Google Cloud 组织政策可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于Google Cloud 资源层次结构中的Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。
组织政策为各种Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义限制条件并在自定义组织政策中强制执行这些自定义限制条件。
政策继承
如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策, Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则。
Cloud Armor 支持的资源
对于 Google Cloud Armor 资源,您可以对以下资源和字段设置自定义限制条件。
安全政策:
compute.googleapis.com/SecurityPolicy- 名称:
resource.name - 说明:
resource.description - 规则:
resource.rules[]- 标头操作:
resource.headerAction - 要添加的请求标头:
resource.headerAction.requestHeadersToAdds[]- 标头名称
resource.requestHeadersToAdds.requestHeadersToAdds[].headerName - 标头值:
resource.requestHeadersToAdds.requestHeadersToAdds[].headerValue
- 标头名称
- 匹配器:
resource.rules[].match - 版本化表达式:
resource.rules[].versionedExpr - 配置:
resource.rules[].config- 来源 IP 范围:
resource.rules[].config.srcIpRanges[]
- 来源 IP 范围:
- 表达式:
resource.rules[].expr - 表达式选项:
resource.rules[].exprOptions- reCAPTCHA 选项:
resource.rules[].exprOption.recaptchaOptions - 操作令牌网站密钥:
resource.rules[].exprOption.recaptchaOptions.actionTokenSiteKeys - 会话令牌网站密钥:
resource.rules[].exprOption.recaptchaOptions.sessionTokenSiteKeys
- reCAPTCHA 选项:
- 网络匹配器:
resource.rules[].networkMatch - 用户定义的字段匹配:
resource.rules[].userDefinedFieldMatch- 名称:
resource.rules[].userDefinedFieldMatch.name - 值:
resource.rules[].userDefinedFieldMatch.values
- 名称:
- 来源 IP 范围:
resource.rules[].srcIpRanges - 目标 IP 范围:
resource.rules[].destIpRanges - IP 协议:
resource.rules[].ipProtocols - 来源端口:
resource.rules[].srcPorts - 目标端口:
resource.rules[].destPorts - 来源区域代码:
resource.rules[].srcRegionCodes - 来源 ASN:
resource.rules[].srcAsns - 预配置的 WAF 配置:
resource.rules[].preconfiguredWafConfig - 排除项:
resource.rules[].preconfiguredWafConfig.exclusions[]- 目标规则集:
resource.rules[].preconfiguredWafConfig.exclusions[].targetRuleSet - 目标规则 ID:
resource.rules[].preconfiguredWafConfig.exclusions[].targetRuleIds[] - 要排除的请求标头:
resource.rules[].preconfiguredWafConfig.exclusions[].requestHeadersToExclude[] - 值:
resource.rules[].preconfiguredWafConfig.exclusions[].requestHeadersToExclude[].val - 操作:
resource.rules[].preconfiguredWafConfig.exclusions[].requestHeadersToExclude[].op - 要排除的请求 Cookie:
resource.rules[].preconfiguredWafConfig.exclusions[].requestCookiesToExclude[] - 值:
resource.rules[].preconfiguredWafConfig.exclusions[].requestCookiesToExclude[].val - 操作:
resource.rules[].preconfiguredWafConfig.exclusions[].requestCookiesToExclude[].op - 要排除的请求查询参数:
resource.rules[].preconfiguredWafConfig.exclusions[].requestQueryParamsToExclude[] - 值:
resource.rules[].preconfiguredWafConfig.exclusions[].requestQueryParamsToExclude[].val - 操作:
resource.rules[].preconfiguredWafConfig.exclusions[].requestQueryParamsToExclude[].op - 要排除的请求 URI:
resource.rules[].preconfiguredWafConfig.exclusions[].requestUrisToExclude[] - 值:
resource.rules[].preconfiguredWafConfig.exclusions[].requestUrisToExclude[].val - 操作:
resource.rules[].preconfiguredWafConfig.exclusions[].requestUrisToExclude[].op
- 目标规则集:
- 重定向选项:
resource.rules[].redirectOptions[] - 类型:
resource.rules[].redirectOptions[].type - 目标:
resource.rules[].redirectOptions[].target - 速率限制选项:
resource.rules[].rateLimitOptions[] - 速率限制阈值:
resource.rules[].rateLimitOptions[].rateLimitThreshold- 计数:
resource.rules[].rateLimitOptions[].rateLimitThreshold.count - 间隔时间(秒):
resource.rules[].rateLimitOptions[].rateLimitThreshold.intervalSec
- 计数:
- 符合阈值的操作:
resource.rules[].rateLimitOptions[].conformAction - 超出阈值后的操作:
resource.rules[].rateLimitOptions[].exceedAction - 超出阈值后的重定向选项:
resource.rules[].rateLimitOptions[].exceedRedirectOptions- 类型:
resource.rules[].rateLimitOptions[].exceedRedirectOptions.type - 目标:
resource.rules[].rateLimitOptions[].exceedRedirectOptions.target
- 类型:
- 超出阈值后的操作 RPC 状态:
resource.rules[].rateLimitOptions[].exceedActionRpcStatus- 代码:
resource.rules[].rateLimitOptions[].exceedActionRpcStatus.code - 消息:
resource.rules[].rateLimitOptions[].exceedActionRpcStatus.message
- 代码:
- 强制执行对象键:
resource.rules[].rateLimitOptions[].enforceOnKey - 强制执行对象键名称:
resource.rules[].rateLimitOptions[].enforceOnKeyName - 强制执行对象键配置:
resource.rules[].rateLimitOptions[].enforceOnKeyConfigs- 强制执行对象键类型:
resource.rules[].rateLimitOptions[].enforceOnKeyConfigs.enforceOnKeyType - 强制执行对象键名称:
resource.rules[].rateLimitOptions[].enforceOnKeyConfigs.enforceOnKeyName
- 强制执行对象键类型:
- 禁止阈值:
resource.rules[].rateLimitOptions[].banThreshold- 计数:
resource.rules[].rateLimitOptions[].banThreshold.count - 间隔时间(秒):
resource.rules[].rateLimitOptions[].banThreshold.intervalSec
- 计数:
- 禁止时长(秒):
resource.rules[].rateLimitOptions[].banDurationSec - 重定向目标:
resource.rules[].redirectTarget - 规则编号:
resource.rules[].ruleNumber
- 标头操作:
- 自动调节式保护配置:
resource.adaptiveProtectionConfig- 第 7 层 DDoS 攻击防御配置:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig - 启用:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.enable - 规则可见性:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.ruleVisibility - 阈值配置:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[]- 名称:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].name - 自动部署负载阈值:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].autoDeployLoadThreshold - 自动部署置信度阈值:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].autoDeployConfidenceThreshold - 自动部署受影响基准阈值:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].autoDeployImpactedBaselineThreshold - 自动部署到期时间(秒):
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].autoDeployExpirationSec - 检测负载阈值:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].detectionLoadThreshold - 检测绝对 QPS:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].detectionAbsoluteQps - 相对于基准 QPS 的检测:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].detectionRelativeToBaselineQps - 流量粒度配置:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].trafficGranularityConfigs[] - 类型:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].trafficGranularityConfigs[].type - 值:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].trafficGranularityConfigs[].value - 启用每个唯一值:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].trafficGranularityConfigs[].enableEachUniqueValue
- 名称:
- 自动部署配置:
resource.adaptiveProtectionConfig.autoDeployConfig - 加载阈值:
resource.adaptiveProtectionConfig.autoDeployConfig.loadThreshold - 置信度阈值:
resource.adaptiveProtectionConfig.autoDeployConfig.confidenceThreshold - 受影响基准阈值:
resource.adaptiveProtectionConfig.autoDeployConfig.impactedBaselineThreshold - 到期时间(秒):
resource.adaptiveProtectionConfig.autoDeployConfig.expirationSec
- 第 7 层 DDoS 攻击防御配置:
- 高级选项配置:
resource.advancedOptionsConfig- JSON 解析:
resource.advancedOptionsConfig,jsonParsing - JSON 自定义配置:
resource.advancedOptionsConfig,jsonCustomConfig - 内容类型:
resource.advancedOptionsConfig,jsonCustomConfig.contentTypes[] - 日志级别:
resource.advancedOptionsConfig.logLevel - 用户 IP 请求标头:
resource.advancedOptionsConfig.userIpRequestHeaders[]
- JSON 解析:
- DDoS 攻击防护配置:
resource.ddosProtectionConfig- DDoS 攻击防护:
resource.ddosProtectionConfig.ddosProtection
- DDoS 攻击防护:
- reCAPTCHA 选项配置:
resource.recaptchaOptionsConfig- 重定向网站密钥:
resource.recaptchaOptionsConfig.redirectSiteKey
- 重定向网站密钥:
- 类型:
resource.type - 用户定义的字段:
resource.userDefinedFields[]- 名称:
resource.userDefinedFields[].name - 基础:
resource.userDefinedFields[].base - 偏移:
resource.userDefinedFields[].offset - 大小:
resource.userDefinedFields[].size - 掩码:
resource.userDefinedFields[].mask
- 名称:
- 名称:
网络边缘安全服务:
compute.googleapis.com/NetworkEdgeSecurityService- 名称:
resource.name - 说明:
resource.description - 安全政策:
resource.securityPolicy
- 名称:
定义自定义限制条件
自定义限制条件由实施组织政策的服务支持的资源、方法、条件和操作定义。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 在自定义限制条件中构建条件,请参阅创建和管理组织政策的 CEL 部分。
准备工作
-
如果您尚未设置身份验证,请进行设置。身份验证用于验证您的身份,以便访问 Google Cloud 服务和 API。如需从本地开发环境运行代码或示例,您可以通过选择以下选项之一向 Compute Engine 进行身份验证:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
安装 Google Cloud CLI。 安装完成后,运行以下命令来初始化 Google Cloud CLI:
gcloud init如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI。
- Set a default region and zone.
REST
如需在本地开发环境中使用本页面上的 REST API 示例,请使用您提供给 gcloud CLI 的凭证。
安装 Google Cloud CLI。 安装完成后,运行以下命令来初始化 Google Cloud CLI:
gcloud init如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI。
如需了解详情,请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证。
所需的角色
如需获得管理 Cloud Armor 资源的组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:
-
组织资源的 Organization Policy Administrator (
roles/orgpolicy.policyAdmin) -
如需测试限制条件,则需要以下角色:
-
项目的 Compute Security Admin (
roles/compute.securityAdmin) -
项目的 Service Account User (
roles/iam.serviceAccountUser)
-
项目的 Compute Security Admin (
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色可提供管理 Cloud Armor 资源的组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理 Cloud Armor 资源的组织政策需要以下权限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
设置自定义限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 创建自定义限制条件并将其设置为在组织政策中使用。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
选择页面顶部的项目选择器。
在项目选择器中,选择要为其设置组织政策的资源。
点击 自定义限制条件。
在显示名称框中,为限制条件输入一个易记的名称。此字段的最大长度为 200 个字符。 请勿在限制条件名称中使用 PII 或敏感数据,因为这些可能会在错误消息中公开。
在限制条件 ID 框中,为新的自定义限制条件输入所需的名称。自定义限制条件必须以
custom.开头,只能包含大写字母、小写字母或数字,例如custom.requireSecurityPolicyWithStandardJsonParsing。该字段的长度上限为 70 个字符,不计算前缀(例如organizations/123456789/customConstraints/custom.)。在说明框中,输入直观易懂的限制条件说明,在违反政策时此说明内容会以错误消息的形式显示。此字段的最大长度为 2,000 个字符。
在资源类型框中,选择包含要限制的对象和字段的 Google CloudREST 资源的名称。例如
compute.googleapis.com/SecurityPolicy。在强制执行方法下,选择是仅对 REST
CREATE方法还是同时对 RESTCREATE和UPDATE方法强制执行限制条件。如需定义条件,请点击 修改条件。
在添加条件面板中,创建一个引用受支持的服务资源的 CEL 条件。此字段的最大长度为 1,000 个字符。
点击保存。
在操作下,选择在满足上述条件时是允许还是拒绝评估的方法。
点击创建限制条件。
在每个字段中输入值后,右侧将显示此自定义限制条件的等效 YAML 配置。
gcloud
如需使用 Google Cloud CLI 创建自定义限制条件,请创建一个 YAML 文件。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resource_types: compute.googleapis.com/RESOURCE_NAME method_types: – METHOD1 – METHOD2 condition: "CONDITION" action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTION
替换以下内容:
ORGANIZATION_ID:您的组织 ID,例如123456789。CONSTRAINT_NAME:新的自定义限制条件的名称。 自定义限制条件必须以custom.开头,只能包含大写字母、小写字母或数字,例如custom.requireSecurityPolicyWithStandardJsonParsing。该字段的长度上限为 70 个字符,不计算前缀(例如organizations/123456789/customConstraints/custom)。RESOURCE_NAME:包含要限制的对象和字段的 Compute Engine API REST 资源的名称(而非 URI)。例如SecurityPolicy。METHOD1,METHOD2,...:要对其强制执行限制条件的 RESTful 方法的列表。可以是CREATE或CREATE和UPDATE。CONDITION:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的最大长度为 1000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。ACTION:满足condition时要执行的操作。可以是ALLOW或DENY。DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的最大长度为 2,000 个字符。
如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件。
为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用gcloud org-policies set-custom-constraint命令:gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH替换为自定义限制条件文件的完整路径。例如/home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用gcloud org-policies list-custom-constraints命令:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID替换为您的组织资源的 ID。 如需了解详情,请参阅查看组织政策。强制执行自定义限制条件
如需强制执行限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。控制台
- 在 Google Cloud 控制台中,前往组织政策页面。
- 在项目选择器中,选择要设置组织政策的项目。
- 从组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
- 如需为该资源配置组织政策,请点击管理政策。
- 在修改政策页面,选择覆盖父级政策。
- 点击添加规则。
- 在强制执行部分中,选择开启还是关闭此组织政策的强制执行。
- (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策。
- 点击测试更改以模拟组织政策的效果。政策模拟不适用于旧版托管式限制。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
- 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。
gcloud
如需创建包含布尔值规则的组织政策,请创建引用该限制条件的 YAML 政策文件:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
请替换以下内容:
-
PROJECT_ID:要对其实施限制条件的项目。 -
CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.requireSecurityPolicyWithStandardJsonParsing
如需强制执行包含限制条件的组织政策,请运行以下命令:
gcloud org-policies set-policy POLICY_PATH
将
POLICY_PATH替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。示例:创建一个限制条件以要求所有安全政策都启用标准 JSON 解析
此限制条件可防止创建未启用标准 JSON 解析的安全政策。
gcloud
创建一个包含以下信息的
requireStandardJsonParsing.yaml限制条件文件。name: organizations/ORGANIZATION_ID/customConstraints/custom.requireStandardJsonParsing resource_types: compute.googleapis.com/SecurityPolicy condition: "resource.advancedOptionsConfig.jsonParsing != 'STANDARD'" action_type: DENY method_types: [CREATE, UPDATE] display_name: Security policies must have standard JSON parsing enabled.
将
ORGANIZATION_ID替换为您的组织 ID。设置自定义限制条件。
gcloud org-policies set-custom-constraint requireStandardJsonParsing.yaml
创建一个包含以下示例中提供的信息的
requireStandardJsonParsing-policy.yaml政策文件,并在项目级强制执行此限制条件。您也可以在组织级或文件夹级设置此限制条件。name: projects/PROJECT_ID/policies/custom.requireStandardJsonParsing spec: rules: – enforce: true
将
PROJECT_ID替换为您的项目 ID。强制执行该政策:
gcloud org-policies set-policy requireStandardJsonParsing-policy.yaml
如需测试限制条件,请创建未设置 JSON 解析字段的安全政策。
gcloud compute security-policies create my-policy \ --type=CLOUD_ARMOR输出类似于以下内容:
ERROR: (gcloud.compute.securityPolicies.create) Could not fetch resource: - Operation denied by custom org policy: [customConstraints/custom.requireStandardJsonParsing] : Security policies must have standard JSON parsing enabled.
价格
组织政策服务(包括预定义限制条件和自定义组织政策)可免费使用。
后续步骤
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-10-19。
-