このページは Cloud Translation API によって翻訳されました。

カスタム組織ポリシーを使用する

Google Cloud 組織のポリシーを使用すると、組織のリソースをプログラムで一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソースや、Google Cloud リソース階層内のそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクトレベルで適用できます。

組織のポリシーは、さまざまなGoogle Cloud サービスに事前定義された制約を提供します。ただし、組織のポリシーで制限されている特定のフィールドをカスタマイズ可能な方法でより詳細に制御する必要がある場合は、カスタムの組織のポリシーを作成することもできます。

カスタムの組織のポリシーを実装すると、一貫した構成と制限を適用できます。これにより、AlloyDB for PostgreSQL インスタンスがセキュリティのベストプラクティスと規制要件に準拠します。

カスタム制約が適用されているときにインスタンスの作成または更新を試みると、オペレーションは失敗します。カスタム組織のポリシーを使用する組織またはフォルダに追加されたプロジェクトは、そのポリシーの制約を継承します。

ポリシーの継承

デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud によって、そのフォルダ内のすべてのプロジェクトにそのポリシーが適用されます。この動作の詳細と変更方法については、階層評価ルールをご覧ください。

料金

事前定義の組織のポリシーやカスタムの組織のポリシーを含む組織のポリシーサービスは料金なしで利用できます。

制限事項

すべての組織のポリシーの制約と同様に、ポリシーの変更は既存のインスタンスに遡及的には適用されません。

新しいポリシーは、既存のインスタンス構成には影響しません。
Google Cloud コンソール、Google Cloud CLI、または RPC を使用してインスタンス構成をコンプライアンス状態から非コンプライアンス状態に変更しない限り、既存のインスタンス構成は有効なままです。
メンテナンスはインスタンスの構成を変更しないので、定期メンテナンス更新によってポリシーが適用されることはありません。

始める前に

プロジェクトを設定します。
1. 組織 ID を確実に把握します。

必要なロール

組織のポリシーを管理するために必要な権限を取得するには、次の IAM ロールを付与するように管理者に依頼してください。

組織リソースに対する組織のポリシー管理者（roles/orgpolicy.policyAdmin）
AlloyDB クラスタを作成または更新するには:プロジェクトリソースに対する AlloyDB 管理者（roles/alloydb.admin）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

カスタム制約を作成する

カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language（CEL）を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。

組織ポリシーは、制約ごとの設定値を使って定義されます。組織のポリシー管理者は、カスタム制約を作成して、プロジェクト、フォルダ、または組織レベルで AlloyDB のパブリック IP 構成を制限できます。

カスタム制約（customConstraints/custom.restrictPublicIP など）を作成して、AlloyDB インスタンスのパブリック IP アクセスを制限できます。このブール型制約が設定されている AlloyDB インスタンスに対するパブリック IP の構成が制限されます。この制約は遡及的ではありません。パブリック IP アクセスがすでにある AlloyDB インスタンスは、この制約の適用後も機能します。

デフォルトでは、AlloyDB インスタンスへのパブリック IP アクセスは許可されています。

次のように、カスタム制約の YAML ファイルを作成します。

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- alloydb.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

次のように置き換えます。

ORGANIZATION_ID: 組織 ID（123456789 など）。
CONSTRAINT_NAME: 新しいカスタム制約に付ける名前。カスタム制約は custom. で始まる必要があり、大文字、小文字、数字のみを含めることができます（例: custom.restrictPublicIP）。このフィールドの最大長は 70 文字です。接頭辞（例: organizations/123456789/customConstraints/custom）はカウントされません。
RESOURCE_NAME: 制限するオブジェクトとフィールドを含む AlloyDB REST リソースの名前（URI ではない）。例: Instance
CONDITION: サポート対象のサービスリソースの表現に対して書き込まれる CEL 条件。このフィールドの最大長は 1000 文字です。条件の書き込み先として使用できるリソースの詳細については、サポートされているカスタム制約をご覧ください。例: "resource.networkConfig.enablePublicIp == true"
ACTION: condition が満たされている場合に実行するアクション。ALLOW または DENY になります。
DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。このフィールドの最大長は 200 文字です。
DESCRIPTION: ポリシー違反時にエラーメッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドの最大長は 2000 文字です。

カスタム制約の作成方法については、カスタム制約の定義をご覧ください。

カスタム制約を設定する

新しいカスタム制約の YAML ファイルを作成したら、組織内の組織のポリシーで使用できるように設定する必要があります。カスタム制約を設定するには、gcloud org-policies set-custom-constraint コマンドを使用します。

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

CONSTRAINT_PATH は、カスタム制約ファイルのフルパスに置き換えます。たとえば、/home/user/customconstraint.yaml です。完了すると、カスタム制約が組織のポリシーとして Google Cloud 組織のポリシーのリストに表示されます。カスタム制約が存在することを確認するには、gcloud org-policies list-custom-constraints コマンドを使用します。

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

ORGANIZATION_ID は、組織リソースの ID に置き換えます。詳細については、組織のポリシーの表示をご覧ください。

カスタムの組織のポリシーを適用する

ブール型制約を適用するには、それを参照する組織のポリシーを作成し、 Google Cloud リソースに適用します。

コンソール

Google Cloud コンソールで、[組織のポリシー] ページに移動します。
[組織のポリシー] に移動
プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
[組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
[ポリシーの編集] ページで、[Override parent's policy] を選択します。
[ルールを追加] をクリックします。
[適用] セクションで、この組織のポリシーの適用を有効にするかどうかを選択します。
省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグ付きの組織のポリシーの設定をご覧ください。
カスタム制約の場合は、[変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートできます。詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
組織のポリシーを完成させて適用するには、[ポリシーを設定] をクリックします。ポリシーが有効になるまでに最大 15 分かかります。

gcloud

ブール型制約を適用する組織のポリシーを作成するには、制約を参照するポリシー YAML ファイルを作成します。

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

次のように置き換えます。

PROJECT_ID: 制約を適用するプロジェクト。
CONSTRAINT_NAME: カスタム制約に定義した名前。たとえば、custom.restrictPublicIP のようにします。

制約を含む組織のポリシーを適用するには、次のコマンドを実行します。

    gcloud org-policies set-policy POLICY_PATH

POLICY_PATH は、組織のポリシーの YAML ファイルのパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。

サポートされているカスタム制約

パブリック IP アドレスを制限する次のカスタム制約を適用できます。

説明	制約の構文の例
組織のポリシーを使用してパブリック IP アクセスを制限する	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.restrictPublicIP resourceTypes: - alloydb.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.networkConfig.enablePublicIp == true" actionType: DENY displayName: Restrict public IP access on AlloyDB instances description: Prevent users from enabling public IP on instance creation and update.

説明

制約の構文の例

組織のポリシーを使用してパブリック IP アクセスを制限する

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictPublicIP
    resourceTypes:
    - alloydb.googleapis.com/Instance
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.networkConfig.enablePublicIp == true"
    actionType: DENY
    displayName: Restrict public IP access on AlloyDB instances
    description: Prevent users from enabling public IP on instance creation and update.

AlloyDB でサポートされているオペレーション

AlloyDB は、次のオペレーション中に組織のポリシーを適用します。

インスタンスの作成
インスタンスの更新

次のステップ

組織のポリシーの詳細について、組織のポリシーサービスの概要を確認する。
組織のポリシーの作成と管理の方法について学習する。
事前定義された組織のポリシーの制約の完全なリストを確認する。
パブリック IP を使用して接続する。
プライマリインスタンスを作成します。