Membatasi repositori jarak jauh

Dokumen ini menunjukkan cara menggunakan Layanan Kebijakan Organisasi untuk membatasi kumpulan repositori Git jarak jauh pihak ketiga yang dapat terhubung dengan repositori Dataform.

Sebelum memulai

Sebelum menetapkan atau mengedit kebijakan dataform.restrictGitRemotes, temukan URL lengkap repositori Git jarak jauh yang ingin Anda izinkan.

Untuk menemukan URL lengkap repositori Git jarak jauh yang sudah terhubung ke repositori Formulir Data, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Dataform.

    Buka Dataform

  2. Pilih repositori, lalu klik Setelan.

    Perlu diingat bahwa URL repositori jarak jauh yang ditampilkan di halaman Dataform dipersingkat dan tidak dapat digunakan dalam kebijakan dataform.restrictGitRemotes.

  3. Di halaman Settings, di bagian Git connection settings, salin nilai Repository source.

    Nilai Sumber repositori adalah URL lengkap dari repositori jarak jauh. Anda dapat menggunakan URL ini dalam kebijakan dataform.restrictGitRemotes.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk mengelola kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengelola kebijakan organisasi:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Tentang membatasi repositori Git jarak jauh

Anda dapat menghubungkan repositori Dataform ke repositori GitHub atau GitLab.

Anda mungkin ingin membatasi kumpulan repositori jarak jauh tempat repositori Dataform dapat terhubung untuk mencegah pelaku berbahaya mengakses codebase Dataform Anda dan mengakses token melalui salinan repositori Anda yang tidak dilindungi.

Anda dapat menggunakan Layanan Kebijakan Organisasi untuk membuat kebijakan organisasi yang membatasi mana saja URL repositori Git yang dapat dihubungkan oleh Dataform.

Batasan untuk membatasi repositori Git jarak jauh di Dataform adalah:

constraints/dataform.restrictGitRemotes

Untuk menggunakan batasan ini, buat kebijakan organisasi dengan daftar allowedValues URL repositori Git jarak jauh yang dapat terhubung ke repositori Dataform. Repositori Git jarak jauh diidentifikasi berdasarkan alamat URL lengkap mereka.

Kebijakan dataform.restrictGitRemotes memiliki efek retroaktif, yang berarti batasan tersebut memengaruhi repositori Dataform yang sudah ada.

Saat kebijakan organisasi diterapkan, repositori Dataform hanya dapat terhubung ke repositori Git jarak jauh yang tercantum dalam daftar allowedValues. Repositori Git jarak jauh yang tidak ditetapkan secara eksplisit dalam kebijakan organisasi dilarang terhubung ke repositori Dataform.

Jika Anda tidak menetapkan kebijakan dataform.restrictGitRemotes, komunikasi antara repositori Dataform dan repositori Git jarak jauh tidak akan dibatasi.

Anda dapat menggunakan kebijakan dataform.restrictGitRemotes dengan cara berikut:

Allow all
Repositori formulir data diizinkan untuk terhubung ke semua URL repositori jarak jauh. Pilih opsi ini jika organisasi Anda tidak ingin memblokir komunikasi apa pun dengan repositori jarak jauh. Atau, untuk mengizinkan semua URL repositori jarak jauh, Anda dapat membiarkan kebijakan organisasi tidak disetel.
allowedValues daftar URL
Repositori formulir data hanya diizinkan untuk terhubung ke repositori jarak jauh yang diizinkan. Pilih opsi ini untuk mencegah pemindahan data yang tidak sah.
Deny all
Repositori dataform tidak diizinkan untuk terhubung ke URL jarak jauh mana pun. Pilih opsi ini jika organisasi Anda ingin memblokir semua komunikasi dan menggunakan repositori Dataform.

Spesifikasi repositori Git jarak jauh yang diizinkan

  • Anda dapat menerapkan batasan daftar ini hanya ke repositori GitHub dan GitLab.

  • Kebijakan organisasi diterapkan secara surut dan memengaruhi repositori Dataform yang ada.

  • Batasan ini menerima allowedValues, yang memblokir koneksi ke semua repositori Git jarak jauh lainnya, atau Deny all. Defaultnya adalah Allow all - kebijakan organisasi yang tidak ditetapkan memungkinkan komunikasi dengan semua repositori Git jarak jauh. Sebaiknya tetapkan kebijakan organisasi ke allowedValues.

  • Anda atau administrator memiliki izin yang diperlukan untuk mengelola dan memelihara kebijakan tersebut. Pastikan komunikasi tentang administrator kebijakan dalam organisasi Anda.

Menetapkan batasan kebijakan organisasi di tingkat organisasi

Konsol

  1. Buka halaman /Kebijakan Organisasi/Kebijakan Organisasi.

    Buka Kebijakan Organisasi

  2. Jika perlu, pilih organisasi yang diperlukan dari menu drop-down project.
  3. Klik Restrict git remotes for repository in Dataform.
  4. Klik Manage Policy. Jika tidak dapat mengklik tombol Kelola kebijakan, berarti Anda tidak memiliki izin yang benar.

  5. Pilih Sesuaikan guna menetapkan kebijakan organisasi untuk repositori Git jarak jauh tertentu.

    Sesuaikan di halaman edit kebijakan organisasi.

  6. Pilih Penegakan kebijakan dan Jenis kebijakan yang diperlukan.

  7. Untuk Nilai kebijakan, pilih Kustom.

  8. Masukkan URL lengkap repositori Git jarak jauh.

  9. Klik New policy value, lalu masukkan URL lengkap repositori Git jarak jauh sesuai kebutuhan.

  10. Klik Simpan untuk menerapkan batasan.

gcloud

Untuk menetapkan batasan bagi repositori Git jarak jauh, Anda memerlukan ID organisasi terlebih dahulu. Anda dapat menemukan ID organisasi dengan menjalankan perintah organizations list dan mencari ID numerik dalam respons:

gcloud organizations list

Gcloud CLI menampilkan daftar organisasi dalam format berikut:

DISPLAY_NAME               ID
example-organization1      29252605212
example-organization2      1234567890

Gunakan perintah gcloud resource-manager org-policies set-policy untuk menetapkan kebijakan organisasi. Anda harus memberikan kebijakan Anda dalam bentuk file JSON atau YAML. Buat file JSON dalam format berikut:

{
  "name": "organizations/ORGANIZATION_ID/policies/dataform.restrictGitRemotes",
  "spec": {
    "rules": [
      {
        "values": {
          "allowedValues": ["https://github.com/example/allowed-repository.git"]
        }
      }
    ]
  }
}

Ganti ORGANIZATION_ID dengan ID numerik organisasi.

Jika tidak ingin repositori Dataform dapat terhubung ke repositori Git jarak jauh, Anda dapat menetapkan kebijakan organisasi dengan denyAll ditetapkan ke true:

{
  "name": "organizations/ORGANIZATION_ID/policies/dataform.restrictGitRemotes",
  "spec": {
    "rules": [
      {
        "denyAll": true
      }
    ]
  }
}

Ganti ORGANIZATION_ID dengan ID numerik organisasi.

API

Gunakan setOrgPolicy() API untuk menentukan batasan Anda. Dataform diizinkan untuk terhubung ke URL repositori Git jarak jauh dalam daftar allowedValue yang Anda tentukan.

Misalnya, berikut adalah permintaan untuk menerapkan batasan dataform.restrictGitRemotes ke organisasi tempat repositori Dataform repositori Git jarak jauh yang dipilih dapat terhubung:

POST https://orgpolicy.googleapis.com/v2/organizations/ORGANIZATION_ID/policies

dengan ORGANIZATION_ID adalah ID numerik organisasi.

Sekarang, dalam isi permintaan, berikan kebijakan organisasi yang diinginkan untuk batasan ini:

{
  "name": "organizations/ORGANIZATION_ID/policies/dataform.restrictGitRemotes",
  "spec": {
    "rules": [
      {
        "values": {
          "allowedValues": ["https://github.com/example/allowed-repository.git"]
        }
      }
    ]
  }
}

Replace <code><var>ORGANIZATION_ID</var></code> with the numeric ID
of the organization.

Jika tidak ingin repositori Dataform dapat terhubung ke repositori Git jarak jauh, Anda dapat menetapkan kebijakan organisasi dengan denyAll yang ditetapkan ke true:

{
  "name": "organizations/ORGANIZATION_ID/policies/dataform.restrictGitRemotes",
  "spec": {
    "rules": [
      {
        "denyAll": true
      }
    ]
  }
}
 
Replace <code><var>ORGANIZATION_ID</var></code> with the numeric ID
of the organization.

Jika kebijakan organisasi sudah ditetapkan, Anda harus menjalankan permintaan berikut dengan definisi kebijakan organisasi sebagai isi permintaan:

PATCH https://orgpolicy.googleapis.com/v2/organizations/ORGANIZATION_ID/policies/dataform.restrictGitRemotes

Menetapkan kebijakan organisasi di level project

Menetapkan kebijakan organisasi pada level project akan menggantikan atau menggabungkan dengan kebijakan organisasi di level organisasi. Jika terjadi penggabungan, denyAll akan lebih diprioritaskan daripada allowedValues. Misalnya, jika kebijakan organisasi di level organisasi disetel ke denyAll, dan kebijakan gabungan di level project mencantumkan URL repositori jarak jauh di daftar allowedValues, Dataform tidak diizinkan terhubung ke repositori jarak jauh. Dalam hal ini, kebijakan organisasi di level project harus mengganti kebijakan di level organisasi agar Dataform dapat terhubung ke repositori jarak jauh. Untuk mempelajari lebih lanjut hierarki Kebijakan Organisasi, lihat Memahami evaluasi hierarki.

Konsol

Ikuti proses yang sama seperti yang didokumentasikan di bagian Tetapkan batasan kebijakan organisasi di tingkat organisasi, tetapi pilih project yang diinginkan dari pemilih project, bukan organisasi.

Pemilih project.

gcloud

Gunakan perintah gcloud resource-manager org-policies set-policy untuk menetapkan kebijakan organisasi. Anda harus memberikan kebijakan Anda dalam bentuk file JSON atau YAML.

Buat file JSON dalam format berikut:

{
  "name": "projects/PROJECT_ID_OR_NUMBER/policies/dataform.restrictGitRemotes",
  "spec": {
    "rules": [
      {
        "values": {
          "allowedValues": ["https://github.com/example/allowed-repository.git"]
        }
      }
    ]
  }
}

Ganti PROJECT_ID_OR_NUMBER dengan project ID atau nomor project untuk kebijakan organisasi ini.

Kemudian, teruskan file dengan permintaan Anda:

gcloud resource-manager org-policies set-policy MY_POLICY.JSON --project=PROJECT_ID

API

Gunakan setOrgPolicy() API untuk menentukan batasan Anda. Dataform diizinkan untuk terhubung ke URL repositori Git jarak jauh dalam daftar allowedValue yang Anda tentukan.

Misalnya, berikut adalah permintaan untuk menerapkan batasan dataform.restrictGitRemotes ke organisasi tempat repositori Dataform hanya dapat terhubung ke repositori Git jarak jauh yang dipilih, dan kebijakan constraints/dataform.restrictGitRemotes belum ditetapkan:

POST https://orgpolicy.googleapis.com/v2/projects/PROJECT_ID_OR_NUMBER/policies

Isi permintaan memuat kebijakan organisasi yang diinginkan untuk batasan ini:

{
  "name": "projects/PROJECT_ID_OR_NUMBER/policies/dataform.restrictGitRemotes",
  "spec": {
    "rules": [
      {
        "values": {
          "allowedValues": ["https://github.com/example/allowed-repository.git"]
        }
      }
    ]
  }
}

Ganti PROJECT_ID_OR_NUMBER dengan project ID atau nomor project untuk permintaan ini.

Berikut adalah permintaan untuk menerapkan batasan dataform.restrictGitRemotes ke organisasi tempat repositori Dataform hanya dapat terhubung ke repositori Git jarak jauh yang dipilih, dan kebijakan constraints/dataform.restrictGitRemotes sudah ditetapkan:

PATCH https://orgpolicy.googleapis.com/v2/projects/PROJECT_ID_OR_NUMBER/policies/dataform.restrictGitRemotes

Isi permintaan memuat kebijakan organisasi yang diinginkan untuk batasan ini:

{
  "name": "projects/PROJECT_ID_OR_NUMBER/policies/dataform.restrictGitRemotes",
  "spec": {
    "rules": [
      {
        "values": {
          "allowedValues": ["https://github.com/example/allowed-repository.git"]
        }
      }
    ]
  }
}

Ganti PROJECT_ID_OR_NUMBER dengan project ID atau nomor project untuk permintaan ini.

Praktik terbaik untuk mengizinkan daftar remote Git

  • Untuk mengurangi risiko pemindahan data yang tidak sah, tetapkan batasan dataform.restrictGitRemotes secara eksplisit untuk mengizinkan pemilihan repositori Git jarak jauh yang tepercaya.

  • Jika Anda hanya menggunakan repositori Dataform yang tidak terhubung ke repositori Git jarak jauh, tetapkan batasan dataform.restrictGitRemotes ke Deny All.

  • Hindari penggunaan daftar deniedValues dengan batasan ini. Jika Anda menentukan nilai dalam daftar deniedValues, artinya hanya repositori Git jarak jauh dalam daftar deniedValues yang dibatasi dari koneksi. Hal ini bisa menjadi masalah keamanan jika Anda ingin mengontrol dengan tepat repositori Git jarak jauh yang dapat dihubungkan dengan Dataform. Jika Anda ingin menghapus repositori Git jarak jauh tertentu dari daftar allowedValues, perbarui kebijakan organisasi yang sudah ada untuk menghapusnya dari daftar allowedValues, bukan menempatkan remote ke daftar deniedValues pada hierarki yang lebih rendah.

  • Jika Anda ingin menetapkan kebijakan organisasi pada sebagian besar hierarki resource tetapi mengecualikan project tertentu, pulihkan kebijakan organisasi default menggunakan metode setOrgPolicy dengan menentukan objek restoreDefault untuk mengizinkan semua repositori Dataform dalam project terhubung ke repositori Git jarak jauh. Kebijakan yang saat ini diterapkan untuk project tidak terpengaruh oleh setelan default.

  • Gunakan Kebijakan Organisasi bersama dengan peran IAM untuk mengontrol akses ke codebase Dataform Anda dengan lebih baik.

  • Setiap repositori Dataform dalam organisasi atau project yang mengaktifkan kebijakan organisasi akan tunduk pada kebijakan ini. Jika hal ini menjadi masalah, sebaiknya Anda menyiapkan layanan dan produk lain di project lain yang tidak menerapkan kebijakan organisasi, dan gunakan VPC Bersama, jika diperlukan.

  • Sebelum menetapkan kebijakan dataform.restrictGitRemotes, pastikan komunikasi tentang kebijakan organisasi dan administratornya dalam organisasi Anda. Anda atau administrator memiliki izin yang diperlukan untuk mengelola dan memelihara kebijakan tersebut.

Langkah selanjutnya