Utilizzare i criteri dell'organizzazione personalizzati

I criteri dell'organizzazione Google Cloud ti offrono un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorse Google Cloud e ai relativi discendenti nella gerarchia delle risorse Google Cloud. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.

I criteri dell'organizzazione forniscono vincoli predefiniti per vari servizi Google Cloud. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nelle norme dell'organizzazione, puoi anche creare norme dell'organizzazione personalizzate.

Vantaggi

• Sicurezza, conformità e governance: puoi utilizzare i criteri dell'organizzazione personalizzati come segue:
  • Per applicare i requisiti di sicurezza, puoi imporre l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK).
  • Puoi limitare qualsiasi campo passato quando crei o aggiorni un repository.

Ereditarietà dei criteri

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Google Cloud lo applica a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Prezzi

Il servizio relativo ai criteri dell'organizzazione, inclusi i criteri predefiniti e personalizzati, viene fornito senza costi.

Prima di iniziare

1. Abilita Artifact Registry e installa Google Cloud CLI.
2. (Facoltativo) Configura i valori predefiniti per i comandi gcloud CLI.
3. Se hai bisogno di chiavi di crittografia gestite dal cliente (CMEK) per criptare i contenuti del repository, crea e abilita una chiave in Cloud KMS per il repository.
4. Assicurati di conoscere il ID organizzazione.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM:

• Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) nella risorsa dell'organizzazione
• Per testare il criterio dell'organizzazione: Amministratore del registry degli elementi (roles/artifactregistry.admin) nella risorsa dell'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire i criteri dell'organizzazione. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Creare un vincolo personalizzato

Un vincolo personalizzato viene definito in un file YAML dalle risorse, dai metodi, dalle condizioni e dalle azioni supportate dal servizio su cui stai applicando il criterio dell'organizzazione. Le condizioni per i vincoli personalizzati vengono definite utilizzando Common Expression Language (CEL). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando CEL, consulta la sezione CEL di Creare e gestire vincoli personalizzati.

Artifact Registry supporta vincoli personalizzati che vengono applicati ai metodi CREATE e UPDATE della risorsa REPOSITORY.

Crea un file YAML per un vincolo personalizzato simile al seguente:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- artifactregistry.googleapis.com/Repository
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

• ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.

• CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.enableDockerRemotes. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempioorganizations/123456789/customConstraints/custom.enableDockerRemotes.

• CONDITION: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Per ulteriori informazioni sulle risorse disponibili per scrivere le condizioni, ad esempio (resource.mode == 'REMOTE' && resource.format == 'DOCKER') || (resource.mode != 'REMOTE'), consulta Risorse supportate.

• ACTION: l'azione da intraprendere se viene soddisfatto il criterio condition. Può essere ALLOW o DENY.

• DISPLAY_NAME: un nome facile da ricordare per la limitazione. Questo campo ha una lunghezza massima di 200 caratteri.

• DESCRIPTION: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri, ad esempio All remote repositories must be Docker format.

Per saperne di più su come creare un vincolo personalizzato, consulta Definire vincoli personalizzati.

Configurare un vincolo personalizzato

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Applicare un criterio dell'organizzazione personalizzato

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

    gcloud org-policies set-policy POLICY_PATH
    

Testa il criterio dell'organizzazione personalizzato

Il seguente esempio di creazione di repository remoti presuppone che sia stato creato e applicato un criterio dell'organizzazione personalizzato alla creazione del repository per consentire solo la creazione di repository remoti in formato Docker.

Prova a creare un repository remoto Python nel progetto:

  gcloud artifacts repositories create REMOTE-REPOSITORY-NAME \
      --project=PROJECT_ID \
      --repository-format=python \
      --location=LOCATION \
      --description="DESCRIPTION" \
      --mode=remote-repository \
      --remote-repo-config-desc="REMOTE-REPOSITORY-DESCRIPTION" \
      --disable-vulnerability-scanning \
      --remote-python-repo=UPSTREAM

Flag facoltativi per l'autenticazione nel repository upstream:

• --remote-username=USERNAME

• --remote-password-secret-version=SECRET_VERSION

  Sostituisci quanto segue:

• REMOTE-REPOSITORY-NAME con il nome del repository. Per ogni posizione del repository in un progetto, i nomi dei repository devono essere univoci.

• PROJECT_ID con l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto corrente o predefinito.

• LOCATION con la località regionale o multiregionale del repository. Puoi omettere questo flag se imposti un valore default. Per visualizzare un elenco delle località supportate, esegui il comando gcloud artifacts locations list.

• DESCRIPTION con una descrizione facoltativa del repository. Non includere dati sensibili, poiché le descrizioni dei repository non sono criptate.

• REMOTE-REPOSITORY-DESCRIPTION con una descrizione della configurazione del repository esterno per questo repository remoto.

• USERNAME facoltativamente, se utilizzi l'autenticazione, con il tuo nome utente per l'autenticazione nel repository upstream.

• SECRET_VERSION facoltativamente, se utilizzi l'autenticazione, con la versione segreta contenente la password del repository di origine.

• UPSTREAM con il nome preimpostato dell'upstream, il percorso del repository Artifact Registry o l'URL definito dall'utente del repository upstream.
  
  Per i repository upstream di Artifact Registry, formatta il percorso del repository in modo simile al seguente:projects/UPSTREAM_PROJECT_ID/locations/REGION/repositories/UPSTREAM_REPOSITORY.
  
  Per informazioni sugli upstream preimpostati disponibili e su quelli definiti dall'utente supportati, consulta Formati supportati.

• --disable-vulnerability-scanning: è un flag facoltativo che configura il repository per disattivare l'analisi automatica delle vulnerabilità.

• --allow-vulnerability-scanning: è un flag facoltativo che configura il repository in modo da consentire l'analisi automatica delle vulnerabilità. Per ulteriori informazioni, consulta Attivare o disattivare la ricerca automatica.

  Ad esempio, il seguente comando crea un repository remoto denominato my-repo nella regione us-east1 nel progetto Google Cloud my-project e può autenticarsi nel repository di origine utilizzando nome utente my-username e la versione della secret projects/my-project/secrets/my-secret/versions/1.

  gcloud artifacts repositories create my-repo \
      --project=my-project \
      --repository-format=python \
      --location=us-east1 \
      --description="Remote Python repository" \
      --mode=remote-repository \
      --remote-repo-config-desc="PyPI" \
      --remote-username=my-username \
      --remote-password-secret-version=projects/my-project/secrets/my-secret/versions/1 \
      --remote-python-repo=PYPI
  

L'output è il seguente:

Operation denied by custom org policies: ["customConstraints/custom.enableDockerRemotes": "All remote repositories must be Docker format."]

Risorse supportate da Artifact Registry

Artifact Registry supporta vincoli personalizzati su tutti i campi per le operazioni di creazione e aggiornamento della risorsa repository.

Esempi di criteri dell'organizzazione personalizzati per casi d'uso comuni

La tabella seguente fornisce la sintassi di alcuni criteri dell'organizzazione personalizzati che potresti trovare utili:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.requireEnvProdStaging
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.labels.env in ['PROD', 'STAGING']"
    actionType: ALLOW
    displayName: PROD and STAGING environments
    description: All repositories must have env labels for either PROD or STAGING.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.disableRemotes
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.mode in ['STANDARD', 'VIRTUAL']"
    actionType: ALLOW
    displayName: Disable remote repository creation
    description: All repositories must be standard or virtual mode.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.format == 'DOCKER' && !resource.dockerConfig.immutableTags"
    actionType: DENY
    displayName: Enforce tag immutability
    description: All new Docker repositories must have tag immutability enabled.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.kmsKeyName.contains('projects/my-project/')"
    actionType: ALLOW
    displayName: Enforce the use of a CMEK key from my-project
    description: All repositories must be created with a CMEK key from my-project.

Passaggi successivi

• Per saperne di più sui criteri dell'organizzazione, consulta la Introduzione al servizio Criteri dell'organizzazione.
• Scopri di più su come creare e gestire i criteri dell'organizzazione.
• Consulta l'elenco completo dei vincoli dei criteri dell'organizzazione predefiniti.