Panduan ini menjelaskan cara membuat kebijakan organisasi dengan batasan tertentu. Batasan yang digunakan dalam contoh di halaman ini tidak akan menjadi batasan aktual, tetapi contoh umum untuk tujuan pendidikan.
Untuk mengetahui informasi selengkapnya tentang batasan dan masalah yang dipecahkannya, tinjau daftar semua batasan Layanan Kebijakan Organisasi.
Sebelum memulai
Baca halaman Pengantar Layanan Kebijakan Organisasi untuk mempelajari cara kerja kebijakan organisasi.
Baca halaman Memahami evaluasi hierarki untuk mempelajari pewarisan kebijakan.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi,
minta administrator untuk memberi Anda
peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin
) di organisasi.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Menggunakan batasan daftar dengan kebijakan organisasi
Anda dapat menetapkan kebijakan organisasi pada resource organisasi yang menggunakan batasan daftar untuk menolak akses ke layanan tertentu. Proses berikut menjelaskan cara menetapkan kebijakan organisasi menggunakan Google Cloud CLI. Untuk petunjuk tentang cara melihat dan menetapkan kebijakan organisasi menggunakan konsol Google Cloud, lihat Membuat dan Mengelola Kebijakan.
Kebijakan organisasi yang menggunakan batasan daftar tidak boleh memiliki lebih dari 500 nilai individual yang diizinkan atau ditolak, dan tidak boleh lebih dari 32 KB. Jika kebijakan organisasi dibuat atau diperbarui agar memiliki lebih dari 500 nilai, atau berukuran lebih dari 32 KB, kebijakan tersebut tidak dapat disimpan, dan permintaan akan menampilkan error.
Menyiapkan penerapan pada resource organisasi
Untuk menyiapkan penerapan pada organisasi menggunakan gcloud CLI, ikuti langkah-langkah berikut:
Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah
describe
Perintah ini menampilkan kebijakan yang langsung diterapkan ke resource ini:gcloud org-policies describe \ LIST_CONSTRAINT --organization=ORGANIZATION_ID
Ganti kode berikut:
ORGANIZATION_ID
: ID unik untuk resource organisasi. ID Organisasi diformat sebagai angka desimal, dan tidak boleh memiliki angka nol di awal.LIST_CONSTRAINT
: batasan daftar untuk layanan yang ingin Anda terapkan. Misalnya, batasanconstraints/gcp.restrictNonCmekServices
membatasi layanan mana yang dapat membuat resource tanpa kunci enkripsi yang dikelola pelanggan (CMEK).
Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag
--folder
atau--project
, serta ID folder dan project ID.Respons menampilkan kebijakan organisasi saat ini, jika ada. Contoh:
name: projects/841166443394/policies/gcp.resourceLocations spec: etag: BwW5P5cEOGs= inheritFromParent: true rules: - condition: expression: resource.matchTagId("tagKeys/1111", "tagValues/2222") values: allowedValues: - in:us-east1-locations - condition: expression: resource.matchTag("123/env", "prod") values: allowedValues: - in:us-west1-locations - values: deniedValues: - in:asia-south1-locations updateTime: '2021-01-19T12:00:51.095Z'
Jika kebijakan tidak ditetapkan, error
NOT_FOUND
akan ditampilkan:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Tetapkan kebijakan di organisasi menggunakan perintah
set-policy
. Tindakan ini akan menimpa kebijakan apa pun yang ditambahkan ke resource.Membuat file sementara
/tmp/policy.yaml
untuk menyimpan kebijakan:name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A
Jalankan perintah
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Lihat kebijakan yang berlaku saat ini menggunakan
describe --effective
. Tindakan ini akan menampilkan kebijakan organisasi seperti yang dievaluasi pada tahap ini dalam hierarki resource, dengan pewarisan yang telah disertakan.gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
Output perintah akan menjadi:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: etag: BwVJi0OOESU= rules: - values: deniedValues: - VALUE_A
Karena kebijakan organisasi ini ditetapkan di tingkat organisasi, kebijakan tersebut akan diwarisi oleh semua resource turunan yang mengizinkan pewarisan.
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.
Menyiapkan penerapan terhadap subhierarki
Batasan daftar menggunakan nilai yang ditentukan secara eksplisit untuk menentukan resource mana
yang harus diizinkan atau ditolak. Beberapa batasan juga dapat menerima nilai yang menggunakan
awalan under:
, yang menentukan sub-pohon dengan resource tersebut sebagai root.
Menggunakan awalan under:
pada nilai yang diizinkan atau ditolak akan menyebabkan kebijakan organisasi
bertindak pada resource tersebut dan semua turunannya. Untuk informasi tentang
batasan yang memungkinkan penggunaan awalan under:
, lihat halaman
Batasan kebijakan organisasi.
Nilai yang menggunakan awalan under:
disebut string subhierarki hierarki. String
subtree hierarki menentukan jenis
resource yang berlaku. Misalnya, menggunakan string sub-pohon dari
projects/PROJECT_ID
saat menetapkan
batasan constraints/compute.storageResourceUseRestrictions
akan mengizinkan atau menolak penggunaan penyimpanan Compute Engine untuk PROJECT_ID
dan semua turunannya.
Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah
describe
:gcloud org-policies describe \ LIST_CONSTRAINT \ --organization=ORGANIZATION_ID
Ganti kode berikut:
ORGANIZATION_ID
adalah ID unik untuk resource organisasi.LIST_CONSTRAINT
adalah batasan daftar untuk layanan yang ingin Anda terapkan.
Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag
--folder
atau--project
, serta ID folder dan project ID.Jika kebijakan tidak ditetapkan, error
NOT_FOUND
akan ditampilkan:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Tetapkan kebijakan di project menggunakan perintah
set-policy
. Awalanunder:
menetapkan batasan untuk menolak resource bernama dan semua resource turunannya.Membuat file sementara
/tmp/policy.yaml
untuk menyimpan kebijakan:name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - under:folders/VALUE_A
Jalankan perintah
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Dengan keterangan:
under:
adalah awalan yang menunjukkan bahwa yang berikutnya adalah string subtree.folders/VALUE_A
adalah ID folder dari resource root yang ingin Anda tolak. Resource ini dan semua turunan dalam hierarki resource akan ditolak.
Anda juga dapat menerapkan awalan
under:
ke organisasi dan project, seperti pada contoh berikut:under:organizations/VALUE_X
under:projects/VALUE_Y
Lihat kebijakan yang berlaku saat ini menggunakan
describe --effective
.gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
Output perintah ini akan menjadi:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - under:folders/VALUE_A
Kebijakan kini dievaluasi untuk menolak folder VALUE_A dan semua resource turunannya.
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.
Menggabungkan kebijakan organisasi di project
Anda dapat menetapkan kebijakan organisasi pada resource, yang akan digabungkan dengan kebijakan apa pun yang diwarisi dari resource induknya. Kebijakan gabungan ini kemudian akan dievaluasi untuk membuat kebijakan baru yang efektif berdasarkan aturan pewarisan.
Dapatkan kebijakan yang berlaku pada resource menggunakan perintah
describe
:gcloud org-policies describe \ LIST_CONSTRAINT \ --project=PROJECT_ID
Ganti kode berikut:
PROJECT_ID
: ID unik project Anda.LIST_CONSTRAINT
: batasan daftar untuk layanan yang ingin Anda terapkan.
Jika kebijakan tidak ditetapkan, error
NOT_FOUND
akan ditampilkan:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Tampilkan kebijakan yang berlaku saat ini menggunakan perintah
describe --effective
:gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
Output perintah akan menyertakan nilai yang ditolak yang diwarisi dari resource organisasi:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A
Tetapkan kebijakan di project menggunakan perintah
set-policy
.Membuat file sementara
/tmp/policy.yaml
untuk menyimpan kebijakan:name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: inheritFromParent: true rules: - values: deniedValues: - VALUE_B - VALUE_C
Jalankan perintah
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Gunakan kembali perintah
describe --effective
untuk menampilkan kebijakan yang diperbarui:gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
Output perintah akan menyertakan hasil efektif penggabungan kebijakan dari resource dan dari induk:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A - VALUE_B - VALUE_C
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.
Memulihkan perilaku batasan default
Anda dapat menggunakan perintah reset
untuk mereset kebijakan agar menggunakan perilaku default batasan. Untuk mengetahui daftar semua batasan yang tersedia dan nilai defaultnya, lihat Batasan kebijakan organisasi.Contoh berikut mengasumsikan bahwa perilaku batasan default adalah mengizinkan semua nilai.
Dapatkan kebijakan yang berlaku di project untuk menampilkan kebijakan gabungan saat ini:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
Ganti PROJECT_ID dengan ID unik project Anda. Output perintah ini akan menjadi:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A - VALUE_B - VALUE_C
Reset kebijakan organisasi menggunakan perintah
reset
.gcloud org-policies reset LIST_CONSTRAINT \ --project=PROJECT_ID
Dapatkan kebijakan yang efektif untuk memverifikasi perilaku default:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
Output perintah akan mengizinkan semua nilai:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.
Menghapus kebijakan organisasi
Anda dapat menghapus kebijakan organisasi dari resource. Resource tanpa kumpulan kebijakan organisasi akan mewarisi kebijakan apa pun dari resource induknya. Jika Anda menghapus kebijakan organisasi di resource organisasi, kebijakan yang efektif akan menjadi perilaku default batasan.
Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di organisasi.
Hapus kebijakan di resource organisasi menggunakan perintah
delete
:gcloud org-policies delete \ LIST_CONSTRAINT \ --organization=ORGANIZATION_ID
Ganti ORGANIZATION_ID dengan ID unik untuk resource organisasi. Output perintah akan menjadi:
Deleted policy [organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT]. {}
Dapatkan kebijakan yang berlaku di organisasi untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
Output perintah ini akan menjadi:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di project:
Hapus kebijakan di project menggunakan perintah
delete
:gcloud org-policies delete \ LIST_CONSTRAINT \ --project=PROJECT_ID
Dengan
PROJECT_ID
sebagai ID unik project Anda. Output perintah akan menjadi:Deleted policy [projects/PROJECT_ID/policies/LIST_CONSTRAINT]. {}
Dapatkan kebijakan yang berlaku pada project untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
Output perintah ini akan menjadi:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.
Menggunakan batasan boolean dalam kebijakan organisasi
Menyiapkan penerapan pada resource organisasi
Anda dapat menetapkan kebijakan organisasi pada resource organisasi untuk menerapkan batasan boolean. Proses berikut menjelaskan cara menetapkan kebijakan organisasi menggunakan Google Cloud CLI. Untuk petunjuk tentang cara melihat dan menetapkan kebijakan organisasi menggunakan konsol Google Cloud, lihat Membuat dan Mengelola Kebijakan.
Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah
describe
:gcloud org-policies describe \ BOOLEAN_CONSTRAINT \ --organization=ORGANIZATION_ID
Ganti
ORGANIZATION_ID
dengan ID unik untuk resource organisasi. Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag--folder
atau--project
, serta ID folder dan project ID.Jika kebijakan tidak ditetapkan, error
NOT_FOUND
akan ditampilkan:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Tetapkan kebijakan di project menggunakan perintah
set-policy
.Membuat file sementara
/tmp/policy.yaml
untuk menyimpan kebijakan:name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT spec: rules: - enforce: true
Jalankan perintah
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Lihat kebijakan yang berlaku saat ini menggunakan
describe --effective
:gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
Output perintah ini akan menjadi:
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: true
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.
Mengganti kebijakan organisasi untuk project
Untuk mengganti kebijakan organisasi untuk project, tetapkan kebijakan yang menonaktifkan penerapan batasan boolean ke semua resource dalam hierarki di bawah project.
Dapatkan kebijakan saat ini pada resource untuk menunjukkan bahwa kebijakan tersebut kosong.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT \ --project=PROJECT_ID
Dengan
PROJECT_ID
sebagai ID unik project Anda.Jika kebijakan tidak ditetapkan, error
NOT_FOUND
akan ditampilkan:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Dapatkan kebijakan yang efektif pada project, yang mengonfirmasi bahwa batasan ditetapkan di project ini.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
Output perintah akan menjadi:
name: projects/PROJECT_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: true
Tetapkan kebijakan di project menggunakan perintah
set-policy
.Membuat file sementara
/tmp/policy.yaml
untuk menyimpan kebijakan:name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT spec: rules: - enforce: false
Jalankan perintah
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Dapatkan kebijakan yang berlaku untuk menunjukkan bahwa kebijakan tersebut tidak lagi diterapkan pada project.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
Output perintah akan menjadi:
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: false
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.
Menghapus kebijakan organisasi
Anda dapat menghapus kebijakan organisasi dari resource. Resource tanpa kumpulan kebijakan organisasi akan mewarisi kebijakan apa pun dari resource induknya. Jika Anda menghapus kebijakan organisasi di resource organisasi, kebijakan yang berlaku akan menjadi perilaku default batasan.
Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di organisasi dan project.
Hapus kebijakan dari resource organisasi menggunakan perintah
delete
:gcloud org-policies delete \ BOOLEAN_CONSTRAINT \ --organization=ORGANIZATION_ID
Ganti
ORGANIZATION_ID
dengan ID unik untuk resource organisasi. Output perintah akan menjadi:Deleted policy [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT]. {}
Dapatkan kebijakan yang berlaku di organisasi untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
Jika kebijakan tidak ditetapkan, error
NOT_FOUND
akan ditampilkan:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Hapus kebijakan organisasi dari project menggunakan perintah
delete
:gcloud org-policies delete \ BOOLEAN_CONSTRAINT \ --project=PROJECT_ID
Output perintah ini akan menjadi:
Deleted policy [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT]. {}
Dapatkan kebijakan yang berlaku pada project untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
Ganti
PROJECT_ID
dengan ID unik project Anda.Jika kebijakan tidak ditetapkan, error
NOT_FOUND
akan ditampilkan:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.
Menggunakan batasan terkelola dalam kebijakan organisasi
Batasan terkelola adalah batasan standar yang telah dibuat di platform kebijakan organisasi kustom. Batasan ini dapat digunakan dengan cara yang mirip dengan batasan standar, tetapi dapat menggunakan Policy Simulator untuk Layanan Kebijakan Organisasi dan kebijakan organisasi uji coba untuk men-deploy perubahan kebijakan dengan lebih aman.
Melihat dan mengidentifikasi batasan terkelola
Untuk melihat batasan terkelola yang tersedia untuk organisasi Anda, lakukan hal berikut:
Konsol
Di konsol Google Cloud, buka halaman Organization policies.
Dari pemilih project, pilih project, folder, atau organisasi tempat Anda ingin melihat kebijakan organisasi. Halaman Organization policies yang muncul menampilkan daftar batasan kebijakan organisasi yang tersedia untuk resource ini.
Anda dapat memfilter atau mengurutkan daftar kebijakan organisasi menurut jenis batasan untuk menemukan batasan yang dikelola. Pilih batasan terkelola yang ingin Anda lihat detailnya dari daftar. Di halaman Policy details yang muncul, Anda dapat melihat sumber kebijakan organisasi ini, evaluasi kebijakan yang efektif pada resource ini, dan detail selengkapnya tentang batasan.
gcloud
Untuk mencantumkan batasan terkelola dan khusus yang diterapkan dalam kebijakan organisasi di organisasi, gunakan perintah org-policies list-custom-constraints
.
gcloud org-policies list-custom-constraints \
--organization=ORGANIZATION_ID
Ganti ORGANIZATION_ID dengan ID organisasi Anda.
Untuk mendapatkan detail tentang batasan terkelola tertentu untuk resource, gunakan perintah
org-policies describe-custom-constraint
.
gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
--organization=ORGANIZATION_ID
Ganti kode berikut:
CONSTRAINT_NAME
: nama batasan terkelola yang ingin Anda dapatkan detailnya. Contoh,iam.managed.disableServiceAccountKeyUpload
.ORGANIZATION_ID
: ID organisasi Anda.
REST
Untuk mencantumkan batasan terkelola dan kustom yang ditetapkan dalam kebijakan organisasi di organisasi, gunakan metode organizations.customConstraints.list
.
GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints
Ganti ORGANIZATION_ID dengan ID organisasi Anda.
Membuat dan memperbarui batasan terkelola
Kebijakan organisasi ditentukan oleh nilai yang ditetapkan untuk setiap batasan terkelola. Perilaku ini dapat dikonfigurasi untuk resource, diwarisi dari resource induk, atau ditetapkan ke perilaku default yang dikelola Google.
Untuk membuat atau memperbarui kebijakan berdasarkan batasan terkelola, lakukan tindakan berikut:
Konsol
- Di konsol Google Cloud, buka halaman Organization policies.
Dari pemilih project, pilih project, folder, atau organisasi yang ingin Anda edit kebijakan organisasinya. Halaman Kebijakan organisasi yang muncul menampilkan daftar batasan kebijakan organisasi yang dapat difilter dan tersedia untuk resource ini.
Pilih batasan terkelola yang ingin Anda perbarui kebijakan organisasinya dari daftar. Di halaman Policy details, Anda dapat melihat sumber kebijakan organisasi ini, evaluasi kebijakan yang efektif pada resource ini, dan detail selengkapnya tentang batasan terkelola.
Untuk memperbarui kebijakan organisasi untuk resource ini, klik Manage policy.
Di halaman Edit policy, pilih Override parent's policy.
Pilih Tambahkan aturan.
Di bagian Enforcement, pilih apakah penerapan kebijakan organisasi ini harus diaktifkan atau dinonaktifkan.
Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, klik Tambahkan kondisi. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.
Atau, untuk melihat pratinjau dampak perubahan kebijakan organisasi Anda sebelum diterapkan, klik Uji perubahan. Untuk mengetahui informasi selengkapnya tentang pengujian perubahan kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
Untuk menerapkan kebijakan organisasi dalam mode uji coba, klik Set dry run policy. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan organisasi dalam mode uji coba.
Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi seperti yang diinginkan, tetapkan kebijakan aktif dengan mengklik Tetapkan kebijakan.
gcloud
Buat file YAML untuk menentukan kebijakan organisasi:
name: RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation spec: rules: - enforce: ENFORCEMENT_STATE dryRunSpec: rules: - enforce: ENFORCEMENT_STATE
Ganti kode berikut:
RESOURCE_TYPE
denganorganizations
,folders
, atauprojects
.RESOURCE_ID
dengan ID organisasi, ID folder, ID project, atau nomor project, bergantung pada jenis resource yang ditentukan diRESOURCE_TYPE
.ENFORCEMENT_STATE
dengantrue
untuk menerapkan kebijakan organisasi ini saat ditetapkan, ataufalse
untuk menonaktifkannya saat ditetapkan.
Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, tambahkan blok
condition
kerules
. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.Jalankan perintah
org-policies set-policy
dengan flagdryRunSpec
untuk menetapkan kebijakan organisasi dalam mode uji coba:gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Ganti
POLICY_PATH
dengan jalur lengkap ke file YAML kebijakan organisasi Anda.Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi uji coba, lihat Membuat kebijakan organisasi dalam mode uji coba.
Gunakan perintah
policy-intelligence simulate orgpolicy
untuk melihat pratinjau dampak perubahan kebijakan organisasi Anda sebelum diberlakukan:gcloud policy-intelligence simulate orgpolicy \ --organization=ORGANIZATION_ID \ --policies=POLICY_PATH
Ganti kode berikut:
ORGANIZATION_ID
dengan ID organisasi Anda, seperti1234567890123
. Simulasi perubahan di beberapa organisasi tidak didukung.POLICY_PATH
dengan jalur lengkap ke file YAML kebijakan organisasi Anda.
Untuk mengetahui informasi selengkapnya tentang cara menguji perubahan kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi seperti yang diinginkan, tetapkan kebijakan aktif dengan perintah
org-policies set-policy
dan tandaspec
:gcloud org-policies set-policy POLICY_PATH \ --update-mask=spec
Ganti
POLICY_PATH
dengan jalur lengkap ke file YAML kebijakan organisasi Anda.
REST
Untuk menetapkan kebijakan organisasi, gunakan metode
organizations.policies.create
.
POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies
Meminta isi JSON:
{
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation",
"spec": {
"rules": [
{
"enforce": ["ENFORCEMENT_STATE"]
}
]
}
"dryRunSpec": {
"rules": [
{
"enforce": ["ENFORCEMENT_STATE"]
}
]
}
}
Ganti kode berikut:
RESOURCE_TYPE
denganorganizations
,folders
, atauprojects
.RESOURCE_ID
dengan ID organisasi, ID folder, ID project, atau nomor project, bergantung pada jenis resource yang ditentukan diRESOURCE_TYPE
.ENFORCEMENT_STATE
dengantrue
untuk menerapkan kebijakan organisasi ini saat ditetapkan, ataufalse
untuk menonaktifkannya saat ditetapkan.
Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, tambahkan blok condition
ke rules
. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat
Menetapkan kebijakan organisasi dengan tag.
Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi uji coba, lihat Membuat kebijakan organisasi dalam mode uji coba.
Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.