Google Cloud 组织政策可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于 Google Cloud 资源层次结构中的 Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。
组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义组织政策。
优势
您可以使用引用 IAM 属性的自定义组织政策来控制如何修改允许政策。具体而言,您可以控制以下各项:
- 可以授予角色的对象
- 谁可以撤消角色
- 可以授予哪些角色
- 哪些角色可以被撤消
例如,您可以禁止将包含 admin 一词的角色授予电子邮件地址以 @gmail.com 结尾的主账号。
政策继承
如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则。
价格
组织政策服务(包括预定义组织政策和自定义组织政策)可免费使用。
限制
在模拟运行模式下,引用 IAM 属性的自定义组织政策存在一些限制。也就是说,涉及 setiamPolicy 方法的违规行为的审核日志可能会缺少以下字段:
resourceNameserviceNamemethodName
准备工作
- 请确保您知道您的组织 ID。
-
如果您想测试引用 IAM 资源的自定义组织政策,请创建一个新项目。在现有项目中测试这些组织政策可能会中断安全工作流程。
-
In the Google Cloud console, go to the project selector page.
-
Select or create a Google Cloud project.
-
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:
-
组织的 Organization Policy Administrator (
roles/orgpolicy.policyAdmin) -
修改项目的 IAM 政策:项目的 Project IAM Admin (
roles/resourcemanager.projectIamAdmin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理组织政策需要以下权限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set -
resourcemanager.projects.setIamPolicy
创建自定义限制条件
自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。
如需为自定义限制条件创建 YAML 文件,请运行以下命令:
name: organizations/ORG_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
METHOD_TYPE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
替换以下内容:
ORG_ID:您的组织 ID,例如123456789。CONSTRAINT_NAME:新的自定义限制条件的名称。 自定义限制条件必须以custom.开头,只能包含大写字母、小写字母或数字,例如custom.denyProjectIAMAdmin。该字段的长度上限为 70 个字符,不计算前缀(例如organizations/123456789/customConstraints/custom)。METHOD_TYPE:您希望约束条件适用的操作类型。如果您希望在有人尝试向主账号授予角色时应用该约束条件,请使用以下值:- CREATE - UPDATE如果您希望在有人尝试撤消某个主账号的角色时应用该约束条件,请使用以下值:
- REMOVE_GRANTCONDITION:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可用于针对其编写条件的属性,请参阅支持的属性。例如resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']))。ACTION:满足condition时要执行的操作。可以是ALLOW或DENY。DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION:可选。直观易懂的限制条件说明,在违反政策时显示为错误消息。此字段的最大长度为 2000 个字符。
如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件。
设置自定义限制条件
使用 Google Cloud CLI 创建新的自定义限制条件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用gcloud org-policies set-custom-constraint 命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您可发现您的自定义限制条件已成为 Google Cloud 组织政策列表中的可用组织政策。
如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替换为您的组织资源的 ID。
如需了解详情,请参阅查看组织政策。
强制执行自定义组织政策
如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。控制台
如需强制执行布尔值限制条件,请执行以下操作:
- 在 Google Cloud 控制台中,转到组织政策页面。
- 选择页面顶部的项目选择器。
- 在项目选择器中,选择要设置组织政策的项目。
- 从组织政策页面的列表中选择限制条件。 此时应显示该限制条件的政策详情页面。
- 如需为该资源配置组织政策,请点击管理政策。
- 在修改政策页面,选择覆盖父级政策。
- 点击添加规则。
- 在强制执行下,选择开启还是关闭此组织政策的强制执行。
- (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅使用标记设置组织政策。
- 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
- 若要完成并应用组织政策,请点击设置政策。该政策将在 15 分钟内生效。
gcloud
如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
请替换以下内容:
-
PROJECT_ID:要对其实施限制条件的项目。 -
CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.denyProjectIAMAdmin。
如需强制执行包含限制条件的组织政策,请运行以下命令:
gcloud org-policies set-policy POLICY_PATH
将 POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策将在 15 分钟内生效。
测试自定义组织政策
(可选)您可以通过设置组织政策,然后尝试执行该政策应禁止的操作来测试该政策。
本部分介绍了如何测试以下组织政策限制条件:
name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
- CREATE
- UPDATE
condition:
"resource.bindings.exists(
binding,
RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
binding.members.exists(member,
MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
)
)"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.
如果您想测试此自定义约束条件,请执行以下操作:
将该约束条件复制到 YAML 文件中,并替换以下值:
ORG_ID:您的 Google Cloud 组织的数字 ID。MEMBER_EMAIL_ADDRESS:您要用来测试自定义约束条件的主账号的电子邮件地址。在限制处于有效状态期间,此主账号将无法在您强制执行限制的项目中获得 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin)。
尝试向您在自定义限制条件中添加了电子邮件地址的主账号授予 Project IAM Admin 角色 (
roles/resourcemanager.projectIamAdmin)。在运行该命令之前,请替换以下值:PROJECT_ID:您强制执行约束条件的 Google Cloud 项目的 IDEMAIL_ADDRESS:您在创建组织政策限制条件时指定的主账号的电子邮件地址。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin
输出如下所示:
Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]
Identity and Access Management 支持的属性
IAM 支持 resources.bindings 属性。对于修改资源的允许政策的所有方法,系统都会返回此属性。所有这些方法都以 setIamPolicy 结尾。
resource.bindings 属性具有以下结构,其中 BINDINGS 是在更改允许政策期间修改的角色绑定数组:
{
"bindings": {
BINDINGS
}
}
resource.bindings 中的每个绑定都具有以下结构,其中 ROLE 是角色绑定中的角色名称,MEMBERS 是添加到或从角色绑定中移除的主账号标识符列表:
{
"role": "ROLE"
"members": {
MEMBERS
}
}
如需查看主账号标识符可以采用的格式,请参阅主账号标识符。
您只能使用支持的函数来评估 resource.bindings 属性及其字段。不支持其他运算符和函数(例如 ==、!=、in、contains、startsWith 和 endsWith)。
支持的函数
您可以使用以下 CEL 函数来评估 binding 资源的 role 和 members 字段。使用这些函数时,您还可以使用逻辑运算符 && (and) 和 || (or) 来编写多部分条件。
| 函数 | 说明 |
|---|---|
RoleNameMatches(
bool
|
如果角色
|
RoleNameStartsWith(
bool
|
如果角色
|
RoleNameEndsWith(
bool
|
如果角色
|
RoleNameContains(
bool
|
如果角色
|
MemberSubjectMatches(
bool
|
如果成员
如果
|
MemberSubjectEndsWith(
bool
|
如果成员
如果
|
常见用例的自定义组织政策示例
下表提供了一些可能对您有用的自定义组织政策的语法。
以下示例使用 CEL 宏 all 和 exists。如需详细了解这些宏,请参阅宏。
| 说明 | 限制条件语法 |
|---|---|
| 屏蔽授予特定角色的功能。 |
name: organizations/ORG_ID/customConstraints/custom.denyRole resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameMatches(binding.role, ['ROLE']) )" actionType: DENY displayName: Do not allow the ROLE role to be granted |
| 仅允许授予特定角色。 |
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2']) )" actionType: ALLOW displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted |
禁止授予以 roles/storage. 开头的任何角色。
|
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameStartsWith(binding.role, ['roles/storage.']) )" actionType: DENY displayName: Prevent roles that start with "roles/storage." from being granted |
防止名称中包含 admin 的任何角色被撤消。
|
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - REMOVE_GRANT condition: "resource.bindings.exists( binding, RoleNameContains(binding.role, ['admin']) )" actionType: DENY displayName: Prevent roles with "admin" in their names from being revoked |
| 仅允许向特定主账号授予角色。 |
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT']) ) )" actionType: ALLOW displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT |
| 防止特定主账号被撤消任何角色。 |
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - REMOVE_GRANT condition: "resource.bindings.exists( binding, binding.members.exists(member, MemberSubjectMatches(member, ['user:USER_1','user:USER_2']) ) )" actionType: DENY displayName: Do not allow roles to be revoked from USER_1 or USER_2 |
阻止以 @gmail.com 结尾的电子邮件地址的主账号获得角色。
|
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, binding.members.exists(member, MemberSubjectEndsWith(member, ['@gmail.com']) ) )" actionType: DENY displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles |
| 仅允许授予特定角色,并且仅授予特定主账号。 |
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2']) && binding.members.all(member, MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP']) ) )" actionType: ALLOW displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP |
防止将 Cloud Storage 角色授予 allUsers 和 allAuthenticatedUsers。
|
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameStartsWith(binding.role, ['roles/storage.']) && binding.members.exists(member, MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers']) ) )" actionType: DENY displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers |