Il servizio Policy dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di restrizioni chiamate vincoli che si applicano alle risorse Cloud Build e ai relativi discendenti nella Google Cloud gerarchia delle risorse. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.
Il servizio Organization Policy fornisce limitazioni predefinite per vari servizi Cloud Build. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nelle norme dell'organizzazione, puoi anche creare norme dell'organizzazione personalizzate.
Vantaggi
Puoi utilizzare un criterio dell'organizzazione personalizzato per consentire o negare risorse Cloud Build specifiche. Ad esempio, se una richiesta di creazione o aggiornamento di un attivatore di compilazione non soddisfa la convalida dei vincoli personalizzati impostata dalle norme dell'organizzazione, la richiesta non andrà a buon fine e verrà restituito un errore all'autore della chiamata.
Ereditarietà delle norme
Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Cloud Build lo applica a tutti i progetti al suo interno. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.
Prezzi
Il servizio relativo ai criteri dell'organizzazione, inclusi i criteri predefiniti e personalizzati, viene fornito senza costi.
Prima di iniziare
- Configurare il progetto
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Build API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Build API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Assicurati di conoscere il ID organizzazione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin
) nella risorsa dell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Devi anche aggiungere i ruoli necessari per creare Cloud Build al tuo account utente. Consulta Configurare l'accesso alle risorse Cloud Build. Per approfondire i ruoli IAM associati a Cloud Build, consulta Ruoli e autorizzazioni IAM.
Creare un vincolo personalizzato
Puoi creare un vincolo personalizzato utilizzando un file YAML per definire le risorse, i metodi, le condizioni e le azioni soggette al vincolo. Sono specifici del servizio su cui stai applicando i criteri dell'organizzazione. Le condizioni per i vincoli personalizzati devono essere definite utilizzando il linguaggio Common Expression Language. Consulta la pagina di GitHub relativa al Common Expression Language (CEL). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando CEL, consulta la sezione CEL di Creare e gestire vincoli personalizzati.
Utilizza il seguente modello per creare un file YAML per una limitazione personalizzata:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- cloudbuild.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazione, ad esempio123456789
.CONSTRAINT_NAME
: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare concustom.
e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempiocustom.enableBuildTrigger
. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempioorganizations/123456789/customConstraints/custom.allowConstraint
.RESOURCE_NAME
: il nome (non l'URI) della risorsa Cloud Build contenente l'oggetto e il campo che vuoi limitare. Ad esempio,BuildTrigger
.CONDITION
: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Per ulteriori informazioni sulle risorse disponibili per la scrittura delle condizioni, consulta la sezione Risorse supportate. Ad esempio,"resource.github.name.contains('cloudbuild')"
.ACTION
: l'azione da intraprendere se viene soddisfatto il criteriocondition
. Può essereALLOW
oDENY
.DISPLAY_NAME
: un nome facile da ricordare per la limitazione. Questo campo ha una lunghezza massima di 200 caratteri.DESCRIPTION
: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri.
Per saperne di più su come creare un vincolo personalizzato, consulta Creare e gestire criteri dell'organizzazione personalizzati.
Configurare un vincolo personalizzato
Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per i criteri dell'organizzazione. Per impostare un vincolo personalizzato, utilizza il comandogcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
con il percorso completo del
file delle limitazioni personalizzate. Ad esempio: /home/user/customconstraint.yaml
.
Al termine, i vincoli personalizzati sono disponibili come criteri dell'organizzazione
nel tuo elenco di Google Cloud criteri dell'organizzazione.
Per verificare che la limitazione personalizzata esista, utilizza il comando gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
con l'ID della risorsa della tua organizzazione.
Per ulteriori informazioni, consulta
Visualizzare i criteri dell'organizzazione.
Applicare un criterio dell'organizzazione personalizzato
Puoi applicare un vincolo booleano creando un criterio dell'organizzazione che lo richiami e poi applicando questo criterio dell'organizzazione a una Google Cloud risorsa.Console
- Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.
- Nel selettore di progetti, seleziona il progetto per cui vuoi impostare il criterio dell'organizzazione.
- Nell'elenco della pagina Criteri organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli criteri relativa al vincolo in questione.
- Per configurare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
- Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
- Fai clic su Aggiungi una regola.
- Nella sezione Applicazione, seleziona se l'applicazione di questo criterio dell'organizzazione deve essere attivata o disattivata.
- (Facoltativo) Per rendere il criterio dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti il criterio non può essere salvato. Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con tag.
- Se si tratta di un vincolo personalizzato, puoi fare clic su Prova modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per ulteriori informazioni, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
- Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio. L'applicazione del criterio può richiedere fino a 15 minuti.
gcloud
Per creare un criterio dell'organizzazione che applichi un vincolo booleano, crea un file YAML del criterio che faccia riferimento al vincolo:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Sostituisci quanto segue:
-
PROJECT_ID
: il progetto su cui vuoi applicare il vincolo. -
CONSTRAINT_NAME
: il nome definito per il vincolo personalizzato. Ad esempiocustom.enableBuildTrigger
.
Per applicare il criterio dell'organizzazione contenente la limitazione, esegui il seguente comando:
gcloud org-policies set-policy POLICY_PATH
Sostituisci POLICY_PATH
con il percorso completo del file YAML del criterio dell'organizzazione. L'applicazione del criterio può richiedere fino a 15 minuti.
Testare un vincolo personalizzato
Per testare un vincolo personalizzato, esegui un comando gcloud che tenta di completare un'attività bloccata dal vincolo.
Ad esempio, supponiamo che una limitazione richieda che i nomi degli attivatori GitHub contengano "cloudbuild". Puoi testare questa limitazione eseguendo il comando gcloud builds triggers create github
con un altro nome di trigger, come mostrato nel seguente snippet:
gcloud builds triggers create github --name=github-trigger \
--repo-owner=some-owner \
--repo-name=some-repo \
--branch-pattern=main \
--build-config=cloudbuild.yaml \
--project=my-project \
L'output è simile al seguente:
Operation denied by custom org policies: ["customConstraints/custom.enableBuildTrigger": "GitHub trigger name must include "cloudbuild"."]
Risorse e operazioni supportate da Cloud Build
I seguenti campi di vincoli personalizzati di Cloud Build sono disponibili per l'utilizzo quando crei o aggiorni le risorse Cloud Build.
Tieni presente che il vincolo per le build non viene applicato alle build attivate dall'attivatore.
- Configurazione di Cloud Build
resource.source.storageSource.bucket
resource.source.storageSource.object
resource.source.storageSource.generation
resource.source.storageSource.sourceFetcher
resource.source.repoSource.projectId
resource.source.repoSource.repoName
resource.source.repoSource.branchName
resource.source.repoSource.tagName
resource.source.repoSource.commitSha
resource.source.repoSource.dir
resource.source.repoSource.invertRegex
resource.source.repoSource.substitutions
resource.source.gitSource.url
resource.source.gitSource.dir
resource.source.gitSource.revision
resource.source.storageSourceManifest.bucket
resource.source.storageSourceManifest.object
resource.source.storageSourceManifest.generation
resource.source.connectedRepository.repository
resource.source.connectedRepository.dir
resource.source.connectedRepository.revision
resource.source.developerConnectConfig.gitRepositoryLink
resource.source.developerConnectConfig.dir
resource.source.developerConnectConfig.revision
resource.steps.name
resource.steps.env
resource.steps.args
resource.steps.dir
resource.steps.id
resource.steps.waitFor
resource.steps.entryPoints
resource.steps.secretEnv
resource.steps.volumes.name
resource.steps.volumes.path
resource.steps.timeout
resource.steps.allowFailure
resource.steps.allowExitCodes
resource.steps.script
resource.steps.automapSubstitutions
resource.timeout
resource.images
resource.queueTtl
resource.artifacts.images
resource.artifacts.objects.location
resource.artifacts.objects.paths
resource.logsBucket
resource.options.sourceProvenanceHash
resource.options.requestedVerifyOption
resource.options.machineType
resource.options.diskSizeGb
resource.options.substitutionOption
resource.options.dynamicSubstitutions
resource.options.autoMapSubstitutions
resource.options.logStreamingOption
resource.options.pool.name
resource.options.logging
resource.options.env
resource.options.secretEnv
resource.options.volumes.name
resource.options.volumes.path
resource.options.defaultLogsBucketBehavior
resource.substitutions
resource.tags
resource.secrets.kmsKeyName
resource.secrets.secretEnv
resource.serviceAccount
resource.availableSecrets.secretManager.versionName
resource.availableSecrets.secretManager.env
resource.availableSecrets.inline.kmsKeyName
resource.availableSecrets.inline.envMap
resource.gitConfig.proxySecretVersionName
resource.gitConfig.proxySslCaInfo
resource.gitConfig.http
- Cloud Build BitbucketServerConfig
resource.name
resource.hostUrl
resource.secrets.adminAccessTokenVersionName
resource.secrets.readAccessTokenVersionName
resource.secrets.webhookSecretVersionName
resource.username
resource.apiKey
resource.peeredNetwork
resource.sslCa
resource.peeredNetworkIpRange
- Configurazione di WorkerPool di Cloud Build
resource.displayName
resource.annotations
resource.privatePoolV1Config.workerConfig.machineType
resource.privatePoolV1Config.workerConfig.diskSizeGb
resource.privatePoolV1Config.networkConfig.peeredNetwork
resource.privatePoolV1Config.networkConfig.egressOption
resource.privatePoolV1Config.networkConfig.peeredNetworkIpRange
- Configurazione di BuildTrigger di Cloud Build
resource.tags
resource.resourceName
resource.description
resource.name
resource.tags
resource.triggerTemplate.projectId
resource.triggerTemplate.repoName
resource.triggerTemplate.branchName
resource.triggerTemplate.tagName
resource.triggerTemplate.commitSha
resource.triggerTemplate.dir
resource.triggerTemplate.invertRegex
resource.triggerTemplate.substitutions
resource.github.owner
resource.github.name
resource.github.enterpriseConfigResourceName
resource.pubsubConfig.topic
resource.pubsubConfig.serviceAccountEmail
resource.webhookConfig.secret
resource.bitbucketServerTriggerConfig.repoSlug
resource.bitbucketServerTriggerConfig.projectKey
resource.bitbucketServerTriggerConfig.pullRequest.branch
resource.bitbucketServerTriggerConfig.pullRequest.commentControl
resource.bitbucketServerTriggerConfig.pullRequest.invertRegex
resource.bitbucketServerTriggerConfig.push.branch
resource.bitbucketServerTriggerConfig.push.tag
resource.bitbucketServerTriggerConfig.push.invertRegex
resource.gitlabEnterpriseEventsConfig.projectNamespace
resource.gitlabEnterpriseEventsConfig.pullRequest.branch
resource.gitlabEnterpriseEventsConfig.pullRequest.commentControl
resource.gitlabEnterpriseEventsConfig.pullRequest.invertRegex
resource.gitlabEnterpriseEventsConfig.push.branch
resource.gitlabEnterpriseEventsConfig.push.tag
resource.gitlabEnterpriseEventsConfig.push.invertRegex
resource.gitlabEnterpriseEventsConfig.gitlabConfigResource
resource.disabled
resource.substitutions
resource.ignoredFiles
resource.includedFiles
resource.sourceToBuild.uri
resource.sourceToBuild.repository
resource.sourceToBuild.ref
resource.sourceToBuild.repoType
resource.sourceToBuild.githubEnterpriseConfig
resource.approvalConfig.approvalRequired
resource.filter
resource.serviceAccount
resource.eventType
resource.includeBuildLogs
resource.repositoryEventConfig.repository
resource.repositoryEventConfig.pullRequest.branch
resource.repositoryEventConfig.pullRequest.commentControl
resource.repositoryEventConfig.pullRequest.invertRegex
resource.repositoryEventConfig.push.branch
resource.repositoryEventConfig.push.tag
resource.repositoryEventConfig.push.invertRegex
- Configurazione di GitHubEnterpriseConfig di Cloud Build
resource.name
resource.hostUrl
resource.appId
resource.name
resource.webhookKey
resource.peeredNetwork
resource.secrets.privateKeyVersionName
resource.secrets.webhookSecretVersionName
resource.secrets.oauthSecretVersionName
resource.secrets.oauthClientIdVersionName
resource.displayName
resource.sslCa
- Configurazione della connessione Cloud Build
resource.name
resource.githubConfig.authorizerCredential.oauthTokenSecretVersionName
resource.githubConfig.appInstallationId
resource.githubEnterpriseConfig.hostUrl
resource.githubEnterpriseConfig.apiKey
resource.githubEnterpriseConfig.appId
resource.githubEnterpriseConfig.appSlug
resource.githubEnterpriseConfig.privateKeySecretVersion
resource.githubEnterpriseConfig.webhookSecretSecretVersion
resource.githubEnterpriseConfig.oauthSecretSecretVersion
resource.githubEnterpriseConfig.oauthClientIdSecretVersion
resource.githubEnterpriseConfig.authorizerCredential.oauthTokenSecretVersionName
resource.githubEnterpriseConfig.appInstallationId
resource.githubEnterpriseConfig.serviceDirectoryConfig.service
resource.githubEnterpriseConfig.sslCa
resource.gitlabConfig.hostUri
resource.gitlabConfig.webhookSecretSecretVersion
resource.gitlabConfig.readAuthorizerCredential.oauthTokenSecretVersionName
resource.gitlabConfig.authorizerCredential.oauthTokenSecretVersionName
resource.gitlabConfig.serviceDirectoryConfig.service
resource.gitlabConfig.sslCa
resource.gitlabConfig.serviceDirectoryConfig.service
resource.bitbucketDataCenterConfig.hostUri
resource.bitbucketDataCenterConfig.webhookSecretSecretVersion
resource.bitbucketDataCenterConfig.readAuthorizerCredential.oauthTokenSecretVersionName
resource.bitbucketDataCenterConfig.authorizerCredential.oauthTokenSecretVersionName
resource.bitbucketDataCenterConfig.sslCa
resource.bitbucketDataCenterConfig.serviceDirectoryConfig.service
resource.bitbucketCloudConfig.workspace
resource.bitbucketCloudConfig.webhookSecretSecretVersion
resource.bitbucketCloudConfig.readAuthorizerCredential.oauthTokenSecretVersionName
resource.bitbucketCloudConfig.authorizerCredential.oauthTokenSecretVersionName
- Configurazione del repository Cloud Build
resource.name
resource.remoteUri
resource.annotations
Esempi di criteri dell'organizzazione personalizzati per casi d'uso comuni
La seguente tabella fornisce la sintassi di alcuni criteri dell'organizzazione personalizzati che potresti trovare utili:
Descrizione | Sintassi dei vincoli |
---|---|
Consenti solo la creazione di trigger Pub/Sub che ascoltano gli argomenti contenenti "cloud-builds" |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enableCloudBuildPubsubTrigger resourceTypes: - cloudbuild.googleapis.com/BuildTrigger methodTypes: - CREATE condition: "resource.pubsubConfig != null && resource.pubsubConfig.topic.contains('cloud-builds')" actionType: ALLOW displayName: Enable creating Pub/Sub trigger that listens on topics that contain "cloud-builds". description: Only allow creating Pub/Sub trigger that listens on topics that contain "cloud-builds". |
ORGANIZATION_ID
: l'ID della tua organizzazione, ad esempio123456789
.
Passaggi successivi
- Per saperne di più sui criteri dell'organizzazione, consulta la Introduzione al servizio Policy dell'organizzazione.
- Scopri di più su come creare e gestire i criteri dell'organizzazione.
- Consulta l'elenco completo dei vincoli delle policy dell'organizzazione predefiniti.