組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud のリソース階層内の Cloud Build リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。
組織のポリシー サービスには、さまざまな Cloud Build サービスに対する事前定義された制約が存在します。ただし、組織のポリシーで制限されている特定のフィールドをカスタマイズ可能な方法でより詳細に制御する必要がある場合は、カスタムの組織のポリシーを作成することもできます。
利点
カスタムの組織のポリシーを使用して、特定の Cloud Build リソースを許可または拒否できます。たとえば、ビルドトリガーの作成または更新を行うリクエストが、組織のポリシーによって設定されたカスタム制約検証の要件を満たしていない場合、リクエストは失敗し、エラーが呼び出し元に返されます。
ポリシーの継承
デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合は、Cloud Build によってフォルダ内のすべてのプロジェクトにポリシーが適用されます。この動作の詳細と変更方法については、階層評価ルールをご覧ください。
料金
事前定義の組織のポリシーやカスタムの組織のポリシーを含む組織のポリシー サービスは料金なしで利用できます。
準備
- プロジェクトを設定する
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Build API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Build API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- 組織 ID を確実に把握します。
必要なロール
組織のポリシーを管理するために必要な権限を取得するには、組織のリソースに対する組織ポリシー管理者(roles/orgpolicy.policyAdmin
)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
Cloud Build を作成するために必要なロールをユーザー アカウントに追加する必要もあります。Cloud Build リソースへのアクセスの構成をご覧ください。Cloud Build に関係する IAM ロールの詳細については、IAM ロールと権限をご覧ください。
カスタム制約を作成する
カスタム制約を作成するには、YAML ファイルを使用して、制約の対象となるリソース、メソッド、条件、アクションを定義します。これらは、組織のポリシーを適用するサービスに固有のものです。カスタム制約の条件は、Common Expression Language を使用して定義する必要があります。Common Expression Language(CEL)に関する GitHub のページをご覧ください。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。
次のテンプレートを使用して、カスタム制約の YAML ファイルを作成します。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- cloudbuild.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
以下を置き換えます。
ORGANIZATION_ID
: 組織 ID(123456789
など)。CONSTRAINT_NAME
: 新しいカスタム制約に付ける名前。カスタム制約はcustom.
で始まる必要があります。含められるのは大文字、小文字、数字のみです(例:custom.enableBuildTrigger
)。このフィールドの最大長は 70 文字です。接頭辞(例:organizations/123456789/customConstraints/custom.allowConstraint
)はカウントされません。RESOURCE_NAME
: 制限するオブジェクトとフィールドを含む Cloud Build リソースの名前(URI ではありません)。例:BuildTrigger
CONDITION
: サポート対象のサービス リソースの表現に対して書き込まれる CEL 条件。このフィールドの最大長は 1000 文字です。条件の書き込み先として使用できるリソースの詳細については、サポート対象のリソースをご覧ください。 例:"resource.github.name.contains('cloudbuild')"
ACTION
:condition
が満たされている場合に実行するアクション。ALLOW
またはDENY
になります。DISPLAY_NAME
: 制約の名前。わかりやすい名前を入力してください。このフィールドの最大長は 200 文字です。DESCRIPTION
: ポリシー違反時にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドの最大長は 2000 文字です。
カスタム制約の作成方法の詳細については、カスタム組織のポリシーの作成と管理をご覧ください。
カスタム制約を設定する
新しいカスタム制約の YAML ファイルを作成したら、組織内の組織のポリシーで使用できるように設定する必要があります。カスタム制約を設定するには、gcloud org-policies set-custom-constraint
コマンドを使用します。gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
は、カスタム制約ファイルのフルパスに置き換えます。たとえば、/home/user/customconstraint.yaml
になります。完了すると、カスタム制約が組織のポリシーとして Google Cloud 組織のポリシーのリストに表示されます。カスタム制約が存在することを確認するには、gcloud org-policies list-custom-constraints
コマンドを使用します。gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
は、組織リソースの ID に置き換えます。詳細については、組織のポリシーの表示をご覧ください。
カスタムの組織のポリシーを適用する
ブール型制約を適用するには、それを参照する組織のポリシーを作成し、それを Google Cloud リソースに適用します。Console
- Google Cloud コンソールで、[組織のポリシー] ページに移動します。
- プロジェクト選択ツールから、組織のポリシーを設定するプロジェクトを選択します。
- [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
- このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
- [ポリシーの編集] ページで、[親のポリシーをオーバーライドする] を選択します。
- [ルールの追加] をクリックします。
- [適用] セクションで、この組織のポリシーの適用を有効にするかどうかを選択します。
- 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグ付きの組織のポリシーの設定をご覧ください。
- カスタム制約の場合は、[変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートできます。詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
- 組織のポリシーを完成させて適用するには、[ポリシーを設定] をクリックします。ポリシーが有効になるまでに最大 15 分かかります。
gcloud
ブール型制約を適用する組織のポリシーを作成するには、制約を参照するポリシー YAML ファイルを作成します。
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
次のように置き換えます。
-
PROJECT_ID
: 制約を適用するプロジェクト。 -
CONSTRAINT_NAME
: カスタム制約に定義した名前。例:custom.enableBuildTrigger
。
制約を含む組織のポリシーを適用するには、次のコマンドを実行します。
gcloud org-policies set-policy POLICY_PATH
POLICY_PATH
は、組織のポリシーの YAML ファイルのパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。
カスタム制約をテストする
カスタム制約をテストするには、制約によってブロックされているタスクの完了を試みる gcloud コマンドを実行します。
たとえば、GitHub トリガー名に「cloudbuild」が含まれていることが制約で求められているとします。この制約をテストするには、次のスニペットに示すように、別のトリガー名を指定して gcloud builds triggers create github
コマンドを実行します。
gcloud builds triggers create github --name=github-trigger \
--repo-owner=some-owner \
--repo-name=some-repo \
--branch-pattern=main \
--build-config=cloudbuild.yaml \
--project=my-project \
出力は次のようになります。
Operation denied by custom org policies: ["customConstraints/custom.enableBuildTrigger": "GitHub trigger name must include "cloudbuild"."]
Cloud Build でサポートされているリソースとオペレーション
Cloud Build リソースを作成または更新する際に、次の Cloud Build カスタム制約フィールドを使用できます。
なお、Build の制約は、トリガーによってトリガーされた Build には適用されません。
- Cloud Build のビルド構成
resource.source.storageSource.bucket
resource.source.storageSource.object
resource.source.storageSource.generation
resource.source.storageSource.sourceFetcher
resource.source.repoSource.projectId
resource.source.repoSource.repoName
resource.source.repoSource.branchName
resource.source.repoSource.tagName
resource.source.repoSource.commitSha
resource.source.repoSource.dir
resource.source.repoSource.invertRegex
resource.source.repoSource.substitutions
resource.source.gitSource.url
resource.source.gitSource.dir
resource.source.gitSource.revision
resource.source.storageSourceManifest.bucket
resource.source.storageSourceManifest.object
resource.source.storageSourceManifest.generation
resource.source.connectedRepository.repository
resource.source.connectedRepository.dir
resource.source.connectedRepository.revision
resource.source.developerConnectConfig.gitRepositoryLink
resource.source.developerConnectConfig.dir
resource.source.developerConnectConfig.revision
resource.steps.name
resource.steps.env
resource.steps.args
resource.steps.dir
resource.steps.id
resource.steps.waitFor
resource.steps.entryPoints
resource.steps.secretEnv
resource.steps.volumes.name
resource.steps.volumes.path
resource.steps.timeout
resource.steps.allowFailure
resource.steps.allowExitCodes
resource.steps.script
resource.steps.automapSubstitutions
resource.timeout
resource.images
resource.queueTtl
resource.artifacts.images
resource.artifacts.objects.location
resource.artifacts.objects.paths
resource.logsBucket
resource.options.sourceProvenanceHash
resource.options.requestedVerifyOption
resource.options.machineType
resource.options.diskSizeGb
resource.options.substitutionOption
resource.options.dynamicSubstitutions
resource.options.autoMapSubstitutions
resource.options.logStreamingOption
resource.options.pool.name
resource.options.logging
resource.options.env
resource.options.secretEnv
resource.options.volumes.name
resource.options.volumes.path
resource.options.defaultLogsBucketBehavior
resource.substitutions
resource.tags
resource.secrets.kmsKeyName
resource.secrets.secretEnv
resource.serviceAccount
resource.availableSecrets.secretManager.versionName
resource.availableSecrets.secretManager.env
resource.availableSecrets.inline.kmsKeyName
resource.availableSecrets.inline.envMap
resource.gitConfig.proxySecretVersionName
resource.gitConfig.proxySslCaInfo
resource.gitConfig.http
- Cloud Build BitbucketServerConfig
resource.name
resource.hostUrl
resource.secrets.adminAccessTokenVersionName
resource.secrets.readAccessTokenVersionName
resource.secrets.webhookSecretVersionName
resource.username
resource.apiKey
resource.peeredNetwork
resource.sslCa
resource.peeredNetworkIpRange
- Cloud Build WorkerPool の構成
resource.displayName
resource.annotations
resource.privatePoolV1Config.workerConfig.machineType
resource.privatePoolV1Config.workerConfig.diskSizeGb
resource.privatePoolV1Config.networkConfig.peeredNetwork
resource.privatePoolV1Config.networkConfig.egressOpetion
resource.privatePoolV1Config.networkConfig.peeredNetworkIpRange
- Cloud Build BuildTrigger の構成
resource.tags
resource.resourceName
resource.description
resource.name
resource.tags
resource.triggerTemplate.projectId
resource.triggerTemplate.repoName
resource.triggerTemplate.branchName
resource.triggerTemplate.tagName
resource.triggerTemplate.commitSha
resource.triggerTemplate.dir
resource.triggerTemplate.invertRegex
resource.triggerTemplate.substitutions
resource.github.owner
resource.github.name
resource.github.enterpriseConfigResourceName
resource.pubsubConfig.topic
resource.pubsubConfig.serviceAccountEmail
resource.webhookConfig.secret
resource.bitbucketServerTriggerConfig.repoSlug
resource.bitbucketServerTriggerConfig.projectKey
resource.bitbucketServerTriggerConfig.pullRequest.branch
resource.bitbucketServerTriggerConfig.pullRequest.commentControl
resource.bitbucketServerTriggerConfig.pullRequest.invertRegex
resource.bitbucketServerTriggerConfig.push.branch
resource.bitbucketServerTriggerConfig.push.tag
resource.bitbucketServerTriggerConfig.push.invertRegex
resource.gitlabEnterpriseEventsConfig.projectNamespace
resource.gitlabEnterpriseEventsConfig.pullRequest.branch
resource.gitlabEnterpriseEventsConfig.pullRequest.commentControl
resource.gitlabEnterpriseEventsConfig.pullRequest.invertRegex
resource.gitlabEnterpriseEventsConfig.push.branch
resource.gitlabEnterpriseEventsConfig.push.tag
resource.gitlabEnterpriseEventsConfig.push.invertRegex
resource.gitlabEnterpriseEventsConfig.gitlabConfigResource
resource.disabled
resource.substitutions
resource.ignoredFiles
resource.includedFiles
resource.sourceToBuild.uri
resource.sourceToBuild.repository
resource.sourceToBuild.ref
resource.sourceToBuild.repoType
resource.sourceToBuild.githubEnterpriseConfig
resource.approvalConfig.approvalRequired
resource.filter
resource.serviceAccount
resource.eventType
resource.includeBuildLogs
resource.repositoryEventConfig.repository
resource.repositoryEventConfig.pullRequest.branch
resource.repositoryEventConfig.pullRequest.commentControl
resource.repositoryEventConfig.pullRequest.invertRegex
resource.repositoryEventConfig.push.branch
resource.repositoryEventConfig.push.tag
resource.repositoryEventConfig.push.invertRegex
- Cloud Build GitHubEnterpriseConfig の構成
resource.name
resource.hostUrl
resource.appId
resource.name
resource.webhookKey
resource.peeredNetwork
resource.secrets.privateKeyVersionName
resource.secrets.webhookSecretVersionName
resource.secrets.oauthSecretVersionName
resource.secrets.oauthClientIdVersionName
resource.displayName
resource.sslCa
一般的なユースケースのカスタム組織ポリシーの例
次の表では、実際に役に立つ可能性のあるカスタム組織ポリシーの構文を示します。
説明 | 制約の構文 |
---|---|
「cloud-builds」を含むトピックをリッスンする Pub/Sub トリガーの作成のみを許可する |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enableCloudBuildPubsubTrigger resourceTypes: - cloudbuild.googleapis.com/BuildTrigger methodTypes: - CREATE condition: "resource.pubsubConfig != null && resource.pubsubConfig.topic.contains('cloud-builds')" actionType: ALLOW displayName: Enable creating Pub/Sub trigger that listens on topics that contain "cloud-builds". description: Only allow creating Pub/Sub trigger that listens on topics that contain "cloud-builds". |
ORGANIZATION_ID
: 組織 ID(123456789
など)。
次のステップ
- 組織のポリシーの詳細について、組織のポリシー サービスの概要を確認する。
- 組織のポリシーの作成と管理の方法について学習する。
- 事前定義された組織のポリシーの制約の完全なリストを確認する。