Menggunakan batasan

Panduan ini menjelaskan cara membuat kebijakan organisasi dengan batasan tertentu. Batasan yang digunakan dalam contoh di halaman ini tidak akan menjadi batasan aktual, tetapi contoh umum untuk tujuan pendidikan.

Untuk mengetahui informasi selengkapnya tentang batasan dan masalah yang dipecahkannya, tinjau daftar semua batasan Layanan Kebijakan Organisasi.

Sebelum memulai

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Menggunakan batasan daftar dengan kebijakan organisasi

Anda dapat menetapkan kebijakan organisasi pada resource organisasi yang menggunakan batasan daftar untuk menolak akses ke layanan tertentu. Proses berikut menjelaskan cara menetapkan kebijakan organisasi menggunakan Google Cloud CLI. Untuk petunjuk tentang cara melihat dan menetapkan kebijakan organisasi menggunakan konsol Google Cloud, lihat Membuat dan Mengelola Kebijakan.

Kebijakan organisasi yang menggunakan batasan daftar tidak boleh memiliki lebih dari 500 nilai individual yang diizinkan atau ditolak, dan tidak boleh lebih dari 32 KB. Jika kebijakan organisasi dibuat atau diperbarui agar memiliki lebih dari 500 nilai, atau berukuran lebih dari 32 KB, kebijakan tersebut tidak dapat disimpan, dan permintaan akan menampilkan error.

Menyiapkan penerapan pada resource organisasi

Untuk menyiapkan penerapan pada organisasi menggunakan gcloud CLI, ikuti langkah-langkah berikut:

  1. Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah describe Perintah ini menampilkan kebijakan yang langsung diterapkan ke resource ini:

    gcloud org-policies describe \
      LIST_CONSTRAINT --organization=ORGANIZATION_ID
    

    Ganti kode berikut:

    • ORGANIZATION_ID: ID unik untuk resource organisasi. ID Organisasi diformat sebagai angka desimal, dan tidak boleh memiliki angka nol di awal.

    • LIST_CONSTRAINT: batasan daftar untuk layanan yang ingin Anda terapkan. Misalnya, batasan constraints/gcp.restrictNonCmekServices membatasi layanan mana yang dapat membuat resource tanpa kunci enkripsi yang dikelola pelanggan (CMEK).

    Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag --folder atau --project, serta ID folder dan project ID.

    Respons menampilkan kebijakan organisasi saat ini, jika ada. Contoh:

    name: projects/841166443394/policies/gcp.resourceLocations
    spec:
      etag: BwW5P5cEOGs=
      inheritFromParent: true
      rules:
      - condition:
          expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
        values:
          allowedValues:
          - in:us-east1-locations
      - condition:
          expression: resource.matchTag("123/env", "prod")
        values:
          allowedValues:
          - in:us-west1-locations
      - values:
          deniedValues:
          - in:asia-south1-locations
      updateTime: '2021-01-19T12:00:51.095Z'
    

    Jika kebijakan tidak ditetapkan, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. Tetapkan kebijakan di organisasi menggunakan perintah set-policy. Tindakan ini akan menimpa kebijakan apa pun yang ditambahkan ke resource.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
      spec:
        rules:
        - values:
            deniedValues:
            - VALUE_A
      
    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml
      
  3. Lihat kebijakan yang berlaku saat ini menggunakan describe --effective. Tindakan ini akan menampilkan kebijakan organisasi seperti yang dievaluasi pada tahap ini dalam hierarki resource, dengan pewarisan yang telah disertakan.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    Output perintah akan menjadi:

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
    spec:
      etag: BwVJi0OOESU=
      rules:
      - values:
          deniedValues:
          - VALUE_A
    

    Karena kebijakan organisasi ini ditetapkan di tingkat organisasi, kebijakan tersebut akan diwarisi oleh semua resource turunan yang mengizinkan pewarisan.

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menyiapkan penerapan terhadap subhierarki

Batasan daftar menggunakan nilai yang ditentukan secara eksplisit untuk menentukan resource mana yang harus diizinkan atau ditolak. Beberapa batasan juga dapat menerima nilai yang menggunakan awalan under:, yang menentukan sub-pohon dengan resource tersebut sebagai root. Menggunakan awalan under: pada nilai yang diizinkan atau ditolak akan menyebabkan kebijakan organisasi bertindak pada resource tersebut dan semua turunannya. Untuk informasi tentang batasan yang memungkinkan penggunaan awalan under:, lihat halaman Batasan kebijakan organisasi.

Nilai yang menggunakan awalan under: disebut string subhierarki hierarki. String subtree hierarki menentukan jenis resource yang berlaku. Misalnya, menggunakan string sub-pohon dari projects/PROJECT_ID saat menetapkan batasan constraints/compute.storageResourceUseRestrictions akan mengizinkan atau menolak penggunaan penyimpanan Compute Engine untuk PROJECT_ID dan semua turunannya.

  1. Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah describe:

    gcloud org-policies describe \
      LIST_CONSTRAINT \
      --organization=ORGANIZATION_ID
    

    Ganti kode berikut:

    • ORGANIZATION_ID adalah ID unik untuk resource organisasi.

    • LIST_CONSTRAINT adalah batasan daftar untuk layanan yang ingin Anda terapkan.

    Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag --folder atau --project, serta ID folder dan project ID.

    Jika kebijakan tidak ditetapkan, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. Tetapkan kebijakan di project menggunakan perintah set-policy. Awalan under: menetapkan batasan untuk menolak resource bernama dan semua resource turunannya.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
      spec:
        rules:
        - values:
            deniedValues:
            - under:folders/VALUE_A
      
    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml
      

    Dengan keterangan:

    • under: adalah awalan yang menunjukkan bahwa yang berikutnya adalah string subtree.

    • folders/VALUE_A adalah ID folder dari resource root yang ingin Anda tolak. Resource ini dan semua turunan dalam hierarki resource akan ditolak.

    Anda juga dapat menerapkan awalan under: ke organisasi dan project, seperti pada contoh berikut:

    • under:organizations/VALUE_X

    • under:projects/VALUE_Y

  3. Lihat kebijakan yang berlaku saat ini menggunakan describe --effective.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    Output perintah ini akan menjadi:

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
      - values:
          deniedValues:
          - under:folders/VALUE_A
    

    Kebijakan kini dievaluasi untuk menolak folder VALUE_A dan semua resource turunannya.

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menggabungkan kebijakan organisasi di project

Anda dapat menetapkan kebijakan organisasi pada resource, yang akan digabungkan dengan kebijakan apa pun yang diwarisi dari resource induknya. Kebijakan gabungan ini kemudian akan dievaluasi untuk membuat kebijakan baru yang efektif berdasarkan aturan pewarisan.

  1. Dapatkan kebijakan yang berlaku pada resource menggunakan perintah describe:

    gcloud org-policies describe \
      LIST_CONSTRAINT \
      --project=PROJECT_ID
    

    Ganti kode berikut:

    • PROJECT_ID: ID unik project Anda.

    • LIST_CONSTRAINT: batasan daftar untuk layanan yang ingin Anda terapkan.

    Jika kebijakan tidak ditetapkan, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. Tampilkan kebijakan yang berlaku saat ini menggunakan perintah describe --effective:

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    Output perintah akan menyertakan nilai yang ditolak yang diwarisi dari resource organisasi:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
      - values:
          deniedValues:
          - VALUE_A
    
  3. Tetapkan kebijakan di project menggunakan perintah set-policy.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
      spec:
        inheritFromParent: true
        rules:
        - values:
            deniedValues:
            - VALUE_B
            - VALUE_C
      
    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml
      
  4. Gunakan kembali perintah describe --effective untuk menampilkan kebijakan yang diperbarui:

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    Output perintah akan menyertakan hasil efektif penggabungan kebijakan dari resource dan dari induk:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
      - values:
          deniedValues:
            - VALUE_A
            - VALUE_B
            - VALUE_C
    

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Memulihkan perilaku batasan default

Anda dapat menggunakan perintah reset untuk mereset kebijakan agar menggunakan perilaku default batasan. Untuk mengetahui daftar semua batasan yang tersedia dan nilai defaultnya, lihat Batasan kebijakan organisasi.Contoh berikut mengasumsikan bahwa perilaku batasan default adalah mengizinkan semua nilai.

  1. Dapatkan kebijakan yang berlaku di project untuk menampilkan kebijakan gabungan saat ini:

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    Ganti PROJECT_ID dengan ID unik project Anda. Output perintah ini akan menjadi:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
      - values:
          deniedValues:
          - VALUE_A
          - VALUE_B
          - VALUE_C
    
  2. Reset kebijakan organisasi menggunakan perintah reset.

    gcloud org-policies reset LIST_CONSTRAINT \
        --project=PROJECT_ID
    
  3. Dapatkan kebijakan yang efektif untuk memverifikasi perilaku default:

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    Output perintah akan mengizinkan semua nilai:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
      - allowAll: true
    

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menghapus kebijakan organisasi

Anda dapat menghapus kebijakan organisasi dari resource. Resource tanpa kumpulan kebijakan organisasi akan mewarisi kebijakan apa pun dari resource induknya. Jika Anda menghapus kebijakan organisasi di resource organisasi, kebijakan yang efektif akan menjadi perilaku default batasan.

Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di organisasi.

  1. Hapus kebijakan di resource organisasi menggunakan perintah delete:

    gcloud org-policies delete \
      LIST_CONSTRAINT \
      --organization=ORGANIZATION_ID
    

    Ganti ORGANIZATION_ID dengan ID unik untuk resource organisasi. Output perintah akan menjadi:

    Deleted policy
    [organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT].
    {}
    
  2. Dapatkan kebijakan yang berlaku di organisasi untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    Output perintah ini akan menjadi:

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
      - allowAll: true
    

Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di project:

  1. Hapus kebijakan di project menggunakan perintah delete:

    gcloud org-policies delete \
      LIST_CONSTRAINT \
      --project=PROJECT_ID
    

    Dengan PROJECT_ID sebagai ID unik project Anda. Output perintah akan menjadi:

    Deleted policy
    [projects/PROJECT_ID/policies/LIST_CONSTRAINT].
    {}
    
  2. Dapatkan kebijakan yang berlaku pada project untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    Output perintah ini akan menjadi:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
      - allowAll: true
    

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menggunakan batasan boolean dalam kebijakan organisasi

Menyiapkan penerapan pada resource organisasi

Anda dapat menetapkan kebijakan organisasi pada resource organisasi untuk menerapkan batasan boolean. Proses berikut menjelaskan cara menetapkan kebijakan organisasi menggunakan Google Cloud CLI. Untuk petunjuk tentang cara melihat dan menetapkan kebijakan organisasi menggunakan konsol Google Cloud, lihat Membuat dan Mengelola Kebijakan.

  1. Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah describe:

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT \
      --organization=ORGANIZATION_ID
    

    Ganti ORGANIZATION_ID dengan ID unik untuk resource organisasi. Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag --folder atau --project, serta ID folder dan project ID.

    Jika kebijakan tidak ditetapkan, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. Tetapkan kebijakan di project menggunakan perintah set-policy.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
      spec:
        rules:
        - enforce: true
      
    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml
      
  3. Lihat kebijakan yang berlaku saat ini menggunakan describe --effective:

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    Output perintah ini akan menjadi:

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
    spec:
      rules:
      - enforce: true
    

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Mengganti kebijakan organisasi untuk project

Untuk mengganti kebijakan organisasi untuk project, tetapkan kebijakan yang menonaktifkan penerapan batasan boolean ke semua resource dalam hierarki di bawah project.

  1. Dapatkan kebijakan saat ini pada resource untuk menunjukkan bahwa kebijakan tersebut kosong.

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT \
      --project=PROJECT_ID
    

    Dengan PROJECT_ID sebagai ID unik project Anda.

    Jika kebijakan tidak ditetapkan, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. Dapatkan kebijakan yang efektif pada project, yang mengonfirmasi bahwa batasan ditetapkan di project ini.

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    Output perintah akan menjadi:

    name: projects/PROJECT_ID/policies/BOOLEAN_POLICY
    spec:
      rules:
      - enforce: true
    
  3. Tetapkan kebijakan di project menggunakan perintah set-policy.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
      spec:
        rules:
        - enforce: false
      
    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml
      
  4. Dapatkan kebijakan yang berlaku untuk menunjukkan bahwa kebijakan tersebut tidak lagi diterapkan pada project.

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    Output perintah akan menjadi:

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
    spec:
      rules:
      - enforce: false
    

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menghapus kebijakan organisasi

Anda dapat menghapus kebijakan organisasi dari resource. Resource tanpa kumpulan kebijakan organisasi akan mewarisi kebijakan apa pun dari resource induknya. Jika Anda menghapus kebijakan organisasi di resource organisasi, kebijakan yang berlaku akan menjadi perilaku default batasan.

Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di organisasi dan project.

  1. Hapus kebijakan dari resource organisasi menggunakan perintah delete:

    gcloud org-policies delete \
      BOOLEAN_CONSTRAINT \
      --organization=ORGANIZATION_ID
    

    Ganti ORGANIZATION_ID dengan ID unik untuk resource organisasi. Output perintah akan menjadi:

    Deleted policy
    [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
    {}
    
  2. Dapatkan kebijakan yang berlaku di organisasi untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    Jika kebijakan tidak ditetapkan, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  3. Hapus kebijakan organisasi dari project menggunakan perintah delete:

    gcloud org-policies delete \
      BOOLEAN_CONSTRAINT \
      --project=PROJECT_ID
    

    Output perintah ini akan menjadi:

    Deleted policy
    [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
    {}
    
  4. Dapatkan kebijakan yang berlaku pada project untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    Ganti PROJECT_ID dengan ID unik project Anda.

    Jika kebijakan tidak ditetapkan, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menggunakan batasan terkelola dalam kebijakan organisasi

Batasan terkelola adalah batasan standar yang telah dibuat di platform kebijakan organisasi kustom. Batasan ini dapat digunakan dengan cara yang mirip dengan batasan standar, tetapi dapat menggunakan Policy Simulator untuk Layanan Kebijakan Organisasi dan kebijakan organisasi uji coba untuk men-deploy perubahan kebijakan dengan lebih aman.

Melihat dan mengidentifikasi batasan terkelola

Untuk melihat batasan terkelola yang tersedia untuk organisasi Anda, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Dari pemilih project, pilih project, folder, atau organisasi tempat Anda ingin melihat kebijakan organisasi. Halaman Organization policies yang muncul menampilkan daftar batasan kebijakan organisasi yang tersedia untuk resource ini.

  3. Anda dapat memfilter atau mengurutkan daftar kebijakan organisasi menurut jenis batasan untuk menemukan batasan yang dikelola. Pilih batasan terkelola yang ingin Anda lihat detailnya dari daftar. Di halaman Policy details yang muncul, Anda dapat melihat sumber kebijakan organisasi ini, evaluasi kebijakan yang efektif pada resource ini, dan detail selengkapnya tentang batasan.

gcloud

Untuk mencantumkan batasan terkelola dan khusus yang diterapkan dalam kebijakan organisasi di organisasi, gunakan perintah org-policies list-custom-constraints.

gcloud org-policies list-custom-constraints \
  --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Untuk mendapatkan detail tentang batasan terkelola tertentu untuk resource, gunakan perintah org-policies describe-custom-constraint.

gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
    --organization=ORGANIZATION_ID

Ganti kode berikut:

  • CONSTRAINT_NAME: nama batasan terkelola yang ingin Anda dapatkan detailnya. Contoh, iam.managed.disableServiceAccountKeyUpload.

  • ORGANIZATION_ID: ID organisasi Anda.

REST

Untuk mencantumkan batasan terkelola dan kustom yang ditetapkan dalam kebijakan organisasi di organisasi, gunakan metode organizations.customConstraints.list.

  GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Membuat dan memperbarui batasan terkelola

Kebijakan organisasi ditentukan oleh nilai yang ditetapkan untuk setiap batasan terkelola. Perilaku ini dapat dikonfigurasi untuk resource, diwarisi dari resource induk, atau ditetapkan ke perilaku default yang dikelola Google.

Untuk membuat atau memperbarui kebijakan berdasarkan batasan terkelola, lakukan tindakan berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies.

Buka Organization policies

  1. Dari pemilih project, pilih project, folder, atau organisasi yang ingin Anda edit kebijakan organisasinya. Halaman Kebijakan organisasi yang muncul menampilkan daftar batasan kebijakan organisasi yang dapat difilter dan tersedia untuk resource ini.

  2. Pilih batasan terkelola yang ingin Anda perbarui kebijakan organisasinya dari daftar. Di halaman Policy details, Anda dapat melihat sumber kebijakan organisasi ini, evaluasi kebijakan yang efektif pada resource ini, dan detail selengkapnya tentang batasan terkelola.

  3. Untuk memperbarui kebijakan organisasi untuk resource ini, klik Manage policy.

  4. Di halaman Edit policy, pilih Override parent's policy.

  5. Pilih Tambahkan aturan.

  6. Di bagian Enforcement, pilih apakah penerapan kebijakan organisasi ini harus diaktifkan atau dinonaktifkan.

  7. Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, klik Tambahkan kondisi. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

  8. Atau, untuk melihat pratinjau dampak perubahan kebijakan organisasi Anda sebelum diterapkan, klik Uji perubahan. Untuk mengetahui informasi selengkapnya tentang pengujian perubahan kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.

  9. Untuk menerapkan kebijakan organisasi dalam mode uji coba, klik Set dry run policy. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan organisasi dalam mode uji coba.

  10. Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi seperti yang diinginkan, tetapkan kebijakan aktif dengan mengklik Tetapkan kebijakan.

gcloud

  1. Buat file YAML untuk menentukan kebijakan organisasi:

    name: RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation
    spec:
      rules:
      - enforce: ENFORCEMENT_STATE
    
    dryRunSpec:
      rules:
      - enforce: ENFORCEMENT_STATE
    

    Ganti kode berikut:

    • RESOURCE_TYPE dengan organizations, folders, atau projects.

    • RESOURCE_ID dengan ID organisasi, ID folder, ID project, atau nomor project, bergantung pada jenis resource yang ditentukan di RESOURCE_TYPE.

    • ENFORCEMENT_STATE dengan true untuk menerapkan kebijakan organisasi ini saat ditetapkan, atau false untuk menonaktifkannya saat ditetapkan.

    Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, tambahkan blok condition ke rules. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

  2. Jalankan perintah org-policies set-policy dengan flag dryRunSpec untuk menetapkan kebijakan organisasi dalam mode uji coba:

     gcloud org-policies set-policy POLICY_PATH \
       --update-mask=dryRunSpec
    

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda.

    Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi uji coba, lihat Membuat kebijakan organisasi dalam mode uji coba.

  3. Gunakan perintah policy-intelligence simulate orgpolicy untuk melihat pratinjau dampak perubahan kebijakan organisasi Anda sebelum diberlakukan:

    gcloud policy-intelligence simulate orgpolicy \
      --organization=ORGANIZATION_ID \
      --policies=POLICY_PATH
    

    Ganti kode berikut:

    • ORGANIZATION_ID dengan ID organisasi Anda, seperti 1234567890123. Simulasi perubahan di beberapa organisasi tidak didukung.

    • POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda.

    Untuk mengetahui informasi selengkapnya tentang cara menguji perubahan kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.

  4. Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi seperti yang diinginkan, tetapkan kebijakan aktif dengan perintah org-policies set-policy dan tanda spec:

    gcloud org-policies set-policy POLICY_PATH \
      --update-mask=spec
    

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda.

REST

Untuk menetapkan kebijakan organisasi, gunakan metode organizations.policies.create.

POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies

Meminta isi JSON:

{
  "name": "RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation",
  "spec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
  "dryRunSpec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
}

Ganti kode berikut:

  • RESOURCE_TYPE dengan organizations, folders, atau projects.

  • RESOURCE_ID dengan ID organisasi, ID folder, ID project, atau nomor project, bergantung pada jenis resource yang ditentukan di RESOURCE_TYPE.

  • ENFORCEMENT_STATE dengan true untuk menerapkan kebijakan organisasi ini saat ditetapkan, atau false untuk menonaktifkannya saat ditetapkan.

Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, tambahkan blok condition ke rules. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi uji coba, lihat Membuat kebijakan organisasi dalam mode uji coba.

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.