Google Cloud 组织政策可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于 Google Cloud 资源层次结构中的 Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。
组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义限制条件并在自定义组织政策中强制执行这些自定义限制条件。
政策继承
如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则。
Cloud NGFW 支持的资源
对于 VPC 防火墙规则,您可以对以下资源和字段设置自定义限制条件。
- 防火墙:
compute.googleapis.com/Firewall
- 名称:
resource.name
- 说明:
resource.description
- 网络:
resource.network
- 优先级:
resource.priority
- 来源范围:
resource.sourceRanges[]
- 目标范围:
resource.destinationRanges[]
- 来源标记:
resource.sourceTags[]
- 目标标记:
resource.targetTags[]
- 允许规则:
resource.allowed[]
- 协议:
resource.allowed[].IPProtocol
- 端口:
resource.allowed[].ports[]
- 协议:
- 拒绝规则:
resource.denied[]
- 协议:
resource.denied[].IPProtocol
- 端口:
resource.denied[].ports[]
- 协议:
- 方向:
resource.direction
- 停用:
resource.disabled
- 名称:
定义自定义限制条件
自定义限制条件由实施组织政策的服务支持的资源、方法、条件和操作定义。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 在自定义限制条件中构建条件,请参阅创建和管理组织政策的 CEL 部分。
除了标准 CEL 函数之外,您还可以使用自定义 CEL 函数 containsFirewallPort
为防火墙规则创建自定义限制条件。您可以使用此函数来创建引用特定协议或协议和端口组合的限制条件。
- 仅协议:
resource.allowed.containsFirewallPort('PROTOCOL')
- 协议和端口:
resource.allowed.containsFirewallPort('PROTOCOL', 'PORT_NUMBER')
如需了解允许的协议,请参阅协议和端口。
准备工作
-
设置身份验证(如果尚未设置)。身份验证是通过其进行身份验证以访问 Google Cloud 服务和 API 的过程。如需从本地开发环境运行代码或示例,您可以按如下方式向 Compute Engine 进行身份验证。
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
组织资源的 Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) -
如需测试限制条件,则需要以下角色:
-
项目的 Compute Network Admin (
roles/compute.networkAdmin
) -
项目的 Service Account User (
roles/iam.serviceAccountUser
)
-
项目的 Compute Network Admin (
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
在 Google Cloud 控制台中,转到组织政策页面。
选择页面顶部的项目选择器。
在项目选择器中,选择要为其设置组织政策的资源。
点击
自定义限制条件。在显示名称框中,为限制条件输入一个易记的名称。此字段的最大长度为 200 个字符。 请勿在限制条件名称中使用 PII 或敏感数据,因为这些可能会在错误消息中公开。
在限制条件 ID 框中,为新的自定义限制条件输入所需的名称。自定义限制条件必须以
custom.
开头,只能包含大写字母、小写字母或数字,例如custom.httpFirewallRule
。该字段的长度上限为 70 个字符,不计算前缀(例如organizations/123456789/customConstraints/custom.
)。在说明框中,输入直观易懂的限制条件说明,在违反政策时此说明内容会以错误消息的形式显示。此字段的最大长度为 2,000 个字符。
在资源类型框中,选择包含要限制的对象和字段的 Google Cloud REST 资源的名称。例如
compute.googleapis.com/Firewall
。在强制执行方法下,选择是仅对 REST
CREATE
方法还是同时对 RESTCREATE
和UPDATE
方法强制执行限制条件。如需定义条件,请点击
修改条件。在添加条件面板中,创建一个引用受支持的服务资源的 CEL 条件。此字段的最大长度为 1,000 个字符。
点击保存。
在操作下,选择在满足上述条件时是允许还是拒绝评估的方法。
点击创建限制条件。
ORGANIZATION_ID
:您的组织 ID,例如123456789
。CONSTRAINT_NAME
:新的自定义限制条件的名称。 自定义限制条件必须以custom.
开头,只能包含大写字母、小写字母或数字,例如custom.httpFirewallRule
。该字段的长度上限为 70 个字符,不计算前缀(例如organizations/123456789/customConstraints/custom
)。RESOURCE_NAME
:包含要限制的对象和字段的 Compute Engine API REST 资源的名称(而非 URI)。例如Firewall
。METHOD1,METHOD2,...
:要对其强制执行限制条件的 RESTful 方法的列表。可以是CREATE
或CREATE
和UPDATE
。CONDITION
:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的最大长度为 1000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。ACTION
:满足condition
时要执行的操作。可以是ALLOW
或DENY
。DISPLAY_NAME
:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION
:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的最大长度为 2,000 个字符。- 在 Google Cloud 控制台中,转到组织政策页面。
- 在项目选择器中,选择要设置组织政策的项目。
- 从组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
- 如需为该资源配置组织政策,请点击管理政策。
- 在修改政策页面,选择覆盖父级政策。
- 点击添加规则。
- 在强制执行部分中,选择开启还是关闭此组织政策的强制执行。
- 可选:如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策。
- 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
- 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。
-
PROJECT_ID
:要对其实施限制条件的项目。 -
CONSTRAINT_NAME
:您为自定义限制条件定义的名称。例如,
。custom.httpFirewallRule
10.0.0.0/8
:VPC 网络中使用的内部 IP 地址范围。192.168.0.0/16
:VPC 网络中使用的内部 IP 地址范围。35.235.240.0/20
:Identity-Aware Proxy (IAP) 进行 TCP 转发使用的 IP 地址范围。创建一个包含以下信息的
restrictSshRanges.yaml
限制条件文件。name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictSshRanges resource_types: compute.googleapis.com/Firewall condition: "resource.direction.matches('INGRESS') && resource.allowed.containsFirewallPort('tcp', '22') && !resource.sourceRanges.all(range, range == '35.235.240.0/20' || range.startsWith('10.') || range.startsWith('192.168.'))" action_type: DENY method_types: CREATE display_name: Limit firewall rules that allow ingress SSH traffic description: Firewall rules that allow ingress SSH traffic can only be created with allowed source ranges.
将
ORGANIZATION_ID
替换为您的组织 ID。设置自定义限制条件。
gcloud org-policies set-custom-constraint restrictSshRanges.yaml
创建一个包含以下示例中提供的信息的
restrictSshRanges-policy.yaml
政策文件,并在项目级强制执行此限制条件。您也可以在组织级或文件夹级设置此限制条件。name: projects/PROJECT_ID/policies/custom.restrictSshRanges spec: rules: – enforce: true
将
PROJECT_ID
替换为您的项目 ID。强制执行该政策:
gcloud org-policies set-policy restrictSshRanges-policy.yaml
如需测试此限制条件,请创建一个自动模式 VPC 网络。
将gcloud compute firewall-rules create ssh-firewall-rule \ --action=ALLOW --direction=INGRESS --network=NETWORK \ --priority=1000 --rules=tcp:22 --source-ranges=0.0.0.0/0
NETWORK
替换为您的网络名称。 输出内容类似如下:ERROR: (gcloud.compute.networks.create) Could not fetch resource: - Operation denied by custom org policy: [customConstraints/custom.restrictSshRanges] : Firewall rules that allow ingress SSH traffic can only be created with allowed source ranges.
REST
如需在本地开发环境中使用本页面上的 REST API 示例,请使用您提供给 gcloud CLI 的凭据。
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
如需了解详情,请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证。
所需的角色
如需获得管理 Cloud 新一代防火墙资源组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色可提供管理 Cloud 新一代防火墙资源组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需管理 Cloud 新一代防火墙资源的组织政策,您需要具备以下权限:
设置自定义限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 创建自定义限制条件并将其设置为在组织政策中使用。
控制台
在每个字段中输入值后,右侧将显示此自定义限制条件的等效 YAML 配置。
gcloud
如需使用 Google Cloud CLI 创建自定义限制条件,请创建一个 YAML 文件。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resource_types: compute.googleapis.com/RESOURCE_NAME method_types: – METHOD1 – METHOD2 condition: "CONDITION" action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTION
替换以下内容:
如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件。
为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用gcloud org-policies set-custom-constraint
命令: 将gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
替换为自定义限制条件文件的完整路径。例如/home/user/customconstraint.yaml
。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用gcloud org-policies list-custom-constraints
命令: 将gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
替换为您的组织资源的 ID。 如需了解详情,请参阅查看组织政策。强制执行自定义限制条件
如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。控制台
gcloud
如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
请替换以下内容:
如需强制执行包含限制条件的组织政策,请运行以下命令:
gcloud org-policies set-policy POLICY_PATH
将
POLICY_PATH
替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。示例:创建一个限制条件以限制创建允许 SSH 连接的防火墙规则
此限制条件可防止创建允许从以下范围以外的任何 IP 地址范围建立 SSH 连接的入站防火墙规则:
gcloud
价格
组织政策服务(包括预定义限制条件和自定义组织政策)可免费使用。
后续步骤
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-12-03。
-