Benutzerdefinierte Organisationsrichtlinien erstellen und verwalten

Mit der Google Cloud-Organisationsrichtlinie können Sie die Ressourcen Ihrer Organisation zentral steuern. Als Administrator der Organisationsrichtlinie können Sie eine Organisationsrichtlinie definieren. Dabei handelt es sich um eine Reihe von Einschränkungen, die als Einschränkungen bezeichnet werden und für Google Cloud-Ressourcen und deren untergeordnete Elemente in der Google Cloud-Ressourcenhierarchie gelten. Sie können Organisationsrichtlinien auf Organisations-, Ordner- oder Projektebene erzwingen.

Die Organisationsrichtlinie bietet vordefinierte Einschränkungen für verschiedene Google Cloud-Dienste. Wenn Sie jedoch mehr Kontrolle über Ihre Organisationsrichtlinien haben möchten, können Sie benutzerdefinierte Organisationsrichtlinien erstellen.

Auf dieser Seite wird beschrieben, wie Sie benutzerdefinierte Organisationsrichtlinien aufrufen, erstellen und verwalten. Benutzerdefinierte Organisationsrichtlinien werden von Administratoren erstellt, um eine detailliertere und anpassbare Kontrolle über die Felder zu ermöglichen, die durch Ihre Organisationsrichtlinien eingeschränkt werden.

Hinweise

Weitere Informationen zu Organisationsrichtlinien und -einschränkungen und ihrer Funktionsweise finden Sie unter Einführung in den Organisationsrichtliniendienst.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Organisationsrichtlinien zu verwalten:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Benutzerdefinierte Einschränkungen

Eine benutzerdefinierte Einschränkung wird in einer YAML-Datei erstellt, in der die Ressourcen, Methoden, Bedingungen und Aktionen angegeben sind, die der Einschränkung unterliegen. Diese gelten speziell für den Dienst, für den Sie die Organisationsrichtlinie erzwingen. Die Bedingungen für Ihre benutzerdefinierte Einschränkung werden mithilfe der Common Expression Language (CEL) definiert.

Benutzerdefinierte Einschränkung einrichten

Sie können eine benutzerdefinierte Einschränkung erstellen und für die Verwendung in Organisationsrichtlinien mithilfe der Google Cloud Console oder der Google Cloud CLI einrichten.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  4. Klicken Sie auf Benutzerdefinierte Einschränkung.

  5. Geben Sie im Feld Anzeigename einen nutzerfreundlichen Namen für die Einschränkung ein. Dieses Feld hat eine maximale Länge von 200 Zeichen. Verwenden Sie keine personenidentifizierbaren Informationen oder sensiblen Daten in Anzeigenamen, da diese in Fehlermeldungen offengelegt werden könnten.

  6. Geben Sie im Feld Einschränkungs-ID den gewünschten Namen für die neue benutzerdefinierte Einschränkung ein. Eine benutzerdefinierte Einschränkung muss mit custom. beginnen und darf nur Großbuchstaben, Kleinbuchstaben oder Ziffern enthalten, z. B. custom.disableGkeAutoUpgrade. Die maximale Länge dieses Feldes beträgt 70 Zeichen, das Präfix wird nicht gezählt (z. B. organizations/123456789/customConstraints/custom.). Die Einschränkungs-ID darf keine personenidentifizierbaren oder sensiblen Daten enthalten, da sie in Fehlermeldungen offengelegt werden könnten.

  7. Geben Sie im Feld Beschreibung eine nutzerfreundliche Beschreibung der Einschränkung ein, die bei einer Verletzung der Richtlinie als Fehlermeldung angezeigt wird. Dieses Feld hat eine maximale Länge von 2000 Zeichen. Die Beschreibung sollte keine personenidentifizierbaren oder sensiblen Daten enthalten, da sie in Fehlermeldungen offengelegt werden könnten.

  8. Wählen Sie im Feld Ressourcentyp den Namen der Google Cloud REST-Ressource aus, die das Objekt und das Feld enthält, das Sie einschränken möchten, z. B. container.googleapis.com/NodePool. Pro Ressourcentyp können maximal 20 benutzerdefinierte Einschränkungen verwendet werden. Wenn Sie versuchen, eine benutzerdefinierte Einschränkung für einen Ressourcentyp zu erstellen, der bereits 20 benutzerdefinierte Einschränkungen hat, schlägt der Vorgang fehl.

  9. Wählen Sie unter Erzwingungsmethode aus, ob die Einschränkung für eine REST-Methode vom Typ CREATE oder sowohl für die Methoden CREATE als auch für UPDATE erzwungen werden soll. Nicht alle Google Cloud-Dienste unterstützen beide Methoden. Die unterstützten Methoden für die einzelnen Dienste finden Sie unter Unterstützte Dienste.

  10. Klicken Sie zum Definieren einer Bedingung auf Bedingung bearbeiten.

    1. Erstellen Sie im Bereich Bedingung hinzufügen eine CEL-Bedingung, die auf eine unterstützte Dienstressource verweist, z. B. resource.management.autoUpgrade == false. Dieses Feld hat eine maximale Länge von 1.000 Zeichen. Weitere Informationen zur CEL-Verwendung finden Sie unter Common Expression Language. Weitere Informationen zu den Dienstressourcen, die Sie in Ihren benutzerdefinierten Einschränkungen verwenden können, finden Sie unter Unterstützte Dienste für benutzerdefinierte Einschränkungen.

    2. Klicken Sie auf Speichern.

  11. Wählen Sie unter Aktion aus, ob die ausgewertete Methode zugelassen oder abgelehnt werden soll, wenn die oben aufgeführte Bedingung erfüllt ist.

    Die Aktion „Ablehnen“ bedeutet, dass der Vorgang zum Erstellen oder Aktualisieren der Ressource blockiert wird, wenn die Bedingung als wahr ausgewertet wird.

    Die Aktion „allow“ bedeutet, dass der Vorgang zum Erstellen oder Aktualisieren der Ressource nur zulässig ist, wenn die Bedingung als „true“ ausgewertet wird. Alle anderen Fälle außer denen, die explizit in der Bedingung aufgeführt sind, werden blockiert.

  12. Klicken Sie auf Einschränkung erstellen.

Wenn Sie in jedes Feld einen Wert eingegeben haben, wird rechts die entsprechende YAML-Konfiguration für diese benutzerdefinierte Einschränkung angezeigt.

gcloud

Zum Erstellen einer benutzerdefinierten Einschränkung mit der Google Cloud CLI erstellen Sie eine YAML-Datei für die benutzerdefinierte Einschränkung:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID, z. B. 123456789.

  • CONSTRAINT_NAME: Name, den Sie für Ihre neue benutzerdefinierte Einschränkung verwenden möchten. Eine benutzerdefinierte Einschränkung muss mit custom. beginnen und darf nur Großbuchstaben, Kleinbuchstaben oder Ziffern enthalten, z. B. custom.disableGkeAutoUpgrade. Die maximale Länge dieses Feldes beträgt 70 Zeichen, das Präfix wird nicht gezählt (z. B. organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: der voll qualifizierte Name der Google Cloud REST-Ressource, die das Objekt und das Feld enthält, das Sie einschränken möchten. Beispiel: container.googleapis.com/NodePool. Pro Ressourcentyp können maximal 20 benutzerdefinierte Einschränkungen verwendet werden. Wenn Sie versuchen, eine benutzerdefinierte Einschränkung für einen Ressourcentyp mit bereits 20 benutzerdefinierten Einschränkungen zu erstellen, schlägt der Vorgang fehl. Weitere Informationen zu den Dienstressourcen, die Sie in Ihren benutzerdefinierten Einschränkungen verwenden können, finden Sie unter Unterstützte Dienste für benutzerdefinierte Einschränkungen.

  • METHOD1,METHOD2: Liste der RESTful-Methoden, für die die Einschränkung erzwungen werden soll. Kann CREATE oder CREATE und UPDATE sein. Nicht alle Google Cloud-Dienste unterstützen beide Methoden. Die unterstützten Methoden für die einzelnen Dienste finden Sie unter Unterstützte Dienste.

  • CONDITION: eine CEL-Bedingung, die auf eine unterstützte Dienstressource verweist, z. B. "resource.management.autoUpgrade == false". Dieses Feld hat eine maximale Länge von 1.000 Zeichen. Weitere Informationen zur CEL-Verwendung finden Sie unter Common Expression Language.

  • ACTION: Aktion, die ausgeführt werden soll, wenn condition erfüllt ist. Dies kann entweder ALLOW oder DENY sein.

    Die Aktion „Ablehnen“ bedeutet, dass der Vorgang zum Erstellen oder Aktualisieren der Ressource blockiert wird, wenn die Bedingung als wahr ausgewertet wird.

    Die Aktion „allow“ bedeutet, dass der Vorgang zum Erstellen oder Aktualisieren der Ressource zulässig ist, wenn die Bedingung als „true“ ausgewertet wird. Dies bedeutet auch, dass alle anderen Fälle außer demjenigen blockiert werden, der in der Bedingung ausdrücklich aufgeführt ist.

  • DISPLAY_NAME: Ein nutzerfreundlicher Name für die Einschränkung. Dieses Feld hat eine maximale Länge von 200 Zeichen.

  • DESCRIPTION: Eine nutzerfreundliche Beschreibung der Einschränkung, die als Fehlermeldung angezeigt werden soll, wenn die Richtlinie verletzt wird Dieses Feld hat eine maximale Länge von 2000 Zeichen.

Nachdem Sie eine neue benutzerdefinierte Einschränkung mit der Google Cloud CLI erstellt haben, müssen Sie sie einrichten, um sie für Organisationsrichtlinien in Ihrer Organisation verfügbar zu machen. Verwenden Sie zum Einrichten einer benutzerdefinierten Einschränkung den Befehl gcloud org-policies set-custom-constraint: 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Ersetzen Sie CONSTRAINT_PATH durch den vollständigen Pfad zu Ihrer benutzerdefinierten Einschränkungsdatei. Beispiel: /home/user/customconstraint.yaml Nach Abschluss des Vorgangs finden Sie Ihre benutzerdefinierten Einschränkungen als verfügbare Organisationsrichtlinien in der Liste der Google Cloud-Organisationsrichtlinien. Prüfen Sie mit dem Befehl gcloud org-policies list-custom-constraints, ob die benutzerdefinierte Einschränkung vorhanden ist: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisationsressource. Weitere Informationen finden Sie unter Organisationsrichtlinien aufrufen.

Benutzerdefinierte Einschränkung aktualisieren

Sie können eine benutzerdefinierte Einschränkung aktualisieren, indem Sie sie in der Google Cloud Console bearbeiten oder eine neue YAML-Datei erstellen und den Befehl set-custom-constraint der gcloud CLI noch einmal verwenden. Für benutzerdefinierte Einschränkungen gibt es keine Versionsverwaltung, sodass die vorhandene benutzerdefinierte Einschränkung überschrieben wird. Wenn die benutzerdefinierte Einschränkung bereits erzwungen wird, wird die aktualisierte benutzerdefinierte Einschränkung sofort wirksam.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie aktualisieren möchten.

  4. Wählen Sie in der Liste auf der Seite Organisationsrichtlinien die Einschränkung aus, die Sie bearbeiten möchten. Die Seite Richtliniendetails für diese Einschränkung sollte angezeigt werden.

  5. Klicken Sie auf Einschränkung bearbeiten.

  6. Nehmen Sie Änderungen am Anzeigenamen, der Beschreibung, der Erzwingungsmethode, der Bedingung und der Aktion vor. Sie können die Einschränkungs-ID oder den Ressourcentyp nicht mehr ändern, nachdem die Einschränkung erstellt wurde.

  7. Klicken Sie auf Änderungen speichern.

gcloud

Zum Bearbeiten einer vorhandenen benutzerdefinierten Einschränkung mit der Google Cloud CLI erstellen Sie eine neue YAML-Datei mit den gewünschten Änderungen:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID, z. B. 123456789.

  • CONSTRAINT_NAME: Name, den Sie für Ihre neue benutzerdefinierte Einschränkung verwenden möchten. Eine benutzerdefinierte Einschränkung muss mit custom. beginnen und darf nur Großbuchstaben, Kleinbuchstaben oder Ziffern enthalten, z. B. custom.disableGkeAutoUpgrade. Die maximale Länge dieses Feldes beträgt 70 Zeichen, das Präfix wird nicht gezählt (z. B. organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: der voll qualifizierte Name der Google Cloud REST-Ressource, die das Objekt und das Feld enthält, das Sie einschränken möchten. Beispiel: container.googleapis.com/NodePool. Weitere Informationen zu den Dienstressourcen, die Sie in Ihren benutzerdefinierten Einschränkungen verwenden können, finden Sie unter Unterstützte Dienste für benutzerdefinierte Einschränkungen.

  • METHOD1,METHOD2: Liste der RESTful-Methoden, für die die Einschränkung erzwungen werden soll. Kann CREATE oder CREATE und UPDATE sein. Nicht alle Google Cloud-Dienste unterstützen beide Methoden. Die unterstützten Methoden für die einzelnen Dienste finden Sie unter Unterstützte Dienste.

  • CONDITION: eine CEL-Bedingung, die auf eine unterstützte Dienstressource verweist, z. B. "resource.management.autoUpgrade == false". Dieses Feld hat eine maximale Länge von 1.000 Zeichen. Weitere Informationen zur CEL-Verwendung finden Sie unter Common Expression Language.

  • ACTION: Aktion, die ausgeführt werden soll, wenn condition erfüllt ist. Dies kann entweder ALLOW oder DENY sein.

  • DISPLAY_NAME: Ein nutzerfreundlicher Name für die Einschränkung. Dieses Feld hat eine maximale Länge von 200 Zeichen.

  • DESCRIPTION: Eine nutzerfreundliche Beschreibung der Einschränkung, die als Fehlermeldung angezeigt werden soll, wenn die Richtlinie verletzt wird Dieses Feld hat eine maximale Länge von 2000 Zeichen.

Nachdem Sie eine neue benutzerdefinierte Einschränkung mit der Google Cloud CLI erstellt haben, müssen Sie sie einrichten, um sie für Organisationsrichtlinien in Ihrer Organisation verfügbar zu machen. Verwenden Sie zum Einrichten einer benutzerdefinierten Einschränkung den Befehl gcloud org-policies set-custom-constraint: 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Ersetzen Sie CONSTRAINT_PATH durch den vollständigen Pfad zu Ihrer benutzerdefinierten Einschränkungsdatei. Beispiel: /home/user/customconstraint.yaml Nach Abschluss des Vorgangs finden Sie Ihre benutzerdefinierten Einschränkungen als verfügbare Organisationsrichtlinien in der Liste der Google Cloud-Organisationsrichtlinien. Prüfen Sie mit dem Befehl gcloud org-policies list-custom-constraints, ob die benutzerdefinierte Einschränkung vorhanden ist: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisationsressource. Weitere Informationen finden Sie unter Organisationsrichtlinien aufrufen.

Benutzerdefinierte Einschränkung löschen

Sie können eine benutzerdefinierte Einschränkung mit der Google Cloud Console oder der Google Cloud CLI löschen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie löschen möchten.

  4. Wählen Sie die zu löschende Einschränkung aus der Liste auf der Seite Organisationsrichtlinien aus. Die Seite Richtliniendetails für diese Einschränkung sollte angezeigt werden.

  5. Klicken Sie auf Löschen.

  6. Klicken Sie auf Löschen, um zu bestätigen, dass Sie die Einschränkung löschen möchten.

gcloud

Verwenden Sie den gcloud CLI-Befehl org-policies delete-custom-constraint, um eine benutzerdefinierte Einschränkung zu löschen:

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID, z. B. 123456789.

  • CONSTRAINT_NAME: der Name der benutzerdefinierten Einschränkung. Beispiel: custom.disableGkeAutoUpgrade.

Die Ausgabe sieht in etwa so aus:

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Wenn Sie eine benutzerdefinierte Einschränkung löschen, bleiben alle Richtlinien, die mit dieser Einschränkung erstellt wurden, bestehen, werden jedoch ignoriert. Sie können keine weitere benutzerdefinierte Einschränkung mit demselben Namen wie eine gelöschte benutzerdefinierte Einschränkung erstellen.

Änderungen an Organisationsrichtlinien testen und analysieren

Wir empfehlen, alle Änderungen an Ihren Organisationsrichtlinien zu testen und einen Probelauf durchzuführen, um den Zustand Ihrer Umgebung und die Auswirkungen von Änderungen besser nachvollziehen zu können.

Mit dem Policy Simulator für Organisationsrichtlinien können Sie die Auswirkungen einer Einschränkung und Organisationsrichtlinie auf Ihre aktuelle Umgebung nachvollziehen. Mit diesem Tool können Sie alle Ressourcenkonfigurationen auf Verstöße überprüfen, bevor sie in der Produktionsumgebung erzwungen werden. Eine ausführliche Anleitung finden Sie unter Änderungen an Organisationsrichtlinien mit Policy Simulator testen.

Wenn Sie die aktuellen Auswirkungen kennen, können Sie eine Organisationsrichtlinie im Probelaufmodus erstellen, um die Auswirkungen und potenziellen Verstöße gegen eine Richtlinie in den nächsten 30 Tagen zu ermitteln. Eine Organisationsrichtlinie im Probelaufmodus ist eine Art von Organisationsrichtlinie, bei der Verstöße gegen die Richtlinie durch Audit-Logs protokolliert, die gegen die Richtlinien verstoßenden Aktionen aber nicht abgelehnt werden. Sie können eine Organisationsrichtlinie im Probelaufmodus aus einer benutzerdefinierten Einschränkung mit der Google Cloud Console oder der Google Cloud CLI erstellen. Eine ausführliche Anleitung finden Sie unter Organisationsrichtlinie im Probelaufmodus erstellen.

Benutzerdefinierte Organisationsrichtlinie erzwingen

Nachdem eine benutzerdefinierte Einschränkung eingerichtet wurde, funktioniert sie wie bei vordefinierten booleschen Einschränkungen. Google Cloud prüft benutzerdefinierte Einschränkungen zuerst, wenn ermittelt wird, ob eine Nutzeranfrage zulässig ist. Wenn die Anfrage von einer der benutzerdefinierten Organisationsrichtlinien abgelehnt wird, wird sie abgelehnt. Anschließend sucht Google Cloud nach vordefinierten Organisationsrichtlinien, die für diese Ressource erzwungen werden.

Sie können eine boolesche Einschränkung erzwingen, indem Sie eine Organisationsrichtlinie erstellen, die darauf verweist, und diese Organisationsrichtlinie auf eine Google Cloud-Ressource anwenden.

Console

So erzwingen Sie eine boolesche Einschränkung:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.
  3. Wählen Sie in der Projektauswahl das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.
  4. Wählen Sie auf der Seite Organisationsrichtlinien Ihre Einschränkung aus der Liste aus. Die Seite Richtliniendetails für diese Einschränkung sollte angezeigt werden.
  5. Zum Konfigurieren der Organisationsrichtlinie für diese Ressource klicken Sie auf Richtlinie verwalten.
  6. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
  7. Klicken Sie auf Regel hinzufügen.
  8. Wählen Sie unter Erzwingung aus, ob die Erzwingung dieser Organisationsrichtlinie aktiviert oder deaktiviert werden soll.
  9. Klicken Sie optional auf Bedingung hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungsfreie Regel hinzufügen oder die Richtlinie kann nicht gespeichert werden. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
  10. Wenn dies eine benutzerdefinierte Einschränkung ist, können Sie auf Änderungen testen klicken, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.
  11. Klicken Sie auf Richtlinie festlegen, um den Vorgang abzuschließen und die Organisationsrichtlinie anzuwenden. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

gcloud

Um eine Organisationsrichtlinie zu erstellen, die eine boolesche Einschränkung erzwingt, erstellen Sie eine YAML-Richtliniendatei, die auf die Einschränkung verweist: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Ersetzen Sie Folgendes:

  • PROJECT_ID: das Projekt, für das Sie die Einschränkung erzwingen möchten
  • CONSTRAINT_NAME: der Name, den Sie für Ihre benutzerdefinierte Einschränkung definiert haben. Beispiel: custom.disableGkeAutoUpgrade.

Führen Sie den folgenden Befehl aus, um die Organisationsrichtlinie mit der Einschränkung zu erzwingen: 

    gcloud org-policies set-policy POLICY_PATH

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

Beispieleinschränkung

Sie können benutzerdefinierte Einschränkungen ähnlich wie die von Google bereitgestellten vordefinierten Einschränkungen definieren. Eine typische YAML-Datei für benutzerdefinierte Einschränkungen sieht in etwa so aus:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

Der Organisationsrichtliniendienst verwendet Common Expression Language (CEL), um Bedingungen für benutzerdefinierte Einschränkungen auszuwerten. CEL ist eine Open-Source-Non-Turing-complete-Sprache, die eine allgemeine Semantik für die Auswertung von Ausdrücken implementiert.

Jeder Dienst, der benutzerdefinierte Einschränkungen unterstützt, stellt eine bestimmte Gruppe von Ressourcen und die Felder dieser Ressourcen zur Verfügung. Die verfügbaren Felder sind stark typisiert und benutzerdefinierte Einschränkungen können direkt referenziert werden.

Sie können CEL-Bedingungen basierend auf dem Feldtyp erstellen, die sich auf Dienstressourcenfelder beziehen. Der Organisationsrichtliniendienst unterstützt einen Teil der CEL-Datentypen, -Ausdrücke und -Makros. In den folgenden Abschnitten sind die verfügbaren Datentypen sowie gängige Ausdrücke und Makros aufgeführt, die mit ihnen funktionieren.

Informationen dazu, welche Ausdrücke und Makros für die einzelnen Dienste verfügbar sind, finden Sie unter Unterstützte Dienste für benutzerdefinierte Einschränkungen.

Das folgende JSON-Beispiel zeigt jeden der potenziellen Feldtypen, auf die Sie mit benutzerdefinierten Einschränkungen verweisen können:

{
  integerValue: 1
  stringValue: "A text string"
  booleanValue: true
  nestedValue: {
    nestedStringValue: "Another text string"
  }
  listValue: [foo, bar]
  mapValue["costCenter"] == "123"
}

Für jeden CEL-Ausdruck wird die benutzerdefinierte Einschränkung erzwungen, wenn die Bedingung als true ausgewertet wird. Sie können Ausdrücke mit und (&&) und oder (||) kombinieren, um eine komplexe Abfrage zu erstellen. Setzen Sie beim Erstellen der YAML- oder JSON-Datei für Ihre benutzerdefinierte Einschränkung die vollständige Abfrage in doppelte Anführungszeichen (").

Integer

Ganzzahlfelder wie integerValue im obigen Beispiel ermöglichen die Verwendung von Vergleichsoperatoren in Bedingungen. Beispiel:

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

String

Stringfelder wie im obigen Beispiel stringValue können mit einem Stringliteral, einem regulären Ausdruck oder einem CEL-Ausdruck ausgewertet werden. Beispiel:

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

Verschachtelte Felder wie nestedStringValue im obigen Beispiel müssen mit dem vollständigen Pfad referenziert werden. Beispiel:

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

Boolesch

Boolesche Felder wie booleanValue im obigen Beispiel enthalten einen booleschen Wert, entweder true oder false.

Liste

Listenfelder wie das listValue im Beispiel oben können anhand der Größe der Liste, des Listeninhalts und danach ausgewertet werden, ob ein bestimmtes Element irgendwo in der Liste vorhanden ist.

Beispiel:

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

Karte

Zuordnungsfelder wie mapValue im Beispiel oben sind Schlüssel/Wert-Paare, die anhand des Vorhandenseins und des Werts bestimmter Elemente ausgewertet werden können.

Beispiel:

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

CEL-Fehler beheben

Eine Bedingung, die mit ungültigen Ausdrücken oder nicht übereinstimmenden Typen erstellt wurde, gibt beim Versuch, die benutzerdefinierte Einschränkung einzurichten, einen Fehler zurück. Beispiel: Angenommen, die folgende ungültige benutzerdefinierte Einschränkung vergleicht einen String mit einer Ganzzahl:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Wenn Sie versuchen, diese Einschränkung über die Google Cloud CLI einzurichten, wird ein Fehler ausgegeben:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

In der Google Cloud Console werden ungültige CEL-Syntaxfehler mit dem Symbol Fehler gekennzeichnet. Wenn Sie dieses Symbol markieren, wird eine Kurzinfo mit weiteren Informationen zum Syntaxfehler angezeigt.

Der Organisationsrichtliniendienst kompiliert und validiert die von Ihnen erstellten Bedingungen. Wenn die Bedingung syntaktisch nicht korrekt ist, wird ein Fehler zurückgegeben. Es gibt jedoch bestimmte Bedingungen, die kompiliert werden. Wenn Google Cloud versucht, die Einschränkungen zu erzwingen, wird jedoch ein Fehler ausgegeben. Wenn Sie beispielsweise eine Einschränkung mit einer Bedingung einrichten, mit der versucht wird, auf einen nicht vorhandenen Listenindex oder Zuordnungsschlüssel zuzugreifen, schlägt die Einschränkung fehl, gibt bei der Erzwingung einen Fehler zurück und blockiert jeden Versuch, die Ressource zu erstellen.

Wenn Sie Bedingungen erstellen, die von Listen- oder Kartenelementen abhängen, empfiehlt es sich, zu Beginn der Bedingung zu prüfen, ob sie in allen Fällen gültig ist. Prüfen Sie beispielsweise list.size(), bevor Sie auf ein bestimmtes Listenelement verweisen, oder verwenden Sie has(), bevor Sie auf ein Kartenelement verweisen.

Unterstützte Dienste

Jeder Dienst definiert eine Reihe von benutzerdefinierten Einschränkungsfeldern, mit denen Organisationsrichtlinien für die Dienstressourcen erzwungen werden können. Eine Liste der Dienste, die benutzerdefinierte Einschränkungen unterstützen, finden Sie unter Dienste, die für benutzerdefinierte Einschränkungen unterstützt werden.

Weitere Informationen zum Einrichten eines Scanners für Organisationsrichtlinien finden Sie unter Ergebnisse von Sicherheitslücken in der Organisationsrichtlinie.

Nächste Schritte