La policy dell'organizzazioneGoogle Cloud offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore delle policy dell'organizzazione, puoi definire una policy dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorseGoogle Cloud e ai discendenti di queste risorse nella gerarchia delle risorseGoogle Cloud . Puoi applicare le policy dell'organizzazione a livello di organizzazione, cartella o progetto.
La policy dell'organizzazione fornisce vincoli predefiniti per vari serviziGoogle Cloud . Tuttavia, se cerchi un controllo più granulare e personalizzabile sui campi specifici limitati nelle policy dell'organizzazione, puoi anche creare policy dell'organizzazione personalizzate.
Vantaggi
Puoi utilizzare un criterio dell'organizzazione personalizzato per consentire o negare la creazione di processi di derivazione dei dati con condizioni basate su attributi delle risorse supportati, come nome del processo, tipo di origine e origine.
Ereditarietà delle policy
Per impostazione predefinita, le policy dell'organizzazione vengono ereditate dai discendenti delle risorse su cui applichi la policy. Ad esempio, se applichi una policy a una cartella, Google Cloud applica la policy a tutti i progetti contenuti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.
Prezzi
Il servizio relativo alle policy dell'organizzazione, incluse le policy predefinite e personalizzate, viene fornito senza costi aggiuntivi.
Limitazioni
I vincoli personalizzati possono essere applicati solo alle risorse
Process
della derivazione dei dati. Altre risorse, comeRuns
eEvents
, non sono supportate.I vincoli personalizzati appena applicati non si applicano alle risorse esistenti.
Prima di iniziare
- Assicurati di conoscere il tuo ID organizzazione.
-
Se vuoi testare criteri dell'organizzazione personalizzati che fanno riferimento a risorse di data lineage, crea un nuovo progetto. Il test di queste norme dell'organizzazione in un progetto esistente potrebbe interrompere i flussi di lavoro di sicurezza.
-
In the Google Cloud console, go to the project selector page.
-
Click Create project.
-
Name your project. Make a note of your generated project ID.
-
Edit the other fields as needed.
-
Click Create.
-
Ruoli obbligatori
Per ottenere le autorizzazioni
necessarie per gestire le policy dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM
Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin
)
nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire le policy dell'organizzazione. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire le policy dell'organizzazione sono necessarie le seguenti autorizzazioni:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Crea un vincolo personalizzato
Un vincolo personalizzato è definito in un file YAML dalle risorse, dai metodi, dalle condizioni e dalle azioni supportate dal servizio a cui stai applicando la policy dell'organizzazione. Le condizioni per i vincoli personalizzati vengono definite utilizzando il Common Expression Language (CEL). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando il CEL, consulta la sezione relativa al CEL di Creazione e gestione di vincoli personalizzati.
Per creare un file YAML per un vincolo personalizzato:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- datalineage.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazione, ad esempio123456789
.CONSTRAINT_NAME
: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare concustom.
e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempiocustom.denyLineageProcess
. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempioorganizations/123456789/customConstraints/custom
.RESOURCE_TYPE
: il nome (non l'URI) della risorsa REST dell'API Data Lineage contenente l'oggetto e il campo che vuoi limitare. Per la derivazione dei dati è disponibile soloProcess
.CONDITION
: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Per ulteriori informazioni sulle risorse disponibili in base a cui scrivere condizioni, consulta la sezione Risorse supportate. Ad esempio"resource.name.contains('invalid_name')"
.ACTION
: l'azione da eseguire secondition
è soddisfatta. Può essereALLOW
oDENY
.DISPLAY_NAME
: un nome facile da ricordare per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.DESCRIPTION
: una descrizione chiara del vincolo da visualizzare come messaggio di errore in caso di violazione della policy. Questo campo ha una lunghezza massima di 2000 caratteri.
Per saperne di più su come creare un vincolo personalizzato, consulta Definizione di vincoli personalizzati.
Configura un vincolo personalizzato
Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per le policy dell'organizzazione. Per impostare un vincolo personalizzato, utilizza il comandogcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
con il percorso completo del
file del vincolo personalizzato. Ad esempio: /home/user/customconstraint.yaml
.
Al termine, i vincoli personalizzati sono disponibili come policy dell'organizzazione
nel tuo elenco di policy dell'organizzazione Google Cloud .
Per verificare che il vincolo personalizzato esista, utilizza
il comando gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
con l'ID della risorsa della tua organizzazione.
Per ulteriori informazioni, consulta Visualizzazione delle policy dell'organizzazione.
Applicare una policy dell'organizzazione personalizzata
Puoi applicare un vincolo creando una policy dell'organizzazione che lo richiami e poi applicando questa policy dell'organizzazione a una risorsa Google Cloud .Console
- Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
- Nel selettore di progetti, seleziona il progetto per cui vuoi impostare la policy dell'organizzazione.
- Nell'elenco della pagina Policy dell'organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli policy relativa al vincolo in questione.
- Per configurare la policy dell'organizzazione per questa risorsa, fai clic su Gestisci policy.
- Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.
- Fai clic su Aggiungi una regola.
- Nella sezione Applicazione, seleziona se attivare o meno l'applicazione di questa policy dell'organizzazione
- (Facoltativo) Per rendere la policy dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a una policy dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti la policy non può essere salvata. Per ulteriori informazioni, consulta Impostazione di una policy dell'organizzazione con tag.
- Fai clic su Testa modifiche per simulare l'effetto della policy dell'organizzazione. La simulazione delle policy non è disponibile per i vincoli gestiti legacy. Per ulteriori informazioni, consulta Testa le modifiche alla policy dell'organizzazione con Policy Simulator.
- Per completare e applicare la policy dell'organizzazione, fai clic su Imposta policy. L'applicazione della policy può richiedere fino a 15 minuti.
gcloud
Per creare una policy dell'organizzazione con regole booleane, crea un file YAML della policy che faccia riferimento al vincolo:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Sostituisci quanto segue:
-
PROJECT_ID
: il progetto su cui vuoi applicare il vincolo. -
CONSTRAINT_NAME
: il nome definito per il vincolo personalizzato. Ad esempio:custom.denyLineageProcess
.
Per applicare la policy dell'organizzazione contenente il vincolo, esegui il seguente comando:
gcloud org-policies set-policy POLICY_PATH
Sostituisci POLICY_PATH
con il percorso completo del file YAML della policy
dell'organizzazione. L'applicazione della policy può richiedere fino a 15 minuti.
Testa il criterio dell'organizzazione personalizzato
Questa sezione descrive come testare un vincolo di policy dell'organizzazione che impedisce agli utenti di creare un processo di lineage dei dati con un nome che contiene il testo invalid_name
.
Se vuoi testare questo vincolo personalizzato:
Crea un nuovo progetto, come descritto nella sezione Prima di iniziare.
Copia il seguente vincolo in un file YAML:
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcess resourceTypes: datalineage.googleapis.com/Process methodTypes: - CREATE - UPDATE condition: "resource.name.contains('invalid_name')" actionType: DENY displayName: Do not allow data lineage process with 'invalid_name' to be created.
Sostituisci
ORGANIZATION_ID
con l'ID numerico della tua organizzazioneGoogle Cloud .Configura il vincolo personalizzato e applica il vincolo al progetto che hai creato per testare il vincolo della policy dell'organizzazione personalizzata.
Crea un processo con il nome che hai incluso nel vincolo personalizzato.
curl -s -X POST -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application.json" \ "https://datalineage.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/processes" \ -d '{"name":"projects/PROJECT_ID/locations/LOCATION/processes/invalid_name"}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui viene creato il processo. Deve trovarsi nella stessa organizzazione in cui è definito il vincolo.LOCATION
: Google Cloud regione in cui viene creato il processo.
L'output è il seguente:
Operation denied by org policy on resource 'projects/PROJECT_ID/locations/LOCATION': ["customConstraints/custom.denyLineageProcess"]
Risorse e operazioni supportate per la derivazione dei dati
I seguenti campi dei vincoli personalizzati sono disponibili per l'utilizzo quando crei o aggiorni un processo di data lineage:
resource.name
resource.displayName
resource.origin.name
resource.origin.sourceType
I vincoli personalizzati vengono controllati per i seguenti metodi:
Esempi di norme personalizzate dell'organizzazione per casi d'uso comuni
La tabella seguente fornisce la sintassi di alcuni vincoli personalizzati per casi d'uso comuni:
Per ulteriori informazioni sulle macro CEL disponibili per l'utilizzo nelle condizioni dei vincoli personalizzati, consulta Common Expression Language.
Caso d'uso | Sintassi del vincolo |
---|---|
Disattivare la creazione di processi di derivazione dei dati |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE condition: "True" actionType: DENY displayName: Deny creation of all data lineage processes. |
Disabilitare la creazione di processi di data lineage da parte di BigQuery o Dataproc |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE condition: "resource.origin.sourceType == 'BIGQUERY' || resource.origin.sourceType == 'DATAPROC'" actionType: DENY displayName: Deny data lineage processes created by BigQuery or Dataproc. |
Disabilita i processi di derivazione dei dati con il nome specificato |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE - UPDATE condition: "resource.name.contains('RESTRICTED_NAME')" actionType: DENY displayName: Deny data lineage processes whose name contains RESTRICTED_NAME. |
Passaggi successivi
- Per saperne di più sulle policy dell'organizzazione, consulta Introduzione al servizio Policy dell'organizzazione.
- Scopri di più su come creare e gestire le policy dell'organizzazione.
- Consulta l'elenco completo dei vincoli delle policy dell'organizzazione predefiniti.