对服务账号和服务账号密钥使用自定义组织政策

Google Cloud 组织政策可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于 Google Cloud 资源层次结构中的 Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。

组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义组织政策。

优势

您可以使用自定义组织政策来允许或禁止对服务账号和服务账号密钥执行特定操作。例如,您可以设置政策来拒绝创建具有特定来源的密钥,从而导致任何请求创建具有该来源的密钥都会失败并向用户返回错误。

政策继承

如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则

准备工作

  • 请确保您知道您的组织 ID
  • 如果您想测试引用 IAM 资源的自定义组织政策,请创建一个新项目。在现有项目中测试这些组织政策可能会中断安全工作流。

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

所需的角色

如需获得管理组织政策所需的权限,请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

此预定义角色可提供管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

管理组织政策需要以下权限:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

您也可以使用自定义角色或其他预定义角色来获取这些权限。

创建自定义限制条件

自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。

如需为自定义限制条件创建 YAML 文件,请运行以下命令:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- iam.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

替换以下内容:

  • ORGANIZATION_ID:您的组织 ID,例如 123456789

  • CONSTRAINT_NAME:新的自定义限制条件的名称。 自定义限制条件必须以 custom. 开头,只能包含大写字母、小写字母或数字,例如 custom.denyServiceAccountCreation。该字段的长度上限为 70 个字符,不计算前缀,例如 organizations/123456789/customConstraints/custom

  • RESOURCE_TYPE:包含要限制的对象和字段的 Identity and Access Management API REST 资源的名称(而非 URI)。例如,ServiceAccount。

  • CONDITION:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。 例如 "resource.description.contains('INVALID_DESCRIPTION')"

  • ACTION:满足 condition 时要执行的操作。可以是 ALLOWDENY

  • DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。

  • DESCRIPTION:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的长度上限为 2,000 个字符。

如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件

设置自定义限制条件

为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用 gcloud org-policies set-custom-constraint 命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替换为您的组织资源的 ID。 如需了解详情,请参阅查看组织政策

强制执行自定义组织政策

如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。

控制台

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到组织政策

  2. 在项目选择器中,选择要设置组织政策的项目。
  3. 组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
  4. 如需为该资源配置组织政策,请点击管理政策
  5. 修改政策页面,选择覆盖父级政策
  6. 点击添加规则
  7. 强制执行部分中,选择开启还是关闭此组织政策的强制执行。
  8. (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策
  9. 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改
  10. 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。

gcloud

如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件:

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

请替换以下内容:

  • PROJECT_ID:要对其实施限制条件的项目。
  • CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.denyServiceAccountCreation

如需强制执行包含限制条件的组织政策,请运行以下命令:

    gcloud org-policies set-policy POLICY_PATH
    

POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。

测试自定义组织政策

(可选)您可以通过设置组织政策,然后尝试执行该政策应阻止的操作来测试该政策。

本部分介绍了如何测试以下组织政策限制条件:

name: organizations/ORG_ID/customConstraints/custom.denyServiceAccountCreation
resourceTypes: iam.googleapis.com/ServiceAccount
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.description.contains('INVALID_DESCRIPTION')"
actionType: DENY
displayName: Do not allow service account with INVALID_DESCRIPTION to be created.

如果您想测试此自定义约束条件,请执行以下操作:

  1. 将约束条件复制到 YAML 文件中,并替换以下值:

    • ORG_ID:您的 Google Cloud 组织的数字 ID。
    • INVALID_DESCRIPTION:您要用来测试自定义约束条件的说明。在该限制条件有效期间,系统不会在您强制执行该限制条件的项目中创建说明包含此字符串的服务账号。
  2. 设置自定义限制条件,并对您创建的项目强制执行该限制条件,以测试自定义组织政策限制条件。

  3. 确保您具有 Create Service Accounts 角色 (roles/iam.serviceAccountCreator)

  4. 尝试创建一个包含您在自定义约束条件中添加的说明的服务账号。在运行该命令之前,请替换以下值:

    • SERVICE_ACCOUNT_NAME:服务账号的名称
    • INVALID_DESCRIPTION:系统将在服务账号的说明中检查是否存在的无效字符串
    • DISPLAY_NAME:要在 Google Cloud 控制台中显示的服务账号名称
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
    --description="INVALID_DESCRIPTION" --display-name="DISPLAY_NAME"

输出如下所示:

Operation denied by custom org policy: ["customConstraints/custom.denyServiceAccountCreation": "Do not allow service account with INVALID_DESCRIPTION to be created."]

Identity and Access Management 支持的资源和操作

在创建或更新账号或密钥时,您可以使用以下服务账号和服务账号密钥自定义约束条件字段。

  • 服务账号
    • resource.description
    • resource.displayName
    • resource.name
      • 格式:projects/PROJECT_ID/serviceAccounts/UNIQUE_ID
  • 服务账号密钥
    • resource.keyOrigin
    • resource.keyType
    • resource.name
      • 格式:projects/PROJECT_ID/serviceAccounts/UNIQUE_ID/keys/KEY_ID

常见用例的自定义组织政策示例

下表提供了一些常见用例的自定义限制条件的语法:

如需详细了解可在自定义限制条件中使用的 CEL 宏,请参阅通用表达式语言

说明 限制条件语法
停用服务账号创建功能。
    name: organizations/ORGANIZATION_ID/customConstraints/custom.disableServiceAccountCreation
    resourceTypes:
    - iam.googleapis.com/ServiceAccount
    methodTypes:
    - CREATE
    condition: "True"
    actionType: DENY
    displayName: Deny all service account creation.
停用服务账号密钥创建功能。
    name: organizations/ORGANIZATION_ID/customConstraints/custom.disableServiceAccountKeyCreation
    resourceTypes:
    - iam.googleapis.com/ServiceAccountKey
    methodTypes:
    - CREATE
    condition: "resource.keyType == USER_MANAGED && resource.keyOrigin == GOOGLE_PROVIDED"
    actionType: DENY
    displayName: Deny all service account key creation.
停用服务账号密钥上传功能。
    name: organizations/ORGANIZATION_ID/customConstraints/custom.disableServiceAccountKeyUpload
    resourceTypes:
    - iam.googleapis.com/ServiceAccountKey
    methodTypes:
    - CREATE
    condition: "resource.keyType == USER_MANAGED && resource.keyOrigin == USER_PROVIDED"
    actionType: DENY
    displayName: Deny all service account key uploads.

后续步骤