יצירה של רמת גישה בסיסית

בדף הזה מוסבר באופן כללי איך ליצור רמות גישה בסיסיות. כדי ליצור רמות גישה בהתאמה אישית ולהשתמש במצב מתקדם במסוף Google Cloud , אפשר לעיין במאמר בנושא יצירת רמת גישה בהתאמה אישית.

בדף הזה מפורטות הטמעות ממוקדות יותר של רמות גישה. דוגמאות:

לפני שמתחילים

יצירה של רמת גישה בסיסית

המסוף

כדי ליצור רמת גישה בסיסית:

  1. פותחים את הדף Access Context Manager במסוף Google Cloud .

    פתיחת הדף Access Context Manager

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. בחלק העליון של הדף Access Context Manager, לוחצים על New (חדש).

  4. בחלונית רמת גישה חדשה:

    1. בשדה שם רמת הגישה, מזינים שם לרמת הגישה. הכותרת צריכה להיות באורך של עד 50 תווים, להתחיל באות ולהכיל רק מספרים, אותיות, קווים תחתונים ורווחים.

    2. בקטע תנאים, לוחצים על לחצן הוספה של סוג המאפיין שרוצים להוסיף, ואז מציינים את הערכים שרוצים להחיל על המאפיין הזה.

      רשימה מלאה של המאפיינים שאפשר להוסיף זמינה במאמר בנושא מאפייני רמת גישה.

      לדוגמה, אם רוצים שרמת הגישה תתייחס למיקום שממנו מגיעה בקשה בתוך הרשת, בוחרים במאפיין IP Subnetworks.

      כדי להוסיף כמה מאפיינים לאותו תנאי, חוזרים על השלב הזה. אם תנאי מכיל כמה מאפיינים, בקשת הגישה צריכה לעמוד בכל המאפיינים.

      תנאי של רמת גישה יכול לכלול מאפיין אחד מכל סוג. חלק מהמאפיינים כוללים אפשרויות נוספות, כמו המאפיין מדיניות המכשיר.

      רמות הגישה תומכות בתנאים שמבוססים על זהות המשתמש. עם זאת, כדי להוסיף זהויות לתנאי, צריך ליצור או לעדכן את רמת הגישה באמצעות ה-CLI של gcloud או ה-API.

    3. משתמשים באפשרות When condition is met, return (כשהתנאי מתקיים, מחזירים) כדי לציין אם התנאי צריך לדרוש שבקשה תעמוד בכל המאפיינים שצוינו (TRUE) או אם הבקשה צריכה לעמוד בכל המאפיינים חוץ מאלה (FALSE).

      לדוגמה, אם רוצים לדחות בקשות מטווח מסוים של כתובות IP ברשת, מציינים את טווח כתובות ה-IP באמצעות המאפיין IP Subnetworks ואז מגדירים את התנאי ל-FALSE.

    4. אופציונלי: לוחצים על הוספת תנאי נוסף כדי להוסיף תנאי נוסף לרמת הגישה, ואז חוזרים על שני השלבים הקודמים.

      לדוגמה, אם רוצים לחסום גישה לקבוצת משנה של כתובות IP בתוך טווח רחב יותר של כתובות IP, יוצרים תנאי חדש, מציינים את טווח כתובות ה-IP של קבוצת המשנה במאפיין IP Subnetworks ומגדירים את התנאי להחזרת הערך FALSE.

      חוזרים על השלב הזה כדי להוסיף כמה תנאים לאותה רמת גישה.

    5. אם יצרתם יותר מתנאי אחד, משתמשים באפשרות שילוב תנאי עם כדי לציין אם רמת הגישה דורשת שהבקשה תעמוד לפחות באחד מהתנאים (OR) או בכל התנאים (AND).

    6. לוחצים על Save.

gcloud

לפני שמתחילים

כדי ליצור רמת גישה באמצעות הכלי gcloud של שורת הפקודה, משתמשים בפקודה gcloud access-context-manager levels create.

gcloud access-context-manager levels create LEVEL_NAME OPTIONS \
    --policy=POLICY

כאשר:

  • LEVEL_NAME הוא השם הייחודי של רמת הגישה. הוא חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים. השם יכול לכלול עד 50 תווים.

  • OPTIONS הן האפשרויות הנדרשות מהטבלה הבאה.

    אפשרויות
    basic-level-spec

    קובץ YAML שמציין תנאי אחד או יותר לרמת הגישה.

    title

    שם קצר לרמת הגישה. השם של רמת הגישה מוצג במסוף Google Cloud .

    combine-function

    (אופציונלי) קובע איך התנאים משולבים.

    ערכים תקינים: AND, ‏ OR

    description

    (אופציונלי) תיאור ארוך של רמת הגישה.

  • POLICY הוא המזהה של מדיניות הגישה של הארגון. אם הגדרתם מדיניות ברירת מחדל, הפרמטר הזה הוא אופציונלי.

אפשר גם לכלול את הדגלים של gcloud.

קובץ YAML של מפרט ברמה בסיסית

כשמשתמשים בכלי gcloud של שורת הפקודה כדי ליצור רמת גישה, צריך לספק קובץ YAML לאפשרות basic-level-spec. קובץ ה-YAML מגדיר תנאי אחד או יותר לרמת הגישה. התנאים צריכים להכיל לפחות מאפיין אחד. אם תנאי מכיל יותר ממאפיין אחד, הם ישולבו כפעולת AND (כולם צריכים להיות נכונים) או כפעולת NAND (אף אחד לא יכול להיות נכון), בהתאם לשאלה אם המאפיין negate נכלל בתנאי.

רשימה מלאה של המאפיינים שאפשר לכלול בקובץ ה-YAML זמינה במאמר בנושא מאפיינים של רמת גישה.

מידע נוסף על רמות גישה ו-YAML זמין בדוגמה ל-YAML של רמת גישה.

פקודה לדוגמה

gcloud access-context-manager levels create Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=AND \
    --description='Access level that conforms to corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1521580097614100

API

לפני שמתחילים

כדי ליצור רמת גישה, קוראים ל-accessLevels.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

כאשר:

  • POLICY הוא המזהה של מדיניות הגישה של הארגון.

גוף הבקשה

גוף הבקשה חייב לכלול משאב AccessLevel שמציין את התנאים שרוצים להגדיר לרמת הגישה החדשה. לכל Condition יש מאפיינים אחד או יותר שמוערכים כפעולת AND (כולם צריכים להיות true) או כפעולת NAND (אף אחד לא יכול להיות true), בהתאם להגדרה של השדה negate כ-true. התוצאה של החישוב קובעת אם התנאי מתקיים או לא.

גוף התשובה

אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל משאב Operation עם פרטים על הפעולה POST.

הטמעות לדוגמה

בדוגמאות הבאות מוסבר על כמה מהדרכים המעשיות שבהן הארגון שלכם יכול להשתמש ברמות גישה. בדוגמאות האלה מניחים שלארגון כבר יש מדיניות גישה.

הגבלת הגישה ברשת ארגונית

בדוגמה הזו מוסבר איך ליצור תנאי לרמת גישה שמאפשר גישה רק מטווח כתובות IP שצוין (לדוגמה, כתובות שנמצאות ברשת ארגונית).

הגבלת טווח כתובות ה-IP שמוענקת להן גישה יכולה להקשות על תוקף שנמצא בתוך הארגון או מחוצה לו לבצע אקספילטרציה של נתונים.

בדוגמה הזו, נניח שאתם רוצים ליצור רמת גישה שתאפשר לקבוצה של מבקרים פנימיים לגשת לשירות Cloud Logging בפרויקט בשם sensitive-data. לכל המכשירים של המבקרים מוקצות כתובות IP ברשת משנה בטווח שבין 203.0.113.0 לבין 203.0.113.127. אתם יודעים שלא יוקצו לרשת המשנה הזו מכשירים אחרים מלבד אלה שבהם משתמשים המבקרים.

אם רוצים להשתמש בטווח כתובות IP פרטיות (לדוגמה, 192.168.0.0/16 או 172.16.0.0/12), אפשר לעיין במאמר איך מאפשרים גישה למשאבים מוגנים מכתובת IP פנימית למידע נוסף ולדוגמה להטמעה באמצעות VPC Service Controls.

המסוף

  1. פותחים את הדף Access Context Manager במסוף Google Cloud .

    פתיחת הדף Access Context Manager

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. בחלק העליון של הדף Access Context Manager, לוחצים על New (חדש).

  4. בחלונית New Access Level (רמת גישה חדשה), בקטע Conditions (תנאים), לוחצים על Add attribute (הוספת מאפיין) ואז על IP Subnetworks (רשתות משנה של כתובות IP).

  5. בתיבה IP Subnetworks (רשתות משנה של כתובות IP), בוחרים באפשרות Public IP (כתובת IP ציבורית) או Private IP (כתובת IP פרטית).

    • אם בוחרים באפשרות Public IP, מזינים טווח אחד או יותר של כתובות IPv4 או IPv6 בפורמט של בלוקים CIDR.

      בדוגמה הזו, כדי להגביל את הגישה רק לרואי החשבון, מזינים 203.0.113.0/25 בתיבה IP Subnetworks.

    • אם בוחרים באפשרות IP פרטי, לוחצים על בחירת רשתות VPC. אפשר לציין רשתות VPC באמצעות אחת משלוש האפשרויות שזמינות ברשימה אפשרויות ייבוא.

      • אפשרות 1:

        1. בוחרים באפשרות Browse for VPC networks in your organization (עיון ברשתות VPC בארגון) ובוחרים את רשתות ה-VPC.

        2. לוחצים על הוספת רשתות VPC נבחרות.

        3. לוחצים על בחירת רשתות משנה של כתובות IP ובוחרים את רשתות המשנה.

        4. לוחצים על הוספת רשתות משנה של כתובות IP.

      • אפשרות 2:

        1. בוחרים באפשרות הזנה ידנית של כתובת רשת VPC ומזינים רשת VPC אחת או יותר.

        2. לוחצים על הוספת רשת VPC.

        3. לוחצים על בחירת רשתות משנה של כתובות IP ובוחרים את רשתות המשנה.

        4. לוחצים על הוספת רשתות משנה של כתובות IP.

      • אפשרות 3:

        1. בוחרים באפשרות העלאת קובץ CSV (החלפת רשתות קיימות).

          אם משתמשים בקובץ CSV כדי להוסיף רשתות VPC ותת-רשתות לרמת גישה, הכלי Access Context Manager מחליף את רשתות ה-VPC ותת-הרשתות שנבחרו קודם.

        2. לוחצים על עיון ומעלים את קובץ ה-CSV. בקובץ ה-CSV, צריך לציין את רשתות ה-VPC ואת רשתות המשנה בפורמט הבא:

          VPC_NETWORK_NAME_1       | IP_RANGE_1       | IP_RANGE_2       | ...
VPC_NETWORK_NAME_2       | .                | .                | ...
.                        | .                | .                | ...
.                        | .                | .                | ...

        3. לוחצים על ייבוא רשתות.

          בעזרת קובץ ה-CSV, הכלי לניהול הקשרים בין ישויות מאכלס את שמות רשתות ה-VPC ואת פרטי רשתות המשנה בתיבות כתובת רשת ה-VPC ורשתות משנה של כתובות IP, בהתאמה.

      מידע על השם של רשת ה-VPC ועל הפורמט של כתובת ה-IP הפרטית זמין במאמר שימוש בכתובת IP פנימית ברמות גישה.

  6. לוחצים על Save.

gcloud

  1. יוצרים קובץ YAML לרמת גישה שכולל טווח אחד או יותר של כתובות IPv4 או IPv6 בפורמט של בלוקים של CIDR.

    בדוגמה הזו, כדי להגביל את הגישה רק למבקרים, צריך להזין את הטקסט הבא בקובץ ה-YAML:

    - ipSubnetworks:
  - 203.0.113.0/25

    אם רוצים להשתמש בכתובת IP פרטית, צריך להזין את הפרטים הבאים בקובץ ה-YAML:

    - vpcNetworkSources:
  - vpcSubnetwork:
      network: VPC_NETWORK_NAME
      vpcIpSubnetworks:
      - IP_RANGE

    מחליפים את VPC_NETWORK_NAME ואת IP_RANGE בערכים שמתוארים בקטע שימוש בכתובת IP פנימית ברמות גישה.

  2. שומרים את הקובץ. בדוגמה הזו, שם הקובץ הוא CONDITIONS.yaml.

  3. יוצרים את רמת הגישה.

    gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY

    כאשר:

    • NAME הוא השם הייחודי של רמת הגישה. הוא חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים.

    • TITLE הוא שם קריא (לבני אדם). הוא חייב להיות ייחודי למדיניות.

    • POLICY הוא המזהה של מדיניות הגישה של הארגון. אם הגדרתם מדיניות ברירת מחדל, הפרמטר הזה הוא אופציונלי.

    הפלט אמור להיראות כך:

    Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.

API

  1. יוצרים גוף בקשה כדי ליצור משאב AccessLevel שכולל טווח אחד או יותר של כתובות IPv4 או IPv6 בפורמט של בלוקים CIDR.

    בדוגמה הזו, כדי להגביל את הגישה רק לרואי החשבון, צריך להזין את הטקסט הבא בגוף הבקשה:

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "ipSubnetworks": [
         "203.0.113.0/25"
       ]
     }
   ]
 }
}

    כאשר:

    • NAME הוא השם הייחודי של רמת הגישה. הוא חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים.

    • TITLE הוא שם שקריא לבני אדם. הוא חייב להיות ייחודי למדיניות.

    אם רוצים להשתמש בכתובת IP פרטית, צריך להזין את הפרטים הבאים בגוף הבקשה:

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "vpcNetworkSources": [
        {
          "vpcSubnetwork": {
            "network": VPC_NETWORK_NAME,
            "vpcIpSubnetworks": [
              IP_RANGE
            ]
          }
        }
       ]
     }
   ]
 }
}

    מחליפים את VPC_NETWORK_NAME ואת IP_RANGE בערכים שמתוארים בקטע שימוש בכתובת IP פנימית ברמות גישה.

  2. יוצרים את רמת הגישה באמצעות קריאה ל-accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

    כאשר:

    • POLICY הוא המזהה של מדיניות הגישה של הארגון.

הגבלת הגישה לפי מאפייני המכשיר

בדוגמה הזו מוסבר איך ליצור רמת גישה שמעניקה גישה רק למכשירים שעומדים בסדרה מסוימת של דרישות, כמו גרסה מסוימת של מערכת הפעלה (OS).

מידע על מכשירים מסופק ל-Access Context Manager באמצעות אימות בנקודת קצה (Endpoint). אפשר לבדוק את הקריטריונים הבאים כדי לקבוע אם לאשר גישה:

  • נעילת המסך מופעלת
  • הצפנת האחסון מופעלת
  • המכשיר מריץ סוג וגרסה ספציפיים של מערכת הפעלה

בדוגמה הזו, נניח שהארגון שלכם משתמש רק במחשבים שמותקנות בהם מערכות הפעלה Chrome OS או Windows. כדי להוסיף שכבת אבטחה, כדאי ליצור רמת גישה שתמנע גישה של משתמשים במערכות הפעלה אחרות. בנוסף, כדי לנהל את הסיכון, חשוב לוודא שרק גרסאות מסוימות של מערכות ההפעלה יכולות לקבל גישה.

המסוף

  1. פותחים את הדף Access Context Manager במסוף Google Cloud .

    פתיחת הדף Access Context Manager

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. בחלק העליון של הדף Access Context Manager, לוחצים על New (חדש).

  4. בחלונית New Access Level (רמת גישה חדשה), בקטע Conditions (תנאים), לוחצים על Add attribute (הוספת מאפיין) ואז על Device Policy (מדיניות מכשירים).

  5. מוסיפים את מאפייני מדיניות המכשיר:

    1. לוחצים על הוספה של מדיניות מערכת הפעלה ואז על מדיניות ChromeOS.

    2. בתיבה גרסה מינימלית, מזינים את הגרסה המינימלית של ChromeOS שרוצים לאפשר.

    3. חוזרים על שלבים 1 ו-2 עבור Windows OS Policy.

  6. לוחצים על Save.

gcloud

  1. יוצרים קובץ YAML לרמת גישה שכולל מדיניות מכשירים עם אילוצים של מערכת הפעלה.

    בדוגמה הזו, כדי לאפשר רק למכשירים עם גרסה מינימלית מקובלת של ChromeOS ו-Windows, צריך להזין את הערכים הבאים בקובץ ה-YAML:

    - devicePolicy:
    osConstraints:
      - osType: DESKTOP_CHROME_OS
        minimumVersion: 11316.165.0
      - osType: DESKTOP_WINDOWS
        minimumVersion: 10.0.1809

  2. שומרים את הקובץ. בדוגמה הזו, שם הקובץ הוא CONDITIONS.yaml.

  3. יוצרים את רמת הגישה.

    gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY

    כאשר:

    • NAME הוא השם הייחודי של רמת הגישה. הוא חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים.

    • TITLE הוא שם קריא (לבני אדם). הוא חייב להיות ייחודי למדיניות.

    • POLICY הוא המזהה של מדיניות הגישה של הארגון. אם הגדרתם מדיניות ברירת מחדל, הפרמטר הזה הוא אופציונלי.

    הפלט אמור להיראות כך:

    Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.

API

  1. יוצרים גוף בקשה כדי ליצור משאב AccessLevel שכולל מדיניות מכשיר עם אילוצים של מערכת הפעלה.

    בדוגמה הזו, כדי לאפשר רק למכשירים עם גרסה מינימלית מקובלת של ChromeOS ו-Windows, צריך להזין את הפרטים הבאים בגוף הבקשה:

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "devicePolicy": {
         "osConstraints": [
           {
             "osType": "DESKTOP_CHROME_OS",
             "minimumVersion": "11316.165.0"
           },
           {
             "osType": "DESKTOP_WINDOWS",
             "minimumVersion": "10.0.1809"
           }
         ]
      }
     }
   ]
  }
}

    כאשר:

    • NAME הוא השם הייחודי של רמת הגישה. הוא חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים.

    • TITLE הוא שם שקריא לבני אדם. הוא חייב להיות ייחודי למדיניות.

  2. יוצרים את רמת הגישה באמצעות קריאה ל-accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

    כאשר:

    • POLICY הוא המזהה של מדיניות הגישה של הארגון.

הענקת גישה לפי משתמש או חשבון שירות

רמות הגישה למשתמשים אנושיים משלבות לעיתים קרובות זהות עם הקשרים אחרים, כמו כתובות IP. לעומת זאת, רמות הגישה לחשבונות שירות מוגדרות על סמך הזהות הספציפית של חשבון השירות. לדוגמה, כדי ליצור אינטראקציה עם שירותים אחרים Google Cloud ב-Cloud Functions, צריך זהות.

במידע הבא מוסבר איך להעניק גישה למשתמשים ספציפיים ולחשבונות שירות, ומוצגות רמות גישה קיימות כדי להמחיש רמות גישה מקוננות. במקרה כזה, המשתמשים שצוינו ייכללו ברמת הגישה הזו, בלי קשר לשאלה אם הם עומדים בתנאים שצוינו ברמות הגישה הקיימות. רמת הגישה החדשה הזו יכולה להיחשב כרמה פחות מגבילה מרמות הגישה הקיימות.

המסוף

בשלב הזה, אי אפשר להוסיף ישויות לרמות גישה במסוף Google Cloud . אם רוצים להוסיף ישויות למדיניות גישה, צריך להשתמש בכלי שורת הפקודה gcloud או ב-API.

gcloud

  1. יוצרים קובץ YAML שמכיל תנאי שמפרט את הגורמים שרוצים להעניק להם גישה.

    מוסיפים אדמין מערכת (sysadmin@example.com) וחשבון שירות (service@project.iam.gserviceaccount.com).

    - members:
    - user:sysadmin@example.com
    - serviceAccount:service@project.iam.gserviceaccount.com

  2. מוסיפים תנאי שמפרט את רמות הגישה הקיימות שרוצים לכלול ברמת הגישה הזו.

    בדוגמה הזו, נניח שרמות הגישה נקראות Device_Trust ו-IP_Trust, וש-247332951433 הוא השם של מדיניות הגישה.

    - members:
    - user:sysadmin@example.com
    - serviceAccount:service@project.iam.gserviceaccount.com

- requiredAccessLevels:
    - accessPolicies/247332951433/accessLevels/Device_Trust
    - accessPolicies/247332951433/accessLevels/IP_Trust

  3. שומרים את הקובץ. בדוגמה הזו, שם הקובץ הוא CONDITIONS.yaml.

  4. יוצרים את רמת הגישה באמצעות הפקודה create.

    gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --combine-function=OR \
   --policy=POLICY

    כאשר:

    • NAME הוא השם הייחודי של רמת הגישה. הוא חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים.

    • TITLE הוא שם קריא (לבני אדם). הוא חייב להיות ייחודי למדיניות.

    • POLICY הוא המזהה של מדיניות הגישה של הארגון. אם הגדרתם מדיניות ברירת מחדל, הפרמטר הזה הוא אופציונלי.

    • הערך של combine-function הוא OR. ערך ברירת המחדל, AND, מחייב שכל התנאים יתקיימו לפני שמוענקת רמת גישה. הערך OR ייתן לישויות הראשיות גישה גם אם תנאים אחרים לא מתקיימים.

    הפלט אמור להיראות כך:

    Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.

API

  1. יוצרים גוף בקשה ליצירת משאב AccessLevel שכולל תנאי שמפרט את חשבונות המשתמשים שרוצים להעניק להם גישה.

    בדוגמה הזו, רוצים להוסיף את אדמין המערכת (sysadmin@example.com) ואת חשבון השירות (service@project.iam.gserviceaccount.com).

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     }
   ]
 }
}

    כאשר:

    • NAME הוא השם הייחודי של רמת הגישה. הוא חייב להתחיל באות ולהכיל רק אותיות, מספרים וקווים תחתונים.

    • TITLE הוא שם שקריא לבני אדם. הוא חייב להיות ייחודי למדיניות.

  2. מוסיפים תנאי שמפרט את רמות הגישה הקיימות שרוצים לכלול ברמת הגישה הזו.

    בדוגמה הזו, נניח שרמות הגישה נקראות Device_Trust ו-IP_Trust, וש-247332951433 הוא השם של מדיניות הגישה.

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     },
     {
       "requiredAccessLevels": [
         "accessPolicies/247332951433/accessLevels/Device_Trust",
         "accessPolicies/247332951433/accessLevels/IP_Trust"
       ]
     }
   ]
 }
}

  3. מגדירים את combiningFunction להיות OR.

    ערך ברירת המחדל של combiningFunction, AND, מחייב שכל התנאים יתקיימו לפני שתינתן רמת גישה. הערך OR ייתן לישויות הראשיות גישה גם אם לא מתקיימים תנאים אחרים, כמו כתובת IP או תנאים שמועברים מרמות גישה נדרשות אחרות.

    {
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     },
     {
       "requiredAccessLevels": [
         "accessPolicies/247332951433/accessLevels/Device_Trust",
         "accessPolicies/247332951433/accessLevels/IP_Trust"
       ]
     }
   ],
   "combiningFunction": "OR"
 }
}

  4. יוצרים את רמת הגישה באמצעות קריאה ל-accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

    כאשר:

    • POLICY הוא המזהה של מדיניות הגישה של הארגון.