ניהול רמות גישה

בדף הזה מוסבר איך לנהל רמות גישה קיימות. אתם יכולים:

לפני שמתחילים

  • מגדירים את מדיניות הגישה שמוגדרת כברירת מחדל לשימוש בכלי שורת הפקודה gcloud.

    -or-

    מציאת שם המדיניות שם המדיניות נדרש לפקודות שמשתמשות בכלי שורת הפקודה gcloud ולביצוע קריאות ל-API. אם מגדירים מדיניות גישה שמוגדרת כברירת מחדל, לא צריך לציין את המדיניות עבור כלי שורת הפקודה gcloud.

  • צריך לוודא שיש לכם תפקיד בניהול זהויות והרשאות גישה (IAM) ברמת הארגון שמאפשר לכם לנהל רמות גישה. אתם צריכים לבקש מהאדמין להקצות לכם אחד מהתפקידים הבאים, או תפקיד בהתאמה אישית עם אותן הרשאות:

רישום של רמות גישה

המסוף

כדי לראות את כל רמות הגישה, פותחים את הדף Access Context Manager במסוף Google Cloud ואז, אם מוצגת בקשה, בוחרים את הארגון. רמות הגישה של הארגון מוצגות בטבלה בדף, כולל פרטים על ההגדרה של כל רמת גישה.

פתיחת הדף Access Context Manager

gcloud

כדי לראות את כל רמות הגישה, משתמשים בפקודה list.

gcloud access-context-manager levels list \
  [--policy=POLICY_NAME]

כאשר:

הפלט אמור להיראות ככה:

NAME             TITLE                  LEVEL_TYPE
Device_Trust     Device_Trust Extended  Basic
Service_Group_A  Service_Group_A        Basic

API

כדי לראות את כל רמות הגישה של מדיניות מסוימת, קוראים לפונקציה accessLevels.list.

GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels

כאשר:

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון.

גוף הבקשה

גוף הבקשה צריך להיות ריק.

פרמטרים אופציונליים

אפשר לכלול באופן אופציונלי אחד או יותר מפרמטרים של שאילתה הבאים.

פרמטרים
pageSize

number

כברירת מחדל, רשימת רמות הגישה שמוחזרת על ידי accessLevels.list מחולקת לדפים. כל דף מוגבל ל-100 רמות גישה.

אפשר להשתמש בפרמטר הזה כדי לשנות את מספר רמות הגישה שמוחזרות לכל דף.

pageToken

string

אם מספר רמות הגישה שמוחזרות בקריאה חורג מגודל הדף, גוף התשובה יכלול אסימון דף.

אפשר להשתמש בפרמטר הזה בקריאה הבאה כדי לקבל את דף התוצאות הבא.

accessLevelFormat

enum(LevelFormat)

בדרך כלל, רמות הגישה מוחזרות כמו שהן מוגדרות, כלומר BasicLevel או CustomLevel.

אפשר לציין את הערך CEL לפרמטר הזה כדי להחזיר את BasicLevels בתור CustomLevels ב-Cloud Common Expression Language.

גוף התשובה

אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל אובייקט AccessLevels עם רשימה של רמות הגישה ומחרוזת nextPageToken. לפונקציה nextPageToken יש ערך רק אם מספר רמות הגישה שמוחזרות גדול מגודל הדף. אחרת, nextPageToken מוחזרת כמחרוזת ריקה.

רישום של רמות גישה (עם עיצוב)

באמצעות כלי שורת הפקודה gcloud, אפשר לקבל רשימה של רמות הגישה בפורמט YAML או JSON.

כדי לקבל רשימה מפורמטת של רמות הגישה, משתמשים בפקודה list.

gcloud access-context-manager levels list \
  --format=FORMAT \
  [--policy=POLICY_NAME]

כאשר:

פלט ה-YAML ייראה בערך כך: 

- basic: {'conditions': [{'ipSubnetworks': ['8.8.0.0/24']}]}
  description: Level for corp access.
  name: accessPolicies/165717541651/accessLevels/corp_level
  title: Corp Level
- basic: {'combiningFunction': 'OR', 'conditions': [{'ipSubnetworks': ['8.8.0.0/24']}]}
  description: Level for net access.
  name: accessPolicies/165717541651/accessLevels/net_level
  title: Net Level

פלט ה-JSON ייראה בערך כך: 

[
  {
    "basic": {
      "conditions": [
        {
          "ipSubnetworks": [
            "8.8.0.0/24"
          ]
        }
      ]
    },
    "description": "Level for corp access.",
    "name": "accessPolicies/165717541651/accessLevels/corp_level",
    "title": "Corp Level"
  },
  {
    "basic": {
      "combiningFunction": "OR",
      "conditions": [
        {
          "ipSubnetworks": [
            "8.8.0.0/24"
          ]
        }
      ]
    },
    "description": "Level for net access.",
    "name": "accessPolicies/165717541651/accessLevels/net_level",
    "title": "Net Level"
  }
]

תיאור של רמת גישה

המסוף

במסוף Google Cloud , פועלים לפי השלבים להצגת רשימה של רמות גישה. כשמפרטים את רמות הגישה, הפרטים מופיעים בטבלה שמוצגת.

gcloud

כשמציגים את רמות הגישה, מוצגים רק השם, הכותרת וסוג הרמה. כדי לקבל מידע מפורט על מה שרמה מסוימת עושה בפועל, משתמשים בפקודה describe.

gcloud access-context-manager levels describe LEVEL_NAME \
    [--policy=POLICY_NAME]

כאשר:

הפקודה תדפיס מידע על הרמה בפורמט YAML. לדוגמה, אם הרמה הגבילה את הגישה לגרסאות מסוימות של מערכת ההפעלה, הפלט עשוי להיראות כך:

basic:
  conditions:
  - devicePolicy:
      allowedEncryptionStatuses:
      - ENCRYPTED
      osConstraints:
      - minimumVersion: 10.13.6
        osType: DESKTOP_MAC
      - minimumVersion: 10.0.18219
        osType: DESKTOP_WINDOWS
      - minimumVersion: 68.0.3440
        osType: DESKTOP_CHROME_OS
      requireScreenlock: true
name: accessPolicies/330193482019/accessLevels/Device_Trust
title: Device_Trust Extended

API

כשמציגים את רמות הגישה, רואים רק את השם, הכותרת והסוג של הרמות. כדי לקבל מידע מפורט על רמת גישה, אפשר להתקשר אל accessLevels.get.

GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME

כאשר:

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון.

  • LEVEL_NAME הוא שם רמת הגישה שרוצים לתאר.

גוף הבקשה

גוף הבקשה צריך להיות ריק.

פרמטרים אופציונליים

אופציונלי: כוללים את פרמטר השאילתה accessLevelFormat. בדרך כלל, רמות הגישה מוחזרות כמו שהן מוגדרות, כ-BasicLevel או כ-CustomLevel.

אפשר לציין את הערך CEL לפרמטר הזה כדי להחזיר את BasicLevels כ-CustomLevels ב-Cloud Common Expression Language.

גוף התשובה

אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל משאב AccessLevel שכולל פרטים על רמת הגישה, מועד העדכון האחרון של הרמה ועוד.

עדכון רמת גישה

בקטע הזה מוסבר איך לעדכן רמות גישה בודדות. כדי לעדכן את כל רמות הגישה בארגון בפעולה אחת, אפשר לעיין במאמר בנושא ביצוע שינויים בכמות גדולה ברמות הגישה.

המסוף

כדי לעדכן את רמת הגישה:

  1. פותחים את הדף Access Context Manager במסוף Google Cloud .

    פתיחת הדף Access Context Manager

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. ברשת, לוחצים על השם של רמת הגישה שרוצים לעדכן.

  4. בחלונית Edit Access Level (עריכה של רמת הגישה), מבצעים שינויים ברמת הגישה.

    רשימה מלאה של המאפיינים שאפשר להוסיף או לשנות זמינה במאמר בנושא מאפייני רמת גישה.

  5. לוחצים על Save.

    בנוסף לעדכון או להסרה של תנאים קיימים, אפשר להוסיף תנאים חדשים ומאפיינים חדשים לתנאים קיימים.

gcloud

כדי לעדכן רמת גישה, משתמשים בפקודה update.

רמת גישה בסיסית:

gcloud access-context-manager levels update LEVEL_NAME \
    --basic-level-spec=FILE \
    [--policy=POLICY_NAME]

רמת גישה בהתאמה אישית:

gcloud access-context-manager levels update LEVEL_NAME \
    --custom-level-spec=FILE \
    [--policy=POLICY_NAME]

כאשר:

  • LEVEL_NAME הוא שם רמת הגישה שרוצים לעדכן.

  • FILE הוא השם של קובץ ‎ .yaml שמגדיר את התנאים לרמת הגישה (לרמות גישה בסיסיות) או ביטוי CEL שמקבל ערך בוליאני יחיד (לרמות גישה בהתאמה אישית).

    רשימה מלאה של המאפיינים שבהם אפשר להשתמש בתנאים של רמות גישה בסיסיות מופיעה במאמר בנושא מאפיינים של רמות גישה.

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון. הערך הזה נדרש רק אם לא הגדרתם מדיניות גישה שמוגדרת כברירת מחדל.

  • אפשר לכלול אחת או יותר מהאפשרויות הבאות.

    אפשרויות
    combine-function

    האפשרות הזו משמשת רק לרמות גישה בסיסיות.

    קובע איך התנאים משולבים.

    ערכים תקינים: AND, ‏ OR
    description

    תיאור ארוך של רמת הגישה.
    title

    שם קצר לרמת הגישה. השם של רמת הגישה מוצג במסוף Google Cloud .

    אפשר לכלול כל אחת מהאפשרויות שזמינות בכל הפקודות של gcloud.

פקודה לדוגמה

gcloud access-context-manager levels update Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=OR \
    --description='Access level that conforms to updated corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1034095178592

API

כדי לעדכן את רמת הגישה, אפשר להתקשר למספר accessLevels.patch.

PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME?updateMask=FIELDS

כאשר:

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון.

  • LEVEL_NAME הוא שם רמת הגישה שרוצים לתאר.

  • FIELDS היא רשימה מופרדת בפסיקים של שמות שדות שמוגדרים במלואם שאתם מעדכנים.

גוף הבקשה

גוף הבקשה צריך לכלול משאב AccessLevel שמציין את השינויים שרוצים לבצע ברמת הגישה.

גוף התשובה

אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל משאב Operation עם פרטים על פעולת התיקון.

מחיקה של רמת גישה

המסוף

כדי למחוק רמת גישה:

  1. פותחים את הדף Access Context Manager במסוף Google Cloud .

    פתיחת הדף Access Context Manager

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.

  3. ברשת, בשורה של רמת הגישה שרוצים למחוק, לוחצים על הלחצן .

  4. לוחצים על Delete.

  5. בתיבת הדו-שיח שמופיעה, מאשרים שרוצים למחוק את רמת הגישה.

gcloud

כדי למחוק רמת גישה:

  1. כדי למחוק רמת גישה, משתמשים בפקודה delete.

    gcloud access-context-manager levels delete LEVEL_NAME \
    [--policy=POLICY_NAME]

    כאשר:

  2. מאשרים שרוצים למחוק את רמת הגישה.

    לדוגמה:

    You are about to delete level Device_Trust

Do you want to continue (Y/n)?

    
You should see output similar to the following:


    Waiting for operation [accessPolicies/330193482019/accessLevels/Device_Trust/delete/1531171874311645] to complete...done.
Deleted level [Device_Trust].

API

כדי למחוק רמת גישה, מתקשרים אל accessLevels.delete.

DELETE https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME

כאשר:

  • POLICY_NAME הוא השם של מדיניות הגישה של הארגון.

  • LEVEL_NAME הוא שם רמת הגישה שרוצים לתאר.

גוף הבקשה

גוף הבקשה צריך להיות ריק.

גוף התשובה

אם הפעולה בוצעה ללא שגיאות, גוף התגובה של הקריאה יכיל משאב Operation עם פרטים על פעולת המחיקה.