Questa guida spiega come creare un criterio dell'organizzazione con un determinato vincolo. I vincoli utilizzati negli esempi di questa pagina non saranno vincoli effettivi, ma esempi semplificati a scopo didattico.
Per saperne di più sui vincoli e sui problemi che risolvono, consulta l'elenco di tutti i vincoli del servizio Norme dell'organizzazione.
Prima di iniziare
Leggi la pagina Introduzione al servizio Criteri dell'organizzazione per scoprire come funzionano i criteri dell'organizzazione.
Leggi la pagina Informazioni sulla valutazione della gerarchia per approfondire l'eredità dei criteri.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire le norme dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM Amministratore delle norme dell'organizzazione (roles/orgpolicy.policyAdmin
) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Utilizzare i vincoli degli elenchi con un criterio dell'organizzazione
Puoi impostare un criterio dell'organizzazione nella risorsa dell'organizzazione che utilizzi un vincolo di elenco per negare l'accesso a un determinato servizio. La procedura riportata di seguito descrive come impostare un criterio dell'organizzazione utilizzando Google Cloud CLI. Per istruzioni su come visualizzare e impostare i criteri dell'organizzazione utilizzando la console Google Cloud, consulta Creare e gestire i criteri.
I criteri dell'organizzazione che utilizzano vincoli di elenco non possono avere più di 500 valori individuali consentiti o vietati e non possono superare i 32 KB. Se un criterio dell'organizzazione viene creato o aggiornato in modo da avere più di 500 valori o avere dimensioni superiori a 32 KB, non può essere salvato correttamente e la richiesta restituirà un errore.
Configurare l'applicazione nella risorsa dell'organizzazione
Per configurare l'applicazione delle norme in un'organizzazione utilizzando gcloud CLI, segui questi passaggi:
Recupera il criterio corrente per la risorsa dell'organizzazione utilizzando il comando
describe
. Questo comando restituisce il criterio applicato direttamente a questa risorsa:gcloud org-policies describe \ LIST_CONSTRAINT --organization=ORGANIZATION_ID
Sostituisci quanto segue:
ORGANIZATION_ID
: un identificatore univoco per la risorsa dell'organizzazione. L'ID organizzazione è formattato come numeri decimali e non può avere zeri iniziali.LIST_CONSTRAINT
: la limitazione dell'elenco per il servizio che vuoi applicare. Ad esempio, il vincoloconstraints/gcp.restrictNonCmekServices
limita i servizi che possono creare risorse senza chiavi di crittografia gestite dal cliente (CMEK).
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag
--folder
o--project
e, rispettivamente, con l'ID cartella e l'ID progetto.La risposta restituisce il criterio dell'organizzazione corrente, se esistente. Ad esempio:
name: projects/841166443394/policies/gcp.resourceLocations spec: etag: BwW5P5cEOGs= inheritFromParent: true rules: - condition: expression: resource.matchTagId("tagKeys/1111", "tagValues/2222") values: allowedValues: - in:us-east1-locations - condition: expression: resource.matchTag("123/env", "prod") values: allowedValues: - in:us-west1-locations - values: deniedValues: - in:asia-south1-locations updateTime: '2021-01-19T12:00:51.095Z'
Se non è impostato un criterio, verrà restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Imposta il criterio nell'organizzazione utilizzando il comando
set-policy
. Questo sostituisce qualsiasi criterio associato alla risorsa.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
. Viene restituito il criterio dell'organizzazione così come viene valutato in questo punto della gerarchia delle risorse con l'eredità inclusa.gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: etag: BwVJi0OOESU= rules: - values: deniedValues: - VALUE_A
Poiché questo criterio dell'organizzazione è stato impostato a livello di organizzazione, verrà ereditato da tutte le risorse secondarie che consentono l'ereditarietà.
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Configurare l'applicazione delle norme in un sottoalbero della gerarchia
I vincoli dell'elenco accettano valori definiti in modo esplicito per determinare quali risorse devono essere consentite o negate. Alcuni vincoli possono accettare anche valori che utilizzano il prefisso under:
, che specifica un sottoalbero con la risorsa come radice.
L'utilizzo del prefisso under:
su un valore consentito o negato fa sì che il criterio dell'organizzazione agisca sulla risorsa e su tutti i relativi elementi secondari. Per informazioni sui vincoli che consentono l'utilizzo del prefisso under:
, consulta la pagina Vincoli dei criteri dell'organizzazione.
Un valore che utilizza il prefisso under:
è chiamato stringa del sottoalbero della gerarchia. Una stringa del sottoalbero della gerarchia specifica il tipo di risorsa a cui si applica. Ad esempio, l'utilizzo di una stringa del sottoalbero di projects/PROJECT_ID
quando viene impostato il vincolo constraints/compute.storageResourceUseRestrictions
consente o nega l'utilizzo dello spazio di archiviazione Compute Engine per PROJECT_ID
e per tutti i relativi elementi secondari.
Recupera il criterio corrente per la risorsa dell'organizzazione utilizzando il comando
describe
:gcloud org-policies describe \ LIST_CONSTRAINT \ --organization=ORGANIZATION_ID
Sostituisci quanto segue:
ORGANIZATION_ID
è un identificatore univoco per la risorsa dell'organizzazione.LIST_CONSTRAINT
è il vincolo dell'elenco per il servizio che vuoi applicare.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag
--folder
o--project
e, rispettivamente, con l'ID cartella e l'ID progetto.Se non è impostato un criterio, verrà restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Imposta il criterio nel progetto utilizzando il comando
set-policy
. Il prefissounder:
imposta il vincolo per negare la risorsa denominata e tutte le sue risorse figlie.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - under:folders/VALUE_A
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Dove:
under:
è un prefisso che indica che quanto segue è una stringa di sottoalbero.folders/VALUE_A
è l'ID cartella della risorsa principale che vuoi negare. Questa risorsa e tutti i relativi figli nella gerarchia delle risorse verranno rifiutati.
Puoi anche applicare il prefisso
under:
a organizzazioni e progetti, come mostrato nei seguenti esempi:under:organizations/VALUE_X
under:projects/VALUE_Y
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
.gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - under:folders/VALUE_A
Ora il criterio valuta la negazione della cartella VALUE_A e di tutte le relative risorse figlio.
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Unisci i criteri dell'organizzazione in un progetto
Puoi impostare un criterio dell'organizzazione su una risorsa, che verrà unito a qualsiasi criterio ereditato dalla risorsa principale. Questa norma unita verrà poi valutata per creare una nuova norma efficace in base alle regole di eredità.
Recupera il criterio corrente della risorsa utilizzando il comando
describe
:gcloud org-policies describe \ LIST_CONSTRAINT \ --project=PROJECT_ID
Sostituisci quanto segue:
PROJECT_ID
: il identificatore univoco del tuo progetto.LIST_CONSTRAINT
: la limitazione dell'elenco per il servizio che vuoi applicare.
Se non è impostato un criterio, verrà restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Visualizza il criterio attualmente in vigore utilizzando il comando
describe --effective
:gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando includerà un valore negato ereditato dalla risorsa dell'organizzazione:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A
Imposta il criterio nel progetto utilizzando il comando
set-policy
.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: inheritFromParent: true rules: - values: deniedValues: - VALUE_B - VALUE_C
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Utilizza di nuovo il comando
describe --effective
per visualizzare il criterio aggiornato:gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando includerà il risultato effettivo dell'unione del criterio della risorsa e della risorsa principale:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A - VALUE_B - VALUE_C
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Ripristina il comportamento predefinito delle limitazioni
Puoi utilizzare il comando reset
per reimpostare il criterio in modo da utilizzare il comportamento predefinito della limitazione. Per un elenco di tutti i vincoli disponibili e dei relativi valori predefiniti, consulta Vincoli dei criteri dell'organizzazione.L'esempio seguente presuppone che il comportamento predefinito del vincolo sia consentire tutti i valori.
Ottieni il criterio effettivo nel progetto per visualizzare il criterio unito corrente:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
Sostituisci PROJECT_ID con l'identificatore univoco del tuo progetto. L'output del comando sarà:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A - VALUE_B - VALUE_C
Reimposta il criterio dell'organizzazione utilizzando il comando
reset
.gcloud org-policies reset LIST_CONSTRAINT \ --project=PROJECT_ID
Ottieni il criterio effettivo per verificare il comportamento predefinito:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando consentirà tutti i valori:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Eliminare un criterio dell'organizzazione
Puoi eliminare un criterio dell'organizzazione da una risorsa. Una risorsa senza un insieme di criteri dell'organizzazione erediterà tutti i criteri della risorsa padre. Se elimini il criterio dell'organizzazione nella risorsa dell'organizzazione, il criterio effettivo sarà il comportamento predefinito del vincolo.
I passaggi riportati di seguito descrivono come eliminare un criterio dell'organizzazione in un'organizzazione.
Elimina il criterio nella risorsa dell'organizzazione utilizzando il comando
delete
:gcloud org-policies delete \ LIST_CONSTRAINT \ --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'identificatore univoco della risorsa dell'organizzazione. L'output del comando sarà:
Deleted policy [organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT]. {}
Ottieni il criterio effettivo dell'organizzazione per verificare che non sia applicato:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
I passaggi riportati di seguito descrivono come eliminare un criterio dell'organizzazione in un progetto:
Elimina il criterio in un progetto utilizzando il comando
delete
:gcloud org-policies delete \ LIST_CONSTRAINT \ --project=PROJECT_ID
dove
PROJECT_ID
è l'identificatore univoco del progetto. L'output del comando sarà:Deleted policy [projects/PROJECT_ID/policies/LIST_CONSTRAINT]. {}
Ottieni il criterio valido nel progetto per verificare che non sia applicato:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando sarà:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Utilizzo dei vincoli booleani nei criteri dell'organizzazione
Configurare l'applicazione nella risorsa dell'organizzazione
Puoi impostare un criterio dell'organizzazione nella risorsa dell'organizzazione per applicare un vincolo booleano. La procedura seguente descrive come impostare un criterio dell'organizzazione utilizzando Google Cloud CLI. Per istruzioni su come visualizzare e impostare le norme dell'organizzazione utilizzando la console Google Cloud, consulta Creare e gestire le norme.
Ottieni il criterio corrente per la risorsa dell'organizzazione utilizzando il comando
describe
:gcloud org-policies describe \ BOOLEAN_CONSTRAINT \ --organization=ORGANIZATION_ID
Sostituisci
ORGANIZATION_ID
con l'identificatore univoco della risorsa dell'organizzazione. Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag--folder
o--project
e, rispettivamente, con l'ID cartella e l'ID progetto.Se non è impostato un criterio, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Imposta il criterio nel progetto utilizzando il comando
set-policy
.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT spec: rules: - enforce: true
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
:gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: true
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Sostituire i criteri dell'organizzazione per un progetto
Per ignorare il criterio dell'organizzazione per un progetto, imposta un criterio che disattivi l'applicazione del vincolo booleano a tutte le risorse nella gerarchia sotto il progetto.
Recupera il criterio attuale nella risorsa per mostrare che è vuoto.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT \ --project=PROJECT_ID
dove
PROJECT_ID
è l'identificatore univoco del progetto.Se non è impostato un criterio, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Ottieni il criterio valido per il progetto, che conferma che il vincolo viene applicato a questo progetto.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando sarà:
name: projects/PROJECT_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: true
Imposta il criterio nel progetto utilizzando il comando
set-policy
.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT spec: rules: - enforce: false
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Ottieni il criterio efficace per dimostrare che non viene più applicato al progetto.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: false
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Eliminare un criterio dell'organizzazione
Puoi eliminare un criterio dell'organizzazione da una risorsa. Una risorsa senza un insieme di criteri dell'organizzazione erediterà tutti i criteri della risorsa padre. Se elimini il criterio dell'organizzazione nella risorsa dell'organizzazione, il criterio effettivo sarà il comportamento predefinito dei vincoli.
I passaggi riportati di seguito descrivono come eliminare un criterio dell'organizzazione in un'organizzazione e in un progetto.
Elimina il criterio dalla risorsa dell'organizzazione utilizzando il comando
delete
:gcloud org-policies delete \ BOOLEAN_CONSTRAINT \ --organization=ORGANIZATION_ID
Sostituisci
ORGANIZATION_ID
con un identificatore univoco per la risorsa dell'organizzazione. L'output del comando sarà:Deleted policy [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT]. {}
Ottieni il criterio effettivo dell'organizzazione per verificare che non sia applicato:
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
Se non è impostato un criterio, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Elimina i criteri dell'organizzazione dal progetto utilizzando il comando
delete
:gcloud org-policies delete \ BOOLEAN_CONSTRAINT \ --project=PROJECT_ID
L'output del comando sarà:
Deleted policy [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT]. {}
Ottieni il criterio valido nel progetto per verificare che non sia applicato:
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
Sostituisci
PROJECT_ID
con l'identificatore univoco del tuo progetto.Se non è impostato un criterio, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Utilizzare i vincoli gestiti in un criterio dell'organizzazione
I vincoli gestiti sono vincoli predefiniti creati sulla piattaforma dei criteri dell'organizzazione personalizzati. Possono essere utilizzati in modo simile ai vincoli predefiniti, ma possono utilizzare Policy Simulator per il servizio di criteri dell'organizzazione e eseguire il dry run dei criteri dell'organizzazione per implementare in modo più sicuro le modifiche ai criteri.
Visualizza e identifica i vincoli gestiti
Per visualizzare i vincoli gestiti disponibili per la tua organizzazione:
Console
Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
Dal selettore di progetti, seleziona il progetto, la cartella o l'organizzazione per cui vuoi visualizzare i criteri dell'organizzazione. Viene visualizzata la pagina Criteri dell'organizzazione, che mostra un elenco dei vincoli dei criteri dell'organizzazione disponibili per questa risorsa.
Puoi filtrare o ordinare l'elenco dei criteri dell'organizzazione per tipo di vincolo per trovare i vincoli gestiti. Seleziona dall'elenco il vincolo gestito di cui vuoi visualizzare i dettagli. Nella pagina Dettagli criterio visualizzata, puoi vedere l'origine di questo criterio dell'organizzazione, la valutazione del criterio applicato a questa risorsa e ulteriori dettagli sul vincolo.
gcloud
Per elencare i vincoli gestiti e personalizzati applicati nei criteri dell'organizzazione
in un'organizzazione, utilizza il
comando
org-policies list-custom-constraints
.
gcloud org-policies list-custom-constraints \
--organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.
Per visualizzare i dettagli di un determinato vincolo gestito per una risorsa, utilizza il comando
org-policies describe-custom-constraint
.
gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
--organization=ORGANIZATION_ID
Sostituisci quanto segue:
CONSTRAINT_NAME
: il nome del vincolo gestito su cui vuoi visualizzare i dettagli. Ad esempio,iam.managed.disableServiceAccountKeyUpload
.ORGANIZATION_ID
: l'ID della tua organizzazione.
REST
Per elencare i vincoli gestiti e personalizzati impostati nei criteri dell'organizzazione in un'organizzazione, utilizza il metodo organizations.customConstraints.list
.
GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints
Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.
Creazione e aggiornamento dei vincoli gestiti
I criteri dell'organizzazione sono definiti dai valori impostati per ogni vincolo gestito. Possono essere configurati per una risorsa, ereditati da una risorsa principale o impostati sul comportamento predefinito gestito da Google.
Per creare o aggiornare un criterio in base a una limitazione gestita:
Console
- Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
Vai a Criteri dell'organizzazione
Nel selettore di progetti, seleziona il progetto, la cartella o l'organizzazione per cui vuoi modificare il criterio dell'organizzazione. Nella pagina visualizzata, Criteri dell'organizzazione, viene visualizzato un elenco filtrabile dei vincoli dei criteri dell'organizzazione disponibili per questa risorsa.
Seleziona dall'elenco il vincolo gestito per il quale vuoi aggiornare il criterio dell'organizzazione. Nella pagina Dettagli criterio, puoi visualizzare la fonte di questo criterio dell'organizzazione, la valutazione efficace del criterio in questa risorsa e ulteriori dettagli sulla limitazione gestita.
Per aggiornare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
Nella pagina Modifica criterio, seleziona Ignora criterio della risorsa padre.
Seleziona Aggiungi una regola.
In Applicazione, seleziona se l'applicazione di questo criterio dell'organizzazione deve essere attiva o disattivata.
Facoltativamente, per rendere la norma dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta Impostazione di un criterio dell'organizzazione con tag.
(Facoltativo) Per visualizzare l'anteprima dell'impatto della modifica del criterio dell'organizzazione prima che venga applicata, fai clic su Testa modifiche. Per ulteriori informazioni su come testare le modifiche ai criteri dell'organizzazione, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
Per applicare il criterio dell'organizzazione in modalità di prova, fai clic su Imposta criterio dry run. Per ulteriori informazioni, consulta Creare un criterio dell'organizzazione in modalità di prova.
Dopo aver verificato che il criterio dell'organizzazione in modalità di prova funzioni come previsto, imposta il criterio attivo facendo clic su Imposta criterio.
gcloud
Crea un file YAML per definire il criterio dell'organizzazione:
name: RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation spec: rules: - enforce: ENFORCEMENT_STATE dryRunSpec: rules: - enforce: ENFORCEMENT_STATE
Sostituisci quanto segue:
RESOURCE_TYPE
conorganizations
,folders
oprojects
.RESOURCE_ID
con l'ID organizzazione, l'ID cartella, l'ID progetto o il numero di progetto, a seconda del tipo di risorsa specificato inRESOURCE_TYPE
.ENFORCEMENT_STATE
contrue
per applicare questo criterio dell'organizzazione se impostato ofalse
per disattivarlo se impostato.
Facoltativamente, per rendere il criterio dell'organizzazione condizionale su un tag, aggiungi un blocco
condition
arules
. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola incondizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta Impostazione di un criterio dell'organizzazione con tag.Esegui il comando
org-policies set-policy
con il flagdryRunSpec
per impostare il criterio dell'organizzazione in modalità di prova:gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Sostituisci
POLICY_PATH
con il percorso completo del file YAML del criterio dell'organizzazione.Per saperne di più sui criteri dell'organizzazione in modalità di prova, consulta Creare un criterio dell'organizzazione in modalità di prova.
Utilizza il comando
policy-intelligence simulate orgpolicy
per visualizzare l'anteprima dell'impatto della modifica delle norme dell'organizzazione prima che venga applicata:gcloud policy-intelligence simulate orgpolicy \ --organization=ORGANIZATION_ID \ --policies=POLICY_PATH
Sostituisci quanto segue:
ORGANIZATION_ID
con l'ID della tua organizzazione, ad esempio1234567890123
. La simulazione delle modifiche in più organizzazioni non è supportata.POLICY_PATH
con il percorso completo del file YAML del criterio dell'organizzazione.
Per ulteriori informazioni su come testare le modifiche ai criteri dell'organizzazione, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
Dopo aver verificato che il criterio dell'organizzazione in modalità di prova funziona come previsto, imposta il criterio attivo con il comando
org-policies set-policy
e il flagspec
:gcloud org-policies set-policy POLICY_PATH \ --update-mask=spec
Sostituisci
POLICY_PATH
con il percorso completo del file YAML del criterio dell'organizzazione.
REST
Per impostare il criterio dell'organizzazione, utilizza il metodo
organizations.policies.create
.
POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies
Corpo JSON della richiesta:
{
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation",
"spec": {
"rules": [
{
"enforce": ["ENFORCEMENT_STATE"]
}
]
}
"dryRunSpec": {
"rules": [
{
"enforce": ["ENFORCEMENT_STATE"]
}
]
}
}
Sostituisci quanto segue:
RESOURCE_TYPE
conorganizations
,folders
oprojects
.RESOURCE_ID
con l'ID organizzazione, l'ID cartella, l'ID progetto o il numero di progetto, a seconda del tipo di risorsa specificato inRESOURCE_TYPE
.ENFORCEMENT_STATE
contrue
per applicare questo criterio dell'organizzazione se impostato ofalse
per disattivarlo se impostato.
Facoltativamente, per rendere il criterio dell'organizzazione condizionale su un tag, aggiungi un blocco condition
a rules
. Se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola incondizionale, altrimenti il criterio non può essere salvato. Per maggiori dettagli, consulta
Impostazione di un criterio dell'organizzazione con tag.
Per saperne di più sui criteri dell'organizzazione in modalità di prova, consulta Creare un criterio dell'organizzazione in modalità di prova.
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.