本页介绍了如何使用组织政策服务自定义限制条件来限制对以下 Google Cloud 资源的特定操作:
iam.googleapis.com/AllowPolicy
如需详细了解组织政策,请参阅自定义组织政策。
组织政策和限制条件简介
Google Cloud 组织政策服务可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于 Google Cloud 资源层次结构中的 Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。
组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义限制条件并在组织政策中使用这些自定义限制条件。
政策继承
如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则。
优势
您可以使用引用 IAM 属性的自定义组织政策来控制允许政策的修改方式。具体而言,您可以控制以下各项:
- 谁可以被授予角色
- 谁的角色可能会被撤消
- 可以授予哪些角色
- 可以撤消哪些角色
例如,您可以阻止向电子邮件地址以 @gmail.com
结尾的主账号授予包含 admin
一词的角色。
限制
模拟运行模式下引用 IAM 属性的自定义组织政策存在一些限制。也就是说,涉及
setIamPolicy
方法的违规行为的审核日志可能缺少以下字段:resourceName
serviceName
methodName
系统不会为所有与 IAM 相关的自定义组织政策违规行为生成审核日志。也就是说,如果自定义组织政策导致对组织资源执行的
setIamPolicy
操作失败,Google Cloud 不会为该事件生成审核日志。引用 IAM 属性的自定义组织政策不会影响以下各项:
- Cloud Storage ACL 的默认授予。
- 为使用 Cloud Storage 便捷值和 BigQuery 默认数据集访问权限的用户自动授予角色。
- 默认允许政策授予的角色,例如,系统会自动向项目创建者授予项目的 Owner 角色 (
roles/owner
)。
即使您有自定义组织政策阻止授予 Owner 角色 (
roles/owner
),也可以向用户发送邀请,邀请他们成为所有者。不过,虽然自定义组织政策不会阻止发送邀请,但会阻止向受邀用户授予“所有者”角色。如果受邀用户尝试接受邀请,则会遇到错误,并且不会被授予 Owner 角色。Google Cloud 中的某些操作(例如创建资源或启用 API)会涉及自动向服务代理或默认服务账号授予角色。如果某项操作涉及自动授予角色,而组织政策阻止授予该角色,则整个操作可能会失败。
如果您遇到此问题,可以使用标记暂时停用阻止授予角色的限制条件。然后,执行相应操作。操作完成后,重新启用该约束条件。
准备工作
-
如果您想测试引用 IAM 资源的自定义组织政策,请创建一个新项目。在现有项目中测试这些组织政策可能会中断安全工作流。
-
In the Google Cloud console, go to the project selector page.
-
Select or create a Google Cloud project.
-
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:
-
组织的 Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) -
测试本页中所述的组织政策:项目的 Project IAM Admin (
roles/resourcemanager.projectIamAdmin
)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理组织政策需要以下权限:
-
针对组织的
orgpolicy.*
权限 -
测试本页面中所述的组织政策:
resourcemanager.projects.setIamPolicy
针对项目
创建自定义限制条件
自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。
如需创建自定义限制条件,请使用以下格式创建 YAML 文件:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
替换以下内容:
ORGANIZATION_ID
:您的组织 ID,例如123456789
。CONSTRAINT_NAME
:新的自定义限制条件的名称。 自定义限制条件必须以custom.
开头,只能包含大写字母、小写字母或数字,例如custom.denyProjectIAMAdmin
。此字段的最大长度为 70 个字符。RESOURCE_NAME
:包含要限制的对象和字段的 Google Cloud 资源的完全限定名称。例如iam.googleapis.com/AllowPolicy
。CONDITION
:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。 例如
。resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']))
ACTION
:满足condition
时要执行的操作。可能的值有ALLOW
和DENY
。DISPLAY_NAME
:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION
:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的长度上限为 2,000 个字符。
如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件。
设置自定义限制条件
为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用gcloud org-policies set-custom-constraint
命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml
。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints
命令:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
替换为您的组织资源的 ID。
如需了解详情,请参阅查看组织政策。
强制执行自定义组织政策
如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。控制台
- 在 Google Cloud 控制台中,转到组织政策页面。
- 在项目选择器中,选择要设置组织政策的项目。
- 从组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
- 如需为该资源配置组织政策,请点击管理政策。
- 在修改政策页面,选择覆盖父级政策。
- 点击添加规则。
- 在强制执行部分中,选择开启还是关闭此组织政策的强制执行。
- (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策。
- 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
- 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。
gcloud
如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
请替换以下内容:
-
PROJECT_ID
:要对其实施限制条件的项目。 -
CONSTRAINT_NAME
:您为自定义限制条件定义的名称。例如,custom.denyProjectIAMAdmin
。
如需强制执行包含限制条件的组织政策,请运行以下命令:
gcloud org-policies set-policy POLICY_PATH
将 POLICY_PATH
替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。
测试自定义组织政策
(可选)您可以通过设置组织政策,然后尝试执行该政策应阻止的操作来测试该政策。
创建限制条件
将以下文件另存为
constraint-deny-project-iam-admin
。name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) && binding.members.exists(member, MemberSubjectMatches(member, ['user:EMAIL_ADDRESS']) ) )" actionType: DENY displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.
替换以下值:
ORG_ID
:您的 Google Cloud 组织的数字 ID。MEMBER_EMAIL_ADDRESS
:您要用来测试自定义约束条件的主账号的电子邮件地址。在限制条件有效期间,您将无法向您强制执行限制条件的项目授予此主账号 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin
)。
应用限制条件:
gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml
验证限制条件存在:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
创建政策
将以下文件保存为
policy-deny-project-iam-admin.yaml
:name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin spec: rules: - enforce: true
将
PROJECT_ID
替换为您的项目 ID。应用政策:
gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml
验证政策存在:
gcloud org-policies list --project=PROJECT_ID
应用政策后,请等待大约两分钟,以便 Google Cloud 开始强制执行政策。
测试政策
尝试向您在自定义约束条件中添加电子邮件地址的主账号授予 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin
)。在运行该命令之前,请替换以下值:
PROJECT_ID
:您强制执行约束条件的 Google Cloud 项目的 IDEMAIL_ADDRESS
:您在创建组织政策约束条件时指定的主账号的电子邮件地址。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin
输出如下所示:
Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]
常见用例的自定义组织政策示例
下表提供了一些常见用例的自定义约束条件的语法。
以下示例使用 CEL 宏 all
和 exists
。如需详细了解这些宏,请参阅宏。
说明 | 限制条件语法 |
---|---|
禁止授予特定角色。 |
name: organizations/ORG_ID/customConstraints/custom.denyRole resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameMatches(binding.role, ['ROLE']) )" actionType: DENY displayName: Do not allow the ROLE role to be granted |
仅允许授予特定角色。 |
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2']) )" actionType: ALLOW displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted |
阻止授予以 roles/storage. 开头的任何角色。
|
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameStartsWith(binding.role, ['roles/storage.']) )" actionType: DENY displayName: Prevent roles that start with "roles/storage." from being granted |
阻止撤消名称中包含 admin 的任何角色。
|
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - REMOVE_GRANT condition: "resource.bindings.exists( binding, RoleNameContains(binding.role, ['admin']) )" actionType: DENY displayName: Prevent roles with "admin" in their names from being revoked |
仅允许向特定主账号授予角色。 |
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT']) ) )" actionType: ALLOW displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT |
阻止从特定主账号撤消任何角色。 |
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - REMOVE_GRANT condition: "resource.bindings.exists( binding, binding.members.exists(member, MemberSubjectMatches(member, ['user:USER_1','user:USER_2']) ) )" actionType: DENY displayName: Do not allow roles to be revoked from USER_1 or USER_2 |
阻止向电子邮件地址以 @gmail.com 结尾的主账号授予角色。
|
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, binding.members.exists(member, MemberSubjectEndsWith(member, ['@gmail.com']) ) )" actionType: DENY displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles |
仅允许授予特定角色,且仅向特定主账号授予。 |
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2']) && binding.members.all(member, MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP']) ) )" actionType: ALLOW displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP |
阻止向 allUsers 和 allAuthenticatedUsers 授予 Cloud Storage 角色。
|
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameStartsWith(binding.role, ['roles/storage.']) && binding.members.exists(member, MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers']) ) )" actionType: DENY displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers |
阻止向贵组织之外的任何身份授予角色。 |
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID']) ) )" actionType: ALLOW displayName: Only allow organization members to be granted roles |
仅允许向服务账号授予角色。 |
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount']) ) )" actionType: ALLOW displayName: Only allow service accounts to be granted roles |
Identity and Access Management 支持的资源
IAM 支持 AllowPolicy
资源。此资源具有 resources.bindings
属性,系统会针对修改资源允许政策的所有方法返回此属性。用于修改资源允许政策的所有方法均以 setIamPolicy
结尾。
resource.bindings
属性具有以下结构,其中 BINDINGS
是更改允许政策期间修改的角色绑定的数组:
{
"bindings": {
BINDINGS
}
}
resource.bindings
中的每个绑定都具有以下结构,其中 ROLE
是角色绑定中的角色名称,MEMBERS
是添加到或从角色绑定中移除的主账号的标识符列表:
{
"role": "ROLE"
"members": {
MEMBERS
}
}
如需查看主账号标识符可以采用的格式,请参阅主账号标识符。
您只能使用受支持的函数评估 resource.bindings
属性及其字段。不支持其他运算符和函数,例如 ==
、!=
、in
、contains
、startsWith
和 endsWith
。
支持的函数
您可以使用以下 CEL 函数来评估 binding
资源的 role
和 members
字段。使用这些函数时,您还可以使用逻辑运算符 &&
(and
) 和 ||
(or
) 编写多部分条件。
函数 | 说明 |
---|---|
RoleNameMatches(
bool
|
如果角色
|
RoleNameStartsWith(
bool
|
如果角色
|
RoleNameEndsWith(
bool
|
如果角色
|
RoleNameContains(
bool
|
如果角色
|
MemberSubjectMatches(
bool
|
如果成员
如果
|
MemberSubjectStartsWith(
bool
|
如果成员
如果
|
MemberSubjectEndsWith(
bool
|
如果成员
如果
|
MemberInPrincipalSet(
bool
|
如果成员属于所列主账号集的至少一个,则返回
|
MemberTypeMatches(
bool
|
如果成员是所列主账号类型之一,则返回
|
MemberTypeMatches
支持的主账号类型
MemberTypeMatches
函数要求您指定指定成员必须与哪种主要类型匹配。
下表列出了您可以输入的主账号类型,以及主账号类型的说明。该页面还列出了与每种主账号类型对应的主账号标识符。这些标识符是 IAM 政策中使用的值。
主账号类型 | 说明 | 主账号标识符 |
---|---|---|
iam.googleapis.com/ |
Google 个人账号。这些账号的电子邮件地址通常以 gmail.com 结尾。
|
user:USER_EMAIL_ADDRESS |
iam.googleapis.com/ |
属于 Cloud Identity 或 Google Workspace 账号的 Google 账号。这些账号也称为 受管理的用户账号。 | user:USER_EMAIL_ADDRESS |
iam.googleapis.com/ |
由消费者 Google 账号创建的
Google 群组。这些群组不归 Cloud Identity 或 Google Workspace 账号所有。这些群组的电子邮件地址通常以 googlegroups.com 结尾。
|
group:GROUP_EMAIL_ADDRESS |
iam.googleapis.com/ |
由 Cloud Identity 或 Google Workspace 账号拥有的 Google 群组。 | group:GROUP_EMAIL_ADDRESS |
iam.googleapis.com/ |
Cloud Identity 或 Google Workspace 账号。 | domain:DOMAIN |
iam.googleapis.com/ |
员工身份池中的单个正文。 | principal://iam.googleapis.com/ |
iam.googleapis.com/ |
主账号集,包含员工身份池中的一组身份。例如,包含员工身份池中所有主账号的主账号集。 |
|
iam.googleapis.com/ |
工作负载身份池中的单个身份 | principal://iam.googleapis.com/projects/ |
iam.googleapis.com/ |
主账号集,其中包含工作负载身份池中的一组身份。例如,包含工作负载身份池中所有主账号的主账号集。 |
|
iam.googleapis.com/ |
任何服务账号。服务账号是一种特殊类型的账号,代表工作负载而非真人用户。
在 |
serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS |
iam.googleapis.com/ |
任何服务代理。服务代理是一种特殊类型的服务账号,由 Google Cloud 创建和管理。服务代理在项目中被授予角色后,Google Cloud 服务便可代表您执行操作。 | serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS |
iam.googleapis.com/ |
主账号 allUsers 和 allAuthenticatedUsers 。
|
|
iam.googleapis.com/ |
根据授予的主账号的角色定义的主账号。这些正文也称为便捷值。 |
|