Google Cloud 機構政策可讓您透過程式集中控管機構資源。身為機構政策管理員,您可以定義機構政策,也就是一組稱為「限制」的限制,適用於Google Cloud 資源階層中的Google Cloud 資源和這些資源的子系。您可以在機構、資料夾或專案層級強制執行組織政策。
機構政策提供各種Google Cloud 服務的預先定義限制。不過,如要進一步自訂機構政策中受限制的特定欄位,也可以建立自訂機構政策。
優點
您可以透過自訂機構政策,根據支援的資源屬性 (例如工作名稱、類型和服務選項),有條件地允許或拒絕建立 Dataflow 工作。
政策繼承
根據預設,機構政策會由您強制執行政策的資源子系繼承。舉例來說,如果您對資料夾強制執行政策, Google Cloud 系統會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更,請參閱「階層評估規則」。
定價
機構政策服務 (包括預先定義和自訂機構政策) 免費提供。
限制
Dataflow
Job資源的自訂限制只能使用 Google Cloud 控制台或 Google Cloud CLI 設定。自訂限制只能針對 Dataflow
Job資源的CREATE方法強制執行。新實施的自訂限制不會套用至現有資源。
事前準備
如要進一步瞭解機構政策和限制條件的定義和運作方式,請參閱「機構政策服務簡介」。
必要的角色
如要取得管理機構政策所需的權限,請要求管理員為您授予機構的機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這個預先定義的角色具備管理機構政策所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要管理組織政策,您必須具備下列權限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
建立自訂限制
自訂限制是在 YAML 檔案中定義,其中包含您要強制執行機構政策的服務所支援的資源、方法、條件和動作。自訂限制的條件是使用一般運算語言 (CEL) 定義。如要進一步瞭解如何使用 CEL 在自訂限制中建構條件,請參閱「建立及管理自訂限制」一文的 CEL 一節。
如要建立自訂限制的 YAML 檔案,請按照下列步驟操作:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- dataflow.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
更改下列內容:
ORGANIZATION_ID:您的機構 ID,例如123456789。CONSTRAINT_NAME:新自訂限制的名稱。自訂限制必須以custom.開頭,且只能包含大寫英文字母、小寫英文字母或數字,例如 custom.denyPrimeJobs。這個欄位的長度上限為 70 個字元,不含前置字元,例如organizations/123456789/customConstraints/custom。RESOURCE_NAME:包含要限制物件和欄位的 Dataflow API REST 資源名稱 (而非 URI)。例如:Job。CONDITION:針對支援服務資源的代表項目編寫的 CEL 條件。這個欄位的長度上限為 1000 個字元。如要進一步瞭解可編寫條件的資源,請參閱「支援的資源」。例如:"resource.environment.serviceOptions.exists(value, value=='enable_prime')"。ACTION:如果符合condition,則要採取的動作。支援的值為ALLOW和DENY。DISPLAY_NAME:限制條件的易記名稱。這個欄位的長度上限為 200 個字元。DESCRIPTION:違反政策時,要以錯誤訊息形式顯示的限制說明。這個欄位的長度上限為 2000 個字元。
如要進一步瞭解如何建立自訂限制,請參閱「定義自訂限制」。
設定自訂限制
為新的自訂限制建立 YAML 檔案後,您必須進行設定,才能在貴機構的機構政策中使用該檔案。如要設定自訂限制,請使用gcloud org-policies set-custom-constraint 指令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替換為自訂限制檔案的完整路徑。例如:/home/user/customconstraint.yaml。
完成後,自訂限制就會顯示在 Google Cloud 機構政策清單中,做為機構政策使用。如要確認自訂限制存在,請使用 gcloud org-policies list-custom-constraints 指令:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替換為機構資源的 ID。
詳情請參閱「查看組織政策」。
強制執行自訂機構政策
如要強制執行限制,請建立參照該限制的機構政策,然後將該政策套用至 Google Cloud 資源。控制台
- 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。
- 在專案選擇工具中,選取要設定機構政策的專案。
- 在「Organization policies」(機構政策) 頁面上的清單中選取限制條件,即可查看該限制條件的「Policy details」(政策詳情) 頁面。
- 如要設定資源的機構政策,請按一下「管理政策」。
- 在「編輯政策」頁面中,選取「覆寫上層政策」。
- 按一下「新增規則」。
- 在「Enforcement」(強制執行) 區段中,選取是否要強制執行這項機構政策。
- 選用:如要根據標記設定機構政策條件,請按一下「新增條件」。請注意,如果為組織政策新增條件式規則,您必須至少新增一項無條件規則,否則無法儲存政策。詳情請參閱「使用標記設定組織政策」。
- 按一下「測試變更」,模擬機構政策的影響。舊版受管理限制不支援政策模擬。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」。
- 如要完成並套用機構政策,請按一下「設定政策」。這項政策最多需要 15 分鐘才會生效。
gcloud
如要建立含有布林值規則的機構政策,請建立參照限制的政策 YAML 檔案:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
取代下列項目:
-
PROJECT_ID:您要強制執行限制的專案。 -
CONSTRAINT_NAME:您為自訂限制定義的名稱。例如:custom.denyPrimeJobs。
如要強制執行包含限制的機構政策,請執行下列指令:
gcloud org-policies set-policy POLICY_PATH
將 POLICY_PATH 替換為機構政策 YAML 檔案的完整路徑。這項政策最多需要 15 分鐘才會生效。
範例:建立限制,禁止建立啟用主要功能的作業
gcloud
建立
denyPrimeJobs.yaml限制檔案,並加入下列資訊。將ORGANIZATION_ID替換為機構 ID。name: organizations/ORGANIZATION_ID/customConstraints/custom.denyPrimeJobs resource_types: dataflow.googleapis.com/Job condition: "resource.environment.serviceOptions.exists(value, value=='enable_prime')" action_type: DENY method_types: CREATE display_name: Restrict creation of job with prime enabled description: Deny creation of jobs with prime enabled.
設定自訂限制。
gcloud org-policies set-custom-constraint denyPrimeJobs.yaml
建立
enforce-policy-denyPrimeJobs.yaml政策檔案,並加入下列資訊。在本例中,這項限制是在專案層級強制執行。您也可以在機構或資料夾層級設定這項限制。 將PROJECT_ID替換為您的專案 ID。name: projects/PROJECT_ID/policies/custom.denyPrimeJobs spec: rules: – enforce: true
執行下列指令強制執行政策。
gcloud org-policies set-policy enforce-policy-denyPrimeJobs.yaml
如要測試限制,請嘗試使用
enable_prime選項建立 Dataflow 工作。請按照「使用 Java 建立 Dataflow 管道」快速入門導覽課程的指示,建立 WordCount 工作。mvn -Pdataflow-runner compile \ exec:java \ -Dexec.mainClass=org.apache.beam.examples.WordCount \ -Dexec.args="--project=PROJECT_ID \ --gcpTempLocation=gs://BUCKET_NAME/temp/ \ --output=gs://BUCKET_NAME/output \ --runner=DataflowRunner \ --region=us-central1 \ --dataflowServiceOptions=enable_prime" \ -Pdataflow-runner
輸出結果會與下列範例相似:
"details" : [ { "@type" : "type.googleapis.com/google.rpc.ErrorInfo", "reason" : "CUSTOM_ORG_POLICY_VIOLATION" }]
稽核記錄應顯示違規詳細資料,如下所示:
policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ 0: { constraint: "customConstraints/custom.denyPrimeJobs" errorMessage: "Restrict creation of job with prime enabled" policyType: "CUSTOM_CONSTRAINT" }]}}
條件的運算式欄位
下表列出可用於建立條件的運算式欄位。條件是以一般運算語言 (CEL) 編寫。 運算式欄位的值須區分大小寫。
如要瞭解下列運算式欄位說明和可指定的值,請參閱 Dataflow Job JSON 表示法。
| 運算式欄位 | 值類型 |
|---|---|
name |
string |
type |
string |
transformNameMapping |
map |
location |
string |
environment |
message |
environment.serviceOptions |
list of string |
environment.serviceKmsKeyName |
string |
environment.serviceAccountEmail |
string |
environment.workerRegion |
string |
environment.workerZone |
string |
environment.streamingMode |
string |
environment.debugOptions |
message |
environment.debugOptions.enableHotKeyLogging |
bool |
應用實例
下表列出部分應用實例。
| 用途 | 動作 | 自訂限制 |
|---|---|---|
| 禁止使用主要工作 | DENY | resource.environment.serviceOptions.exists(value, value=='enable_prime') |
| 防止 VM 接受儲存在專案中繼資料中的 SSH 金鑰。 | DENY | !resource.environment.serviceOptions.exists(value, value=='block_project_ssh_keys') |
| 禁止工作,但不設定工作可執行的秒數上限 | DENY | !resource.environment.serviceOptions.exists(value, value.contains('max_workflow_runtime_walltime_seconds=') |