使用自定义组织政策
Google Cloud 组织政策可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于 Google Cloud 资源层次结构中的 Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。
组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义组织政策。
优势
您可以使用自定义组织政策,根据应用的安全性、合规性或治理要求,允许或禁止对 Identity Platform 资源执行特定操作。例如,您可以控制以下属性:
- 您可以为贵组织中的应用停用密码登录选项,并要求它们始终使用电子邮件登录选项。
- 您可以限制组织中的应用使用具有指定颁发者身份的 OIDC 身份提供程序 (IdP)。
- 您可以为贵组织中的应用停用 OIDC 和 SAML IdP 选项。
- 您可以为组织中的应用停用多租户选项。
政策继承
如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则。
价格
组织政策服务(包括预定义组织政策和自定义组织政策)可免费使用。
限制
为项目启用 Identity Platform 后,Identity Platform 会为该项目创建默认配置。在项目启用之前,项目所有者无法更改配置的默认值。在项目启用之前更改任何默认值都可能会导致启用失败。如需在启用后更改配置的默认值,请使用 updateConfig
方法。
准备工作
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:
-
组织资源的 Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) -
对 Identity Platform 资源拥有 Identity Toolkit Admin (
roles/identitytoolkit.admin
) 角色
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理组织政策需要以下权限:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
创建自定义限制条件
自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。
如需为自定义限制条件创建 YAML 文件,请运行以下命令:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- identitytoolkit.googleapis.com/RESOURCE_NAME
methodTypes: METHOD
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
替换以下内容:
ORGANIZATION_ID
:您的组织 ID,例如123456789
。CONSTRAINT_NAME
:新的自定义限制条件的名称。 自定义限制条件必须以custom.
开头,只能包含大写字母、小写字母或数字,例如 custom.allowEmailLinkLogin。该字段的长度上限为 70 个字符,不计算前缀,例如organizations/123456789/customConstraints/custom
。RESOURCE_NAME
:包含要限制的对象和字段的 Identity Platform API REST 资源的名称(而非 URI)。例如identitytoolkit.googleapis.com/Config
。
CONDITION
:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。 例如"resource.signIn.email.passwordRequired == true"
。METHOD
:创建配置或租户创建约束条件时,请指定CREATE
。创建配置或租户UPDATE
约束条件时,请同时指定这两项,如下所示:methodTypes: - CREATE - UPDATE
ACTION
:满足condition
时要执行的操作。可以是ALLOW
或DENY
。DISPLAY_NAME
:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION
:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的长度上限为 2,000 个字符。
如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件。
设置自定义限制条件
为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用gcloud org-policies set-custom-constraint
命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml
。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints
命令:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
替换为您的组织资源的 ID。
如需了解详情,请参阅查看组织政策。
强制执行自定义组织政策
如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。控制台
- 在 Google Cloud 控制台中,转到组织政策页面。
- 在项目选择器中,选择要设置组织政策的项目。
- 从组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
- 如需为该资源配置组织政策,请点击管理政策。
- 在修改政策页面,选择覆盖父级政策。
- 点击添加规则。
- 在强制执行部分中,选择开启还是关闭此组织政策的强制执行。
- (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策。
- 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
- 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。
gcloud
如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
请替换以下内容:
-
PROJECT_ID
:要对其实施限制条件的项目。 -
CONSTRAINT_NAME
:您为自定义限制条件定义的名称。例如,custom.allowEmailLinkLogin
。
如需强制执行包含限制条件的组织政策,请运行以下命令:
gcloud org-policies set-policy POLICY_PATH
将 POLICY_PATH
替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。
测试自定义组织政策
如需测试自定义组织政策,请尝试为项目启用多租户:
curl -i -X PATCH \
-H 'Content-Type: application/json' \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-d '
{
"sign_in": {"email": {"password_required": false}}
}' https://autopush-identitytoolkit.sandbox.googleapis.com/admin/v2/projects/shimingz-playground-1/config\?update_mask\=sign_in.email.password_required
输出应如下所示:
Operation denied by custom org policies: ["customConstraints/custom.allowEmailLinkLogin": "Cannot disable email link login."]
Identity Platform 支持的资源和操作
Identity Platform 支持以下自定义组织政策资源:
- identitytoolkit.googleapis.com/Config
- identitytoolkit.googleapis.com/DefaultSupportedIdpConfig
- identitytoolkit.googleapis.com/InboundSamlConfig
- identitytoolkit.googleapis.com/OauthIdpConfig
- identitytoolkit.googleapis.com/Tenant
不受支持的字段
以下字段与资源的安全性相关,因此不受支持:
- identitytoolkit.googleapis.com/Config:
resource.notification.send_email.smtp.password
- identitytoolkit.googleapis.com/DefaultSupportedIdpConfig:
resource.client_secret
- identitytoolkit.googleapis.com/OauthIdpConfig:
resource.client_secret
常见用例的自定义组织政策示例
下表提供了一些可能对您有用的自定义组织政策的语法:
说明 | 限制条件语法 |
---|---|
请勿停用应用的电子邮件登录功能 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enableEmailLogin resourceTypes: - identitytoolkit.googleapis.com/Config methodTypes: - CREATE - UPDATE condition: "resource.sign_in.email.enabled == true" actionType: ALLOW displayName: Enable email login description: All applications must have email login enabled. |
仅允许使用特定 Google 客户端 ID 通过 Google 登录 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyUnexpectedGoogleClientId resourceTypes: - identitytoolkit.googleapis.com/DefaultSupportedIdpConfig methodTypes: - CREATE - UPDATE condition: "resource.name.contains('google.com') && !resource.client_id == 'my-client-id'" actionType: DENY displayName: Only allow login with Google with specific Google client ID description: Only allow login with Google with specific Google client ID for all applications. |
仅允许特定 SAML 实体 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.allowSpecificSamlEntity resourceTypes: - identitytoolkit.googleapis.com/InboundSamlConfig methodTypes: - CREATE - UPDATE condition: "resource.idp_config.idp_entity_id == 'my-saml-entity-id'" actionType: ALLOW displayName: Only allow a specific SAML entity description: Only allow a specific SAML entity for applications in this organization. |
允许使用代码流程的 OIDC IdP |
name: organizations/ORGANIZATION_ID/customConstraints/custom.allowOauthIdpWithCodeFlow resourceTypes: - identitytoolkit.googleapis.com/OauthIdpConfig methodTypes: - CREATE - UPDATE condition: "resource.response_type.code == true" actionType: ALLOW displayName: Allow OIDC IdP with code flow description: All OIDC IdP must use code flow. |
允许在美国发送短信 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.allowSmsRegion resourceTypes: - identitytoolkit.googleapis.com/Tenant methodTypes: - CREATE - UPDATE condition: "resource.sms_region_config.allow_by_default.disallowed_regions.exists(disallowed_region, disallowed_region != 'US')" actionType: DENY displayName: Allow SMS region in US description: Only allow SMS to be operated in the US for all applications. |