本頁面由 Cloud Translation API 翻譯而成。

建立基本存取層級
透過集合功能整理內容你可以依據偏好儲存及分類內容。

本頁面概要說明如何建立基本存取層級，如要建立自訂存取層級，並在 Google Cloud 控制台中使用進階模式，請參閱建立自訂存取層級。

本頁面提供更詳細的存取層級導入作業資訊。請參閱以下範例：

事前準備

瞭解存取層級。

建立基本存取層級

主控台

如何建立基本存取層級：

在 Google Cloud 控制台中開啟「Access Context Manager」頁面。

開啟 Access Context Manager 頁面
如果系統提示您選取機構，請依提示選取您的機構。
按一下「Access Context Manager」頁面最上方的 [New] (新增)。
在「New Access Level」(建立新的存取層級) 窗格中：
1. 在「Access level title」(存取層級標題) 欄位中輸入存取層級的標題。標題長度不得超過 50 個字元，開頭必須是英文字母，且只能使用數字、英文字母、底線和空格。
2. 在「條件」部分中，按一下要新增的屬性類型按鈕，然後提供要套用至該屬性的值。
  
  如需可供新增屬性的完整清單，請參閱存取層級屬性。
  
  舉例來說，如果您希望存取層級能考量要求源自您網路中的哪個位置，請選取 [IP Subnetworks] (IP 子網路) 屬性。
  
  如要將其他屬性加到同一個條件，請重複這個步驟。假如條件具有多個屬性，則存取要求必須符合所有屬性，系統才會授予存取權。
  
  存取層級條件可包含各類屬性中的任一屬性。部分屬性會提供其他選項，例如「Device Policy」(裝置政策) 屬性。
  
  存取層級支援根據使用者身分設定的條件。不過，如要將身分識別新增至條件，您必須使用 gcloud CLI 或 API 建立或更新存取層級。
3. 您可以使用「When condition is met, return」(條件符合時傳回) 選項，指定條件是否要求要求必須符合所有指定屬性 (TRUE)，或是要求必須符合這些屬性以外的任何條件 (FALSE)。
  
  舉例來說，如果您要拒絕來自網路內特定 IP 位址範圍的要求，請使用「IP Subnetworks」(IP 子網路) 屬性指定 IP 位址範圍，然後將條件設為「FALSE」。
4. 或者按一下 [Add another condition] (新增其他條件)，為您的存取層級新增其他條件，然後重複前兩個步驟。
  
  舉例來說，如果您要拒絕大範圍 IP 位址中某個子集的存取要求，請建立新條件並為「IP Subnetworks」(IP 子網路) 屬性指定子集的 IP 位址範圍，然後將條件設為傳回「FALSE」。
  
  如要將其他條件加到同一個存取層級，請重複這個步驟直到需要的條件都新增完畢。
5. 如果您建立了多個條件，請使用「Combine condition with」(合併條件) 指定存取層級是否要求要求請求至少符合其中一個條件 (OR)，或是所有條件 (AND)。
6. 按一下 [儲存]。

gcloud

事前準備

如果機構還沒有存取權政策，請為機構建立存取權政策。

如要使用 gcloud 指令列工具建立存取層級，請使用 gcloud access-context-manager levels create 指令。

gcloud access-context-manager levels create LEVEL_NAME OPTIONS \
    --policy=POLICY

其中：

LEVEL_NAME 是存取層級的專屬名稱，開頭須為英文字母，且只能由英文字母、數字和底線組成。名稱長度上限為 50 個半形字元。

OPTIONS 是指下表的必填選項。

選項
`basic-level-spec`	用來為存取層級指定一或多個條件的 YAML 檔案。
`title`	存取層級的簡短標題，會顯示在 Google Cloud 控制台。
`combine-function`	(選填) 指定條件合併的方式。有效值：`AND`、`OR`
`description`	(選填) 存取層級的詳細說明。

POLICY 是機構存取權政策的 ID。如果您已設定預設政策，則可選擇是否使用這個參數。

或者您可納入任何一個全 gcloud 標記。

basic-level-spec YAML 檔案

使用 gcloud 指令列工具建立存取層級時，您必須為 basic-level-spec 選項提供 YAML 檔案；YAML 檔案會定義存取層級的一或多個條件，條件必須包含至少一個屬性。當條件包含多個屬性時，系統會根據條件中是否包含 negate 屬性，將這些屬性組合為 AND 運算 (所有屬性都必須為 true) 或 NAND 運算 (所有屬性都不能為 true)。

如需 .yaml 檔案可納入的屬性清單，請參閱存取層級屬性。

如要進一步瞭解存取層級和 YAML，請參閱存取層級的 YAML 範例。

範例指令

gcloud access-context-manager levels create Device_Trust \
    --basic-level-spec=corpdevspec.yaml \
    --combine-function=AND \
    --description='Access level that conforms to corporate spec.' \
    --title='Device_Trust Extended' \
    --policy=1521580097614100

API

事前準備

如果機構還沒有存取權政策，請為機構建立存取權政策。

如要建立存取層級，請呼叫 accessLevels.create。

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels

其中：

POLICY 是您機構的存取權政策 ID。

要求主體

要求主體必須包含用來為新存取層級指定條件的 AccessLevel 資源。每個 Condition 都有一或多個屬性，這些屬性會根據 negate 欄位是否設為 true，評估為 AND 運算 (所有屬性都必須為 true) 或 NAND 運算 (所有屬性都不能為 true)。評估結果會決定是否符合條件。

回應主體

如果成功，呼叫的回應主體會包含 Operation 資源，其中提供有關 POST 作業的詳細資料。

實作範例

以下例子介紹幾個可讓您的機構用來導入存取層級的實際做法。請注意，這些例子假設您的機構已有��取權政策。

限制公司網路的存取權

這個例子說明如何建立只允許從特定 IP 位址範圍 (例如公司網路內的 IP 位址) 存取的存取層級條件。

藉由限制可獲存取權的 IP 位址範圍，您可以讓機構內外的攻擊者更難以竊取資料。

在本例中，假設您要建立存取層級，讓內部稽核員群組存取名為「sensitive-data」(敏感資料) 專案的 Cloud Logging 服務。稽核員所有裝置的指定 IP 都位於範圍在 203.0.113.0 到 203.0.113.127 之間的子網路。您知道除了稽核員使用的裝置以外，不會有任何其他裝置指派到該子網路。

如果您想使用私人 IP 位址範圍 (例如 192.168.0.0/16 或 172.16.0.0/12)，請參閱「允許從內部 IP 位址存取受保護的資源」一文，瞭解更多資訊和使用 VPC Service Controls 的實作範例。

主控台

在 Google Cloud 控制台中開啟「Access Context Manager」頁面。

開啟 Access Context Manager 頁面
如果系統提示您選取機構，請依提示選取您的機構。
按一下「Access Context Manager」頁面最上方的 [New] (新增)。
在「New Access Level」(建立新的存取層級) 窗格中，按一下「Conditions」(條件) 部分的 [Add attribute] (新增屬性)，然後再按一下 [IP Subnetworks] (IP 子網路)。
在「IP 子網路」方塊中，選取「公開 IP」或「私人 IP」。
- 如果選取「公開 IP」，請輸入一或多個 IPv4 或 IPv6 範圍 (採用 CIDR 區塊格式)。
  
  在本例中，如要限制只有稽核員可存取，請在「IP Subnetworks」(IP 子網路) 方塊中輸入 203.0.113.0/25。
- 如果選取「私人 IP」，請按一下「選取虛擬私有雲網路」。您可以使用「Import options」清單中的三個選項之一，指定 VPC 網路。
  - 選項 1：
    1. 選取「瀏覽貴機構的虛擬私有雲網路」，然後選取虛擬私有雲網路。
    2. 按一下「新增所選虛擬私有雲網路」。
    3. 按一下「選取 IP 子網路」，然後選取子網路。
    4. 按一下「新增 IP 子網路」。
  - 選項 2：
    1. 選取「手動輸入虛擬私有雲網路位址」，然後輸入一或多個虛擬私有雲網路。
    2. 按一下「新增虛擬私有雲網路」。
    3. 按一下「選取 IP 子網路」，然後選取子網路。
    4. 按一下「新增 IP 子網路」。
  - 選項 3：
    1. 選取「上傳 CSV 檔案 (覆寫現有網路)」。
      
      如果您使用 CSV 檔案將 VPC 網路和子網路新增至存取層級，Access Context Manager 會覆寫先前選取的 VPC 網路和子網路。
    2. 按一下「瀏覽」，然後上傳 CSV 檔案。在 CSV 檔案中，您必須使用以下格式指定 VPC 網路和子網路：
      VPC_NETWORK_NAME_1 | IP_RANGE_1 | IP_RANGE_2 | ... VPC_NETWORK_NAME_2 | . | . | ... . | . | . | ... . | . | . | ...
    3. 按一下「匯入聯播網」。
      
      使用 CSV 檔案後，存取內容管理器會分別在「VPC 網路位址」和「IP 子網路」方塊中填入 VPC 網路名稱和子網路資訊。
  如要瞭解 VPC 網路名稱和私人 IP 位址格式，請參閱「在存取層級使用內部 IP 位址」。
按一下 [儲存]。

gcloud

為包含一或多個 IPv4 或 IPv6 (CIDR 區塊格式) 範圍的存取層級建立 YAML 檔案。

在本例中，如要僅限稽核員存取，請在 YAML 檔案中輸入以下程式碼：
```
- ipSubnetworks:
  - 203.0.113.0/25
```
如果您想使用私人 IP 位址，請在 YAML 檔案中輸入下列資訊：
```
- vpcNetworkSources:
  - vpcSubnetwork:
      network: VPC_NETWORK_NAME
      vpcIpSubnetworks:
      - IP_RANGE
```
將 VPC_NETWORK_NAME 和 IP_RANGE 替換為「在存取層級使用內部 IP 位址」一節中所述的值。
儲存檔案。本例的檔案名稱為「CONDITIONS.yaml」。
建立存取層級。
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY
```
其中：
- NAME 是存取層級的專屬名稱，開頭須為英文字母，且只能由英文字母、數字和底線組成。
- TITLE 是使用者可理解的標題，政策不得使用重複的標題。
- POLICY 是您機構的存取權政策 ID。��果您已設定預設政策，則可選擇使用這個參數。
畫面會顯示類似以下的輸出：
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

編寫要求主體，建立包含一或多個 IPv4 或 IPv6 (CIDR 區塊格式) 範圍的 AccessLevel 資源。

在本例中，如要僅限稽核員存取，請在要求主體中輸入以下程式碼：

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "ipSubnetworks": [
         "203.0.113.0/25"
       ]
     }
   ]
 }
}

其中：

NAME 是存取層級的專屬名稱，開頭須為英文字母，且只能由英文字母、數字和底線組成。
TITLE 是使用者可理解的標題，政策不得使用重複的標題。

如要使用私人 IP 位址，您必須在要求主體中輸入下列資訊：

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "vpcNetworkSources": [
        {
          "vpcSubnetwork": {
            "network": VPC_NETWORK_NAME,
            "vpcIpSubnetworks": [
              IP_RANGE
            ]
          }
        }
       ]
     }
   ]
 }
}

將 VPC_NETWORK_NAME 和 IP_RANGE 替換為「在存取層級使用內部 IP 位址」一節中所述的值。

以呼叫 accessLevels.create 的方式建立存取層級。
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
其中：
- POLICY 是您機構的存取權政策 ID。

根據裝置屬性限制存取權

這個例子說明如何建立存取層級，只對符合特定需求 (例如特定作業系統版本) 的裝置授予存取權。

系統使用端點驗證來為 Access Context Manager 提供裝置相關資訊。您可根據以下條件來判斷是否要授予存取權：

已啟用螢幕鎖定
已啟用儲存空間加密
裝置正在執行指定類型及版本的作業系統

在本例中，假設您的機構只使用安裝 Chrome 作業系統或 Windows 的電腦，而您希望採用額外的安全防護，因此建立存取層級來防止透過非上述作業系統的使用者存取。此外，為控管風險，您想要確保只有特定版本的 OS 能獲得存取權。

主控台

在 Google Cloud 控制台中開啟「Access Context Manager」頁面。

開啟 Access Context Manager 頁面
如果系統提示您選取機構，請依提示選取您的機構。
按一下「Access Context Manager」頁面最上方的 [New] (新增)。
在「New Access Level」(建立新的存取層級) 窗格中，按一下「Conditions」(條件) 部分的 [Add attribute] (新增屬性)，然後再按一下 [Device Policy] (裝置政策)。
新增裝置政策屬性：
1. 按一下 [Add OS Policy] (新增 OS 政策)，然後再按一下 [Chrome OS Policy] (Chrome OS 政策)。
2. 在「Minimum version」(最低版本) 方塊中，輸入您允許的 Chrome OS 最低版本。
3. 重複步驟 1 和步驟 2 來新增 Windows OS 政策。
按一下 [儲存]。

gcloud

為包含裝置政策 (具有 OS 條件限制) 的存取層級建立 YAML 檔案。

在本例中，如要只允許指定最低版本以上的 Chrome OS 和 Windows 存取，您可在 YAML 檔案中輸入以下程式碼：
```
- devicePolicy:
    osConstraints:
      - osType: DESKTOP_CHROME_OS
        minimumVersion: 11316.165.0
      - osType: DESKTOP_WINDOWS
        minimumVersion: 10.0.1809
```
儲存檔案。本例的檔案名稱為「CONDITIONS.yaml」。
建立存取層級。
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --policy=POLICY
```
其中：
- NAME 是存取層級的專屬名稱，開頭須為英文字母，且只能由英文字母、數字和底線組成。
- TITLE 是使用者可理解的標題，政策不得使用重複的標題。
- POLICY 是您機構的存取權政策 ID。如果您已設定預設政策，則可選擇使用這個參數。
畫面會顯示類似以下的輸出：
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

編寫要求主體，建立包含裝置政策 (具有 OS 條件限制) 的 AccessLevel 資源。

在本例中，如要只允許指定最低版本以上的 Chrome OS 和 Windows 存取，您可在要求主體中輸入以下程式碼：

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "devicePolicy": {
         "osConstraints": [
           {
             "osType": "DESKTOP_CHROME_OS",
             "minimumVersion": "11316.165.0"
           },
           {
             "osType": "DESKTOP_WINDOWS",
             "minimumVersion": "10.0.1809"
           }
         ]
       {
     }
   ]
 }
}

其中：

NAME 是存取層級的專屬名稱，開頭須為英文字母，且只能由英文字母、數字和底線組成。
TITLE 是使用者可理解的標題，政策不得使用重複的標題。

以呼叫 accessLevels.create 的方式建立存取層級。
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
其中：
- POLICY 是您機構的存取權政策 ID。

按使用者或服務帳戶授予存取權

根據身分授予存取權的方式很適合用於服務帳戶，例如允許 Cloud 函式存取資料。

本例說明如何為特定使用者和服務帳戶授予存取權，並納入現有的存取層級，以示範巢狀存取層級。在這種情況下，無論指定使用者��否符合現有存取層級中指定的條件，都會納入這個存取層級。這個新的存取層級可視為比現有存取層級較不受限制的層級。

主控台

Google Cloud 控制台目前不支援將使用者加入存取層級。如果您想要將使用者新增至存取層級，必須使用 gcloud 指令列工具或 API。

gcloud

建立 YAML 檔案，其中包含條件 (其中列出您要授予存取權的使用者)。

在本例中，您要新增系統管理員 (sysadmin@example.com) 和服務帳戶 (service@project.iam.gserviceaccount.com)。
```
- members:
    - user:sysadmin@example.com
    - serviceAccount:service@project.iam.gserviceaccount.com
```

新增一個條件，列出您要納入這個存取層級的現有存取層級。

在本例中，假設存取層級名稱為 Device_Trust 和 IP_Trust，而 247332951433 是您存取權政策的名稱。

- members:
    - user:sysadmin@example.com
    - serviceAccount:service@project.iam.gserviceaccount.com

- requiredAccessLevels:
    - accessPolicies/247332951433/accessLevels/Device_Trust
    - accessPolicies/247332951433/accessLevels/IP_Trust

儲存檔案。本例的檔案名稱為「CONDITIONS.yaml」。
使用 create 指令建立存取層級。
```
gcloud access-context-manager levels create NAME \
   --title TITLE \
   --basic-level-spec CONDITIONS.yaml \
   --combine-function=OR \
   --policy=POLICY
```
其中：
- NAME 是存取層級的專屬名稱，開頭須為英文字母，且只能由英文字母、數字和底線組成。
- TITLE 是使用者可理解的標題，政策不得使用重複的標題。
- POLICY 是您機構的存取權政策 ID。如果您已設定預設政策，則可選擇使用這個參數。
- combine-function 已設為 OR。預設值 AND 要求「所有」條件都符合才會授予存取層級。OR 值則是就算有部分條件 (例如 IP 位址或從必要存取層級沿用的條件) 不符合，都會授予主體存取權。
畫面會顯示類似以下的輸出：
```
Create request issued for: NAME
Waiting for operation [accessPolicies/POLICY/accessLevels/NAME/create/1521594488380943] to complete...done.
Created level NAME.
```

API

編寫要求主體，建立包含條件 (其中列出您要授予存取權的實體) 的 AccessLevel 資源。

在本例中，您要新增系統管理員 (sysadmin@example.com) 和服務帳戶 (service@project.iam.gserviceaccount.com)。
```
{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     }
   ]
 }
}
```
其中：
- NAME 是存取層級的專屬名稱，開頭須為英文字母，且只能由英文字母、數字和底線組成。
- TITLE 是使用者可理解的標題，政策不得使用重複的標題。

新增一個條件，列出您要納入這個存取層級的現有存取層級。

在本例中，假設存取層級名稱為 Device_Trust 和 IP_Trust，而 247332951433 是您存取權政策的名稱。

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     },
     {
       "requiredAccessLevels": [
         "accessPolicies/247332951433/accessLevels/Device_Trust",
         "accessPolicies/247332951433/accessLevels/IP_Trust"
       ]
     }
   ]
 }
}

將 combiningFunction 設為 OR。

combiningFunction 的預設值「AND」要求「所有」條件都符合才會授予存取層級；OR 值則是就算有部分條件 (例如 IP 位址或從必要存取層級沿用的條件) 不符合，都會授予實體存取權。

{
 "name": "NAME",
 "title": "TITLE",
 "basic": {
   "conditions": [
     {
       "members": [
         "user:sysadmin@example.com",
         "serviceAccount:service@project.iam.gserviceaccount.com"
       ]
     },
     {
       "requiredAccessLevels": [
         "accessPolicies/247332951433/accessLevels/Device_Trust",
         "accessPolicies/247332951433/accessLevels/IP_Trust"
       ]
     }
   ],
   "combiningFunction": "OR"
 }
}

以呼叫 accessLevels.create 的方式建立存取層級。
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY/accessLevels
```
其中：
- POLICY 是您機構的存取權政策 ID。

建立基本存取層級 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

事前準備

建立基本存取層級

主控台

gcloud

事前準備

basic-level-spec YAML 檔案

範例指令

API

事前準備

要求主體

回應主體

實作範例

限制公司網路的存取權

主控台

gcloud

API

根據裝置屬性限制存取權

主控台

gcloud

API

按使用者或服務帳戶授予存取權

主控台

gcloud

API

建立基本存取層級
透過集合功能整理內容你可以依據偏好儲存及分類內容。