Memahami evaluasi hierarki

Saat Anda menetapkan kebijakan organisasi pada node hierarki resource, semua turunan dari node hierarki resource tersebut akan mewarisi kebijakan organisasi secara default. Jika Anda menetapkan kebijakan organisasi di node organisasi root, batasan tersebut akan diwarisi oleh semua folder, project, dan resource turunan.

Anda dapat menetapkan kebijakan organisasi yang sama dengan konfigurasi yang berbeda pada node turunan, yang akan menimpa atau menggabungkan dengan kebijakan yang diwariskan berdasarkan aturan evaluasi hierarki.

Sebelum memulai

• Baca halaman Memahami batasan untuk mempelajari apa yang dimaksud dengan batasan.

• Baca ringkasan Layanan Kebijakan Organisasi untuk mempelajari cara kerja kebijakan organisasi.

Contoh hierarki

Dalam diagram hierarki resource di bawah, setiap node menetapkan kebijakan organisasi dan menentukan apakah node mewarisi kebijakan node induknya. Bentuk berwarna mewakili nilai yang diizinkan atau ditolak oleh kebijakan organisasi.

Batasan adalah definisi perilaku yang dikontrol oleh kebijakan organisasi. Pada contoh di atas, Constraint mewakili default batasan, yang menentukan perilaku saat tidak ada kebijakan organisasi untuk batasan tersebut. Default batasan dalam contoh ini mengizinkan all_inclusive semua nilai. Node di bawahnya menentukan kebijakan organisasi yang mengganti default batasan dengan mengizinkan atau menolak nilai.

Kebijakan yang efektif di setiap node dievaluasi berdasarkan aturan pewarisan. Jika kebijakan organisasi tidak ditetapkan, node akan mewarisi perilaku batasan default. Jika Anda menetapkan kebijakan organisasi, kebijakan Anda akan digunakan. Pada contoh di atas, Node Organisasi menentukan kebijakan yang mengizinkan kotak merah square dan lingkaran hijau circle.

Node resource yang berada dalam hierarki di bawah Node Organisasi dievaluasi sebagai berikut:

1. Resource 1 menentukan kebijakan yang menetapkan inheritFromParent ke TRUE dan mengizinkan berlian biru square. Kebijakan dari Node Organisasi diwarisi dan digabungkan dengan kebijakan yang ditetapkan di Resource 1. Kebijakan yang efektif dievaluasi untuk mengizinkan kotak merah square, lingkaran hijau circle, dan berlian biru square.

2. Resource 2 menentukan kebijakan yang menetapkan inheritFromParent ke TRUE dan menolak lingkaran hijau circle. Nilai tolak selalu diutamakan selama rekonsiliasi kebijakan. Kebijakan dari Node Organisasi diwarisi dan digabungkan dengan kebijakan yang ditetapkan di Resource 2. Kebijakan yang efektif dievaluasi untuk hanya mengizinkan kotak merah square.

3. Resource 3 menentukan kebijakan yang menetapkan inheritFromParent ke FALSE dan mengizinkan segi enam kuning hexagon. Kebijakan dari Node Organisasi tidak diwarisi, sehingga kebijakan yang efektif dievaluasi untuk hanya mengizinkan heksagon kuning hexagon.

4. Resource 4 menentukan kebijakan yang menetapkan inheritFromParent ke FALSE dan menyertakan nilai restoreDefault. Kebijakan dari Node Organisasi tidak diwarisi, dan perilaku batasan default digunakan, sehingga kebijakan yang efektif dievaluasi untuk mengizinkan semua nilai all_inclusive.

Aturan evaluasi hierarki

Aturan berikut mengatur cara kebijakan organisasi dievaluasi di resource tertentu. Anda memerlukan peran Administrator Kebijakan Organisasi untuk menetapkan kebijakan organisasi.

Tidak ada kebijakan organisasi yang ditetapkan

Jika Anda tidak menetapkan kebijakan organisasi, node resource akan mewarisi dari ancestor terendah dengan kumpulan kebijakan. Jika tidak ada kebijakan yang ditetapkan di mana pun dalam hierarki ancestor, perilaku default batasan akan diterapkan.

Pewarisan

Node resource yang memiliki kebijakan organisasi yang ditetapkan secara default akan menggantikan kebijakan apa pun yang ditetapkan oleh node induknya dalam hierarki. Namun, jika node resource telah menetapkan inheritFromParent = true, Kebijakan efektif resource induk akan diwarisi, digabungkan, dan direkonsiliasi untuk mengevaluasi kebijakan yang efektif. Contoh:

• Folder menolak nilai projects/123.
• Project di bawah folder tersebut menolak nilai projects/456.

Kedua kebijakan tersebut digabungkan, dan dalam hal ini menghasilkan kebijakan efektif yang menolak projects/123 dan projects/456.

Tidak mengizinkan pewarisan

Jika node hierarki resource memiliki kebijakan yang menyertakan inheritFromParent = false, node tersebut tidak akan mewarisi kebijakan organisasi dari induk. Sebagai gantinya, node mewarisi perilaku default batasan kecuali jika Anda menetapkan kebijakan dengan nilai yang diizinkan atau ditolak.

Menyelesaikan konflik kebijakan

Saat node turunan mewarisi kebijakan organisasi berdasarkan batasan daftar, kebijakan yang diwarisi akan digabungkan dan dicocokkan dengan kebijakan organisasi node. Dalam evaluasi kebijakan daftar, nilai DENY selalu diutamakan. Contoh:

• Folder menolak nilai projects/123.
• Project di bawah folder tersebut mengizinkan nilai projects/123.

Kebijakan digabungkan dan nilai DENY lebih diprioritaskan. Kebijakan yang efektif akan menolak semua nilai, dan akan dievaluasi dengan cara yang sama, baik node induk maupun node turunan menolak nilai tersebut. Sebaiknya jangan sertakan nilai dalam daftar yang diizinkan dan ditolak. Tindakan ini dapat mempersulit pemahaman kebijakan Anda.

Kebijakan organisasi yang berasal dari batasan boolean tidak menggabungkan dan menyelaraskan kebijakan. Jika kebijakan ditentukan di node resource, nilai TRUE atau FALSE tersebut akan digunakan untuk menentukan kebijakan yang efektif. Contoh:

• Folder menetapkan enforced: true untuk constraints/compute.disableSerialPortAccess.

• Project di bawah folder tersebut menetapkan enforced: false untuk constraints/compute.disableSerialPortAccess.

Nilai enforced: true yang ditetapkan di folder diabaikan karena enforced: false ditentukan di project itu sendiri. Kebijakan organisasi tidak akan menerapkan batasan untuk project tersebut.

Mereset ke kebijakan default

Dengan memanggil RestoreDefault, kebijakan organisasi akan menggunakan perilaku default batasan untuk node hierarki resource ini. Node turunan juga akan mewarisi perilaku ini.