Einschränkungen verwenden

In dieser Anleitung wird erläutert, wie eine Organisationsrichtlinie mit einer bestimmten Einschränkung erstellt wird. Die in den Beispielen auf dieser Seite verwendeten Einschränkungen sind keine tatsächlichen Einschränkungen, sondern Beispiele, die zu Lernzwecken generalisiert wurden.

Weitere Informationen zu Einschränkungen und den Problemen, die damit gelöst werden können, finden Sie in der Liste aller Einschränkungen für Organisationsrichtliniendienste.

Vorbereitung

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Listeneinschränkungen mit einer Organisationsrichtlinie verwenden

Sie können für die Organisationsressource eine Organisationsrichtlinie festlegen, die mit einer Listeneinschränkung den Zugriff auf einen bestimmten Dienst verweigert. Im folgenden Verfahren wird beschrieben, wie Sie eine Organisationsrichtlinie mithilfe der Google Cloud CLI festlegen. Eine Anleitung zum Aufrufen und Festlegen von Organisationsrichtlinien mithilfe der Google Cloud Console finden Sie unter Richtlinien erstellen und verwalten.

Organisationsrichtlinien mit Listeneinschränkungen dürfen nicht mehr als 500 einzelne zulässige oder abgelehnte Werte enthalten und dürfen nicht größer als 32 KB sein. Wenn eine Organisationsrichtlinie erstellt oder aktualisiert wird und mehr als 500 Werte enthält oder eine Größe von mehr als 32 KB hat, kann sie nicht gespeichert werden und die Anfrage gibt einen Fehler zurück.

Durchsetzung für die Organisationsressource einrichten

So richten Sie die Erzwingung für eine Organisation mit der gcloud CLI ein:

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab. Dieser Befehl gibt die Richtlinie zurück, die direkt auf diese Ressource angewendet wird:

    gcloud org-policies describe \
  LIST_CONSTRAINT --organization=ORGANIZATION_ID

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: Eine eindeutige Kennzeichnung für die Organisationsressource. Die Organisations-ID ist als Dezimalzahl formatiert und darf keine führenden Nullen enthalten.

    • LIST_CONSTRAINT: die Listeneinschränkung für den Dienst, die Sie erzwingen möchten. Mit der Einschränkung constraints/gcp.restrictNonCmekServices wird beispielsweise festgelegt, welche Dienste Ressourcen ohne vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erstellen können.

    Sie können die Organisationsrichtlinie mit dem Flag --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.

    In der Antwort wird die aktuelle Organisationsrichtlinie zurückgegeben, sofern vorhanden. Beispiel:

    name: projects/841166443394/policies/gcp.resourceLocations
spec:
  etag: BwW5P5cEOGs=
  inheritFromParent: true
  rules:
  - condition:
      expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
    values:
      allowedValues:
      - in:us-east1-locations
  - condition:
      expression: resource.matchTag("123/env", "prod")
    values:
      allowedValues:
      - in:us-west1-locations
  - values:
      deniedValues:
      - in:asia-south1-locations
  updateTime: '2021-01-19T12:00:51.095Z'

    Wenn keine Richtlinie festgelegt wurde, wird der Fehler NOT_FOUND zurückgegeben:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Legen Sie die Richtlinie für die Organisation mit dem Befehl set-policy fest. Dadurch werden alle an die Ressource angehängten Richtlinien überschrieben.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A

    2. Führen Sie den Befehl set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml

  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf: Dadurch wird die Organisationsrichtlinie zurückgegeben, wie sie zu diesem Zeitpunkt in der Ressourcenhierarchie einschließlich Übernahme evaluiert wird.

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    Die Ausgabe des Befehls sieht so aus:

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  etag: BwVJi0OOESU=
  rules:
  - values:
      deniedValues:
      - VALUE_A

    Da diese Organisationsrichtlinie auf Organisationsebene festgelegt wurde, wird sie von allen untergeordneten Ressourcen, für die eine Richtlinienübernahme möglich ist, übernommen.

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Erzwingung für eine Hierarchieunterstruktur einrichten

Listeneinschränkungen nehmen explizit definierte Werte an, um zu bestimmen, welche Ressourcen zugelassen oder abgelehnt werden sollen. Einige Einschränkungen können auch Werte akzeptieren, die das Präfix under: verwenden, welches eine Unterstruktur mit dieser Ressource als Root angibt. Wenn Sie das Präfix under: für einen zulässigen oder abgelehnten Wert verwenden, wirkt sich die Organisationsrichtlinie auf diese Ressource und alle untergeordneten Elemente aus. Informationen zu den Einschränkungen, die die Verwendung des Präfixes under: ermöglichen, finden Sie auf der Seite Einschränkungen für Organisationsrichtlinien.

Ein Wert, der das Präfix under: verwendet, wird als Hierarchie-Unterstrukturstring bezeichnet. Ein Hierarchie-Unterstrukturstring gibt den Typ der Ressource an, auf die sie angewendet wird. Wenn Sie beispielsweise beim Einrichten der Einschränkung constraints/compute.storageResourceUseRestrictions den Unterstrukturstring projects/PROJECT_ID anwenden, wird die Verwendung des Compute Engine-Speichers für PROJECT_ID und alle untergeordneten Elemente entweder zugelassen oder abgelehnt.

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab:

    gcloud org-policies describe \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID

    Ersetzen Sie Folgendes:

    • ORGANIZATION_IDist eine eindeutige Kennzeichnung für die Organisationsressource.

    • LIST_CONSTRAINT ist die Listeneinschränkung für den Dienst, den Sie erzwingen möchten.

    Sie können die Organisationsrichtlinie mit dem Flag --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.

    Wenn keine Richtlinie festgelegt wurde, wird der Fehler NOT_FOUND zurückgegeben:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Legen Sie die Richtlinie für das Projekt mit dem Befehl set-policy fest. Das Präfix under: legt die Einschränkung fest, mit der die angegebene Ressource und alle ihre untergeordneten Ressourcen abgelehnt werden.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A

    2. Führen Sie den Befehl set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml

    Wobei:

    • under: ist ein Präfix, das angibt, dass es sich um einen Unterstrukturstring handelt.

    • folders/VALUE_A ist die Ordner-ID der Stammressource, die Sie ablehnen möchten. Diese Ressource und alle untergeordneten Elemente in der Ressourcenhierarchie werden abgelehnt.

    Sie können das Präfix under: auch wie in den folgenden Beispielen auf Organisationen und Projekte anwenden:

    • under:organizations/VALUE_X

    • under:projects/VALUE_Y

  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    Die Ausgabe des Befehls sieht so aus:

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A

    Die Richtlinie führt jetzt eine Evaluierung durch, nach der der Ordner VALUE_A und alle seine untergeordneten Ressourcen abgelehnt werden.

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Organisationsrichtlinie für ein Projekt zusammenführen

Sie können eine Organisationsrichtlinie für eine Ressource festlegen. Diese wird dann mit einer beliebigen Richtlinie, die aus der übergeordneten Ressource übernommen wurde, zusammengeführt. Die zusammengeführte Richtlinie wird dann evaluiert, um eine neue geltende Richtlinie auf Grundlage der Regeln für die Übernahme zu erstellen.

  1. Rufen Sie die aktuelle Richtlinie für die Ressource mit dem Befehl describe ab:

    gcloud org-policies describe \
  LIST_CONSTRAINT \
  --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die eindeutige Kennung Ihres Projekts.

    • LIST_CONSTRAINT: die Listeneinschränkung für den Dienst, die Sie erzwingen möchten.

    Wenn keine Richtlinie festgelegt wurde, wird der Fehler NOT_FOUND zurückgegeben:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Rufen Sie die aktuell geltende Richtlinie mit dem Befehl describe --effective auf:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

    Die Ausgabe des Befehls enthält einen abgelehnten Wert, der aus der Organisationsressource übernommen wird:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A

  3. Legen Sie die Richtlinie für das Projekt mit dem Befehl set-policy fest.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  inheritFromParent: true
  rules:
  - values:
      deniedValues:
      - VALUE_B
      - VALUE_C

    2. Führen Sie den Befehl set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml

  4. Verwenden Sie noch einmal den Befehl describe --effective, um die aktualisierte Richtlinie aufzurufen:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

    Die Ausgabe des Befehls enthält das aktuelle Ergebnis der Richtlinienzusammenführung aus der Ressource und der übergeordneten Ressource:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
        - VALUE_A
        - VALUE_B
        - VALUE_C

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Standardverhalten der Einschränkung wiederherstellen

Mit dem Befehl reset können Sie die Richtlinie zurücksetzen, um das Standardverhalten der Einschränkung zu verwenden. Eine Liste aller verfügbaren Einschränkungen und ihrer Standardwerte finden Sie unter Einschränkungen für Organisationsrichtlinien. Im folgenden Beispiel wird davon ausgegangen, dass beim Standardverhalten der Einschränkung alle Werte zugelassen werden.

  1. Rufen Sie die geltende Richtlinie für das Projekt ab, um die aktuelle zusammengeführte Richtlinie anzuzeigen:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die eindeutige Kennung Ihres Projekts. Die Ausgabe des Befehls sieht so aus:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

  2. Setzen Sie die Organisationsrichtlinie mit dem Befehl reset zurück.

    gcloud org-policies reset LIST_CONSTRAINT \
    --project=PROJECT_ID

  3. Rufen Sie die geltende Richtlinie ab, um das Standardverhalten zu überprüfen:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

    In der Ausgabe des Befehls werden alle Werte zugelassen:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Organisationsrichtlinie löschen

Sie können eine Organisationsrichtlinie aus einer Ressource löschen. Eine Ressource, die keine Gruppe von Organisationsrichtlinien umfasst, übernimmt alle Richtlinien der übergeordneten Ressource. Wenn Sie die Organisationsrichtlinie für die Organisationsressource löschen, entspricht die geltende Richtlinie dem Standardverhalten der Einschränkung.

In den folgenden Schritten wird beschrieben, wie Sie eine Organisationsrichtlinie für eine Organisation löschen.

  1. Löschen Sie die Richtlinie für die Organisationsressource mit dem Befehl delete:

    gcloud org-policies delete \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID

    Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennzeichnung der Organisationsressource. Die Ausgabe des Befehls sieht so aus:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT].
{}

  2. Rufen Sie die geltende Richtlinie für die Organisation ab, um sicherzustellen, dass sie nicht erzwungen wird:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    Die Ausgabe des Befehls sieht so aus:

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

In den folgenden Schritten wird beschrieben, wie eine Organisationsrichtlinie für ein Projekt gelöscht wird:

  1. Löschen Sie die Richtlinie für ein Projekt mit dem Befehl delete:

    gcloud org-policies delete \
  LIST_CONSTRAINT \
  --project=PROJECT_ID

    Dabei ist PROJECT_ID die eindeutige Kennzeichnung des Projekts. Die Ausgabe des Befehls sieht so aus:

    Deleted policy
[projects/PROJECT_ID/policies/LIST_CONSTRAINT].
{}

  2. Rufen Sie die geltende Richtlinie für das Projekt ab, um sicherzustellen, dass sie nicht erzwungen wird.

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

    Die Ausgabe des Befehls sieht so aus:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Boolesche Einschränkungen in Organisationsrichtlinien verwenden

Durchsetzung für die Organisationsressource einrichten

Sie können eine Organisationsrichtlinie für Ihre Organisationsressource festlegen, um eine boolesche Einschränkung zu erzwingen. Im folgenden Verfahren wird beschrieben, wie Sie eine Organisationsrichtlinie mithilfe der Google Cloud CLI festlegen. Eine Anleitung zum Aufrufen und Festlegen von Organisationsrichtlinien mithilfe der Google Cloud Console finden Sie unter Richtlinien erstellen und verwalten.

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab:

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID

    Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennzeichnung der Organisationsressource. Sie können die Organisationsrichtlinie mit dem Flag --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.

    Wenn keine Richtlinie festgelegt wurde, wird der Fehler NOT_FOUND zurückgegeben:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Legen Sie die Richtlinie für das Projekt mit dem Befehl set-policy fest.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: true

    2. Führen Sie den Befehl set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml

  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf:

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    Die Ausgabe des Befehls sieht so aus:

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Organisationsrichtlinie für ein Projekt überschreiben

Wenn Sie die Organisationsrichtlinie für ein Projekt überschreiben möchten, legen Sie eine Richtlinie fest, die die Erzwingung der booleschen Einschränkung für alle Ressourcen in der Hierarchie unter dem Projekt deaktiviert.

  1. Rufen Sie die aktuelle Richtlinie für die Ressource ab, um zu zeigen, dass sie leer ist.

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID

    Dabei ist PROJECT_ID die eindeutige Kennzeichnung des Projekts.

    Wenn keine Richtlinie festgelegt wurde, wird der Fehler NOT_FOUND zurückgegeben:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Rufen Sie die geltende Richtlinie für das Projekt ab, um zu bestätigen, dass die Einschränkung für dieses Projekt erzwungen wird.

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

    Die Ausgabe des Befehls sieht so aus:

    name: projects/PROJECT_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

  3. Legen Sie die Richtlinie für das Projekt mit dem Befehl set-policy fest.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: false

    2. Führen Sie den Befehl set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml

  4. Rufen Sie die geltende Richtlinie ab, um zu zeigen, dass sie für das Projekt nicht mehr erzwungen wird.

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

    Die Ausgabe des Befehls sieht so aus:

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: false

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Organisationsrichtlinie löschen

Sie können eine Organisationsrichtlinie aus einer Ressource löschen. Eine Ressource, die keine Gruppe von Organisationsrichtlinien umfasst, übernimmt alle Richtlinien der übergeordneten Ressource. Wenn Sie die Organisationsrichtlinie für die Organisationsressource löschen, entspricht die geltende Richtlinie dem Standardverhalten der Einschränkung.

In den folgenden Schritten wird beschrieben, wie eine Organisationsrichtlinie für eine Organisation und ein Projekt gelöscht wird.

  1. Löschen Sie die Richtlinie mit dem Befehl delete aus der Organisationsressource:

    gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID

    Ersetzen Sie ORGANIZATION_ID durch eine eindeutige Kennzeichnung für die Organisationsressource. Die Ausgabe des Befehls sieht so aus:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

  2. Rufen Sie die geltende Richtlinie für die Organisation ab, um sicherzustellen, dass sie nicht erzwungen wird:

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    Wenn keine Richtlinie festgelegt wurde, wird der Fehler NOT_FOUND zurückgegeben:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  3. Löschen Sie die Organisationsrichtlinie mithilfe des Befehls delete aus dem Projekt:

    gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID

    Die Ausgabe des Befehls sieht so aus:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

  4. Rufen Sie die geltende Richtlinie für das Projekt ab, um sicherzustellen, dass sie nicht erzwungen wird.

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die eindeutige Kennung Ihres Projekts.

    Wenn keine Richtlinie festgelegt wurde, wird der Fehler NOT_FOUND zurückgegeben:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Verwaltete Einschränkungen in einer Organisationsrichtlinie verwenden

Verwaltete Einschränkungen sind vordefinierte Einschränkungen, die auf der Plattform für benutzerdefinierte Organisationsrichtlinien erstellt wurden. Sie können ähnlich wie vordefinierte Einschränkungen verwendet werden, aber mit dem Policy Simulator für den Organisationsrichtliniendienst und dem Simulationsmodus für Organisationsrichtlinien können Richtlinienänderungen sicherer eingeführt werden.

Verwaltete Einschränkungen ansehen und identifizieren

So rufen Sie die verfügbaren verwalteten Einschränkungen für Ihre Organisation auf:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl das Projekt, den Ordner oder die Organisation aus, für die Sie Organisationsrichtlinien aufrufen möchten. Auf der Seite Organisationsrichtlinien wird eine Liste der Einschränkungen für Organisationsrichtlinien angezeigt, die für diese Ressource verfügbar sind.

  3. Sie können die Liste der Organisationsrichtlinien nach Einschränkungstyp filtern oder sortieren, um verwaltete Einschränkungen zu finden. Wählen Sie in der Liste die verwaltete Einschränkung aus, für die Sie Details aufrufen möchten. Auf der Seite Richtliniendetails sehen Sie die Quelle dieser Organisationsrichtlinie, die effektive Richtlinienbewertung für diese Ressource und weitere Details zur Einschränkung.

gcloud

Mit dem Befehl org-policies list-custom-constraints können Sie die verwalteten und benutzerdefinierten Einschränkungen auflisten, die in Organisationsrichtlinien für eine Organisation erzwungen werden.

gcloud org-policies list-custom-constraints \
  --organization=ORGANIZATION_ID

Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisation.

Mit dem Befehl org-policies describe-custom-constraint können Sie Details zu einer bestimmten verwalteten Einschränkung für eine Ressource abrufen.

gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
    --organization=ORGANIZATION_ID

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME: der Name der verwalteten Einschränkung, für die Sie Details abrufen möchten. Beispiel: iam.managed.disableServiceAccountKeyUpload

  • ORGANIZATION_ID: ID Ihrer Organisation.

REST

Verwenden Sie die Methode organizations.customConstraints.list, um die verwalteten und benutzerdefinierten Einschränkungen aufzulisten, die in den Organisationsrichtlinien für eine Organisation festgelegt sind.

  GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints

Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisation.

Verwaltete Einschränkungen erstellen und aktualisieren

Organisationsrichtlinien werden anhand der Werte definiert, die für jede verwaltete Einschränkung festgelegt sind. Sie können für eine Ressource konfiguriert, von einer übergeordneten Ressource übernommen oder auf das von Google verwaltete Standardverhalten festgelegt werden.

So erstellen oder aktualisieren Sie eine Richtlinie, die auf einer verwalteten Einschränkung basiert:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

Zu den Organisationsrichtlinien

  1. Wählen Sie in der Projektauswahl das Projekt, den Ordner oder die Organisation aus, für die Sie die Organisationsrichtlinie bearbeiten möchten. Auf der Seite Organisationsrichtlinien wird eine filterbare Liste der Einschränkungen für Organisationsrichtlinien angezeigt, die für diese Ressource verfügbar sind.

  2. Wählen Sie in der Liste die verwaltete Einschränkung aus, für die Sie die Organisationsrichtlinie aktualisieren möchten. Auf der Seite Richtliniendetails sehen Sie die Quelle dieser Organisationsrichtlinie, die effektive Richtlinienbewertung für diese Ressource und weitere Details zur verwalteten Einschränkung.

  3. Zum Aktualisieren der Organisationsrichtlinie für diese Ressource klicken Sie auf Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie unter Erzwingung aus, ob die Erzwingung dieser Organisationsrichtlinie aktiviert oder deaktiviert werden soll.

  7. Klicken Sie optional auf Bedingung hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungslose Regel hinzufügen, da die Richtlinie sonst nicht gespeichert werden kann. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

  8. Optional: Wenn Sie sich eine Vorschau der Auswirkungen der Änderung der Organisationsrichtlinie ansehen möchten, bevor sie erzwungen wird, klicken Sie auf Änderungen testen. Weitere Informationen zum Testen von Änderungen an Organisationsrichtlinien finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

  9. Wenn Sie die Organisationsrichtlinie im Probelaufmodus erzwingen möchten, klicken Sie auf Probelaufrichtlinie festlegen. Weitere Informationen finden Sie unter Organisationsrichtlinie im Modus „Probelauf“ erstellen.

  10. Nachdem Sie überprüft haben, ob die Organisationsrichtlinie im Modus „Probelauf“ wie vorgesehen funktioniert, können Sie die Live-Richtlinie festlegen, indem Sie auf Richtlinie festlegen klicken.

gcloud

  1. Erstellen Sie eine YAML-Datei, um die Organisationsrichtlinie zu definieren:

    name: RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation
spec:
  rules:
  - enforce: ENFORCEMENT_STATE

dryRunSpec:
  rules:
  - enforce: ENFORCEMENT_STATE

    Ersetzen Sie Folgendes:

    • RESOURCE_TYPE mit organizations, folders oder projects.

    • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

    • ENFORCEMENT_STATE mit true, um diese Organisationsrichtlinie zu erzwingen, wenn sie festgelegt ist, oder false, um sie zu deaktivieren, wenn sie festgelegt ist.

    Optional können Sie der rules einen condition-Block hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungslose Regel hinzufügen, da die Richtlinie sonst nicht gespeichert werden kann. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

  2. Führen Sie den Befehl org-policies set-policy mit dem Flag dryRunSpec aus, um die Organisationsrichtlinie im Modus „Durchlauf“ festzulegen:

     gcloud org-policies set-policy POLICY_PATH \
   --update-mask=dryRunSpec

    Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

    Weitere Informationen zu Organisationsrichtlinien im Simulationsmodus finden Sie unter Organisationsrichtlinie im Simulationsmodus erstellen.

  3. Verwenden Sie den Befehl policy-intelligence simulate orgpolicy, um sich eine Vorschau der Auswirkungen der Änderung Ihrer Organisationsrichtlinie anzusehen, bevor sie erzwungen wird:

    gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --policies=POLICY_PATH

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID durch Ihre Organisations-ID, z. B. 1234567890123. Das Simulieren von Änderungen für mehrere Organisationen wird nicht unterstützt.

    • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

    Weitere Informationen zum Testen von Änderungen an Organisationsrichtlinien finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

  4. Nachdem Sie überprüft haben, ob die Organisationsrichtlinie im Modus „Probelauf“ wie vorgesehen funktioniert, legen Sie die Live-Richtlinie mit dem Befehl org-policies set-policy und dem Flag spec fest:

    gcloud org-policies set-policy POLICY_PATH \
  --update-mask=spec

    Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

REST

Verwenden Sie die Methode organizations.policies.create, um die Organisationsrichtlinie festzulegen.

POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies

JSON-Text anfordern:

{
  "name": "RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation",
  "spec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
  "dryRunSpec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
}

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

  • ENFORCEMENT_STATE mit true, um diese Organisationsrichtlinie zu erzwingen, wenn sie festgelegt ist, oder false, um sie zu deaktivieren, wenn sie festgelegt ist.

Optional können Sie der rules einen condition-Block hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungslose Regel hinzufügen, da die Richtlinie sonst nicht gespeichert werden kann. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Weitere Informationen zu Organisationsrichtlinien im Simulationsmodus finden Sie unter Organisationsrichtlinien im Simulationsmodus erstellen.

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.