Gestione dei livelli di accesso

Questa pagina descrive come gestire i livelli di accesso esistenti. Puoi:

Prima di iniziare

  • Imposta la policy di accesso predefinita per l'utilizzo dello strumento a riga di comando gcloud.

    -oppure-

    Recupera il nome della policy. Il nome della policy è obbligatorio per i comandi che utilizzano lo strumento a riga di comando gcloud e per effettuare chiamate API. Se imposti una policy di accesso predefinita, non è necessario specificare la policy per lo strumento a riga di comando gcloud.

  • Assicurati di disporre di un ruolo IAM (Identity and Access Management) a livello di organizzazione che ti consenta di gestire i livelli di accesso. Chiedi all'amministratore di concederti uno dei seguenti ruoli o un ruolo personalizzato con le stesse autorizzazioni:

Elencare i livelli di accesso

Console

Per elencare tutti i livelli di accesso, apri la Gestore contesto accesso pagina nella Google Cloud console e poi, se richiesto, seleziona la tua organizzazione. I livelli di accesso della tua organizzazione vengono visualizzati in una griglia nella pagina, inclusi i dettagli sulla configurazione di ogni livello di accesso.

Apri la pagina Gestore contesto accesso

gcloud

Per elencare tutti i livelli di accesso, utilizza il list comando.

gcloud access-context-manager levels list \
  [--policy=POLICY_NAME]

Dove:

  • POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.

L'output sarà simile al seguente:

NAME             TITLE                  LEVEL_TYPE
Device_Trust     Device_Trust Extended  Basic
Service_Group_A  Service_Group_A        Basic

API

Per elencare tutti i livelli di accesso per una policy, chiama accessLevels.list.

GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels

Dove:

  • POLICY_NAME è il nome della policy di accesso della tua organizzazione.

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Parametri facoltativi

Se vuoi, includi uno o più dei seguenti parametri di ricerca.

Parametri
pageSize

number

Per impostazione predefinita, l'elenco dei livelli di accesso restituiti da accessLevels.list è paginato. Ogni pagina è limitata a 100 livelli di accesso.

Puoi utilizzare questo parametro per modificare il numero di livelli di accesso restituiti per pagina.

pageToken

string

Se il numero di livelli di accesso restituiti dalla chiamata ha superato le dimensioni della pagina, il corpo della risposta includerà un token di pagina.

Puoi utilizzare questo parametro in una chiamata successiva per ottenere la pagina successiva dei risultati.

accessLevelFormat

enum(LevelFormat)

In genere, i livelli di accesso vengono restituiti così come sono definiti, come BasicLevel o CustomLevel.

Puoi specificare il valore CEL per questo parametro per restituire BasicLevels come CustomLevels in Cloud Common Expression Language.

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene un AccessLevels oggetto che elenca i livelli di accesso, e una nextPageToken stringa. nextPageToken ha un valore solo se il numero di livelli di accesso restituiti supera le dimensioni della pagina. In caso contrario, nextPageToken viene restituito come stringa vuota.

Elencare i livelli di accesso (formattati)

Con lo strumento a riga di comando gcloud puoi ottenere un elenco dei tuoi livelli di accesso in formato YAML o JSON.

Per ottenere un elenco formattato dei livelli di accesso, utilizza il list comando.

gcloud access-context-manager levels list \
  --format=FORMAT \
  [--policy=POLICY_NAME]

Dove:

  • FORMAT è uno dei seguenti valori:

    • list (formato YAML)

    • json (formato JSON)

  • POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.

L'output YAML sarà simile al seguente: 

- basic: {'conditions': [{'ipSubnetworks': ['8.8.0.0/24']}]}
  description: Level for corp access.
  name: accessPolicies/165717541651/accessLevels/corp_level
  title: Corp Level
- basic: {'combiningFunction': 'OR', 'conditions': [{'ipSubnetworks': ['8.8.0.0/24']}]}
  description: Level for net access.
  name: accessPolicies/165717541651/accessLevels/net_level
  title: Net Level

L'output JSON sarà simile al seguente: 

[
  {
    "basic": {
      "conditions": [
        {
          "ipSubnetworks": [
            "8.8.0.0/24"
          ]
        }
      ]
    },
    "description": "Level for corp access.",
    "name": "accessPolicies/165717541651/accessLevels/corp_level",
    "title": "Corp Level"
  },
  {
    "basic": {
      "combiningFunction": "OR",
      "conditions": [
        {
          "ipSubnetworks": [
            "8.8.0.0/24"
          ]
        }
      ]
    },
    "description": "Level for net access.",
    "name": "accessPolicies/165717541651/accessLevels/net_level",
    "title": "Net Level"
  }
]

Descrivere un livello di accesso

Console

Utilizzando la Google Cloud console, consulta i passaggi per elencare i livelli di accesso. Quando elenchi i livelli di accesso, i dettagli vengono forniti nella griglia visualizzata.

gcloud

L'elenco dei livelli di accesso fornisce solo il nome, il titolo e il tipo di livello. Per ottenere informazioni dettagliate su cosa fa effettivamente un livello, utilizza il comando describe.

gcloud access-context-manager levels describe LEVEL_NAME \
    [--policy=POLICY_NAME]

Dove:

  • LEVEL_NAME è il nome del livello di accesso che vuoi descrivere.

  • POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.

Il comando stamperà le informazioni sul livello formattate come YAML. Ad esempio, se il livello limitava l'accesso a determinate versioni del sistema operativo, l'output potrebbe essere simile al seguente:

basic:
  conditions:
  - devicePolicy:
      allowedEncryptionStatuses:
      - ENCRYPTED
      osConstraints:
      - minimumVersion: 10.13.6
        osType: DESKTOP_MAC
      - minimumVersion: 10.0.18219
        osType: DESKTOP_WINDOWS
      - minimumVersion: 68.0.3440
        osType: DESKTOP_CHROME_OS
      requireScreenlock: true
name: accessPolicies/330193482019/accessLevels/Device_Trust
title: Device_Trust Extended

API

L'elenco dei livelli di accesso fornisce solo il nome, il titolo e il tipo di livello. Per ottenere informazioni dettagliate su un livello di accesso, chiama accessLevels.get.

GET https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME

Dove:

  • POLICY_NAME è il nome della policy di accesso della tua organizzazione.

  • LEVEL_NAME è il nome del livello di accesso che vuoi descrivere.

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Parametri facoltativi

Se vuoi, includi il accessLevelFormat parametro di query. In genere, i livelli di accesso vengono restituiti così come sono definiti, come BasicLevel o CustomLevel.

Puoi specificare il valore CEL per questo parametro per restituire BasicLevels come CustomLevels in Cloud Common Expression Language.

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una AccessLevel risorsa che include dettagli su cosa fa il livello di accesso, l'ultima volta che è stato aggiornato e altro ancora.

Aggiornare un livello di accesso

Questa sezione descrive come aggiornare i singoli livelli di accesso. Per aggiornare tutti i livelli di accesso della tua organizzazione in un'unica operazione, vedi Modifica collettiva dei livelli di accesso.

Console

Per aggiornare un livello di accesso:

  1. Apri la pagina Gestore contesto accesso nella Google Cloud console.

    Apri la pagina Gestore contesto accesso

  2. Se richiesto, seleziona la tua organizzazione.

  3. Nella griglia, fai clic sul nome del livello di accesso che vuoi aggiornare.

  4. Nel riquadro Modifica livello di accesso, apporta le modifiche al livello di accesso.

    Per un elenco completo degli attributi che puoi aggiungere o modificare, consulta la sezione relativa agli attributi dei livelli di accesso.

  5. Fai clic su Salva.

    Oltre ad aggiornare o rimuovere le condizioni esistenti, puoi aggiungere nuove condizioni e nuovi attributi alle condizioni esistenti.

gcloud

Utilizza il update comando per aggiornare un livello di accesso.

Livello di accesso di base:

gcloud access-context-manager levels update LEVEL_NAME \
    --basic-level-spec=FILE \
    [--policy=POLICY_NAME]

Livello di accesso personalizzato:

gcloud access-context-manager levels update LEVEL_NAME \
    --custom-level-spec=FILE \
    [--policy=POLICY_NAME]

Dove:

  • LEVEL_NAME è il nome del livello di accesso che vuoi aggiornare.

  • FILE è il nome di un file .yaml che definisce le condizioni per il livello di accesso (per i livelli di accesso di base) o un'espressione CEL che restituisce un singolo valore booleano (per i livelli di accesso personalizzati).

    Per un elenco completo degli attributi che puoi utilizzare nelle condizioni del livello di accesso di base , consulta la sezione relativa agli attributi dei livelli di accesso.

  • POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.

  • Puoi includere una o più delle seguenti opzioni.

    Opzioni
    combine-function

    Questa opzione viene utilizzata solo per i livelli di accesso di base.

    Determina la modalità di combinazione delle condizioni.

    Valori validi: AND, OR
    description

    Una descrizione estesa del livello di accesso.
    title

    Un titolo breve per il livello di accesso. Il titolo del livello di accesso viene visualizzato nella Google Cloud console.

    Puoi includere uno qualsiasi dei flag a livello di gcloud.

Comando di esempio

gcloud access-context-manager levels update Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=OR \
    --description='Access level that conforms to updated corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1034095178592

API

Per aggiornare un livello di accesso, chiama accessLevels.patch.

PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME?updateMask=FIELDS

Dove:

  • POLICY_NAME è il nome della policy di accesso della tua organizzazione.

  • LEVEL_NAME è il nome del livello di accesso che vuoi descrivere.

  • FIELDS è un elenco separato da virgole di nomi di campi completi che stai aggiornando.

Corpo della richiesta

Il corpo della richiesta deve includere una AccessLevel risorsa che specifica le modifiche che vuoi apportare al livello di accesso.

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una Operation risorsa che fornisce dettagli sull' operazione di applicazione patch.

Eliminare un livello di accesso

Console

Per eliminare un livello di accesso:

  1. Apri la pagina Gestore contesto accesso nella Google Cloud console

    Apri la pagina Gestore contesto accesso

  2. Se richiesto, seleziona la tua organizzazione.

  3. Nella griglia, nella riga del livello di accesso che vuoi eliminare, fai clic sul pulsante .

  4. Fai clic su Elimina.

  5. Nella finestra di dialogo visualizzata, conferma di voler eliminare il livello di accesso.

gcloud

Per eliminare un livello di accesso:

  1. Utilizza il delete comando per eliminare un livello di accesso.

    gcloud access-context-manager levels delete LEVEL_NAME \
    [--policy=POLICY_NAME]

    Dove:

    • LEVEL_NAME è il nome del livello di accesso che vuoi eliminare.

    • POLICY_NAME è il nome della policy di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato una policy di accesso predefinita.

  2. Conferma di voler eliminare il livello di accesso.

    Ad esempio:

    You are about to delete level Device_Trust

Do you want to continue (Y/n)?

    
You should see output similar to the following:


    Waiting for operation [accessPolicies/330193482019/accessLevels/Device_Trust/delete/1531171874311645] to complete...done.
Deleted level [Device_Trust].

API

Per eliminare un livello di accesso, chiama accessLevels.delete.

DELETE https://accesscontextmanager.googleapis.com/v1alpha/accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME

Dove:

  • POLICY_NAME è il nome della policy di accesso della tua organizzazione.

  • LEVEL_NAME è il nome del livello di accesso che vuoi descrivere.

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una Operation risorsa che fornisce dettagli sull' operazione di eliminazione.