使用自訂限制條件管理 Firestore 資源

本頁說明如何使用 Organization Policy Service 自訂限制，限制對下列 Google Cloud 資源執行的特定作業：

• firestore.googleapis.com/Database

如要進一步瞭解機構政策，請參閱「自訂機構政策」。

關於機構政策和限制

Google Cloud 機構政策服務可讓您透過程式以集中方式控管機構的資源。身為機構政策管理員，您可以定義機構政策，也就是一組稱為「限制」的限制，適用於Google Cloud 資源和Google Cloud 資源階層中這些資源的子系。您可以在機構、資料夾或專案層級強制執行機構政策。

機構政策提供各種 Google Cloud 服務的內建代管限制。不過，如要更精細地自訂機構政策中受限的特定欄位，也可以建立自訂限制，並在機構政策中使用這些自訂限制。

政策繼承

根據預設，機構政策會由您強制執行政策的資源子系繼承。舉例來說，如果您對資料夾強制執行政策， Google Cloud 系統會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更，請參閱「階層評估規則」。

優點

• 安全性、法規遵循與管理：您可以按照下列方式使用自訂機構政策：

  • 如要強制執行災害復原需求，您可以在資料庫中要求特定的災害復原設定，例如刪除保護和時間點復原。

  • 您可以限制只能在特定位置建立資料庫。

  • 您可以為資料庫啟用 CMEK (客戶自行管理的加密金鑰)。

• 稽核：自訂機構政策限制會記錄在稽核記錄中。任何作業 (包括限制條件修改和限制條件檢查) 都會產生對應的 Cloud 稽核記錄。

事前準備

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

如果您使用外部識別資訊提供者 (IdP)，請先 使用聯合身分登入 gcloud CLI。

如要初始化 gcloud CLI，請執行下列指令：

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

如果您使用外部識別資訊提供者 (IdP)，請先 使用聯合身分登入 gcloud CLI。

如要初始化 gcloud CLI，請執行下列指令：

gcloud init

1. 請確認您知道機構 ID。

必要的角色

如要取得管理自訂機構政策所需的權限，請要求管理員為您授予機構資源的機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

建立自訂限制

自訂限制是在 YAML 檔案中定義，其中包含您要強制執行機構政策的服務所支援的資源、方法、條件和動作。自訂限制的條件是使用一般運算語言 (CEL) 定義。如要進一步瞭解如何使用 CEL 在自訂限制中建構條件，請參閱「建立及管理自訂限制」一文的 CEL 一節。

如要建立自訂限制，請使用下列格式建立 YAML 檔案：

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

更改下列內容：

• ORGANIZATION_ID：您的機構 ID，例如 123456789。

• CONSTRAINT_NAME：新自訂限制的名稱。自訂限制條件必須以 custom. 開頭，且只能包含大寫英文字母、小寫英文字母或數字。例如，custom.deleteProtectionRequired。這個欄位的長度上限為 70 個字元。

• RESOURCE_NAME：包含要限制物件和欄位的Google Cloud 資源完整名稱。例如：firestore.googleapis.com/Database。

• CONDITION：針對支援服務資源的代表項目編寫的 CEL 條件。這個欄位的長度上限為 1000 個字元。如要進一步瞭解可編寫條件的資源，請參閱「支援的資源」。例如："resource.deleteProtectionState == \"DELETE_PROTECTION_ENABLED\""。

• ACTION：如果符合 condition，應採取的動作。可能的值為 ALLOW 和 DENY。

• DISPLAY_NAME：限制條件的易記名稱。這個欄位的長度上限為 200 個字元。

• DESCRIPTION：違反政策時，要以錯誤訊息形式顯示的限制說明。這個欄位的長度上限為 2000 個字元。

如要進一步瞭解如何建立自訂限制，請參閱「定義自訂限制」。

設定自訂限制

為新的自訂限制建立 YAML 檔案後，您必須進行設定，才能在貴機構的機構政策中使用該檔案。如要設定自訂限制，請使用 gcloud org-policies set-custom-constraint 指令：

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

將 CONSTRAINT_PATH 替換為自訂限制檔案的完整路徑。例如：/home/user/customconstraint.yaml。 完成後，自訂限制就會顯示在 Google Cloud 機構政策清單中，做為機構政策使用。如要確認自訂限制條件是否存在，請使用 gcloud org-policies list-custom-constraints 指令：

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

將 ORGANIZATION_ID 替換為機構資源的 ID。 詳情請參閱「查看組織政策」。

強制執行自訂機構政策

如要強制執行限制，請建立參照該限制的機構政策，然後將該政策套用至 Google Cloud 資源。

控制台

1. 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。

   前往「機構政策」

2. 在專案選擇工具中，選取要設定機構政策的專案。
3. 在「Organization policies」(機構政策) 頁面上的清單中選取限制條件，即可查看該限制條件的「Policy details」(政策詳情) 頁面。
4. 如要設定資源的機構政策，請按一下「管理政策」。
5. 在「編輯政策」頁面中，選取「覆寫上層政策」。
6. 按一下「新增規則」。
7. 在「Enforcement」(強制執行) 區段中，選取是否要強制執行這項機構政策。
8. 選用：如要根據標記設定機構政策條件，請按一下「新增條件」。請注意，如果為組織政策新增條件式規則，您必須至少新增一項無條件規則，否則無法儲存政策。詳情請參閱「使用標記設定組織政策」。
9. 按一下「測試變更」，模擬機構政策的影響。舊版受管理限制不支援政策模擬。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」。
10. 如要完成並套用機構政策，請按一下「設定政策」。這項政策最多需要 15 分鐘才會生效。

gcloud

如要建立含有布林值規則的機構政策，請建立參照限制的政策 YAML 檔案：

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

取代下列項目：

• PROJECT_ID：您要強制執行限制的專案。
• CONSTRAINT_NAME：您為自訂限制定義的名稱。例如：custom.deleteProtectionRequired。

如要強制執行包含限制的機構政策，請執行下列指令：

    gcloud org-policies set-policy POLICY_PATH
    

將 POLICY_PATH 替換為機構政策 YAML 檔案的完整路徑。這項政策最多需要 15 分鐘才會生效。

測試自訂機構政策

開始之前，請務必瞭解下列事項：

• 機構 ID

1. 按照下列方式建立 deleteProtectionRequired.yaml 檔案：

    name: organizations/ORGANIZATION_ID/customConstraints/custom.deleteProtectionRequired
    resourceTypes:
    - firestore.googleapis.com/Database
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.deleteProtectionState == \"DELETE_PROTECTION_ENABLED\""
    actionType: ALLOW
    displayName: Firestore Delete Protection Required
    description: To ensure the data security, Delete Protection is required to be enabled for Firestore databases.
   

   這可確保 Firestore 資料庫中的所有 CREATE 和 UPDATE 方法都符合 deleteProtectionState 為 DELETE_PROTECTION_ENABLED 的限制。因此，如果沒有明確啟用刪除保護功能，系統會拒絕任何資料庫建立/更新/還原/複製作業。

2. 在機構層級設定自訂限制：

   gcloud org-policies set-custom-constraint deleteProtectionRequired.yaml
   

測試政策

嘗試在組織的專案中建立資料庫，但不設定 --delete-protection 標記：

gcloud firestore database create \
   --project=PROJECT_ID \
   --database=DATABASE_ID \

輸出內容如下：

Operation denied by custom org policies: ["customConstraints/custom.deleteProtectionRequired": "To ensure the data security, Delete Protection is required to be enabled for Firestore databases"]

測試及分析機構政策變更

建議您測試並模擬執行機構政策的所有變更，進一步瞭解環境狀態和變更對環境的影響。

機構政策模擬器可協助您瞭解限制和機構政策對目前環境的影響。使用這項工具，您可以在實際工作環境強制執行前，查看所有資源設定，瞭解違規情形。如需詳細操作說明，請參閱「使用 Policy Simulator 測試組織政策變更」。

瞭解目前的效果後，您可以在模擬執行模式下建立機構政策，瞭解政策在未來 30 天內的影響和潛在違規情形。模擬測試模式下的機構政策是一種機構政策，違反政策的行為會記錄在稽核記錄中，但不會遭到拒絕。您可以使用 Google Cloud 控制台或 Google Cloud CLI，透過自訂限制以模擬執行模式建立機構政策。如需詳細操作說明，請參閱「以試執行模式建立機構政策」。

常見用途的自訂機構政策範例

下表提供一些常見自訂限制的語法範例。

說明	限制語法
資料庫名稱必須遵循特定模式。請注意，自訂機構組織政策中的資料庫名稱格式為 projects/project-id/databases/database-id，但資料庫管理作業中只會指定 database-id。	name: organizations/ORGANIZATION_ID/customConstraints/custom.nameSuffixMobile resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE condition: "resource.name.endsWith('-mobile')" actionType: ALLOW displayName: Firestore database names end with "-mobile" description: Only allow the creation of database names ending with suffix "-mobile"
資料庫只能在指定的位置建立。	name: organizations/ORGANIZATION_ID/customConstraints/custom.locationUsCentral1 resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE condition: "resource.locationId == 'us-central1'" actionType: ALLOW displayName: Firestore database location id us-central1 description: Only allow the creation of databases in region us-central1
資料庫必須屬於指定的類型。	name: organizations/ORGANIZATION_ID/customConstraints/custom.typeFirestore resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE - UPDATE condition: "resource.type=="FIRESTORE_NATIVE"" actionType: ALLOW displayName: Firestore database type Firestore_Native description: Only allow creation and updating of databases if the type is Firestore in native mode.
資料庫必須使用指定的並行模式。	name: organizations/ORGANIZATION_ID/customConstraints/custom.concurrencyNotPessimistic resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE - UPDATE condition: "resource.concurrencyMode == 'PESSIMISTIC'" actionType: DENY displayName: Firestore database concurrencyMode not pessimistic description: Disallow the creation and updating of databases with pessimistic concurrency mode.
資料庫必須啟用point-in-time-recovery功能。	name: organizations/ORGANIZATION_ID/customConstraints/custom.pitrEnforce resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE - UPDATE condition: "resource.pointInTimeRecoveryEnablement == "POINT_IN_TIME_RECOVERY_ENABLED"" actionType: ALLOW displayName: Firestore database enables PiTR description: Only allow the creation and updating of a databases if PiTR is enabled.
資料庫必須使用指定的 App Engine 整合模式。	name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAppEngineIntegrationMode resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE - UPDATE condition: "resource.appEngineIntegrationMode == 'ENABLED'" actionType: ALLOW displayName: Firestore Database App Engine integration mode enabled description: Only allow the creation and updating of databases with App Engine Integration Mode enabled.
除非啟用防刪除功能，否則不允許建立資料庫。	name: organizations/ORGANIZATION_ID/customConstraints/custom.deleteProtectionRequired resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE - UPDATE condition: "resource.deleteProtectionState == "DELETE_PROTECTION_ENABLED"" actionType: ALLOW displayName: Firestore Delete Protection Required description: To ensure the data security, Delete Protection is required to be enabled for Firestore databases.
資料庫必須使用指定的客戶管理加密金鑰 (CMEK) 設定。	name: organizations/ORGANIZATION_ID/customConstraints/custom.cmekKeyNotDev resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE - UPDATE condition: "resource.cmekConfig.kmsKeyName.matches('dev$')" actionType: DENY displayName: Firestore database CMEK key not dev description: Disallow the creation and updating of databases with CMEK KMS keys ending with "dev".
資料庫必須使用指定的資料庫版本。	name: organizations/ORGANIZATION_ID/customConstraints/custom.standardEditionRequired resourceTypes: - firestore.googleapis.com/Database methodTypes: - CREATE - UPDATE condition: "resource.databaseEdition == "STANDARD"" actionType: ALLOW displayName: Firestore Standard Edition Required description: Only allow the creation and updating of databases with Standard Edition.

Firestore 支援的資源

下表列出可在自訂限制中參照的 Firestore 資源。

資源	欄位
firestore.googleapis.com/Database	resource.appEngineIntegrationMode
	resource.cmekConfig.kmsKeyName
	resource.concurrencyMode
	resource.deleteProtectionState
	resource.locationId
	resource.name
	resource.pointInTimeRecoveryEnablement
	resource.type

後續步驟

• 進一步瞭解機構政策服務。
• 進一步瞭解如何建立及管理機構政策。
• 請參閱受管理機構政策限制的完整清單。