהה מדיניות הגישה ואתACCESS_LEVEL_NAMEבשם רמת הגישה. -
DEFAULT_SESSION_LENGTH: משך הסשן האופציונלי בפורמט של שעות, כמו
15hל-15 שעות או2hלשעתיים. -
DEFAULT_SESSION_REAUTH_METHOD: השיטה האופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם, שיכולה להיות אחת מהאפשרויות הבאות:
-
LOGIN: החלת הכניסה הרגילה, שיכולה לכלול MFA או גורמים אחרים שהוגדרו ב-Workspace. -
PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן של ספק ה-IdP פעיל, המשתמשים עוברים אימות מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP. -
SECURITY_KEY: דורש מפתח אבטחה פיזי.
-
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
שולחים את בקשת ה-POST:
POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindingsORG_ID הוא המזהה של הארגון שבו השתמשתם כדי ליצור את התפקיד אדמין של קישור גישה ל-Cloud. אם הנכס
access-context-manager/organizationלא הוגדר, מחליפים אתORG_IDבדגל האופציונלי--organizationבמזהה של הארגון שבו השתמשתם כשיצרתם את התפקיד 'אדמין של קישור לגישה ל-Cloud'.
אם הפעולה בוצעה ללא שגיאות, תקבלו ייצוג של אובייקט JSON. אם מתרחשת בעיה, מוצגת הודעת שגיאה.
הגדרת תצורות לאפליקציות ספציפיות
השיטה הזו מאפשרת להחיל רמות גישה שונות ובקרות שונות על סשנים באפליקציות שונות. אפשר גם להגדיר כללי ברירת מחדל לאפליקציות שלא הוגדרו להן הגדרות ספציפיות.
אפשר לציין אפליקציות בקישורי גישה באמצעות מזהה הלקוח שלהן ב-OAuth. אפשר לציין את האפליקציות הבאות באמצעות השם שלהן:
- ספריית האימות של Google אם אתם משתמשים בפרטי הכניסה ב-Application Default Credentials (ADC) שנוצרו על ידי CLI של gcloud ואתם רוצים להשתמש בשם, אתם צריכים להשתמש במזהה הלקוח שמוגדר כברירת מחדל ב-CLI של gcloud. אי אפשר לספק קובץ Client-ID ל-CLI של gcloud.
- מסוף Firebase
השיטה הזו שימושית כשרוצים לבצע את הפעולות הבאות:
- החלת מדיניות רק על אפליקציות מסוימות.
ליצור מדיניות כללית, אבל להחריג ממנה אפליקציות מסוימות.
gcloud
יוצרים קובץ הרשאת גישה בפורמט YAML עם רשימה של רשומות היקף בתוך הרשימה
scopedAccessSettings. לכל אפליקציה שרוצים למפות לרמת גישה ספציפית, מוסיפים רשומה שלclientScope.scopedAccessSettings: - scope: clientScope: restrictedClientApplication: clientId: CLIENT_ID activeSettings: accessLevels: - ACCESS_LEVEL_A sessionSettings: - sessionLength: SESSION_LENGTH sessionReauthMethod: SESSION_REAUTH_METHOD sessionLengthEnabled: true - scope: clientScope: restrictedClientApplication: # # because this app is specified by `name`, # it won't work with sessionSettings. # # if you add sessionSettings, make sure to # replace the `name` key with `clientId`, # and use the OAuth client ID as the value. # name: CLIENT_NAME activeSettings: accessLevels: - ACCESS_LEVEL_Bמחליפים את מה שכתוב בשדות הבאים:
- CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש בערך
clientIdכשאפליקציה מכילהsessionSettings. - ACCESS_LEVEL_A: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. - SESSION_LENGTH: משך הסשן בפורמט של שעות, למשל
15hל-15 שעות או2hלשעתיים. SESSION_REAUTH_METHOD: שיטה אופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם. השיטה צריכה להיות אחת מהאפשרויות הבאות:
-
LOGIN: משתמשים בכניסה הרגילה, שיכולה לכלול אימות רב-שלבי (MFA) או גורמים אחרים שהוגדרו ב-Workspace. -
PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן ב-IdP פעיל, המשתמשים יאומתו מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP. -
SECURITY_KEY: דורש מפתח אבטחה פיזי.
-
CLIENT_NAME: שם הלקוח. אם הבקשה מכילה את התו
sessionSettings, אי אפשר להשתמש בשם הלקוח. במקום זאת, משתמשים במזהה הלקוח ב-OAuth.ACCESS_LEVEL_B: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
כדי להגדיר רמת גישה כברירת מחדל לאפליקציות שלא מוגדרות בקובץ ה-YAML, משתמשים בארגומנט
--level. קובץ ה-YAML תומך רק בהגדרות ספציפיות לאפליקציה (scopedAccessSettings).- CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש בערך
יוצרים את הקישור של הגישה.
gcloud access-context-manager cloud-bindings create --organization ORG_ID --group-key GROUP_ID --binding-file BINDING_FILE_PATH [ --level DEFAULT_ACCESS_LEVEL ] [ --session-length=DEFAULT_SESSION_LENGTH ] [ --session-reauth-method=DEFAULT_SESSION_REAUTH_METHOD ]מחליפים את מה שכתוב בשדות הבאים:
- ORG_ID: מזהה הארגון.
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
getבמשאב הקבוצה. -
BINDING_FILE_PATH: הנתיב לקובץ ה-YAML שמכיל את סכמת קישור הגישה.
קובץ הקישור תומך רק ב-
scopedAccessSettings. -
DEFAULT_ACCESS_LEVEL: השם האופציונלי של רמת הגישה, בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. מחליפים אתPOLICY_IDבמזהה מדיניות הגישה ואתACCESS_LEVEL_NAMEבשם רמת הגישה. -
DEFAULT_SESSION_LENGTH: משך הסשן האופציונלי בפורמט של שעות, כמו
15hל-15 שעות או2hלשעתיים. -
DEFAULT_SESSION_REAUTH_METHOD: השיטה האופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם, שיכולה להיות אחת מהאפשרויות הבאות:
-
LOGIN: החלת הכניסה הרגילה, שיכולה לכלול MFA או גורמים אחרים שהוגדרו ב-Workspace. -
PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן של ספק ה-IdP פעיל, המשתמשים עוברים אימות מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP. -
SECURITY_KEY: דורש מפתח אבטחה פיזי.
-
איך הארגומנטים --level ו---binding-file פועלים יחד
- אם משתמשים רק ב-
--binding-file, המדיניות חלה רק על האפליקציות בקובץ. - אם משתמשים רק ב-
--level, רמת הגישה חלה על כל האפליקציות. - אם משתמשים בשניהם, הכללים משולבים. הערך
--levelחל על כל האפליקציות, ואילו המדיניות בקובץ ה-YAML שצוין על ידי--binding-fileחלה רק על האפליקציות כפי שהוגדרו בקובץ.
עבודה עם אמצעי בקרה על סשנים
- כדי להגדיר אמצעי בקרה על הפעילות של כל האפליקציות כברירת מחדל, משתמשים ב-
--session-lengthוב---session-reauth-method. - אם מגדירים גם אמצעי בקרה על סשנים בקובץ ה-YAML, אמצעי הבקרה האלה מבטלים את הגדרות ברירת המחדל של האפליקציות הספציפיות האלה.
- חובה להשתמש ב-
--session-lengthוב---session-reauth-methodביחד.
API
יוצרים גוף JSON:
{
"groupKey": "GROUP_ID",
//
// Optional; if specified, all applications that aren't defined in
// scopedAccessSettings have these access levels applied.
//
// If more than one access level is specified, the user is
// granted access if any one resolves to TRUE (OR logic, not AND).
//
// If you omit this key entirely, then no policy enforcement is
// applied by default.
//
"accessLevels": [
"DEFAULT_ACCESS_LEVEL"
],
"scopedAccessSettings": [
{
"scope": {
"clientScope": {
"restrictedClientApplication": {
"clientId": "CLIENT_ID"
}
}
},
"activeSettings": {
"accessLevels": [
"ACCESS_LEVEL_A"
],
"sessionSettings": [
{
"sessionLength": "SESSION_LENGTH",
"sessionReauthMethod": "SESSION_REAUTH_METHOD",
"sessionLengthEnabled": true
}
]
}
},
{
"scope": {
"clientScope": {
"restrictedClientApplication": {
"name": "CLIENT_NAME"
}
},
"activeSettings": {
"accessLevels": [
"ACCESS_LEVEL_B"
]
}
}
}
]
}
מחליפים את מה שכתוב בשדות הבאים:
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
getבמשאב הקבוצה. -
DEFAULT_ACCESS_LEVEL: השם האופציונלי של רמת הגישה, בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. מחליפים אתPOLICY_IDבמזהה מדיניות הגישה ואתACCESS_LEVEL_NAMEבשם רמת הגישה. - CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש ב-
clientIdכשבאפליקציה ישsessionSettings. - ACCESS_LEVEL_A: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. - SESSION_LENGTH: משך הסשן בפורמט של שעות, למשל
2hלשעתיים. SESSION_REAUTH_METHOD: השיטה האופציונלית לאתגר משתמשים לאמת מחדש את הזהות שלהם. השיטה חייבת להיות אחת מהאפשרויות הבאות:
-
LOGIN: החלת הכניסה הרגילה, שיכולה לכלול MFA או גורמים אחרים שהוגדרו ב-Workspace. -
PASSWORD: נדרשת רק סיסמה, גם אם מוגדרים גורמים אחרים. אם הסיסמאות מנוהלות באמצעות IdP חיצוני, המשתמשים מופנים אל ה-IdP. אם הסשן ב-IdP פעיל, המשתמשים יאומתו מחדש באופן מרומז. אם ה-IdP לא פעיל, המשתמשים צריכים להיכנס דרך ה-IdP. -
SECURITY_KEY: דורש מפתח אבטחה פיזי.
-
CLIENT_NAME: שם הלקוח. אם הבקשה מכילה את התו
sessionSettings, אי אפשר להשתמש בשם הלקוח. במקום זאת, משתמשים במזהה הלקוח ב-OAuth.ACCESS_LEVEL_B: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
שולחים את בקשת ה-POST:
POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings
ORG_ID הוא המזהה של הארגון שבו השתמשתם כדי ליצור את התפקיד אדמין של קישור גישה ל-Cloud. אם לא הוגדר הנכס access-context-manager/organization, מחליפים את ORG_ID בדגל האופציונלי --organization במזהה של הארגון שבו השתמשתם כשיצרתם את תפקיד האדמין של Cloud Access Binding.
אם הפעולה בוצעה ללא שגיאות, אמור להתקבל ייצוג של אובייקט ה-JSON, או הודעת שגיאה אם הייתה בעיה.
שימוש ברמות גישה במצב ניסיון כדי לדמות אכיפה
רמות גישה בהרצה יבשה מאפשרות לכם לבדוק את מדיניות הגישה בלי לאכוף אותה בפועל. כך תוכלו להבין את ההשפעה של מדיניות מסוימת לפני שהיא תופעל. אתם יכולים לראות את היומנים של ההרצה היבשה כדי להבין מה היה קורה אם המדיניות הייתה פעילה.
אפשר להשתמש ברמות גישה רק במצב הרצה יבשה. אמצעי הבקרה של הסשן לא זמינים במצב הרצה יבשה.
יצירת מדיניות כללית להרצת בדיקה
בשיטה הזו, אותה רמת גישה של הרצה יבשה מוחלת על כל האפליקציות שאליהן יש גישה לקבוצת משתמשים.
gcloud
יוצרים את קישור הגישה באמצעות הדגל --dry-run-level.
gcloud access-context-manager cloud-bindings create \
--group-key=<var>GROUP_ID</var> \
--organization=<var>ORG_ID</var> \
--dry-run-level=<var>DEFAULT_DRY_RUN_ACCESS_LEVEL</var>
מחליפים את מה שכתוב בשדות הבאים:
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
getבמשאב הקבוצה. - ORG_ID: מזהה הארגון.
- DEFAULT_DRY_RUN_ACCESS_LEVEL: השם של רמת הגישה בהרצה היבשה, בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
API
יוצרים גוף JSON שמכיל את
dry_run_access_levels.{ "group_key": "GROUP_ID", "dry_run_access_levels": [ "DEFAULT_DRY_RUN_ACCESS_LEVEL" ] }מחליפים את מה שכתוב בשדות הבאים:
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
getבמשאב הקבוצה. - DEFAULT_DRY_RUN_ACCESS_LEVEL: השם של רמת הגישה בהרצה היבשה, בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
שולחים את בקשת ה-POST:
POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindingsORG_ID הוא המזהה של הארגון שבו השתמשתם כדי ליצור את התפקיד אדמין של קישור גישה ל-Cloud. אם המאפיין
access-context-manager/organizationלא הוגדר, מחליפים אתORG_IDבדגל האופציונלי--organizationבמזהה של הארגון שבו השתמשתם כשיצרתם את תפקיד האדמין של Cloud Access Binding.
יצירת מדיניות להרצת בדיקה עבור אפליקציות ספציפיות
השיטה הזו מאפשרת להחיל רמות גישה שונות של הרצה יבשה על אפליקציות שונות. אפשר גם להגדיר כללי ברירת מחדל לאפליקציות ללא הגדרה ספציפית.
gcloud
מגדירים את הגדרות הגישה בקובץ YAML binding באמצעות השדה
dryRunSettings.scopedAccessSettings: - scope: clientScope: restrictedClientApplication: name: CLIENT_NAME activeSettings: accessLevels: - ACCESS_LEVEL_A dryRunSettings: accessLevels: - DRY_RUN_ACCESS_LEVEL_1 - scope: clientScope: restrictedClientApplication: clientId: CLIENT_ID dryRunSettings: accessLevels: - DRY_RUN_ACCESS_LEVEL_2מחליפים את מה שכתוב בשדות הבאים:
- CLIENT_NAME: שם הלקוח. אם האפליקציה מכילה את
sessionSettings, אי אפשר להשתמש בשם הלקוח. במקום זאת, משתמשים במזהה הלקוח ב-OAuth. - ACCESS_LEVEL_A: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. - DRY_RUN_ACCESS_LEVEL_1: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. - CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש בערך
clientIdכשאפליקציה מכילהsessionSettings. - DRY_RUN_ACCESS_LEVEL_2: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
- CLIENT_NAME: שם הלקוח. אם האפליקציה מכילה את
יוצרים את הקישור של הגישה.
gcloud access-context-manager cloud-bindings create \ --organization ORG_ID \ --group-key GROUP_ID \ --binding-file BINDING_FILE_PATH --dry-run-level DEFAULT_DRY_RUN_ACCESS_LEVELמחליפים את מה שכתוב בשדות הבאים:
- ORG_ID: מזהה הארגון.
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
getבמשאב הקבוצה. -
BINDING_FILE_PATH: הנתיב לקובץ ה-YAML שמכיל את סכמת קישור הגישה.
קובץ הקישור תומך רק ב-
scopedAccessSettings. - DEFAULT_DRY_RUN_ACCESS_LEVEL: שם אופציונלי של רמת גישה להרצה יבשה, בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
צריך לכלול את הדגל הזה כדי להחיל את רמת הגישה שצוינה בהרצת הניסיון על כל האפליקציות כברירת מחדל, אם הן לא צוינו ב-YAML.
API
יוצרים גוף JSON:
{ "group_key": "GROUP_ID", // // Optional; if specified, all applications that aren't defined in scopedAccessSettings will have these dry-run access levels applied. // "dry_run_access_levels": [ "DEFAULT_DRY_RUN_ACCESS_LEVEL" ], "scoped_access_settings": [ { "scope": { "client_scope": { "restricted_client_application": { "name": "CLIENT_NAME" } } }, "active_settings": { "access_levels": [ "ACCESS_LEVEL_A" ] }, "dry_run_settings": { "access_levels": [ "DRY_RUN_ACCESS_LEVEL_1" ] } }, { "scope": { "client_scope": { "restricted_client_application": { "client_id": "CLIENT_ID" } } }, "dry_run_settings": { "access_levels": [ "DRY_RUN_ACCESS_LEVEL_2" ] } } ] }מחליפים את מה שכתוב בשדות הבאים:
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
getבמשאב הקבוצה. - DEFAULT_DRY_RUN_ACCESS_LEVEL: שם אופציונלי של רמת גישה להרצה יבשה, בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. - CLIENT_NAME: שם הלקוח. אם האפליקציה מכילה את
sessionSettings, אי אפשר להשתמש בשם הלקוח. במקום זאת, משתמשים במזהה הלקוח ב-OAuth. - ACCESS_LEVEL_A: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. - DRY_RUN_ACCESS_LEVEL_1: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME. - CLIENT_ID: מזהה הלקוח ב-OAuth. חובה להשתמש בערך
client_idכשאפליקציה מכילהsessionSettings. - DRY_RUN_ACCESS_LEVEL_2: שם של רמת גישה בפורמט
accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.
-
GROUP_ID: מזהה הקבוצה. אם אין לכם את מזהה הקבוצה, אתם יכולים לאחזר אותו על ידי הפעלת השיטה
שולחים את בקשת ה-POST:
POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindingsORG_ID הוא המזהה של הארגון שבו השתמשתם כדי ליצור את התפקיד אדמין של קישור גישה ל-Cloud. אם המאפיין
access-context-manager/organizationלא הוגדר, מחליפים אתORG_IDבדגל האופציונלי--organizationבמזהה של הארגון שבו השתמשתם כשיצרתם את תפקיד האדמין של Cloud Access Binding.אם הפעולה בוצעה ללא שגיאות, תקבלו ייצוג של אובייקט JSON. אם מתרחשת בעיה, מוצגת הודעת שגיאה.
צפייה ביומנים של הרצת בדיקה
אחרי שמגדירים הרצה יבשה, אפשר לבדוק את היומנים כדי לראות אילו ניסיונות גישה היו נדחים.
בטבלה הבאה מפורטים שדות היומן שבהם אפשר להשתמש כדי ליצור את השאילתה ולהריץ אותה כדי לקבל את היומנים:
| שם השדה | תיאור |
|---|---|
protoPayload.authenticationInfo.principalEmail |
מזהה האימייל של חשבון המשתמש שהגישה שלו נדחתה. |
protoPayload.metadata.deniedApplications |
שם האפליקציה שהגישה אליה נדחתה. |
protoPayload.metadata.evaluationResult |
תוצאת ההערכה של מדיניות הגישה הפעילה. ערכים אפשריים:
GRANTED או DENIED. |
protoPayload.metadata.appliedAccessLevels |
רמות הגישה שנדרשות על ידי מדיניות הגישה הפעילה. |
protoPayload.metadata.appliedDryRunAccessLevels |
רמות הגישה שנדרשות על ידי מדיניות הגישה של הרצת הניסיון. |
protoPayload.metadata.dryRunEvaluationResult |
תוצאת ההערכה של מדיניות הגישה בהרצה היבשה, שמציינת את הפעולה המיועדת כשמדיניות הגישה נאכפת.
ערכים אפשריים:
GRANTED או DENIED. |
הוראות ליצירת שאילתה ליומנים מופיעות במאמר שפת השאילתות של Logging.