Cette page contient des informations sur l'analyse des paramètres de vos règles d'administration pour identifier les ressources couvertes par chaque règle d'administration. À l'aide de Policy Analyzer pour les règles d'administration, vous pouvez créer une requête d'analyse pour obtenir des informations sur les règles d'administration personnalisées et prédéfinies.
Une requête d'analyse est composée d'un champ d'application et d'une contrainte.
- Contrainte: spécifie le nom de ressource d'une contrainte.
- Champ d'application: spécifie une organisation pour la portée de l'analyse. Toutes les règles d'administration avec la contrainte spécifiée définie dans ce champ d'application sont incluses dans l'analyse.
Pour en savoir plus sur les règles d'administration d'administration, consultez la page Présentation du service de règles d'administration. Pour en savoir plus sur la création de contraintes personnalisées, consultez la page Créer et gérer des contraintes personnalisées.
Avant de commencer
Activez Cloud Asset API.
Vous devez activer l'API dans le projet ou l'organisation que vous utiliserez pour envoyer la requête. Il ne doit pas nécessairement s'agir de la même ressource que celle à laquelle vous avez défini le champ d'application de votre requête.
Facultatif: si vous souhaitez exécuter plus de 20 requêtes d'analyse des stratégies par organisation et par jour, assurez-vous d'activer le niveau Premium de Security Command Center au niveau de l'organisation. Pour en savoir plus, consultez la section Questions sur la facturation.
Rôles et autorisations requis
Afin d'obtenir les autorisations nécessaires pour exécuter une analyse des règles d'administration, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur la ressource d'organisation dans laquelle vous souhaitez effectuer votre analyse:
-
Pour effectuer l'analyse :
Lecteur d'éléments Cloud (
roles/cloudasset.viewer
) -
Pour afficher les contraintes personnalisées :
Lecteur des règles d'administration (
roles/orgpolicy.policyViewer
)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Ces rôles prédéfinis contiennent les autorisations requises pour exécuter une analyse des règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour exécuter une analyse des règles d'administration:
-
Pour effectuer l'analyse :
-
cloudasset.assets.analyzeOrgPolicy
-
cloudasset.assets.searchAllResources
-
cloudasset.assets.searchAllIamPolicies
-
-
Pour afficher les contraintes personnalisées :
orgpolicy.customConstraints.get
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Tarifs et quotas
Policy Analyzer pour les règles d'administration à grande échelle (au-delà de 20 requêtes par organisation et par jour) et les visualisations d'héritage ne sont disponibles que pour les clients ayant activé Security Command Center au niveau de l'organisation.
Le quota de Policy Analyzer pour les règles d'administration est partagé entre tous les outils Policy Analyzer. Pour en savoir plus, consultez la section Questions sur la facturation.
Analyser les règles configurées
Une règle d'administration est construite à partir d'une contrainte et de conditions facultatives auxquelles cette contrainte est appliquée. Vous pouvez utiliser Policy Analyzer pour renvoyer une liste de règles d'administration avec une contrainte particulière, ainsi que les ressources auxquelles ces règles sont associées.
Pour chaque règle d'administration détectée dans le champ d'application de la requête, Policy Analyzer renvoie une entrée de résultat. Une entrée de résultat contient les champs suivants:
consolidatedPolicy
: ressource à laquelle la règle d'administration est associée et l'application effective de la stratégie sur cette ressource par rapport aux règles d'évaluation de la hiérarchie.project
: ID de la ressource de projet à laquelle appartient cette règle consolidée.folders
: ID de tous les dossiers ancêtres de la ressource à laquelle la règle d'administration est associée.organization
: ID de la ressource d'organisation qui est l'ancêtre de la ressource à laquelle la règle d'administration est associée.policyBundle
: règle d'administration complète configurée associée à la ressource ci-dessus, et règles d'administration définies sur ses ancêtres dans la hiérarchie des ressources.
Console
Dans la console Google Cloud, accédez à la page Policy Analyzer.
Dans la section Analyser les règles d'administration, recherchez le volet intitulé Comment les règles d'administration sont-elles configurées pour les ressources de mon organisation ? et cliquez sur Créer une requête dans ce volet.
Dans la zone Sélectionner l'organisation de la requête, sélectionnez l'organisation pour laquelle vous souhaitez analyser les règles d'administration.
Sélectionnez le type de contrainte que vous souhaitez analyser. Pour une contrainte prédéfinie, sélectionnez Contrainte intégrée. Pour une contrainte personnalisée, sélectionnez Contrainte personnalisée.
Saisissez le nom de la contrainte que vous souhaitez analyser. Le préfixe du type de contrainte que vous analysez est déjà inclus. Par exemple, pour la contrainte de restriction de domaine prédéfinie, saisissez
iam.allowedPolicyMemberDomains
. Pour une contrainte personnalisée, indiquez son nom, par exempledisableGkeAutoUpgrade
.Cliquez sur Analyser, puis sur Exécuter la requête. La page du rapport affiche les paramètres de requête que vous avez saisis, ainsi qu'une table de résultats de toutes les ressources auxquelles cette contrainte est directement appliquée.
Vous pouvez enregistrer cette requête afin de la consulter ultérieurement en cliquant sur Copier l'URL de la requête. Pour afficher cette requête, accédez à l'URL générée.
Vous pouvez visualiser l'héritage de la contrainte que vous avez analysée en sélectionnant au moins une ressource dans la liste, puis en cliquant sur Afficher l'héritage. Vous pouvez également accéder immédiatement à la vue de visualisation lorsque vous créez votre requête d'analyse. Pour ce faire, cliquez sur Analyser, puis sur Visualiser. Pour en savoir plus, consultez la section Visualiser l'héritage.
gcloud
Pour obtenir une analyse de l'application d'une contrainte de règle d'administration dans une organisation, utilisez la commande gcloud asset analyze-org-policies
:
gcloud asset analyze-org-policies \
--constraint=CONSTRAINT_NAME \
--scope=organizations/ORGANIZATION_ID \
--limit=LIMIT_POLICIES \
--filter=FILTER_QUERY
Remplacez les éléments suivants :
CONSTRAINT_NAME: nom de la contrainte de règle d'administration que vous souhaitez analyser. Pour obtenir la liste des contraintes, consultez la page Contraintes liées aux règles d'administration.
ORGANIZATION_ID: ID de la ressource d'organisation. Pour savoir comment trouver votre ID d'organisation, consultez la page Créer et gérer des organisations.
LIMIT_POLICIES: nombre d'entrées de résultat à afficher. Pour afficher un nombre illimité d'entrées, saisissez
unlimited
.FILTER_QUERY: requête de filtre pour n'afficher que les règles correspondant à votre expression de filtrage. Le seul champ disponible pour le filtrage est
consolidated_policy.attached_resource
. Par exemple,consolidated_policy.attached_resource="//cloudresourcemanager.googleapis.com/projects/1234567890"
ne renverra que les stratégies associées au projet ayant l'ID de projet1234567890
.
La réponse YAML se présente comme suit:
Exemple de réponse YAML
--- consolidatedPolicy: appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 rules: - enforce: true policyBundle: - appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 reset: true - appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 rules: - enforce: true --- consolidatedPolicy: appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 rules: - enforce: true policyBundle: - appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 rules: - enforce: true
REST
Pour obtenir une analyse de l'application d'une contrainte de règle d'administration dans une organisation, utilisez la méthode analyzeOrgPolicies
de l'API Cloud Asset.
Méthode HTTP et URL :
GET https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:analyzeOrgPolicies
Corps JSON de la requête :
JSON_REQUEST="{ 'constraint': 'CONSTRAINT_NAME', 'filter': 'FILTER_QUERY', 'page_size': PAGE_SIZE, 'page_token': PAGE_TOKEN }"
Remplacez les éléments suivants :
ORGANIZATION_ID: ID de la ressource d'organisation. Pour savoir comment trouver votre ID d'organisation, consultez la page Créer et gérer des organisations.
CONSTRAINT_NAME: nom de la contrainte de règle d'administration que vous souhaitez analyser. Pour obtenir la liste des contraintes, consultez la page Contraintes liées aux règles d'administration.
FILTER_QUERY: requête de filtre pour n'afficher que les règles correspondant à votre expression de filtrage. Le seul champ disponible pour le filtrage est
consolidated_policy.attached_resource
. Par exemple,consolidated_policy.attached_resource="//cloudresourcemanager.googleapis.com/projects/1234567890"
ne renverra que les stratégies associées au projet ayant l'ID de projet1234567890
.PAGE_SIZE: nombre d'entrées de résultats par page que vous souhaitez afficher. Pour afficher un nombre illimité d'entrées, saisissez
unlimited
. Une requête effectuée avec cet ensemble d'options renvoie une valeurnextPageToken
si le nombre total d'entrées de résultats est supérieur à PAGE_SIZE.PAGE_TOKEN: à définir uniquement pour les requêtes après la première requête incluant l'option
page_size
. Vous pouvez utiliser les valeursnextPageToken
reçues des réponses précédentes pour renvoyer une page de résultats particulière.
La réponse JSON se présente comme suit:
Exemple de réponse JSON
{ "orgPolicyResults": [ { "consolidatedPolicy": { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/123456789012", "rules": [ { "values": { "allowedValues": [ "C0265whk2" ] } }, { "values": { "allowedValues": [ "C03kd36xr" ] } } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/123456789012" }, "policyBundle": [ { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/123456789012", "rules": [ { "values": { "allowedValues": [ "C03kd36xr" ] } } ], "inheritFromParent": true, "appliedResource": "//cloudresourcemanager.googleapis.com/folders/123456789012" }, { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123", "rules": [ { "values": { "allowedValues": [ "C0265whk2" ] } } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123" } ] }, { "consolidatedPolicy": { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123", "rules": [ { "values": { "allowedValues": [ "C0265whk2" ] } } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123" }, "policyBundle": [ { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123", "rules": [ { "values": { "allowedValues": [ "C0265whk2" ] } } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123" } ] } ] "constraint": { "googleDefinedConstraint": { "name": "constraints/iam.allowedPolicyMemberDomains", "displayName": "Domain restricted sharing", "description": "This list constraint defines one or more Cloud Identity or Google Workspace customer IDs whose principals can be added to IAM policies. \u003cbr\u003eBy default, all user identities are allowed to be added to IAM policies. Only allowed values can be defined in this constraint, denied values are not supported. \u003cbr\u003eIf this constraint is active, only principals that belong to the allowed customer IDs can be added to IAM policies.", "constraintDefault": "ALLOW", "listConstraint": {} } } }
Analyser les conteneurs
Dans ce contexte, un conteneur est un projet, un dossier ou une ressource d'organisation. Vous pouvez utiliser Policy Analyzer pour renvoyer une liste de tous les conteneurs pour lesquels une contrainte particulière est appliquée à des règles d'administration. Policy Analyzer renvoie également le nom complet de chaque conteneur, le parent du conteneur dans la hiérarchie, ainsi que les tags hérités par le conteneur ou associés à celui-ci.
Pour chaque conteneur détecté dans le champ d'application de la requête, Policy Analyzer renvoie une entrée de résultat. Une entrée de résultat contient les champs suivants:
consolidatedPolicy
: conteneur auquel la règle d'administration est associée et l'application effective de la stratégie sur ce conteneur par rapport aux règles d'évaluation de la hiérarchie.conditionEvaluation
: si les conditions incluses entraînent l'application de la règle d'administration,evaluationValue
estTRUE
. Si les conditions empêchent l'application de la règle d'administration,evaluationValue
est défini surFALSE
. Si la condition n'est pas prise en charge par une ou plusieurs des ressources auxquelles la règle d'administration est appliquée, la condition elle-même est renvoyée.effectiveTags
: toutes les balises directement associées au conteneur ou héritées par lui et ses parents dans la hiérarchie.folders
: ID de toutes les ressources de dossier contenant le conteneur auquel la règle d'administration est associée.fullResourceName
: nom complet du conteneur.organization
: ID de la ressource d'organisation qui est l'ancêtre du conteneur auquel la règle d'administration est associée.parent
: nom complet de la ressource du parent de ce conteneur.policyBundle
: règle d'administration configurée directement sur le conteneur, le cas échéant, et règles d'administration définies sur les ancêtres du conteneur dans la hiérarchie des ressources.project
: ID du conteneur auquel la règle d'administration est associée, s'il s'agit d'une ressource de projet.
Console
Dans la console Google Cloud, accédez à la page Policy Analyzer.
Dans la section Analyser la règle d'administration, recherchez le volet intitulé Quels conteneurs sont soumis à une contrainte de règle d'administration ? et cliquez sur Créer une requête dans ce volet.
Dans la zone Sélectionner l'organisation de la requête, sélectionnez l'organisation pour laquelle vous souhaitez analyser les règles d'administration.
Sélectionnez le type de contrainte que vous souhaitez analyser. Pour une contrainte prédéfinie, sélectionnez Contrainte intégrée. Pour une contrainte personnalisée, sélectionnez Contrainte personnalisée.
Saisissez le nom de la contrainte que vous souhaitez analyser. Le préfixe du type de contrainte que vous analysez est déjà inclus. Par exemple, pour la contrainte de restriction de domaine prédéfinie, saisissez
iam.allowedPolicyMemberDomains
. Pour une contrainte personnalisée, indiquez son nom, par exempledisableGkeAutoUpgrade
.Cliquez sur Exécuter la requête. La page du rapport affiche les paramètres de requête que vous avez saisis, ainsi qu'une table de résultats de tous les conteneurs sur lesquels cette contrainte est appliquée ou héritée.
Vous pouvez enregistrer cette requête afin de la consulter ultérieurement en cliquant sur Copier l'URL de la requête. Pour afficher cette requête, accédez à l'URL générée.
Vous pouvez visualiser l'héritage de la contrainte que vous avez analysée en sélectionnant au moins un conteneur dans la liste, puis en cliquant sur Afficher l'héritage. Vous pouvez également accéder immédiatement à la vue de visualisation lorsque vous créez votre requête d'analyse. Pour ce faire, cliquez sur Analyser, puis sur Visualiser. Pour en savoir plus, consultez la section Visualiser l'héritage.
gcloud
Pour obtenir une analyse de l'application d'une contrainte de règle d'administration aux conteneurs d'une organisation, utilisez la commande gcloud asset analyze-org-policy-governed-containers
:
gcloud asset analyze-org-policy-governed-containers \
--constraint=CONSTRAINT_NAME \
--scope=organizations/ORGANIZATION_ID \
--limit=LIMIT_CONTAINERS \
--filter=FILTER_QUERY
Remplacez les éléments suivants :
CONSTRAINT_NAME: nom de la contrainte de règle d'administration que vous souhaitez analyser. Pour obtenir la liste des contraintes, consultez la page Contraintes liées aux règles d'administration.
ORGANIZATION_ID: ID de la ressource d'organisation. Pour savoir comment trouver votre ID d'organisation, consultez la page Créer et gérer des organisations.
LIMIT_CONTAINERS: nombre d'entrées de résultats à afficher Pour afficher un nombre illimité d'entrées, saisissez
unlimited
.FILTER_QUERY: requête de filtre pour n'afficher que les conteneurs correspondant à votre expression de filtrage. Le seul champ disponible pour le filtrage est
parent
. Par exemple,parent="//cloudresourcemanager.googleapis.com/organizations/012345678901"
ne renvoie que les conteneurs enfants de l'organisation portant l'ID d'organisation012345678901
.
La réponse YAML se présente comme suit:
Exemple de réponse YAML
--- consolidatedPolicy: appliedResource: //cloudresourcemanager.googleapis.com/projects/donghe-project1 attachedResource: //cloudresourcemanager.googleapis.com/projects/donghe-project1 rules: - values: allowedValues: - projects/donghe-project1/zones/us-central1-a/instances/instance-1 fullResourceName: //cloudresourcemanager.googleapis.com/projects/donghe-project1 parent: //cloudresourcemanager.googleapis.com/folders/86513245445 policyBundle: - appliedResource: //cloudresourcemanager.googleapis.com/projects/donghe-project1 attachedResource: //cloudresourcemanager.googleapis.com/projects/donghe-project1 inheritFromParent: true rules: - values: allowedValues: - projects/donghe-project1/zones/us-central1-a/instances/instance-1 --- consolidatedPolicy: appliedResource: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1 attachedResource: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1 rules: - denyAll: true fullResourceName: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1 parent: //cloudresourcemanager.googleapis.com/organizations/474566717491 policyBundle: - appliedResource: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1 attachedResource: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1 inheritFromParent: true rules: - denyAll: true --- consolidatedPolicy: appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 rules: - values: allowedValues: - projects/opa-test-project-1-364621/zones/us-central1-a/instances/instance-1 fullResourceName: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 parent: //cloudresourcemanager.googleapis.com/folders/666681422980 policyBundle: - appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621 rules: - values: allowedValues: - projects/opa-test-project-1-364621/zones/us-central1-a/instances/instance-1
REST
Pour obtenir une analyse de la manière dont une contrainte de règle d'administration est appliquée aux conteneurs d'une organisation, utilisez la méthode analyzeOrgPolicyGovernedContainers
de l'API Cloud Asset.
Méthode HTTP et URL :
GET https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:analyzeOrgPolicyGovernedContainers
Corps JSON de la requête :
JSON_REQUEST="{ 'constraint': 'CONSTRAINT_NAME', 'filter': '"FILTER_QUERY"', 'page_size': PAGE_SIZE, 'page_token': PAGE_TOKEN }"
Remplacez les éléments suivants :
ORGANIZATION_ID: ID de la ressource d'organisation. Pour savoir comment trouver votre ID d'organisation, consultez la page Créer et gérer des organisations.
CONSTRAINT_NAME: nom de la contrainte de règle d'administration que vous souhaitez analyser. Pour obtenir la liste des contraintes, consultez la page Contraintes liées aux règles d'administration.
FILTER_QUERY: requête de filtre pour n'afficher que les conteneurs correspondant à votre expression de filtrage. Le seul champ disponible pour le filtrage est
parent
. Par exemple,parent="//cloudresourcemanager.googleapis.com/organizations/012345678901"
ne renverra que les conteneurs enfants de l'organisation ayant l'ID d'organisation012345678901
.PAGE_SIZE: nombre de pages d'entrées de résultats à afficher. Pour afficher un nombre illimité d'entrées, saisissez
unlimited
. Une requête effectuée avec cet ensemble d'options renvoie une valeurnextPageToken
si le nombre total d'entrées de résultats est supérieur à PAGE_SIZE.PAGE_TOKEN: à définir uniquement pour les requêtes après la première requête incluant l'option
page_size
. Vous pouvez utiliser les valeursnextPageToken
reçues des réponses précédentes pour renvoyer une page de résultats particulière.
La réponse JSON se présente comme suit:
Exemple de réponse JSON
{ "governedContainers": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2", "parent": "//cloudresourcemanager.googleapis.com/folders/513502730678", "consolidatedPolicy": { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678", "rules": [ { "enforce": false } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678" }, "policyBundle": [ { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678", "rules": [ { "enforce": false } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678" }, { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/666681422980", "rules": [ { "enforce": true } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/666681422980" } ] }, { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-1", "parent": "//cloudresourcemanager.googleapis.com/folders/513502730678", "consolidatedPolicy": { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678", "rules": [ { "enforce": false } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678" }, "policyBundle": [ { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678", "rules": [ { "enforce": false } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678" }, { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/666681422980", "rules": [ { "enforce": true } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/666681422980" } ] } ] "constraint": { "googleDefinedConstraint": { "name": "constraints/compute.requireOsLogin", "displayName": "Require OS Login", "description": "This boolean constraint, when set to \u003ccode\u003etrue\u003c/code\u003e, enables OS Login on all newly created Projects. All VM instances created in new projects will have OS Login enabled. On new and existing projects, this constraint prevents metadata updates that disable OS Login at the project or instance level. \u003cbr\u003eBy default, the OS Login feature is disabled on Compute Engine projects.\u003cbr\u003eGKE instances in private clusters running node pool versions 1.20.5-gke.2000 and later support OS Login. GKE instances in public clusters do not currently support OS Login. If this constraint is applied to a Project running public clusters, GKE instances running in that Project may not function properly.", "constraintDefault": "ALLOW", "booleanConstraint": {} } } }
Analyser les éléments
Dans ce contexte, un élément est une ressource Google Cloud ou une stratégie d'autorisation IAM (Identity and Access Management). Vous pouvez utiliser Policy Analyzer pour renvoyer une liste de tous les éléments auxquels une contrainte particulière est appliquée à des règles d'administration. Les contraintes personnalisées et les contraintes prédéfinies suivantes sont acceptées:
constraints/ainotebooks.accessMode
constraints/ainotebooks.disableFileDownloads
constraints/ainotebooks.disableRootAccess
constraints/ainotebooks.disableTerminal
constraints/ainotebooks.environmentOptions
constraints/ainotebooks.requireAutoUpgradeSchedule
constraints/ainotebooks.restrictVpcNetworks
constraints/compute.disableGuestAttributesAccess
constraints/compute.disableInstanceDataAccessApis
constraints/compute.disableNestedVirtualization
constraints/compute.disableSerialPortAccess
constraints/compute.disableSerialPortLogging
constraints/compute.disableVpcExternalIpv6
constraints/compute.requireOsLogin
constraints/compute.requireShieldedVm
constraints/compute.restrictLoadBalancerCreationForTypes
constraints/compute.restrictProtocolForwardingCreationForTypes
constraints/compute.restrictXpnProjectLienRemoval
constraints/compute.setNewProjectDefaultToZonalDNSOnly
constraints/compute.skipDefaultNetworkCreation
constraints/compute.trustedImageProjects
constraints/compute.vmCanIpForward
constraints/compute.vmExternalIpAccess
constraints/gcp.detailedAuditLoggingMode
constraints/gcp.resourceLocations
constraints/iam.allowedPolicyMemberDomains
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
constraints/iam.disableServiceAccountCreation
constraints/iam.disableServiceAccountKeyCreation
constraints/iam.disableServiceAccountKeyUpload
constraints/iam.restrictCrossProjectServiceAccountLienRemoval
constraints/iam.serviceAccountKeyExpiryHours
constraints/resourcemanager.accessBoundaries
constraints/resourcemanager.allowedExportDestinations
constraints/sql.restrictAuthorizedNetworks
constraints/sql.restrictNoncompliantDiagnosticDataAccess
constraints/sql.restrictNoncompliantResourceCreation
constraints/sql.restrictPublicIp
constraints/storage.publicAccessPrevention
constraints/storage.restrictAuthTypes
constraints/storage.uniformBucketLevelAccess
Policy Analyzer renvoie le nom complet de chaque élément, son parent dans la hiérarchie, ainsi que tous les projets, dossiers et organisations ancêtres situés au-dessus de l'élément dans la hiérarchie.
Pour chaque élément détecté dans le champ d'application de la requête, Policy Analyzer renvoie une entrée de résultat.
Une entrée de résultat pour une ressource contient les champs suivants:
consolidatedPolicy
: ressource à laquelle la règle d'administration est associée et l'application effective de la stratégie sur cette ressource par rapport aux règles d'évaluation de la hiérarchie.conditionEvaluation
: si les conditions incluses entraînent l'application de la règle d'administration,evaluationValue
estTRUE
. Si les conditions empêchent l'application de la règle d'administration,evaluationValue
est défini surFALSE
. Si la condition n'est pas prise en charge par une ou plusieurs des ressources auxquelles la règle d'administration est appliquée, la condition elle-même est renvoyée.assetType
: type de ressource de l'élément.effectiveTags
: tous les tags directement associés ou hérités par la ressource à laquelle la règle d'administration est associée, ainsi que les parents de la ressource dans la hiérarchie.folders
: ID de tous les dossiers contenant la ressource à laquelle la règle d'administration est associée.fullResourceName
: nom complet de la ressource.organization
: nom de ressource relatif de l'organisation qui contient la ressource.parent
: nom complet de la ressource parente.project
: ID du projet contenant la ressource.policyBundle
: règle d'administration complète configurée associée à la ressource ci-dessus, et règles d'administration définies sur ses ancêtres dans la hiérarchie des ressources.
Une entrée de résultat pour une règle d'autorisation contient les champs suivants:
consolidatedPolicy
: ressource à laquelle la règle d'administration est associée et l'application effective de la stratégie sur cette ressource par rapport aux règles d'évaluation de la hiérarchie.assetType
: type de ressource de la ressource à laquelle la stratégie d'autorisation est associée.attachedResource
: nom complet de la ressource à laquelle la stratégie d'autorisation est associée.folders
: nom de ressource relatif de tous les dossiers contenant la règle d'autorisation.organization
: nom de ressource relatif de l'organisation contenant la règle d'autorisation.policy
: règle d'autorisation.project
: nom de ressource relatif du projet contenant la règle d'autorisation.policyBundle
: règle d'administration complète configurée associée à la ressource ci-dessus, et règles d'administration définies sur ses ancêtres dans la hiérarchie des ressources.
Console
Dans la console Google Cloud, accédez à la page Policy Analyzer.
Dans la section Analyser la règle d'administration, recherchez le volet intitulé Quels éléments sont soumis à une contrainte de règle d'administration ? et cliquez sur Créer une requête dans ce volet.
Dans la zone Sélectionner l'organisation de la requête, sélectionnez l'organisation pour laquelle vous souhaitez analyser les règles d'administration.
Sélectionnez le type de contrainte que vous souhaitez analyser. Pour une contrainte prédéfinie, sélectionnez Contrainte intégrée. Pour une contrainte personnalisée, sélectionnez Contrainte personnalisée.
Saisissez le nom de la contrainte que vous souhaitez analyser. Le préfixe du type de contrainte que vous analysez est déjà inclus. Par exemple, pour la contrainte d'accès prédéfinie au niveau du bucket, saisissez
storage.uniformBucketLevelAccess
. Pour une contrainte personnalisée, indiquez son nom, par exempledisableGkeAccess
.Cliquez sur Exécuter la requête. La page du rapport affiche les paramètres de requête que vous avez saisis, ainsi qu'une table de résultats de tous les éléments auxquels cette contrainte est appliquée ou héritée.
Vous pouvez enregistrer cette requête afin de la consulter ultérieurement en cliquant sur Copier l'URL de la requête. Pour afficher cette requête, accédez à l'URL générée.
Vous pouvez visualiser l'héritage de la contrainte que vous avez analysée en sélectionnant au moins un élément dans la liste, puis en cliquant sur Afficher l'héritage. Vous pouvez également accéder immédiatement à la vue de visualisation lorsque vous créez votre requête d'analyse. Pour ce faire, cliquez sur Analyser, puis sur Visualiser. Pour en savoir plus, consultez la section Visualiser l'héritage.
gcloud
Pour obtenir une analyse de la manière dont une contrainte de règle d'administration est appliquée aux éléments d'une organisation, utilisez la commande gcloud asset analyze-org-policy-governed-assets
:
gcloud asset analyze-org-policy-governed-assets \
--constraint=CONSTRAINT_NAME \
--scope=organizations/ORGANIZATION_ID \
--limit=LIMIT_ASSETS \
--filter=FILTER_QUERY
Remplacez les éléments suivants :
CONSTRAINT_NAME: nom de la contrainte de règle d'administration que vous souhaitez analyser. Pour obtenir la liste des contraintes, consultez la page Contraintes liées aux règles d'administration.
ORGANIZATION_ID: ID de la ressource d'organisation. Pour savoir comment trouver votre ID d'organisation, consultez la page Créer et gérer des organisations.
LIMIT_ASSETS: nombre d'entrées de résultat à afficher. Pour afficher un nombre illimité d'entrées, saisissez
unlimited
.FILTER_QUERY: requête de filtre pour n'afficher que les éléments qui correspondent à votre expression de filtrage. Les champs disponibles pour le filtrage sont
governed_resource.folders
,governed_resource.project
,governed_iam_policy.folders
etgoverned_iam_policy.project
. Par exemple,governed_resource.project="projects/1234567890"
ne renverrait que les composants associés au projet ayant l'ID1234567890
.
La réponse YAML se présente comme suit:
Exemple de réponse YAML
--- consolidatedPolicy: appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-2 attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-2 rules: - enforce: false governedResource: folders: - folders/513502730678 - folders/666681422980 fullResourceName: //container.googleapis.com/projects/opa-test-project-2/zones/us-central1-c/clusters/opa-test-project-2-cluster-1/nodePools/default-pool organization: organizations/474566717491 parent: //container.googleapis.com/projects/opa-test-project-2/zones/us-central1-c/clusters/opa-test-project-2-cluster-1 project: projects/892625391619 policyBundle: - appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-2 attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-2 reset: true - appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 attachedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 rules: - enforce: true --- consolidatedPolicy: appliedResource: //cloudresourcemanager.googleapis.com/projects/project2-244918 attachedResource: //cloudresourcemanager.googleapis.com/projects/project2-244918 rules: - enforce: false governedResource: folders: - folders/800636178739 - folders/408342778736 fullResourceName: //container.googleapis.com/projects/project2-244918/zones/us-central1-c/clusters/cluster-1/nodePools/default-pool organization: organizations/474566717491 parent: //container.googleapis.com/projects/project2-244918/zones/us-central1-c/clusters/cluster-1 project: projects/761097189269 policyBundle: - appliedResource: //cloudresourcemanager.googleapis.com/projects/project2-244918 attachedResource: //cloudresourcemanager.googleapis.com/projects/project2-244918 rules: - enforce: false - appliedResource: //cloudresourcemanager.googleapis.com/folders/408342778736 attachedResource: //cloudresourcemanager.googleapis.com/folders/408342778736 rules: - condition: description: cond-desc1 expression: resource.matchTag("474566717491/env", "prod") title: cond-title1 enforce: false - enforce: true - appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 attachedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 rules: - enforce: true --- consolidatedPolicy: appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 attachedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 rules: - enforce: true governedResource: fullResourceName: //container.googleapis.com/projects/probe-per-rt-project/zones/us-west1-a/clusters/test-cluster-for-backup/nodePools/default-pool organization: organizations/474566717491 parent: //container.googleapis.com/projects/probe-per-rt-project/zones/us-west1-a/clusters/test-cluster-for-backup project: projects/896190383908 policyBundle: - appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 attachedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491 rules: - enforce: true
REST
Pour obtenir une analyse de la manière dont une contrainte de règle d'administration est appliquée aux éléments d'une organisation, utilisez la méthode analyzeOrgPolicyGovernedAssets
de l'API Cloud Asset.
Méthode HTTP et URL :
GET https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:analyzeOrgPolicyGovernedAssets
Corps JSON de la requête :
JSON_REQUEST="{ 'constraint': 'CONSTRAINT_NAME', 'filter': 'FILTER_QUERY', 'page_size': PAGE_SIZE, 'page_token': PAGE_TOKEN }"
Remplacez les éléments suivants :
ORGANIZATION_ID: ID de la ressource d'organisation. Pour savoir comment trouver votre ID d'organisation, consultez la page Créer et gérer des organisations.
CONSTRAINT_NAME: nom de la contrainte de règle d'administration que vous souhaitez analyser. Pour obtenir la liste des contraintes, consultez la page Contraintes liées aux règles d'administration.
FILTER_QUERY: requête de filtre pour n'afficher que les éléments qui correspondent à votre expression de filtrage. Les champs disponibles pour le filtrage sont
governed_resource.folders
,governed_resource.project
,governed_iam_policy.folders
etgoverned_iam_policy.project
. Par exemple,governed_resource.project="projects/1234567890"
ne renverrait que les composants associés au projet ayant l'ID1234567890
.PAGE_SIZE: nombre de pages d'entrées de résultats à afficher. Pour afficher un nombre illimité d'entrées, saisissez
unlimited
. Une requête effectuée avec cet ensemble d'options renvoie une valeurnextPageToken
si le nombre total d'entrées de résultats est supérieur à PAGE_SIZE.PAGE_TOKEN: à définir uniquement pour les requêtes après la première requête incluant l'option
page_size
. Vous pouvez utiliser les valeursnextPageToken
reçues des réponses précédentes pour renvoyer une page de résultats particulière.
La réponse JSON se présente comme suit:
Exemple de réponse JSON
{ "governedAssets": [ { "governedResource": { "fullResourceName": "//container.googleapis.com/projects/opa-test-project-2/zones/us-central1-c/clusters/opa-test-project-2-cluster-1/nodePools/default-pool", "parent": "//container.googleapis.com/projects/opa-test-project-2/zones/us-central1-c/clusters/opa-test-project-2-cluster-1", "project": "projects/892625391619", "folders": [ "folders/513502730678", "folders/666681422980" ], "organization": "organizations/474566717491" }, "consolidatedPolicy": { "attachedResource": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2", "rules": [ { "enforce": false } ], "appliedResource": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2" }, "policyBundle": [ { "attachedResource": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2", "reset": true, "appliedResource": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2" }, { "attachedResource": "//cloudresourcemanager.googleapis.com/organizations/474566717491", "rules": [ { "enforce": true } ], "appliedResource": "//cloudresourcemanager.googleapis.com/organizations/474566717491" } ] }, { "governedResource": { "fullResourceName": "//container.googleapis.com/projects/project2-244918/zones/us-central1-c/clusters/cluster-1/nodePools/default-pool", "parent": "//container.googleapis.com/projects/project2-244918/zones/us-central1-c/clusters/cluster-1", "project": "projects/761097189269", "folders": [ "folders/800636178739", "folders/408342778736" ], "organization": "organizations/474566717491" }, "consolidatedPolicy": { "attachedResource": "//cloudresourcemanager.googleapis.com/projects/project2-244918", "rules": [ { "enforce": false } ], "appliedResource": "//cloudresourcemanager.googleapis.com/projects/project2-244918" }, "policyBundle": [ { "attachedResource": "//cloudresourcemanager.googleapis.com/projects/project2-244918", "rules": [ { "enforce": false } ], "appliedResource": "//cloudresourcemanager.googleapis.com/projects/project2-244918" }, { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/408342778736", "rules": [ { "enforce": false, "condition": { "expression": "resource.matchTag(\"474566717491/env\", \"prod\")", "title": "cond-title1", "description": "cond-desc1" } }, { "enforce": true } ], "appliedResource": "//cloudresourcemanager.googleapis.com/folders/408342778736" }, { "attachedResource": "//cloudresourcemanager.googleapis.com/organizations/474566717491", "rules": [ { "enforce": true } ], "appliedResource": "//cloudresourcemanager.googleapis.com/organizations/474566717491" } ] } ] "constraint": { "customConstraint": { "name": "organizations/474566717491/customConstraints/custom.disableGkeAutoUpgrade", "resourceTypes": [ "container.googleapis.com/NodePool" ], "methodTypes": [ "CREATE", "UPDATE" ], "condition": "resource.management.autoUpgrade == false", "actionType": "ALLOW", "displayName": "Disable GKE auto upgrade", "description": "Only allow GKE NodePool resource create or updates if AutoUpgrade is not enabled" } } }
Visualiser l'héritage
Si vous avez activé le niveau Premium de Security Command Center au niveau de l'organisation, vous pouvez visualiser l'héritage des règles d'administration d'administration que vous avez analysées à l'aide de la console Google Cloud.
Pour afficher la visualisation de l'héritage, créez une requête d'analyse des règles d'administration pour les règles configurées, les containers ou les éléments. Sur la page Exécuter l'analyse des requêtes, cliquez sur Analyser, puis sélectionnez Visualiser.
Vous pouvez également accéder à l'URL d'une requête enregistrée, sélectionner les ressources que vous souhaitez mettre en surbrillance, puis cliquer sur
Afficher l'héritage.La page Héritage des ressources affiche une visualisation de la hiérarchie des ressources pour celles sélectionnées dans votre requête d'analyse:
Indique si la ressource est une organisation, un dossier ou un projet.
Un point bleu indique que la ressource est sélectionnée dans la requête.
Indique que la ressource remplace la règle de sa ressource parente.
Indique que la ressource rétablit la règle d'administration par défaut gérée par Google pour cette règle. Une ressource qui rétablit la règle par défaut est reliée à son parent par une ligne pointillée.
Indique que la ressource fusionne la règle avec son parent.
Indique que la règle d'administration sur cette ressource applique une contrainte booléenne qui est appliquée ou une contrainte de liste avec des valeurs autorisées.
Indique que la règle d'administration sur cette ressource est une contrainte de liste avec des valeurs refusées.
Indique que la règle d'administration sur cette ressource est une contrainte booléenne qui n'est pas appliquée.
Étapes suivantes
- Découvrez comment utiliser des contraintes.
- Découvrez comment créer et gérer des contraintes personnalisées.