Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo dei vincoli

Questa guida spiega come creare un criterio dell'organizzazione con un determinato vincolo. I vincoli utilizzati negli esempi di questa pagina non saranno vincoli effettivi, ma esempi semplificati a scopo didattico.

Per saperne di più sui vincoli e sui problemi che risolvono, consulta l'elenco di tutti i vincoli del servizio Norme dell'organizzazione.

Prima di iniziare

Leggi la pagina Introduzione al servizio Criteri dell'organizzazione per scoprire come funzionano i criteri dell'organizzazione.
Leggi la pagina Informazioni sulla valutazione della gerarchia per approfondire l'eredità dei criteri.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Utilizzare i vincoli dell'elenco con un criterio dell'organizzazione

Puoi impostare un criterio dell'organizzazione nella risorsa dell'organizzazione che utilizzi un vincolo di elenco per negare l'accesso a un determinato servizio. La procedura riportata di seguito descrive come impostare un criterio dell'organizzazione utilizzando Google Cloud CLI. Per istruzioni su come visualizzare e impostare i criteri dell'organizzazione utilizzando la console Google Cloud, consulta Creare e gestire i criteri.

I criteri dell'organizzazione che utilizzano vincoli di elenco non possono avere più di 500 valori individuali consentiti o vietati e non possono superare i 32 KB. Se un criterio dell'organizzazione viene creato o aggiornato in modo da avere più di 500 valori o avere dimensioni superiori a 32 KB, non può essere salvato correttamente e la richiesta restituirà un errore.

Configurare l'applicazione nella risorsa dell'organizzazione

Per configurare l'applicazione delle norme in un'organizzazione utilizzando gcloud CLI, segui questi passaggi:

Recupera il criterio corrente nella risorsa dell'organizzazione utilizzando il comando describe. Questo comando restituisce il criterio applicato direttamente a questa risorsa:
```
gcloud org-policies describe \
  LIST_CONSTRAINT --organization=ORGANIZATION_ID
```
Sostituisci quanto segue:
- ORGANIZATION_ID: un identificatore univoco per la risorsa dell'organizzazione. L'ID organizzazione è formattato come numeri decimali e non può avere zeri iniziali.
- LIST_CONSTRAINT: la limitazione dell'elenco per il servizio che vuoi applicare. Ad esempio, il vincolo constraints/gcp.restrictNonCmekServices limita i servizi che possono creare risorse senza chiavi di crittografia gestite dal cliente (CMEK).
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e, rispettivamente, con l'ID cartella e l'ID progetto.

La risposta restituisce il criterio dell'organizzazione corrente, se esistente. Ad esempio:
```
name: projects/841166443394/policies/gcp.resourceLocations
spec:
  etag: BwW5P5cEOGs=
  inheritFromParent: true
  rules:
  - condition:
      expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
    values:
      allowedValues:
      - in:us-east1-locations
  - condition:
      expression: resource.matchTag("123/env", "prod")
    values:
      allowedValues:
      - in:us-west1-locations
  - values:
      deniedValues:
      - in:asia-south1-locations
  updateTime: '2021-01-19T12:00:51.095Z'
```
Se non è impostato un criterio, verrà restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Imposta il criterio nell'organizzazione utilizzando il comando set-policy. Questo sostituisce qualsiasi criterio associato alla risorsa.
1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
```
2. Esegui il comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```
Visualizza il criterio attualmente in vigore utilizzando describe --effective. Viene restituito il criterio dell'organizzazione così come viene valutato in questo punto della gerarchia delle risorse con l'eredità inclusa.
```
gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID
```
L'output del comando sarà:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  etag: BwVJi0OOESU=
  rules:
  - values:
      deniedValues:
      - VALUE_A
```
Poiché questo criterio dell'organizzazione è stato impostato a livello di organizzazione, verrà ereditato da tutte le risorse secondarie che consentono l'ereditarietà.

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Configurare l'applicazione delle norme in un sottoalbero della gerarchia

I vincoli dell'elenco accettano valori definiti in modo esplicito per determinare quali risorse devono essere consentite o negate. Alcuni vincoli possono accettare anche valori che utilizzano il prefisso under:, che specifica un sottoalbero con la risorsa come radice. L'utilizzo del prefisso under: su un valore consentito o negato fa sì che il criterio dell'organizzazione agisca sulla risorsa e su tutti i relativi elementi secondari. Per informazioni sui vincoli che consentono l'utilizzo del prefisso under:, consulta la pagina Vincoli dei criteri dell'organizzazione.

Un valore che utilizza il prefisso under: è chiamato stringa del sottoalbero della gerarchia. Una stringa del sottoalbero della gerarchia specifica il tipo di risorsa a cui si applica. Ad esempio, l'utilizzo di una stringa del sottoalbero di projects/PROJECT_ID quando viene impostato il vincolo constraints/compute.storageResourceUseRestrictions consente o nega l'utilizzo dello spazio di archiviazione Compute Engine per PROJECT_ID e per tutti i relativi elementi secondari.

Recupera il criterio corrente nella risorsa dell'organizzazione utilizzando il comando describe:
```
gcloud org-policies describe \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Sostituisci quanto segue:
- ORGANIZATION_ID è un identificatore univoco per la risorsa dell'organizzazione.
- LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che vuoi applicare.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e, rispettivamente, con l'ID cartella e l'ID progetto.

Se non è impostato un criterio, verrà restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Imposta il criterio nel progetto utilizzando il comando set-policy. Il prefisso under: imposta il vincolo per negare la risorsa denominata e tutte le sue risorse figlie.
1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A
```
2. Esegui il comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```
Dove:
- under: è un prefisso che indica che quanto segue è una stringa di sottoalbero.
- folders/VALUE_A è l'ID cartella della risorsa principale che vuoi negare. Questa risorsa e tutti i relativi figli nella gerarchia delle risorse verranno rifiutati.
Puoi anche applicare il prefisso under: a organizzazioni e progetti, come mostrato nei seguenti esempi:
- under:organizations/VALUE_X
- under:projects/VALUE_Y

Visualizza il criterio attualmente in vigore utilizzando describe --effective.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

L'output del comando sarà:

name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A

Ora il criterio valuta la negazione della cartella VALUE_A e di tutte le relative risorse figlio.

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Unisci i criteri dell'organizzazione in un progetto

Puoi impostare un criterio dell'organizzazione su una risorsa, che verrà unito a qualsiasi criterio ereditato dalla risorsa principale. Questo criterio unito verrà poi valutato per creare un nuovo criterio efficace in base alle regole di eredità.

Recupera il criterio corrente della risorsa utilizzando il comando describe:
```
gcloud org-policies describe \
  LIST_CONSTRAINT \
  --project=PROJECT_ID
```
Sostituisci quanto segue:
- PROJECT_ID: il identificatore univoco del tuo progetto.
- LIST_CONSTRAINT: la limitazione dell'elenco per il servizio che vuoi applicare.
Se non è impostato un criterio, viene restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

Visualizza il criterio attualmente in vigore utilizzando il comando describe --effective:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando includerà un valore negato ereditato dalla risorsa dell'organizzazione:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A

Imposta il criterio nel progetto utilizzando il comando set-policy.

Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  inheritFromParent: true
  rules:
  - values:
      deniedValues:
      - VALUE_B
      - VALUE_C

Esegui il comando set-policy:

gcloud org-policies set-policy /tmp/policy.yaml

Utilizza di nuovo il comando describe --effective per visualizzare il criterio aggiornato:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando includerà il risultato effettivo dell'unione del criterio della risorsa e di quello della risorsa principale:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
        - VALUE_A
        - VALUE_B
        - VALUE_C

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Ripristina il comportamento predefinito delle limitazioni

Puoi utilizzare il comando reset per reimpostare il criterio in modo da utilizzare il comportamento predefinito della limitazione. Per un elenco di tutti i vincoli disponibili e dei relativi valori predefiniti, consulta Vincoli dei criteri dell'organizzazione.L'esempio seguente presuppone che il comportamento predefinito del vincolo sia consentire tutti i valori.

Ottieni il criterio effettivo nel progetto per visualizzare il criterio unito corrente:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

Sostituisci PROJECT_ID con l'identificatore univoco del tuo progetto. L'output del comando sarà:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

Reimposta il criterio dell'organizzazione utilizzando il comando reset.

gcloud org-policies reset LIST_CONSTRAINT \
    --project=PROJECT_ID

Ottieni il criterio efficace per verificare il comportamento predefinito:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando consentirà tutti i valori:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Eliminare un criterio dell'organizzazione

Puoi eliminare un criterio dell'organizzazione da una risorsa. Una risorsa senza un insieme di criteri dell'organizzazione erediterà tutti i criteri della risorsa padre. Se elimini il criterio dell'organizzazione nella risorsa dell'organizzazione, il criterio effettivo sarà il comportamento predefinito del vincolo.

I passaggi riportati di seguito descrivono come eliminare un criterio dell'organizzazione in un'organizzazione.

Elimina il criterio nella risorsa dell'organizzazione utilizzando il comando delete:
```
gcloud org-policies delete \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Sostituisci ORGANIZATION_ID con l'identificatore univoco della risorsa dell'organizzazione. L'output del comando sarà:
```
Deleted policy
[organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT].
{}
```

Ottieni il criterio effettivo dell'organizzazione per verificare che non sia applicato:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

L'output del comando sarà:

name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

I passaggi riportati di seguito descrivono come eliminare un criterio dell'organizzazione in un progetto:

Elimina il criterio in un progetto utilizzando il comando delete:

gcloud org-policies delete \
  LIST_CONSTRAINT \
  --project=PROJECT_ID

dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

Deleted policy
[projects/PROJECT_ID/policies/LIST_CONSTRAINT].
{}

Ottieni il criterio valido nel progetto per verificare che non sia applicato:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando sarà:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Utilizzo dei vincoli booleani nei criteri dell'organizzazione

Configurare l'applicazione nella risorsa dell'organizzazione

Puoi impostare un criterio dell'organizzazione sulla risorsa dell'organizzazione per applicare un vincolo booleano. La procedura seguente descrive come impostare una policy dell'organizzazione utilizzando Google Cloud CLI. Per istruzioni su come visualizzare e impostare le norme dell'organizzazione utilizzando la console Google Cloud, consulta Creare e gestire le norme.

Ottieni il criterio corrente per la risorsa dell'organizzazione utilizzando il comando describe:
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Sostituisci ORGANIZATION_ID con l'identificatore univoco della risorsa dell'organizzazione. Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e gli ID cartella e ID progetto, rispettivamente.

Se non è impostato un criterio, verrà restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

Imposta il criterio nel progetto utilizzando il comando set-policy.

Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: true

Esegui il comando set-policy:

gcloud org-policies set-policy /tmp/policy.yaml

Visualizza il criterio attivo corrente utilizzando describe --effective:

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

L'output del comando sarà:

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Sostituire i criteri dell'organizzazione per un progetto

Per ignorare il criterio dell'organizzazione per un progetto, imposta un criterio che disattivi l'applicazione del vincolo booleano a tutte le risorse nella gerarchia sotto il progetto.

Recupera il criterio attuale nella risorsa per verificare che sia vuoto.
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID
```
dove PROJECT_ID è l'identificatore univoco del progetto.

Se non è impostato un criterio, verrà restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

Ottieni il criterio valido nel progetto, che conferma che il vincolo viene applicato a questo progetto.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando sarà:

name: projects/PROJECT_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

Imposta il criterio nel progetto utilizzando il comando set-policy.
1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:
```
name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: false
```
2. Esegui il comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```

Ottieni il criterio efficace per dimostrare che non viene più applicato al progetto.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando sarà:

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: false

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Eliminare un criterio dell'organizzazione

I passaggi riportati di seguito descrivono come eliminare un criterio dell'organizzazione in un'organizzazione e in un progetto.

Elimina il criterio dalla risorsa dell'organizzazione utilizzando il comando delete:
```
gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Sostituisci ORGANIZATION_ID con un identificatore univoco per la risorsa dell'organizzazione. L'output del comando sarà:
```
Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}
```

Ottieni il criterio effettivo dell'organizzazione per verificare che non sia applicato:

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

Se non è impostato un criterio, verrà restituito un errore NOT_FOUND:

ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

Elimina i criteri dell'organizzazione dal progetto utilizzando il comando delete:

gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID

L'output del comando sarà:

Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

Ottieni il criterio valido nel progetto per verificare che non sia applicato:
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID
```
Sostituisci PROJECT_ID con l'identificatore univoco del tuo progetto.

Se non è impostato un criterio, verrà restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Utilizzare i vincoli gestiti in un criterio dell'organizzazione

I vincoli gestiti sono vincoli predefiniti creati sulla piattaforma dei criteri dell'organizzazione personalizzati. Possono essere utilizzati in modo simile ai vincoli predefiniti, ma possono utilizzare Policy Simulator per il servizio di criteri dell'organizzazione e eseguire prove di simulazione dei criteri dell'organizzazione per implementare in modo più sicuro le modifiche ai criteri.

Visualizza e identifica i vincoli gestiti

Per visualizzare i vincoli gestiti disponibili per la tua organizzazione:

Console

Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.

Vai a Criteri dell'organizzazione
Dal selettore di progetti, seleziona il progetto, la cartella o l'organizzazione per cui vuoi visualizzare i criteri dell'organizzazione. Viene visualizzata la pagina Criteri dell'organizzazione, che mostra un elenco dei vincoli dei criteri dell'organizzazione disponibili per questa risorsa.
Puoi filtrare o ordinare l'elenco dei criteri dell'organizzazione per tipo di vincolo per trovare i vincoli gestiti. Seleziona dall'elenco il vincolo gestito di cui vuoi visualizzare i dettagli. Nella pagina Dettagli criterio visualizzata, puoi vedere l'origine di questo criterio dell'organizzazione, la valutazione del criterio applicato a questa risorsa e ulteriori dettagli sul vincolo.

gcloud

Per elencare i vincoli gestiti e personalizzati applicati nei criteri dell'organizzazione in un'organizzazione, utilizza il comando org-policies list-custom-constraints.

gcloud org-policies list-custom-constraints \
  --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Per visualizzare i dettagli di un determinato vincolo gestito per una risorsa, utilizza il comando org-policies describe-custom-constraint.

gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
    --organization=ORGANIZATION_ID

Sostituisci quanto segue:

CONSTRAINT_NAME: il nome del vincolo gestito su cui vuoi visualizzare i dettagli. Ad esempio, iam.managed.disableServiceAccountKeyUpload.
ORGANIZATION_ID: l'ID della tua organizzazione.

REST

Per elencare i vincoli gestiti e personalizzati impostati nei criteri dell'organizzazione in un'organizzazione, utilizza il metodo organizations.customConstraints.list.

  GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Creazione e aggiornamento dei vincoli gestiti

I criteri dell'organizzazione sono definiti dai valori impostati per ogni vincolo gestito. Possono essere configurati per una risorsa, ereditati da una risorsa principale o impostati sul comportamento predefinito gestito da Google.

Per creare o aggiornare un criterio in base a una limitazione gestita:

Console

Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.

Vai a Criteri dell'organizzazione

Nel selettore di progetti, seleziona il progetto, la cartella o l'organizzazione per cui vuoi modificare il criterio dell'organizzazione. Nella pagina Criteri dell'organizzazione visualizzata viene visualizzato un elenco filtrabile dei vincoli dei criteri dell'organizzazione disponibili per questa risorsa.
Seleziona dall'elenco il vincolo gestito per il quale vuoi aggiornare il criterio dell'organizzazione. Nella pagina Dettagli criterio, puoi visualizzare la fonte di questo criterio dell'organizzazione, la valutazione efficace del criterio in questa risorsa e ulteriori dettagli sulla limitazione gestita.
Per aggiornare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
Seleziona Aggiungi una regola.
In Applicazione, seleziona se l'applicazione di questo criterio dell'organizzazione deve essere attiva o disattivata.
Facoltativamente, per rendere il criterio dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta Impostazione di un criterio dell'organizzazione con tag.
(Facoltativo) Per visualizzare l'anteprima dell'impatto della modifica del criterio dell'organizzazione prima che venga applicata, fai clic su Verifica modifiche. Per ulteriori informazioni su come testare le modifiche ai criteri dell'organizzazione, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
Per applicare il criterio dell'organizzazione in modalità di prova, fai clic su Imposta criterio dry run. Per ulteriori informazioni, consulta Creare un criterio dell'organizzazione in modalità di prova.
Dopo aver verificato che il criterio dell'organizzazione in modalità di prova funzioni come previsto, imposta il criterio attivo facendo clic su Imposta criterio.

gcloud

Crea un file YAML per definire il criterio dell'organizzazione:
```
name: RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation
spec:
  rules:
  - enforce: ENFORCEMENT_STATE

dryRunSpec:
  rules:
  - enforce: ENFORCEMENT_STATE
```
Sostituisci quanto segue:
- RESOURCE_TYPE con organizations, folders o projects.
- RESOURCE_ID con l'ID organizzazione, l'ID cartella, l'ID progetto o il numero di progetto, a seconda del tipo di risorsa specificato in RESOURCE_TYPE.
- ENFORCEMENT_STATE con true per applicare questo criterio dell'organizzazione se impostato o false per disattivarlo se impostato.
Facoltativamente, per rendere il criterio dell'organizzazione condizionale su un tag, aggiungi un blocco condition a rules. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola incondizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta Impostazione di un criterio dell'organizzazione con tag.
Esegui il comando org-policies set-policy con il flag dryRunSpec per impostare il criterio dell'organizzazione in modalità di prova:
```
 gcloud org-policies set-policy POLICY_PATH \
   --update-mask=dryRunSpec
```
Sostituisci POLICY_PATH con il percorso completo del file YAML del criterio dell'organizzazione.

Per saperne di più sui criteri dell'organizzazione in modalità di prova, consulta Creare un criterio dell'organizzazione in modalità di prova.
Utilizza il comando policy-intelligence simulate orgpolicy per visualizzare l'anteprima dell'impatto della modifica delle norme dell'organizzazione prima che venga applicata:
```
gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --policies=POLICY_PATH
```
Sostituisci quanto segue:
- ORGANIZATION_ID con l'ID della tua organizzazione, ad esempio 1234567890123. La simulazione delle modifiche in più organizzazioni non è supportata.
- POLICY_PATH con il percorso completo del file YAML del criterio dell'organizzazione.
Per ulteriori informazioni su come testare le modifiche ai criteri dell'organizzazione, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
Dopo aver verificato che il criterio dell'organizzazione in modalità di prova funziona come previsto, imposta il criterio attivo con il comando org-policies set-policy e il flag spec:
```
gcloud org-policies set-policy POLICY_PATH \
  --update-mask=spec
```
Sostituisci POLICY_PATH con il percorso completo del file YAML del criterio dell'organizzazione.

REST

Per impostare il criterio dell'organizzazione, utilizza il metodo organizations.policies.create.

POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies

Corpo JSON della richiesta:

{
  "name": "RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation",
  "spec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
  "dryRunSpec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
}

Sostituisci quanto segue:

RESOURCE_TYPE con organizations, folders o projects.
RESOURCE_ID con l'ID organizzazione, l'ID cartella, l'ID progetto o il numero di progetto, a seconda del tipo di risorsa specificato in RESOURCE_TYPE.
ENFORCEMENT_STATE con true per applicare questo criterio dell'organizzazione se impostato o false per disattivarlo se impostato.

Facoltativamente, per rendere il criterio dell'organizzazione condizionale su un tag, aggiungi un blocco condition a rules. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola incondizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta Impostazione di un criterio dell'organizzazione con tag.

Per saperne di più sui criteri dell'organizzazione in modalità di prova, consulta Creare un criterio dell'organizzazione in modalità di prova.

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.