Organisationsrichtlinien analysieren

Auf dieser Seite finden Sie Informationen zur Analyse Ihrer Organisationsrichtlinieneinstellungen, um herauszufinden, welche Ressourcen von welcher Organisationsrichtlinie abgedeckt werden. Mit Policy Analyzer für Organisationsrichtlinien, können Sie eine Analyse erstellen um Informationen zu benutzerdefinierten und vordefinierten Organisationsrichtlinien zu erhalten.

Eine Analyseabfrage besteht aus einem Bereich und einer Einschränkung.

  • Einschränkung: Gibt den Ressourcennamen einer Einschränkung an.
  • Umfang: gibt eine Organisation an, für die der Umfang der Analyse festgelegt werden soll. Alle Organisationen Richtlinien mit der angegebenen Einschränkung, die in diesem Bereich definiert ist, sind enthalten in der Analyse.

Weitere Informationen zu Organisationsrichtlinien finden Sie in der Einführung in den Organisationsrichtliniendienst Weitere Informationen zum Erstellen benutzerdefinierter Einschränkungen finden Sie unter Benutzerdefinierte Einschränkungen erstellen und verwalten

Hinweis

Erforderliche Rollen und Berechtigungen

Um die Berechtigungen zu erhalten, die Sie zum Ausführen einer Analyse der Organisationsrichtlinie benötigen, bitten Sie Ihren Administrator, Ihnen folgenden IAM-Rollen für die Organisationsressource, in der Sie die Analyse durchführen möchten:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten Berechtigungen, die zum Ausführen einer Analyse der Organisationsrichtlinie erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Ausführen einer Analyse einer Organisationsrichtlinie erforderlich:

  • So führen Sie die Analyse durch:
    • cloudasset.assets.analyzeOrgPolicy
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchAllIamPolicies
  • So rufen Sie benutzerdefinierte Einschränkungen auf: orgpolicy.customConstraints.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Preise und Kontingente

Policy Analyzer für Organisationsrichtlinie im großen Maßstab (mehr als 20 Abfragen) pro Organisation und Tag) und Visualisierungen zur Übernahme sind nur für Kunden mit Aktivierungen von Security Command Center auf Organisationsebene.

Das Kontingent für Policy Analyzer für die Organisationsrichtlinie wird auf alle Policy Analyzer-Tools verteilt. Weitere Informationen finden Sie unter Fragen zur Abrechnung.

Konfigurierte Richtlinien analysieren

Eine Organisationsrichtlinie basiert auf einer Einschränkung und optionalen Bedingungen unter denen diese Einschränkung erzwungen wird. Mit Policy Analyzer können Sie eine Liste von Organisationsrichtlinien mit einer bestimmten Einschränkung und den Ressourcen abrufen, an die diese Richtlinien angehängt sind.

Für jede im Bereich der Abfrage erkannte Organisationsrichtlinie Policy Analyzer gibt einen Ergebniseintrag zurück. Ein Ergebniseintrag enthält folgenden Feldern hinzu:

  • consolidatedPolicy: die Ressource, für die die Organisationsrichtlinie eingerichtet ist und die geltende Richtlinienerzwingung für diese Ressource in Bezug auf Hierarchische Bewertungsregeln.

  • project: die ID der Projektressource, zu der diese konsolidierte Richtlinie gehört.

  • folders: Die ID aller Ordnerressourcen, die übergeordnete Elemente der Ressource sind, mit der die Organisationsrichtlinie verknüpft ist.

  • organization: die ID der Organisationsressource, die der Ancestor von Die Ressource, mit der die Organisationsrichtlinie verknüpft ist.

  • policyBundle: die vollständig konfigurierte Organisationsrichtlinie, die oben angehängt ist und die Organisationsrichtlinien, die für ihre Ancestors im Ressourcenhierarchie.

Wenn Ihre Ressourcen durch einen VPC Service Controls-Dienstperimeter geschützt sind, müssen Sie im Perimeter Ihrer Organisationsressource eine Regel für ausgehenden Traffic erstellen, die Zugriff auf den cloudasset.googleapis.com-Dienst und die google.cloud.asset.v1.AssetService.SearchAllResources-Methode ermöglicht. Wenn Sie keine Ausstiegsregel haben, schlägt die Anfrage mit dem Fehler NETWORK_NOT_IN_SAME_SERVICE_PERIMETER fehl. Weitere Informationen finden Sie unter Debugging von Anfragen, die von VPC Service Controls blockiert wurden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Policy Analyzer auf.

    Policy Analyzer aufrufen

  2. Suchen Sie im Abschnitt Organisationsrichtlinie analysieren den Bereich mit der Bezeichnung Wo werden bestimmte Organisationsrichtlinien konfiguriert? und klicken Sie auf Erstellen Abfrage angezeigt.

  3. Wählen Sie im Feld Organisation für Abfrage auswählen die Organisation aus, für die Sie die Organisationsrichtlinien analysieren möchten.

  4. Wählen Sie die Art der Einschränkung aus, die Sie analysieren möchten. Wählen Sie für eine vordefinierte Einschränkung Vordefinierte Einschränkung aus. Wählen Sie für eine benutzerdefinierte Einschränkung Benutzerdefinierte Einschränkung aus.

  5. Geben Sie den Namen der Einschränkung ein, die Sie analysieren möchten. Das Präfix für den Der Einschränkungstyp, den Sie analysieren, ist bereits enthalten. Beispiel: für die vordefinierte Domaineinschränkung: Geben Sie iam.allowedPolicyMemberDomains. Geben Sie für eine benutzerdefinierte Einschränkung deren Name, z. B. disableGkeAutoUpgrade.

  6. Klicken Sie auf Analysieren und dann auf Abfrage ausführen. Auf der Berichtsseite werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Ressourcen angezeigt, auf die diese Einschränkung direkt angewendet wird.

  7. Sie können die Abfrage speichern, um sie sich später noch einmal anzusehen. Klicken Sie dazu auf Abfrage-URL kopieren. Rufen Sie diese Abfrage auf, indem Sie die generierte URL aufrufen.

  8. Sie können die Übernahme der von Ihnen analysierten Einschränkung visualisieren, indem Sie Wählen Sie mindestens eine Ressource aus der Liste aus und klicken Sie Übernahme ansehen Sie können auch direkt zur Visualisierungsansicht wechseln, wenn Sie die Analyseabfrage erstellen. Klicken Sie dazu auf Analysieren und dann auf Visualisieren. Siehe Übernahme visualisieren .

gcloud

Um eine Analyse dazu zu erhalten, wie eine Einschränkung einer Organisationsrichtlinie erzwungen wird innerhalb eines Unternehmens können Sie gcloud asset analyze-org-policies-Befehl:

gcloud asset analyze-org-policies \
    --constraint=CONSTRAINT_NAME  \
    --scope=organizations/ORGANIZATION_ID \
    --limit=LIMIT_POLICIES \
    --filter=FILTER_QUERY

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME: Der Name der Einschränkung der Organisationsrichtlinie, die Sie analysieren möchten. Eine Liste der Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien:

  • ORGANIZATION_ID: die ID Ihrer Organisation . Weitere Informationen zum Suchen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

  • LIMIT_POLICIES: die Anzahl der Ergebniseinträge, die Sie sehen möchten. Wenn Sie unbegrenzt viele Einträge sehen möchten, geben Sie unlimited ein.

  • FILTER_QUERY: eine Filterabfrage, mit der nur Richtlinien angezeigt werden die Ihrem Filterausdruck entsprechen. Das einzige Feld, das zum Filtern verwendet werden kann, ist consolidated_policy.attached_resource. Beispiel: consolidated_policy.attached_resource="//cloudresourcemanager.googleapis.com/projects/1234567890" nur Rückgabebedingungen zurückgeben, die mit dem Projekt-ID 1234567890

Die YAML-Antwort sieht in etwa so aus:

Beispiel für eine YAML-Antwort

---
consolidatedPolicy:
  appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
  attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
  rules:
  - enforce: true
policyBundle:
- appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
  attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
  reset: true
- appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  rules:
  - enforce: true
---
consolidatedPolicy:
  appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  rules:
  - enforce: true
policyBundle:
- appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  rules:
  - enforce: true

REST

Wenn Sie analysieren möchten, wie eine Einschränkung der Organisationsrichtlinie innerhalb einer Organisation erzwungen wird, verwenden Sie die analyzeOrgPolicies-Methode der Cloud Asset API.

HTTP-Methode und URL:

GET https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:analyzeOrgPolicies

JSON-Text anfordern:

JSON_REQUEST="{
  'constraint': 'CONSTRAINT_NAME',
  'filter': 'FILTER_QUERY',
  'page_size': PAGE_SIZE,
  'page_token': PAGE_TOKEN
}"

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die ID Ihrer Organisationsressource. Weitere Informationen zum Ermitteln Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten

  • CONSTRAINT_NAME: Der Name der Einschränkung der Organisationsrichtlinie, die Sie analysieren möchten. Eine Liste der Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien:

  • FILTER_QUERY: eine Filterabfrage, mit der nur Richtlinien angezeigt werden die Ihrem Filterausdruck entsprechen. Das einzige verfügbare Feld für Filterung ist consolidated_policy.attached_resource. Mit consolidated_policy.attached_resource="//cloudresourcemanager.googleapis.com/projects/1234567890" werden beispielsweise nur Richtlinien zurückgegeben, die dem Projekt mit der Projekt-ID 1234567890 zugeordnet wurden.

  • PAGE_SIZE: Die Anzahl der Ergebniseinträge pro Seite, die Sie sehen möchten. Wenn Sie eine unbegrenzte Anzahl an Einträgen sehen möchten, geben Sie unlimited ein. Bei einer Anfrage mit diesem Flag wird der Wert nextPageToken zurückgegeben, wenn die Gesamtzahl der Ergebniseinträge größer als PAGE_SIZE ist.

  • PAGE_TOKEN: darf nur für Anfragen nach der ersten Anfrage festgelegt werden, die das page_size-Flag enthält. Sie können die nextPageToken-Werte aus vorherigen Antworten verwenden, um eine bestimmte Ergebnisseite zurückzugeben.

Die JSON-Antwort sieht in etwa so aus:

Beispiel für eine JSON-Antwort

{
  "orgPolicyResults": [
    {
      "consolidatedPolicy": {
        "attachedResource": "//cloudresourcemanager.googleapis.com/folders/123456789012",
        "rules": [
          {
            "values": {
              "allowedValues": [
                "C0265whk2"
              ]
            }
          },
          {
            "values": {
              "allowedValues": [
                "C03kd36xr"
              ]
            }
          }
        ],
        "appliedResource": "//cloudresourcemanager.googleapis.com/folders/123456789012"
      },
      "policyBundle": [
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/123456789012",
          "rules": [
            {
              "values": {
                "allowedValues": [
                  "C03kd36xr"
                ]
              }
            }
          ],
          "inheritFromParent": true,
          "appliedResource": "//cloudresourcemanager.googleapis.com/folders/123456789012"
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123",
          "rules": [
            {
              "values": {
                "allowedValues": [
                  "C0265whk2"
                ]
              }
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123"
        }
      ]
    },
    {
      "consolidatedPolicy": {
        "attachedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123",
        "rules": [
          {
            "values": {
              "allowedValues": [
                "C0265whk2"
              ]
            }
          }
        ],
        "appliedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123"
      },
      "policyBundle": [
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123",
          "rules": [
            {
              "values": {
                "allowedValues": [
                  "C0265whk2"
                ]
              }
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/folders/234567890123"
        }
      ]
    }
  ]
  "constraint": {
    "googleDefinedConstraint": {
      "name": "constraints/iam.allowedPolicyMemberDomains",
      "displayName": "Domain restricted sharing",
      "description": "This list constraint defines one or more Cloud Identity or Google Workspace customer IDs whose principals can be added to IAM policies. \u003cbr\u003eBy default, all user identities are allowed to be added to IAM policies. Only allowed values can be defined in this constraint, denied values are not supported. \u003cbr\u003eIf this constraint is active, only principals that belong to the allowed customer IDs can be added to IAM policies.",
      "constraintDefault": "ALLOW",
      "listConstraint": {}
    }
  }
}

Container analysieren

Ein Container ist in diesem Kontext ein Projekt, ein Ordner oder eine Organisationsressource. Mit der Richtlinienanalyse können Sie eine Liste aller Container abrufen, für die Organisationsrichtlinien mit einer bestimmten Einschränkung erzwungen werden. Policy Analyzer gibt außerdem den vollständigen Namen jedes Containers, das übergeordnete Element des Containers in der Hierarchie und die Tags zurück, die vom Container übernommen oder an ihn angehängt wurden.

Für jeden Container, der im Geltungsbereich der Abfrage erkannt wird, gibt Policy Analyzer einen Ergebniseintrag zurück. Ein Ergebniseintrag enthält folgenden Feldern hinzu:

  • consolidatedPolicy: der Container, in dem sich die Organisationsrichtlinie befindet sowie die geltende Richtlinienerzwingung für diesen Container in Bezug auf Hierarchische Bewertungsregeln.

  • conditionEvaluation: wenn die eingeschlossenen Bedingungen zur Erzwingung der Organisationsrichtlinie „evaluationValue“ ist „TRUE“. Wenn die Bedingungen dazu führt, dass die Organisationsrichtlinie nicht erzwungen wird, ist evaluationValue FALSE. Wenn die Bedingung von einer oder mehreren der Ressourcen auf nicht unterstützt wird die die Organisationsrichtlinie durchgesetzt wird, wird die Bedingung selbst zurückgegeben.

  • effectiveTags: Alle Tags, die direkt am Container und an den übergeordneten Elementen des Containers in der Hierarchie angehängt oder von ihnen übernommen wurden.

  • folders: die ID aller Ordnerressourcen, die den Container enthalten, für den die Organisationsrichtlinie angehängt ist.

  • fullResourceName: Der vollständige Name des Containers.

  • organization: die ID der Organisationsressource, die der Ancestor von Container, an den die Organisationsrichtlinie angehängt ist.

  • parent: der vollständige Ressourcenname des übergeordneten Elements dieses Containers.

  • policyBundle: die direkt für den Container konfigurierte Organisationsrichtlinie und die Organisationsrichtlinien, die für die Ancestors der Container in der Ressourcenhierarchie.

  • project: die ID des Containers, an den die Organisationsrichtlinie angehängt ist, falls es sich um eine Projektressource handelt.

Wenn Ihre Ressourcen durch einen VPC Service Controls-Dienstperimeter geschützt sind, haben Sie muss eine Regel für ausgehenden Traffic erstellen im Perimeter Ihrer Organisationsressource, über die der Zugriff auf den cloudasset.googleapis.com und die google.cloud.asset.v1.AssetService.SearchAllResources-Methode. Wenn Sie keine Ausstiegsregel haben, schlägt die Anfrage mit dem Fehler NETWORK_NOT_IN_SAME_SERVICE_PERIMETER fehl. Weitere Informationen finden Sie unter Fehlerbehebungsanfragen, die von VPC Service Controls blockiert werden

Console

  1. Rufen Sie in der Google Cloud Console die Seite Policy Analyzer auf.

    Policy Analyzer aufrufen

  2. Suchen Sie im Abschnitt Organisationsrichtlinie analysieren den Bereich mit der Bezeichnung Welche Projekte oder Ordner von einer Organisationsrichtlinie betroffen sind Einschränkung? und klicken Sie in diesem Bereich auf Abfrage erstellen.

  3. Wählen Sie im Feld Organisation für Abfrage auswählen die Organisation aus, für die Sie die Organisationsrichtlinien analysieren möchten.

  4. Wählen Sie die Art der Einschränkung aus, die Sie analysieren möchten. Wählen Sie für eine vordefinierte Einschränkung Vordefinierte Einschränkung aus. Wählen Sie für eine benutzerdefinierte Einschränkung Benutzerdefinierte Einschränkung aus.

  5. Geben Sie den Namen der Einschränkung ein, die Sie analysieren möchten. Das Präfix für die Art der Einschränkung, die Sie analysieren, ist bereits enthalten. Geben Sie beispielsweise für die vordefinierte Einschränkung für Domaineinschränkungen iam.allowedPolicyMemberDomains und für eine benutzerdefinierte Einschränkung den Namen ein, z. B. disableGkeAutoUpgrade.

  6. Klicken Sie auf Abfrage ausführen. Auf der Berichtsseite werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Container angezeigt, für die diese Einschränkung gilt oder von denen sie übernommen wird.

  7. Sie können diese Abfrage speichern, um sie später noch einmal aufzurufen. Klicken Sie dazu auf Abfrage-URL kopieren. Rufen Sie die generierte URL auf, um diese Abfrage anzusehen.

  8. Sie können die Überschreibung der analysierten Einschränkung visualisieren, indem Sie mindestens einen Container aus der Liste auswählen und dann auf Überschreibung anzeigen klicken. Sie können auch direkt zur Visualisierungsansicht wechseln, wenn Sie die Analyseabfrage erstellen. Klicken Sie dazu auf Analysieren und dann auf Visualisieren. Siehe Übernahme visualisieren .

gcloud

Um eine Analyse dazu zu erhalten, wie eine Einschränkung der Organisationsrichtlinie für Container in einer Organisation verwenden, verwenden Sie gcloud asset analyze-org-policy-governed-containers-Befehl:

gcloud asset analyze-org-policy-governed-containers \
    --constraint=CONSTRAINT_NAME  \
    --scope=organizations/ORGANIZATION_ID \
    --limit=LIMIT_CONTAINERS \
    --filter=FILTER_QUERY

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME: Der Name der Einschränkung der Organisationsrichtlinie, die Sie analysieren möchten. Eine Liste der Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien:

  • ORGANIZATION_ID: die ID Ihrer Organisationsressource. Weitere Informationen zum Suchen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

  • LIMIT_CONTAINERS: die Anzahl der Ergebniseinträge, die Sie die Sie ansehen möchten. Wenn Sie eine unbegrenzte Anzahl an Einträgen sehen möchten, geben Sie unlimited ein.

  • FILTER_QUERY: eine Filterabfrage, mit der nur Container angezeigt werden die Ihrem Filterausdruck entsprechen. Das einzige verfügbare Feld für Filterung ist parent. Beispiel: parent="//cloudresourcemanager.googleapis.com/organizations/012345678901" nur Container zurückgegeben, die untergeordnete Elemente der Organisation mit Organisations-ID 012345678901

Die YAML-Antwort ähnelt der folgenden:

Beispiel für eine YAML-Antwort

---
consolidatedPolicy:
  appliedResource: //cloudresourcemanager.googleapis.com/projects/donghe-project1
  attachedResource: //cloudresourcemanager.googleapis.com/projects/donghe-project1
  rules:
  - values:
      allowedValues:
      - projects/donghe-project1/zones/us-central1-a/instances/instance-1
fullResourceName: //cloudresourcemanager.googleapis.com/projects/donghe-project1
parent: //cloudresourcemanager.googleapis.com/folders/86513245445
policyBundle:
- appliedResource: //cloudresourcemanager.googleapis.com/projects/donghe-project1
  attachedResource: //cloudresourcemanager.googleapis.com/projects/donghe-project1
  inheritFromParent: true
  rules:
  - values:
      allowedValues:
      - projects/donghe-project1/zones/us-central1-a/instances/instance-1
---
consolidatedPolicy:
  appliedResource: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1
  attachedResource: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1
  rules:
  - denyAll: true
fullResourceName: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1
parent: //cloudresourcemanager.googleapis.com/organizations/474566717491
policyBundle:
- appliedResource: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1
  attachedResource: //cloudresourcemanager.googleapis.com/projects/jeffreyai-prj01-on-ipa1
  inheritFromParent: true
  rules:
  - denyAll: true
---
consolidatedPolicy:
  appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
  attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
  rules:
  - values:
      allowedValues:
      - projects/opa-test-project-1-364621/zones/us-central1-a/instances/instance-1
fullResourceName: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
parent: //cloudresourcemanager.googleapis.com/folders/666681422980
policyBundle:
- appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
  attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-1-364621
  rules:
  - values:
      allowedValues:
      - projects/opa-test-project-1-364621/zones/us-central1-a/instances/instance-1

REST

Um eine Analyse dazu zu erhalten, wie eine Einschränkung der Organisationsrichtlinie für Container in einer Organisation verwenden, nutzen Sie die analyzeOrgPolicyGovernedContainers-Methode.

HTTP-Methode und URL:

GET https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:analyzeOrgPolicyGovernedContainers

JSON-Text anfordern:

JSON_REQUEST="{
  'constraint': 'CONSTRAINT_NAME',
  'filter': '"FILTER_QUERY"',
  'page_size': PAGE_SIZE,
  'page_token': PAGE_TOKEN
}"

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die ID Ihrer Organisationsressource. Weitere Informationen zum Suchen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

  • CONSTRAINT_NAME: der Name der Organisationsrichtlinie Einschränkung, die Sie analysieren möchten. Eine Liste der Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien.

  • FILTER_QUERY: Eine Filterabfrage, mit der nur Container angezeigt werden, die Ihrem Filterausdruck entsprechen. Das einzige verfügbare Feld für Filterung ist parent. Beispiel: parent="//cloudresourcemanager.googleapis.com/organizations/012345678901" würde werden nur Container zurückgegeben, die untergeordnete Elemente der Organisation mit der Organisations-ID 012345678901.

  • PAGE_SIZE: die Anzahl der Seiten mit den gewünschten Einträgen anzuzeigen. Wenn Sie unbegrenzt viele Einträge sehen möchten, geben Sie unlimited ein. Eine Anfrage mit gibt dieses Flag einen nextPageToken-Wert zurück, wenn die Gesamtzahl der Ergebniseinträge sind größer als PAGE_SIZE.

  • PAGE_TOKEN: darf nur für Anfragen nach der ersten Anfrage festgelegt werden, die das page_size-Flag enthält. Sie können die nextPageToken-Werte aus vorherigen Antworten verwenden, um eine bestimmte Ergebnisseite zurückzugeben.

Die JSON-Antwort sieht in etwa so aus:

Beispiel für eine JSON-Antwort

{
  "governedContainers": [
    {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2",
      "parent": "//cloudresourcemanager.googleapis.com/folders/513502730678",
      "consolidatedPolicy": {
        "attachedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678",
        "rules": [
          {
            "enforce": false
          }
        ],
        "appliedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678"
      },
      "policyBundle": [
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678",
          "rules": [
            {
              "enforce": false
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678"
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/666681422980",
          "rules": [
            {
              "enforce": true
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/folders/666681422980"
        }
      ]
    },
    {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-1",
      "parent": "//cloudresourcemanager.googleapis.com/folders/513502730678",
      "consolidatedPolicy": {
        "attachedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678",
        "rules": [
          {
            "enforce": false
          }
        ],
        "appliedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678"
      },
      "policyBundle": [
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678",
          "rules": [
            {
              "enforce": false
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/folders/513502730678"
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/666681422980",
          "rules": [
            {
              "enforce": true
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/folders/666681422980"
        }
      ]
    }
  ]
  "constraint": {
    "googleDefinedConstraint": {
      "name": "constraints/compute.requireOsLogin",
      "displayName": "Require OS Login",
      "description": "This boolean constraint, when set to \u003ccode\u003etrue\u003c/code\u003e, enables OS Login on all newly created Projects. All VM instances created in new projects will have OS Login enabled. On new and existing projects, this constraint prevents metadata updates that disable OS Login at the project or instance level. \u003cbr\u003eBy default, the OS Login feature is disabled on Compute Engine projects.\u003cbr\u003eGKE instances in private clusters running node pool versions 1.20.5-gke.2000 and later support OS Login. GKE instances in public clusters do not currently support OS Login. If this constraint is applied to a Project running public clusters, GKE instances running in that Project may not function properly.",
      "constraintDefault": "ALLOW",
      "booleanConstraint": {}
    }
  }
}

Assets analysieren

Ein Asset in diesem Zusammenhang ist eine Google Cloud-Ressource oder eine IAM-Zulassungsrichtlinie (Identity and Access Management). Mit der Richtlinienanalyse können Sie eine Liste aller Assets abrufen, für die Organisationsrichtlinien mit einer bestimmten Einschränkung erzwungen werden. Es werden benutzerdefinierte Einschränkungen und die folgenden vordefinierten Einschränkungen unterstützt:

  • constraints/ainotebooks.accessMode
  • constraints/ainotebooks.disableFileDownloads
  • constraints/ainotebooks.disableRootAccess
  • constraints/ainotebooks.disableTerminal
  • constraints/ainotebooks.environmentOptions
  • constraints/ainotebooks.requireAutoUpgradeSchedule
  • constraints/ainotebooks.restrictVpcNetworks
  • constraints/compute.disableGuestAttributesAccess
  • constraints/compute.disableInstanceDataAccessApis
  • constraints/compute.disableNestedVirtualization
  • constraints/compute.disableSerialPortAccess
  • constraints/compute.disableSerialPortLogging
  • constraints/compute.disableVpcExternalIpv6
  • constraints/compute.requireOsLogin
  • constraints/compute.requireShieldedVm
  • constraints/compute.restrictLoadBalancerCreationForTypes
  • constraints/compute.restrictProtocolForwardingCreationForTypes
  • constraints/compute.restrictXpnProjectLienRemoval
  • constraints/compute.setNewProjectDefaultToZonalDNSOnly
  • constraints/compute.skipDefaultNetworkCreation
  • constraints/compute.trustedImageProjects
  • constraints/compute.vmCanIpForward
  • constraints/compute.vmExternalIpAccess
  • constraints/gcp.detailedAuditLoggingMode
  • constraints/gcp.resourceLocations
  • constraints/iam.allowedPolicyMemberDomains
  • constraints/iam.automaticIamGrantsForDefaultServiceAccounts
  • constraints/iam.disableServiceAccountCreation
  • constraints/iam.disableServiceAccountKeyCreation
  • constraints/iam.disableServiceAccountKeyUpload
  • constraints/iam.restrictCrossProjectServiceAccountLienRemoval
  • constraints/iam.serviceAccountKeyExpiryHours
  • constraints/resourcemanager.accessBoundaries
  • constraints/resourcemanager.allowedExportDestinations
  • constraints/sql.restrictAuthorizedNetworks
  • constraints/sql.restrictNoncompliantDiagnosticDataAccess
  • constraints/sql.restrictNoncompliantResourceCreation
  • constraints/sql.restrictPublicIp
  • constraints/storage.publicAccessPrevention
  • constraints/storage.restrictAuthTypes
  • constraints/storage.uniformBucketLevelAccess

Policy Analyzer gibt den vollständigen Namen jedes Assets, das übergeordnete Element des Assets in der Hierarchie und alle übergeordneten Projekt-, Ordner- und Organisationsressourcen über dem Asset in der Hierarchie zurück.

Für jedes Asset, das im Bereich der Abfrage erkannt wird, Policy Analyzer gibt einen Ergebniseintrag zurück.

Ein Ergebniseintrag für eine Ressource enthält die folgenden Felder:

  • consolidatedPolicy: die Ressource, an die die Organisationsrichtlinie angehängt ist, und die effektive Durchsetzung der Richtlinie für diese Ressource im Hinblick auf die Regeln zur Hierarchiebewertung.

  • conditionEvaluation: Wenn die enthaltenen Bedingungen zur Durchsetzung der Organisationsrichtlinie führen, ist evaluationValue TRUE. Wenn die Bedingungen dazu führen, dass die Organisationsrichtlinie nicht erzwungen wird, ist evaluationValue FALSE. Wenn die Bedingung von einer oder mehreren der Ressourcen auf nicht unterstützt wird die die Organisationsrichtlinie durchgesetzt wird, wird die Bedingung selbst zurückgegeben.

  • assetType: Der Ressourcentyp des Assets.

  • effectiveTags: alle Tags, die direkt an das Tag angehängt sind oder von ihm übernommen wurden. Ressource, an die die Organisationsrichtlinie angehängt ist, sowie übergeordnete Elemente in der Hierarchie.

  • folders: Die ID aller Ordnerressourcen, die die Ressource enthalten, mit der die Organisationsrichtlinie verknüpft ist.

  • fullResourceName: der vollständige Ressourcenname der Ressource.

  • organization: der relative Ressourcenname der Organisation, die die Ressource enthält.

  • parent: der vollständige Ressourcenname des übergeordneten Elements der Ressource.

  • project: die ID des Projekts, das die Ressource enthält.

  • policyBundle: die vollständige konfigurierte Organisationsrichtlinie, die mit der oben genannten Ressource verknüpft ist, und die Organisationsrichtlinien, die für ihre übergeordneten Elemente in der Ressourcenhierarchie definiert sind.

Ein Ergebniseintrag für eine Zulassungsrichtlinie enthält die folgenden Felder:

  • consolidatedPolicy: die Ressource, für die die Organisationsrichtlinie eingerichtet ist und die geltende Richtlinienerzwingung für diese Ressource in Bezug auf Hierarchische Bewertungsregeln.

  • assetType: Der Ressourcentyp der Ressource, an die die „allow“-Richtlinie angehängt ist.

  • attachedResource: der vollständige Name der Ressource, für die die Zulassungsrichtlinie verwendet wird ist angehängt.

  • folders: Der relative Ressourcenname aller Ordner, die die Zulassungsrichtlinie enthalten.

  • organization: der relative Ressourcenname der Organisation, die enthält die Zulassungsrichtlinie.

  • policy: die Zulassungsrichtlinie.

  • project: der relative Ressourcenname des Projekts, das die Zulassungsrichtlinie enthält.

  • policyBundle: die vollständig konfigurierte Organisationsrichtlinie, die oben angehängt ist und die Organisationsrichtlinien, die für ihre Ancestors im Ressourcenhierarchie.

Wenn Ihre Ressourcen durch einen VPC Service Controls-Dienstperimeter geschützt sind, müssen Sie im Perimeter Ihrer Organisationsressource eine Regel für ausgehenden Traffic erstellen, die Zugriff auf den cloudasset.googleapis.com-Dienst und die google.cloud.asset.v1.AssetService.SearchAllResources-Methode ermöglicht. Wenn Sie keine Ausstiegsregel haben, schlägt die Anfrage mit dem Fehler NETWORK_NOT_IN_SAME_SERVICE_PERIMETER fehl. Weitere Informationen finden Sie unter Fehlerbehebungsanfragen, die von VPC Service Controls blockiert werden

Console

  1. Rufen Sie in der Google Cloud Console die Seite Policy Analyzer auf.

    Zu Policy Analyzer

  2. Suchen Sie im Bereich Organisationsrichtlinie analysieren nach dem Bereich Welche Ressourcen sind von einer Einschränkung der Organisationsrichtlinie betroffen? und klicken Sie dort auf Abfrage erstellen.

  3. Wählen Sie im Feld Organisation der Abfrage auswählen die Organisation aus, für die möchten Sie Organisationsrichtlinien analysieren.

  4. Wählen Sie die Art der Einschränkung aus, die Sie analysieren möchten. Wählen Sie für eine vordefinierte Einschränkung Vordefinierte Einschränkung aus. Wählen Sie für eine benutzerdefinierte Einschränkung Benutzerdefinierte Einschränkung aus.

  5. Geben Sie den Namen der Einschränkung ein, die Sie analysieren möchten. Das Präfix für den Der Einschränkungstyp, den Sie analysieren, ist bereits enthalten. Geben Sie beispielsweise für die vordefinierte Zugriffsbeschränkung auf Bucketebene storage.uniformBucketLevelAccess und für eine benutzerdefinierte Einschränkung den Namen ein, z. B. disableGkeAccess.

  6. Klicken Sie auf Abfrage ausführen. Auf der Berichtsseite werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Assets angezeigt, für die diese Einschränkung gilt oder von denen sie übernommen wird.

  7. Sie können diese Abfrage speichern, um sie später noch einmal aufzurufen. Klicken Sie dazu auf Abfrage-URL kopieren. Rufen Sie die generierte URL auf, um diese Abfrage anzusehen.

  8. Sie können die Überschreibung der von Ihnen analysierten Einschränkung visualisieren, indem Sie mindestens ein Asset aus der Liste auswählen und dann auf Überschreibung ansehen klicken. Sie können auch direkt zur Visualisierungsansicht wechseln, wenn Sie die Analyseabfrage erstellen. Klicken Sie dazu auf Analysieren und dann auf Visualisieren. Weitere Informationen finden Sie unter Übernahme visualisieren.

gcloud

Wenn Sie analysieren möchten, wie eine Einschränkung einer Organisationsrichtlinie für Assets innerhalb einer Organisation erzwungen wird, verwenden Sie den Befehl gcloud asset analyze-org-policy-governed-assets:

gcloud asset analyze-org-policy-governed-assets \
    --constraint=CONSTRAINT_NAME  \
    --scope=organizations/ORGANIZATION_ID \
    --limit=LIMIT_ASSETS \
    --filter=FILTER_QUERY

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME: Der Name der Einschränkung der Organisationsrichtlinie, die Sie analysieren möchten. Eine Liste der Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien:

  • ORGANIZATION_ID: die ID Ihrer Organisation . Weitere Informationen zum Suchen Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten.

  • LIMIT_ASSETS: die Anzahl der gewünschten Ergebniseinträge anzuzeigen. Wenn Sie eine unbegrenzte Anzahl an Einträgen sehen möchten, geben Sie unlimited ein.

  • FILTER_QUERY: eine Filterabfrage, um nur Assets zu sehen die Ihrem Filterausdruck entsprechen. Die verfügbaren Felder für die Filterung sind governed_resource.folders, governed_resource.project, governed_iam_policy.folders und governed_iam_policy.project. Mit governed_resource.project="projects/1234567890" werden beispielsweise nur Assets zurückgegeben, die dem Projekt mit der Projekt-ID 1234567890 zugeordnet wurden.

Die YAML-Antwort sieht in etwa so aus:

Beispiel für eine YAML-Antwort

---
consolidatedPolicy:
  appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-2
  attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-2
  rules:
  - enforce: false
governedResource:
  folders:
  - folders/513502730678
  - folders/666681422980
  fullResourceName: //container.googleapis.com/projects/opa-test-project-2/zones/us-central1-c/clusters/opa-test-project-2-cluster-1/nodePools/default-pool
  organization: organizations/474566717491
  parent: //container.googleapis.com/projects/opa-test-project-2/zones/us-central1-c/clusters/opa-test-project-2-cluster-1
  project: projects/892625391619
policyBundle:
- appliedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-2
  attachedResource: //cloudresourcemanager.googleapis.com/projects/opa-test-project-2
  reset: true
- appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  attachedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  rules:
  - enforce: true
---
consolidatedPolicy:
  appliedResource: //cloudresourcemanager.googleapis.com/projects/project2-244918
  attachedResource: //cloudresourcemanager.googleapis.com/projects/project2-244918
  rules:
  - enforce: false
governedResource:
  folders:
  - folders/800636178739
  - folders/408342778736
  fullResourceName: //container.googleapis.com/projects/project2-244918/zones/us-central1-c/clusters/cluster-1/nodePools/default-pool
  organization: organizations/474566717491
  parent: //container.googleapis.com/projects/project2-244918/zones/us-central1-c/clusters/cluster-1
  project: projects/761097189269
policyBundle:
- appliedResource: //cloudresourcemanager.googleapis.com/projects/project2-244918
  attachedResource: //cloudresourcemanager.googleapis.com/projects/project2-244918
  rules:
  - enforce: false
- appliedResource: //cloudresourcemanager.googleapis.com/folders/408342778736
  attachedResource: //cloudresourcemanager.googleapis.com/folders/408342778736
  rules:
  - condition:
      description: cond-desc1
      expression: resource.matchTag("474566717491/env", "prod")
      title: cond-title1
    enforce: false
  - enforce: true
- appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  attachedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  rules:
  - enforce: true
---
consolidatedPolicy:
  appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  attachedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  rules:
  - enforce: true
governedResource:
  fullResourceName: //container.googleapis.com/projects/probe-per-rt-project/zones/us-west1-a/clusters/test-cluster-for-backup/nodePools/default-pool
  organization: organizations/474566717491
  parent: //container.googleapis.com/projects/probe-per-rt-project/zones/us-west1-a/clusters/test-cluster-for-backup
  project: projects/896190383908
policyBundle:
- appliedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  attachedResource: //cloudresourcemanager.googleapis.com/organizations/474566717491
  rules:
  - enforce: true

REST

Wenn Sie analysieren möchten, wie eine Einschränkung der Organisationsrichtlinie auf Assets innerhalb einer Organisation erzwungen wird, verwenden Sie die analyzeOrgPolicyGovernedAssets-Methode der Cloud Asset API.

HTTP-Methode und URL:

GET https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:analyzeOrgPolicyGovernedAssets

JSON-Text anfordern:

JSON_REQUEST="{
  'constraint': 'CONSTRAINT_NAME',
  'filter': 'FILTER_QUERY',
  'page_size': PAGE_SIZE,
  'page_token': PAGE_TOKEN
}"

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die ID Ihrer Organisationsressource. Weitere Informationen zum Ermitteln Ihrer Organisations-ID finden Sie unter Organisationen erstellen und verwalten

  • CONSTRAINT_NAME: der Name der Organisationsrichtlinie Einschränkung, die Sie analysieren möchten. Eine Liste der Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien:

  • FILTER_QUERY: eine Filterabfrage, um nur Assets zu sehen die Ihrem Filterausdruck entsprechen. Die verfügbaren Felder für Filter sind governed_resource.folders, governed_resource.project, governed_iam_policy.folders und governed_iam_policy.project. Mit governed_resource.project="projects/1234567890" werden beispielsweise nur Assets zurückgegeben, die dem Projekt mit der Projekt-ID 1234567890 zugeordnet wurden.

  • PAGE_SIZE: die Anzahl der Seiten mit Ergebniseinträgen, die Sie aufrufen möchten. Wenn Sie unbegrenzt viele Einträge sehen möchten, geben Sie unlimited ein. Bei einer Anfrage mit diesem Flag wird der Wert nextPageToken zurückgegeben, wenn die Gesamtzahl der Ergebniseinträge größer als PAGE_SIZE ist.

  • PAGE_TOKEN: darf nur für Anfragen nach der ersten Anfrage festgelegt werden, die das page_size-Flag enthält. Sie können die nextPageToken-Werte aus vorherigen Antworten verwenden, um eine bestimmte Ergebnisseite zurückzugeben.

Die JSON-Antwort sieht in etwa so aus:

Beispiel für eine JSON-Antwort

{
  "governedAssets": [
    {
      "governedResource": {
        "fullResourceName": "//container.googleapis.com/projects/opa-test-project-2/zones/us-central1-c/clusters/opa-test-project-2-cluster-1/nodePools/default-pool",
        "parent": "//container.googleapis.com/projects/opa-test-project-2/zones/us-central1-c/clusters/opa-test-project-2-cluster-1",
        "project": "projects/892625391619",
        "folders": [
          "folders/513502730678",
          "folders/666681422980"
        ],
        "organization": "organizations/474566717491"
      },
      "consolidatedPolicy": {
        "attachedResource": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2",
        "rules": [
          {
            "enforce": false
          }
        ],
        "appliedResource": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2"
      },
      "policyBundle": [
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2",
          "reset": true,
          "appliedResource": "//cloudresourcemanager.googleapis.com/projects/opa-test-project-2"
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/organizations/474566717491",
          "rules": [
            {
              "enforce": true
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/organizations/474566717491"
        }
      ]
    },
    {
      "governedResource": {
        "fullResourceName": "//container.googleapis.com/projects/project2-244918/zones/us-central1-c/clusters/cluster-1/nodePools/default-pool",
        "parent": "//container.googleapis.com/projects/project2-244918/zones/us-central1-c/clusters/cluster-1",
        "project": "projects/761097189269",
        "folders": [
          "folders/800636178739",
          "folders/408342778736"
        ],
        "organization": "organizations/474566717491"
      },
      "consolidatedPolicy": {
        "attachedResource": "//cloudresourcemanager.googleapis.com/projects/project2-244918",
        "rules": [
          {
            "enforce": false
          }
        ],
        "appliedResource": "//cloudresourcemanager.googleapis.com/projects/project2-244918"
      },
      "policyBundle": [
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/projects/project2-244918",
          "rules": [
            {
              "enforce": false
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/projects/project2-244918"
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/408342778736",
          "rules": [
            {
              "enforce": false,
              "condition": {
                "expression": "resource.matchTag(\"474566717491/env\", \"prod\")",
                "title": "cond-title1",
                "description": "cond-desc1"
              }
            },
            {
              "enforce": true
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/folders/408342778736"
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/organizations/474566717491",
          "rules": [
            {
              "enforce": true
            }
          ],
          "appliedResource": "//cloudresourcemanager.googleapis.com/organizations/474566717491"
        }
      ]
    }
  ]
  "constraint": {
    "customConstraint": {
      "name": "organizations/474566717491/customConstraints/custom.disableGkeAutoUpgrade",
      "resourceTypes": [
        "container.googleapis.com/NodePool"
      ],
      "methodTypes": [
        "CREATE",
        "UPDATE"
      ],
      "condition": "resource.management.autoUpgrade == false",
      "actionType": "ALLOW",
      "displayName": "Disable GKE auto upgrade",
      "description": "Only allow GKE NodePool resource create or updates if AutoUpgrade is not enabled"
    }
  }
}

Übernahme visualisieren

Wenn Sie eine Aktivierung der Premium-Stufe auf Organisationsebene Security Command Center können Sie die Übernahme von Organisationsrichtlinien visualisieren, die Sie analysiert haben. über die Google Cloud Console.

Wenn Sie sich die Visualisierung der Übernahme ansehen möchten, erstellen Sie eine Analyseabfrage für Organisationsrichtlinien für konfigurierte Richtlinien, Container oder Assets. Klicken Sie auf der Seite Abfrageanalyse ausführen auf Analysieren und wählen Sie dann Visualisieren aus.

Sie können auch die URL einer gespeicherten Abfrage aufrufen, die Sie markieren möchten, und klicken Sie dann auf Übernahme ansehen.

Auf der Seite Ressourcenübernahme wird eine Visualisierung der Ressourcenhierarchie für die in Ihrer Analyseabfrage ausgewählten Ressourcen angezeigt:

Visualisierung der Übernahme von Organisationsrichtlinien in einer Ressourcenhierarchie. Visualisierung einer nicht erzwungenen booleschen Richtlinie.

  1. Gibt an, ob die Ressource eine Organisation, ein Ordner oder ein Projekt ist.

  2. Ein blauer Punkt gibt an, dass die Ressource in der Abfrage ausgewählt ist.

  3. Gibt an, dass die Ressource die Richtlinie der übergeordneten Ressource überschreibt.

  4. Gibt an, dass die Organisationsrichtlinie für die Ressource auf den von Google verwalteten Standardwert für diese Richtlinie zurückgesetzt wird. Eine Ressource, für die die Richtlinie auf die Standardeinstellung zurückgesetzt wird, ist durch eine gepunktete Linie mit dem übergeordneten Element verbunden.

  5. Gibt die Richtlinie zum Zusammenführen von Ressourcen mit ihrem übergeordneten Element an.

  6. Gibt an, dass die Organisationsrichtlinie für diese Ressource entweder eine boolesche Einschränkung oder eine Listeneinschränkung mit zulässigen Werten erzwingt.

  7. Gibt an, dass die Organisationsrichtlinie für diese Ressource eine Listeneinschränkung ist mit abgelehnten Werten.

  8. Gibt an, dass die Organisationsrichtlinie für diese Ressource eine boolesche Einschränkung ist, die nicht erzwungen wird.

Nächste Schritte