建立自訂機構政策限制

本頁面說明如何使用機構政策服務自訂限制,限制下列 Google Cloud 資源的特定作業:

  • dns.googleapis.com/ManagedZone
  • dns.googleapis.com/Policy
  • dns.googleapis.com/ResponsePolicy
  • dns.googleapis.com/ResponsePolicyRule

如要進一步瞭解機構政策,請參閱「自訂機構政策」。

關於機構政策和限制

Google Cloud 機構政策服務可讓您透過程式以集中方式控管機構資源。身為機構政策管理員,您可以定義機構政策,也就是一組稱為「限制」的限制,適用於 Google Cloud 資源階層中的Google Cloud 資源和這些資源的子系。您可以在機構、資料夾或專案層級強制執行機構政策。

機構政策為各種 Google Cloud 服務提供內建的受管理限制條件。不過,如果您想進一步控管機構政策中受限制的特定欄位,並以更精細的方式進行自訂控管,也可以建立自訂限制,並在機構政策中使用這些自訂限制。

政策繼承

根據預設,機構政策會由您強制執行政策的資源子項繼承。舉例來說,如果您對資料夾套用政策, Google Cloud 就會對資料夾中的所有專案套用政策。如要進一步瞭解這項行為和如何變更,請參閱「階層評估規則」。

優點

您可以使用自訂機構政策,允許或拒絕 Cloud DNS 資源的特定值。舉例來說,如果建立或更新 Cloud DNS 執行個體的要求無法滿足機構政策中設定的自訂約束條件驗證,要求就會失敗,並傳回錯誤訊息給呼叫端。

限制

如同所有機構政策限制,政策變更不會回溯套用至現有的執行個體。

  • 新的政策不會影響現有的執行個體設定。
  • 除非您使用Google Cloud 主控台、Google Cloud CLI 或 RPC,將符合規定的值變更為不符合規定的值,否則現有的執行個體設定仍會有效。

事前準備

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init
  12. 請務必確認您知道自己的機構 ID

    13. 必要的角色

    如要取得管理自訂機構政策所需的權限,請要求管理員授予您機構資源的 機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

    您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

    建立自訂限制

    自訂限制是在 YAML 檔案中定義,並由您要套用機構政策的服務支援的資源、方法、條件和動作定義。您可以使用一般運算語言 (CEL) 定義自訂限制條件。如要進一步瞭解如何使用 CEL 在自訂限制中建立條件,請參閱「建立及管理自訂限制」一文的 CEL 相關部分。

    如要建立自訂限制,請使用下列格式建立 YAML 檔案:

    name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    更改下列內容:

    • ORGANIZATION_ID:貴機構 ID,例如 123456789

    • CONSTRAINT_NAME:您要為新自訂限制設定的名稱。自訂限制的開頭必須為 custom.,且只能包含大寫英文字母、小寫英文字母或數字。例如,custom.restrictManagedZoneWithDeniedDescription。這個欄位的長度上限為 70 個半形字元。

    • RESOURCE_NAME:包含您要限制的物件和欄位的Google Cloud 資源完整限定名稱。例如:dns.googleapis.com/ManagedZone

    • CONDITION:針對支援的服務資源表示法編寫的 CEL 條件。這個欄位的長度上限為 1000 個半形字元。如要進一步瞭解可用於寫入條件的資源,請參閱「支援的資源」。例如:resource.description.contains('denied')

    • ACTION:如果符合 condition,則採取的動作。可能的值為 ALLOWDENY

    • DISPLAY_NAME:限制的易讀名稱。這個欄位的長度上限為 200 個半形字元。

    • DESCRIPTION:在違反政策時,要以錯誤訊息形式顯示的限制說明。這個欄位的長度上限為 2000 個半形字元。

    如要進一步瞭解如何建立自訂限制,請參閱「定義自訂限制」。

    設定自訂限制

    為新自訂限制建立 YAML 檔案後,您必須設定該檔案,以便在貴機構中使用機構政策。如要設定自訂限制條件,請使用 gcloud org-policies set-custom-constraint 指令:
    gcloud org-policies set-custom-constraint CONSTRAINT_PATH
    CONSTRAINT_PATH 替換為自訂限制檔案的完整路徑。例如:/home/user/customconstraint.yaml。完成後,自訂限制會列入 Google Cloud 機構政策清單,成為機構政策。如要確認自訂限制是否存在,請使用 gcloud org-policies list-custom-constraints 指令:
    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
    ORGANIZATION_ID 替換為機構資源的 ID。詳情請參閱「查看組織政策」。

    強制執行自訂機構政策

    您可以建立參照限制的機構政策,然後將該機構政策套用至 Google Cloud 資源,藉此強制執行限制。

    控制台

    1. 在 Google Cloud 控制台中,前往「Organization policies」(機構政策) 頁面。

      前往「機構政策」

    2. 在專案選擇工具中,選取要設定機構政策的專案。
    3. 在「Organization policies」頁面的清單中選取限制條件,即可查看該限制條件的「Policy details」頁面。
    4. 如要設定這項資源的機構政策,請按一下「管理政策」
    5. 在「Edit policy」頁面中,選取「Override parent's policy」
    6. 按一下「新增規則」
    7. 在「Enforcement」(強制執行) 部分,選取是否要啟用這項機構政策的強制執行機制。
    8. 選用:如要讓機構政策依標記而定,請按一下「新增條件」。請注意,如果您在組織政策中新增條件規則,則必須至少新增一項無條件規則,否則無法儲存政策。詳情請參閱「設定含有標記的組織政策」。
    9. 按一下「測試變更」,模擬機構政策的效果。舊版受管理限制條件無法進行政策模擬。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」。
    10. 如要完成並套用機構政策,請按一下「設定政策」。這項政策最多需要 15 分鐘才會生效。

    gcloud

    如要建立包含布林值規則的機構政策,請建立參照限制的政策 YAML 檔案:

          name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

    取代下列內容:

    • PROJECT_ID:您要強制執行限制的專案。
    • CONSTRAINT_NAME:您為自訂限制定義的名稱。例如:custom.restrictManagedZoneWithDeniedDescription

    如要強制執行包含限制的機構政策,請執行下列指令:

        gcloud org-policies set-policy POLICY_PATH

    POLICY_PATH 替換為機構政策 YAML 檔案的完整路徑。這項政策最多需要 15 分鐘才會生效。

    常見用途的自訂機構政策範例

    下表列出常見用途的部分自訂限制條件語法:

    說明 限制條件語法
    限制 Cloud DNS 執行個體的記錄 
          name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictManagedZoneWithDeniedDescription
      resourceTypes:
      - dns.googleapis.com/ManagedZone
      methodTypes:
      - CREATE
      - UPDATE
      condition: resource.description.contains('denied')
      actionType: DENY
      displayName: Restrict create / update for Cloud DNS ManagedZone resources
      description: Prevents users from creating / updating for Cloud DNS ManagedZone resources

    Cloud DNS 支援的資源

    下表列出可在自訂限制中參照的 Cloud DNS 資源。

    資源 欄位
    dns.googleapis.com/ManagedZone resource.cloudLoggingConfig.enableLogging
    resource.description
    resource.dnsName
    resource.dnssecConfig.defaultKeySpecs.algorithm
    resource.dnssecConfig.defaultKeySpecs.keyLength
    resource.dnssecConfig.defaultKeySpecs.keyType
    resource.dnssecConfig.nonExistence
    resource.dnssecConfig.state
    resource.forwardingConfig.targetNameServers.domainName
    resource.forwardingConfig.targetNameServers.forwardingPath
    resource.forwardingConfig.targetNameServers.ipv4Address
    resource.forwardingConfig.targetNameServers.ipv6Address
    resource.name
    resource.privateVisibilityConfig.gkeClusters.gkeClusterName
    resource.privateVisibilityConfig.networks.networkUrl
    resource.serviceDirectoryConfig.namespace.namespaceUrl
    resource.visibility
    dns.googleapis.com/Policy resource.alternativeNameServerConfig.targetNameServers.forwardingPath
    resource.alternativeNameServerConfig.targetNameServers.ipv4Address
    resource.alternativeNameServerConfig.targetNameServers.ipv6Address
    resource.description
    resource.dns64Config.scope.allQueries
    resource.enableInboundForwarding
    resource.enableLogging
    resource.name
    resource.networks.networkUrl
    dns.googleapis.com/ResponsePolicy resource.description
    resource.gkeClusters.gkeClusterName
    resource.networks.networkUrl
    resource.responsePolicyName
    dns.googleapis.com/ResponsePolicyRule resource.behavior
    resource.dnsName
    resource.localData.localData.name
    resource.localData.localData.routingPolicy.geo.enableFencing
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.externalEndpoints
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.ipAddress
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.ipProtocol
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.loadBalancerType
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.networkUrl
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.port
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.project
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.region
    resource.localData.localData.routingPolicy.geo.item.location
    resource.localData.localData.routingPolicy.geo.item.rrdata
    resource.localData.localData.routingPolicy.healthCheck
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.enableFencing
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.externalEndpoints
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.ipAddress
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.ipProtocol
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.loadBalancerType
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.networkUrl
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.port
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.project
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.region
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.location
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.rrdata
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.externalEndpoints
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.ipAddress
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.ipProtocol
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.loadBalancerType
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.networkUrl
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.port
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.project
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.region
    resource.localData.localData.routingPolicy.primaryBackup.trickleTraffic
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.externalEndpoints
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.ipAddress
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.ipProtocol
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.loadBalancerType
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.networkUrl
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.port
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.project
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.region
    resource.localData.localData.routingPolicy.wrr.item.rrdata
    resource.localData.localData.routingPolicy.wrr.item.weight
    resource.localData.localData.rrdata
    resource.localData.localData.ttl
    resource.localData.localData.type
    resource.ruleName

    後續步驟