Creare livelli di accesso in base al dispositivo

Questo documento mostra come gli amministratori possono creare livelli di accesso in base agli attributi del dispositivo (livelli di accesso basati sul dispositivo) utilizzando Gestore contesto accesso.

Un livello di accesso è un insieme di attributi utilizzato per consentire l'accesso alle risorse in base alle informazioni contestuali sulla richiesta. In qualità di amministratore, puoi creare livelli di accesso di base o personalizzati utilizzando gli attributi del dispositivo raccolti da Endpoint Verification.

Prima di iniziare

Crea un livello di accesso

Console

  1. Nella console Google Cloud , vai alla pagina Gestore contesto accesso.

    Vai a Gestore contesto accesso

  2. Se richiesto, seleziona la tua organizzazione.

  3. Nella pagina Gestore contesto accesso, fai clic su Crea livello di accesso.

  4. Nel riquadro Nuovo livello di accesso, crea un livello di accesso base o personalizzato. Per le istruzioni, espandi la sezione richiesta.

    Creare un livello di accesso base

    1. Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso.

      Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.

    2. Nella sezione Crea condizioni in, seleziona Modalità di base.

      .
    3. Nella sezione Condizioni, seleziona gli attributi del dispositivo:
      1. Fai clic su Norme relative ai dispositivi.
      2. Seleziona gli attributi richiesti.

        Ad esempio, se vuoi applicare l'approvazione dell'amministratore sui dispositivi, seleziona Richiedi l'approvazione dell'amministratore.

    4. Fai clic su Salva.

    Il livello di accesso appena creato viene visualizzato nella pagina Gestore contesto accesso.

    Creare un livello di accesso personalizzato

    1. Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso.

      Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.

    2. Nella sezione Crea condizioni in, seleziona Modalità avanzata.
    3. Nella sezione Condizioni, inserisci le espressioni per il tuo livello di accesso personalizzato. La condizione deve restituire un singolo valore booleano.

      Per trovare gli attributi del dispositivo disponibili per l'espressione CEL, consulta gli attributi del dispositivo raccolti da Endpoint Verification.

      La seguente espressione CEL consente l'accesso solo dai dispositivi criptati:

      device.encryption_status == DeviceEncryptionStatus.ENCRYPTED

      Per esempi e ulteriori informazioni sul supporto di Common Expression Language (CEL) e sui livelli di accesso personalizzati, consulta le specifiche del livello di accesso personalizzato.

    4. Fai clic su Salva.

    Il livello di accesso appena creato viene visualizzato nella pagina Gestore contesto accesso.

Interfaccia a riga di comando gcloud

Per creare livelli di accesso, utilizza il metodo gcloud access-context-manager levels create.

  1. Crea un file .yaml.

    • Per un livello di accesso di base, specifica gli attributi dei criteri del dispositivo per il livello di accesso.

      Esempio: per limitare l'accesso solo agli utenti con spazio di archiviazione del dispositivo criptato, inserisci quanto segue nel file .yaml.

        - devicePolicy:
            allowedEncryptionStatuses
              - ENCRYPTED
      
    • Per un livello di accesso personalizzato, specifica un'espressione CEL formattata come una singola coppia chiave-valore: expression: "CEL_EXPRESSION"

      Esempio: per limitare l'accesso solo agli utenti con spazio di archiviazione del dispositivo criptato e con lo stato del dispositivo approvato, inserisci quanto segue nel file .yaml.

      expression: "device.encryption_status == DeviceEncryptionStatus.ENCRYPTED && device.is_admin_approved_device"
      

    Per un elenco degli attributi del livello di accesso dei criteri relativi ai dispositivi e del relativo formato YAML, consulta la sezione Attributi dei criteri relativi ai dispositivi. Per un file YAML completo di tutti gli attributi possibili, consulta questo file YAML di esempio per un livello di accesso.

    Per trovare gli attributi del dispositivo disponibili per le specifiche di livello personalizzate, vedi Attributi del dispositivo raccolti da Endpoint Verification.

  2. Crea il livello di accesso.

    • Per un livello di accesso di base, esegui questo comando:

      gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
      --title=TITLE \
      --basic-level-spec=FILE_NAME.yaml\
      --policy=POLICY_NAME
    • Per un livello di accesso personalizzato, esegui questo comando:

      gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
      --title=TITLE \
      --custom-level-spec=FILE_NAME.yaml\
      --policy=POLICY_NAME

    Dove:

    • ACCESS_LEVEL_NAME è il nome univoco del livello di accesso. Deve avere il seguente formato: accessPolicies/POLICY_ID/accessLevels/LEVEL_ID.

    • LEVEL_ID è un nome per il livello di accesso. Il nome deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere e trattini bassi.

    • TITLE è un titolo leggibile. Deve essere univoco per il criterio.

    • FILE_NAME è il nome del file .yaml. Per un livello di accesso di base, contiene attributi dei criteri relativi ai dispositivi. Per un livello di accesso personalizzato, contiene un'espressione CEL formattata come una singola coppia chiave-valore: `expression: "CEL_EXPRESSION".

    • POLICY_NAME è il nome della norma di accesso della tua organizzazione.

    Vedi un output simile al seguente:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

Crea un livello di accesso utilizzando il metodo accessPolicies.accessLevels.create.

Creare un livello di accesso base

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • POLICY_ID: l'ID della policy di accesso della tua organizzazione.
  • LEVEL_ID: un nome per il livello di accesso. Il nome deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere e trattini bassi.
  • ACCESS_LEVEL_NAME: il nome univoco del livello di accesso. Deve avere il seguente formato: accessPolicies/POLICY_ID/accessLevels/LEVEL_ID.
  • TITLE: un titolo leggibile. Deve essere univoco per il criterio.
  • DESCRIPTION: una descrizione del livello di accesso e del suo utilizzo.
  • CONDITION: un elenco di requisiti per la concessione del livello di accesso.

Metodo HTTP e URL:

POST https://accesscontextmanager.googleapis.com/v1/{parent=accessPolicies/POLICY_ID}/accessLevels

Corpo JSON della richiesta:


For basic access levels:

{
"name": ACCESS_LEVEL_NAME,
"title": TITLE,
  "description": DESCRIPTION,


  "basic": {
  "conditions": [
    {
    CONDITION
    }
   ],
  }
 },
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://accesscontextmanager.googleapis.com/v1/{parent=accessPolicies/POLICY_ID}/accessLevels"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://accesscontextmanager.googleapis.com/v1/{parent=accessPolicies/POLICY_ID}/accessLevels" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:


{
  "name": "operations/accessPolicies/84961948973/accessLevels/deviceEncrypted/create/1666896068847514",
  "metadata": {
    "@type": "type.googleapis.com/google.identity.accesscontextmanager.v1.AccessContextManagerOperationMetadata"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.identity.accesscontextmanager.v1.AccessLevel",
    "name": "accessPolicies/84961948973/accessLevels/deviceEncrypted",
    "title": "accessPolicies/84961948973/accessLevels/deviceEncrypted",
    "basic": {
      "conditions": [
        {
          "devicePolicy": {
            "allowedEncryptionStatuses": [
              "ENCRYPTED"
            ]
          }
        }
      ]
    }
  }
}

Creare un livello di accesso personalizzato

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • POLICY_ID: l'ID della policy di accesso della tua organizzazione.
  • LEVEL_ID: un nome per il livello di accesso. Il nome deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere e trattini bassi.
  • ACCESS_LEVEL_NAME: il nome univoco del livello di accesso. Deve avere il seguente formato: accessPolicies/POLICY_ID/accessLevels/LEVEL_ID.
  • TITLE: un titolo leggibile. Deve essere univoco per il criterio.
  • DESCRIPTION: una descrizione del livello di accesso e del suo utilizzo.
  • CEL_EXPRESSION: un'espressione CEL che restituisce un valore booleano.

Metodo HTTP e URL:

POST https://accesscontextmanager.googleapis.com/v1/{parent=accessPolicies/POLICY_ID}/accessLevels

Corpo JSON della richiesta:


{
"name": ACCESS_LEVEL_NAME,
"title": TITLE,
  "description": DESCRIPTION,

  "custom": {
   "conditions": [
     {
      "expr": {
     CEL_EXPRESSION
     }
    }
   ]
  }
 },
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://accesscontextmanager.googleapis.com/v1/{parent=accessPolicies/POLICY_ID}/accessLevels"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://accesscontextmanager.googleapis.com/v1/{parent=accessPolicies/POLICY_ID}/accessLevels" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:



{
  "name": "operations/accessPolicies/84961948973/accessLevels/sampleCustomAccessLevelName/create/1666936427127701",
  "metadata": {
    "@type": "type.googleapis.com/google.identity.accesscontextmanager.v1.AccessContextManagerOperationMetadata"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.identity.accesscontextmanager.v1.AccessLevel",
    "name": "accessPolicies/84961948973/accessLevels/sampleCustomAccessLevelName",
    "title": "accessPolicies/84961948973/accessLevels/sampleCustomAccessLevelTitle",
    "custom": {
      "expr": {
        "expression": "device.encryption_status == DeviceEncryptionStatus.ENCRYPTED"
      }
    }
  }
}

Per saperne di più sulla creazione di livelli di accesso con varie condizioni e dipendenze dei livelli di accesso, vedi Creare un livello di accesso di base.

Passaggi successivi