このページでは、組織のポリシー サービスのカスタム制約を使用して、次の Google Cloud リソースに対する特定のオペレーションを制限する方法について説明します。
certificatemanager.googleapis.com/Certificate
certificatemanager.googleapis.com/CertificateMap
certificatemanager.googleapis.com/CertificateMapEntry
certificatemanager.googleapis.com/CertificateIssuanceConfig
certificatemanager.googleapis.com/TrustConfig
certificatemanager.googleapis.com/DnsAuthorization
組織のポリシーの詳細については、カスタムの組織のポリシーをご覧ください。
組織のポリシーと制約について
Google Cloud の組織のポリシー サービスを使用すると、組織のリソースをプログラムで一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud のリソース階層内の Google Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。
組織のポリシーは、さまざまな Google Cloud サービスに事前に定義された制約を提供します。ただし、組織のポリシーで制限されている特定のフィールドをきめ細かくカスタマイズ可能な方法で制御する必要がある場合は、カスタム制約を作成して、組織のポリシーでそれらのカスタム制約を使用することもできます。
ポリシーの継承
デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- 組織 ID を確実に把握します。
必要なロール
カスタム組織のポリシーを管理するために必要な権限を取得するには、組織のリソースに対する組織ポリシー管理者 (roles/orgpolicy.policyAdmin
)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
カスタム制約を作成する
カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language(CEL)を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。
カスタム制約を作成するには、次の形式で YAML ファイルを作成します。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
以下を置き換えます。
ORGANIZATION_ID
: 組織 ID(123456789
など)。CONSTRAINT_NAME
: 新しいカスタム制約に付ける名前。カスタム制約はcustom.
で始まる必要があり、大文字、小文字、数字のみを含めることができます(例:custom.restrictDomain
)。この項目の最大長は 70 文字です。RESOURCE_NAME
: 制限するオブジェクトとフィールドを含む Google Cloud リソースの完全修飾名。例:certificatemanager.googleapis.com/DnsAuthorization
CONDITION
: サポート対象のサービス リソースの表現に対して書き込まれる CEL 条件。このフィールドの最大長は 1000 文字です。条件の書き込み先として使用できるリソースの詳細については、サポート対象のリソースをご覧ください。 例:"resource.domain == 'example.com'"
ACTION
:condition
が満たされている場合に実行するアクション。 有効な値はALLOW
とDENY
です。DISPLAY_NAME
: 制約の名前。わかりやすい名前を入力してください。このフィールドの最大長は 200 文字です。DESCRIPTION
: ポリシー違反時にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドの最大長は 2000 文字です。
カスタム制約の作成方法については、カスタム制約の定義をご覧ください。
カスタム制約を設定する
新しいカスタム制約の YAML ファイルを作成したら、組織内の組織のポリシーで使用できるように設定する必要があります。カスタム制約を設定するには、gcloud org-policies set-custom-constraint
コマンドを使用します。gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
は、カスタム制約ファイルのフルパスに置き換えます。たとえば、/home/user/customconstraint.yaml
になります。完了すると、カスタム制約が組織のポリシーとして Google Cloud 組織のポリシーのリストに表示されます。カスタム制約が存在することを確認するには、gcloud org-policies list-custom-constraints
コマンドを使用します。gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
は、組織リソースの ID に置き換えます。詳細については、組織のポリシーの表示をご覧ください。
カスタムの組織のポリシーを適用する
ブール型制約を適用するには、それを参照する組織のポリシーを作成し、それを Google Cloud リソースに適用します。Console
- Google Cloud コンソールで、[組織のポリシー] ページに移動します。
- プロジェクト選択ツールから、組織のポリシーを設定するプロジェクトを選択します。
- [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
- このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
- [ポリシーの編集] ページで、[親のポリシーをオーバーライドする] を選択します。
- [ルールの追加] をクリックします。
- [適用] セクションで、この組織のポリシーの適用を有効にするかどうかを選択します。
- 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグ付きの組織のポリシーの設定をご覧ください。
- カスタム制約の場合は、[変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートできます。詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
- 組織のポリシーを完成させて適用するには、[ポリシーを設定] をクリックします。ポリシーが有効になるまでに最大 15 分かかります。
gcloud
ブール型制約を適用する組織のポリシーを作成するには、制約を参照するポリシー YAML ファイルを作成します。
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
次のように置き換えます。
-
PROJECT_ID
: 制約を適用するプロジェクト。 -
CONSTRAINT_NAME
: カスタム制約に定義した名前。例:custom.restrictDomain
。
制約を含む組織のポリシーを適用するには、次のコマンドを実行します。
gcloud org-policies set-policy POLICY_PATH
POLICY_PATH
は、組織のポリシーの YAML ファイルのパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。
カスタム組織のポリシーをテストする
次の例では、特定のプロジェクト内のすべての新しい DNS 認可を example.com
ドメインに対してのみ構成できるようにするカスタムの制約とポリシーを作成します。
始める前に、次のことを理解しておく必要があります。
- 組織の ID
- プロジェクト ID。
制約を作成します。
次のファイルに
constraint-restrict-domain.yaml
という名前を付けて保存します。name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictDomain resourceTypes: - certificatemanager.googleapis.com/DnsAuthorization methodTypes: - CREATE - UPDATE condition: "resource.domain == 'example.com'" actionType: ALLOW displayName: Restrict domain value description: All DNS authorizations must have example.com as a domain.
これにより、すべての DNS 認証のドメインに指定された値が存在する必要があるという制約が定義されます。
制約を適用します。
gcloud org-policies set-custom-constraint constraint-restrict-domain.yaml
制約が存在することを確認します。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
出力は次のようになります。
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.restrictDomain ALLOW CREATE,UPDATE certificatemanager.googleapis.com/DnsAuthorization Restrict domain value ...
ポリシーを作成するには:
次のファイルに
policy-restrict-domain.yaml
という名前を付けて保存します。name: projects/PROJECT_ID/policies/custom.custom.restrictDomain spec: rules: - enforce: true
PROJECT_ID
は、実際のプロジェクト ID に置き換えます。ポリシーを適用します。
gcloud org-policies set-policy policy-restrict-domain.yaml
ポリシーが存在することを確認します。
gcloud org-policies list --project=PROJECT_ID
出力は次のようになります。
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.restrictDomain - SET COCsm5QGENiXi2E=
ポリシーを適用してから Google Cloud でポリシーの適用が開始されるまで 2 分ほど待ちます。
ポリシーのテスト
別のドメインの DNS 認証を作成してみてください。
gcloud certificate-manager dns-authorizations create auth \
--domain=not-example.com
出力は次のようになります。
Operation denied by custom org policy on resource 'projects/PROJECT_ID/locations/global/dnsAuthorizations/auth': ["customConstraints/custom.custom.restrictDomain": "All DNS Authorizations must have example.com as a domain."].
一般的なユースケースのカスタム組織ポリシーの例
次の表に、一般的なユースケースのカスタム制約の構文を示します。
説明 | 制約の構文 |
---|---|
証明書マップ エントリを 1 つのホスト名に制限する |
name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictHostname resourceTypes: - certificatemanager.googleapis.com/CertificateMapEntry methodTypes: - CREATE - UPDATE condition: "resource.hostname == 'example.com'" actionType: ALLOW displayName: Restrict hostname value description: All certificate map entries must be configured for example.com. |
DNS 認証を 1 つのドメインに制限する |
name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictDomain resourceTypes: - certificatemanager.googleapis.com/DnsAuthorization methodTypes: - CREATE - UPDATE condition: "resource.domain == 'example.com'" actionType: ALLOW displayName: Restrict domain value description: All DNS authorizations must be configured for example.com. |
EDGE_CACHE 証明書を許可しない |
name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictScope resourceTypes: - certificatemanager.googleapis.com/Certificate methodTypes: - CREATE - UPDATE condition: "resource.scope == 'EDGE_CACHE'" actionType: DENY displayName: Disallow EDGE_CACHE certificates description: Certificates cannot belong to EDGE_CACHE scope. |
Certificate Authority Service からの ECDSA_P384 証明書のみの発行を許可する |
name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictAlgorithm resourceTypes: - certificatemanager.googleapis.com/CertificateIssuanceConfig methodTypes: - CREATE - UPDATE condition: "resource.keyAlgorithm == 'ECDSA_P384'" actionType: ALLOW displayName: Allow only ECDSA_P384 in Certificate Issuance Configs description: Only ECDSA_P384 certificates are allowed from Certificate Authority Service. |
TrustConfigs で証明書許可リストの使用を禁止 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictAllowlistedCertificates resourceTypes: - certificatemanager.googleapis.com/TrustConfig methodTypes: - CREATE - UPDATE condition: "size(resource.allowlistedCertificates) == 0" actionType: ALLOW displayName: Disallow certificate allowlists. description: Certificate allowlists are not allowed in TrustConfigs. |
Certificate Manager でサポートされているリソース
次の表に、カスタム制約で参照できる Certificate Manager リソースを示します。リソース | フィールド |
---|---|
certificatemanager.googleapis.com/Certificate |
resource.description
|
resource.managed.dnsAuthorizations
| |
resource.managed.domains
| |
resource.managed.issuanceConfig
| |
resource.name
| |
resource.scope
| |
resource.selfManaged.pemCertificate
| |
certificatemanager.googleapis.com/CertificateIssuanceConfig |
resource.certificateAuthorityConfig.certificateAuthorityServiceConfig.caPool
|
resource.description
| |
resource.keyAlgorithm
| |
resource.lifetime
| |
resource.name
| |
resource.rotationWindowPercentage
| |
certificatemanager.googleapis.com/CertificateMap |
resource.description
|
resource.name
| |
certificatemanager.googleapis.com/CertificateMapEntry |
resource.certificates
|
resource.description
| |
resource.hostname
| |
resource.matcher
| |
resource.name
| |
certificatemanager.googleapis.com/DnsAuthorization |
resource.description
|
resource.domain
| |
resource.name
| |
resource.type
| |
certificatemanager.googleapis.com/TrustConfig |
resource.allowlistedCertificates.pemCertificate
|
resource.description
| |
resource.name
| |
resource.trustStores.intermediateCas.pemCertificate
| |
resource.trustStores.trustAnchors.pemCertificate
|
次のステップ
- 組織のポリシー サービスについて詳細を学習する。
- 組織のポリシーの作成と管理の方法について学習する。
- 事前定義された組織のポリシーの制約の完全なリストを確認する。