Créer et gérer des règles d'administration personnalisées

Les règles d'administration Google Cloud vous offrent un contrôle centralisé et automatisé sur les ressources de votre organisation. En tant qu'administrateur des règles d'administration, vous pouvez définir une règle d'administration, c'est-à-dire un ensemble de restrictions appelées contraintes qui s'appliquent aux ressources Google Cloud et aux descendants de ces ressources dans la hiérarchie des ressources Google Cloud. Vous pouvez appliquer des règles d'administration au niveau d'une organisation, d'un dossier ou d'un projet.

Les règles d'administration fournissent des contraintes prédéfinies pour divers services Google Cloud. Toutefois, si vous souhaitez avoir davantage de contrôle sur vos règles d'administration, vous pouvez créer des règles d'administration personnalisées.

Cette page explique comment afficher, créer et gérer des règles d'administration personnalisées. Règles d'administration personnalisées sont créées par les administrateurs afin de fournir un contrôle plus précis et personnalisable des champs spécifiques limités par vos règles d'administration d'administration.

Avant de commencer

Pour en savoir plus sur les règles d'administration, les contraintes et leur fonctionnement, consultez la page Présentation du service de règles d'administration.

Rôles requis

Pour obtenir les autorisations nécessaires pour gérer les règles d'administration, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) pour l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour gérer les règles d'administration:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Contraintes personnalisées

Une contrainte personnalisée est créée dans un fichier YAML qui spécifie les ressources, les méthodes, les conditions et les actions soumises à la contrainte. Ceux-ci sont spécifiques au service sur lequel vous appliquez la règle d'administration. Les conditions de votre contrainte personnalisée sont définies à l'aide du langage CEL (Common Expression Language).

Configurer une contrainte personnalisée

Vous pouvez créer une contrainte personnalisée et la configurer pour l'utiliser dans des règles d'administration à l'aide de la console Google Cloud ou de Google Cloud CLI.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur le sélecteur de projets en haut de la page.

  3. Dans le sélecteur de projet, choisissez la ressource pour laquelle vous souhaitez définir la règle d'administration.

  4. Cliquez sur Contrainte personnalisée.

  5. Dans le champ Nom à afficher, saisissez un nom convivial pour la contrainte. Ce champ ne doit pas comporter plus de 200 caractères. N'utilisez pas d'informations permettant d'identifier personnellement l'utilisateur ni de données sensibles dans les noms à afficher, car elles pourraient être exposées dans des messages d'erreur.

  6. Dans la zone ID de contrainte, saisissez le nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemple custom.disableGkeAutoUpgrade. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exemple organizations/123456789/customConstraints/custom.. N'incluez pas d'informations permettant d'identifier personnellement l'utilisateur ni de données sensibles dans l'ID de contrainte, car elles pourraient être exposées dans des messages d'erreur.

  7. Dans la zone Description, saisissez pour la contrainte une description conviviale qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères. N'incluez pas d'informations permettant d'identifier personnellement l'utilisateur ni de données sensibles dans votre description, car elles pourraient être exposées dans des messages d'erreur.

  8. Dans la zone Type de ressource, sélectionnez le nom de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre (par exemple, container.googleapis.com/NodePool). Il existe un maximum de 20 contraintes personnalisées par type de ressource. Si vous essayez de créer une contrainte personnalisée pour un type de ressource comportant déjà 20 contraintes personnalisées, l'opération échoue.

  9. Sous Méthode d'application, indiquez si vous souhaitez appliquer la contrainte sur une méthode REST CREATE, ou sur les méthodes CREATE et UPDATE. Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service en question dans Services compatibles.

  10. Pour définir une condition, cliquez sur Modifier la condition.

    1. Dans le panneau Ajouter une condition, créez une condition CEL faisant référence à une ressource de service acceptée, par exemple resource.management.autoUpgrade == false. Ce champ ne doit pas comporter plus de 1 000 caractères. Pour en savoir plus sur l'utilisation du CEL, consultez la page Common Expression Language. Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la section Services compatibles avec les contraintes personnalisées.

    2. Cliquez sur Enregistrer.

  11. Sous Action, indiquez si vous souhaitez autoriser ou refuser la méthode évaluée si la condition ci-dessus est remplie.

    L'action de refus signifie que l'opération de création ou de mise à jour de la ressource est bloquée si la condition est évaluée à "true".

    L'action d'autorisation signifie que l'opération de création ou de mise à jour de la ressource n'est autorisée que si la condition est évaluée à "true". Tous les autres cas, à l'exception de ceux explicitement listés dans la condition, sont bloqués.

  12. Cliquez sur Créer une contrainte.

Lorsque vous saisissez une valeur dans chaque champ, la configuration YAML équivalant à cette contrainte personnalisée s'affiche sur la droite.

gcloud

Pour créer une contrainte personnalisée à l'aide de Google Cloud CLI, créez un fichier YAML pour cette contrainte :

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).

  • CONSTRAINT_NAME : nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemple custom.disableGkeAutoUpgrade. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exemple organizations/123456789/customConstraints/custom..

  • RESOURCE_NAME: nom complet de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre. Exemple :container.googleapis.com/NodePool Il existe un maximum de 20 contraintes personnalisées par type de ressource. Si vous essayez de créer une contrainte personnalisée pour un type de ressource comportant déjà 20 contraintes personnalisées, l'opération échoue. Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la section Services compatibles avec les contraintes personnalisées.

  • METHOD1,METHOD2 : liste des méthodes RESTful pour lesquelles la contrainte est appliquée. Il peut s'agir de CREATE, ou de CREATE et de UPDATE. Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service concerné dans la section Services compatibles.

  • CONDITION: condition CEL faisant référence à une ressource de service compatible, par exemple "resource.management.autoUpgrade == false". Ce champ ne doit pas comporter plus de 1 000 caractères. Pour en savoir plus sur l'utilisation du CEL, consultez la page Common Expression Language.

  • ACTION : action à effectuer si la condition est remplie. L'action peut être définie sur ALLOW ou DENY.

    L'action de refus signifie que si la condition est évaluée "vraie", l'opération permettant de créer ou de mettre à jour la ressource est bloquée.

    L'action "allow" signifie que si la condition est évaluée à "true", l'opération de création ou de mise à jour de la ressource est autorisée. Cela signifie également que tous les autres cas, à l'exception de celui explicitement indiqué dans la condition, sont bloqués.

  • DISPLAY_NAME : nom convivial de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.

  • DESCRIPTION : description conviviale de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.

Après avoir créé une contrainte personnalisée à l'aide de Google Cloud CLI, vous devez la configurer pour la rendre disponible pour les règles d'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commande gcloud org-policies set-custom-constraint : 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Remplacez CONSTRAINT_PATH par le chemin d'accès complet à votre fichier de contrainte personnalisée. Exemple :/home/user/customconstraint.yaml Une fois terminée, vos contraintes personnalisées seront considérées comme des règles d'administration disponibles dans votre liste de règles d'administration Google Cloud. Pour vérifier que la contrainte personnalisée existe, utilisez la commande gcloud org-policies list-custom-constraints : 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID de votre ressource d'organisation. Pour en savoir plus, consultez la page Afficher les règles d'administration.

Mettre à jour une contrainte personnalisée

Vous pouvez mettre à jour une contrainte personnalisée en modifiant la contrainte dans la console Google Cloud, ou en créant un fichier YAML et en exécutant à nouveau la commande set-custom-constraint de la gcloud CLI. Il n'existe pas de gestion des versions des contraintes personnalisées. La contrainte personnalisée existante est donc remplacée. Si la contrainte personnalisée est déjà appliquée, la contrainte personnalisée mise à jour prend effet immédiatement.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur le sélecteur de projets en haut de la page.

  3. Dans le sélecteur de projet, choisissez la ressource pour laquelle vous souhaitez mettre à jour la règle d'administration.

  4. Sélectionnez la contrainte que vous souhaitez modifier dans la liste de la page Règles d'administration. La page Détails de la règle correspondant à cette contrainte doit s'afficher.

  5. Cliquez sur Modifier la contrainte.

  6. Modifiez le nom à afficher, la description, la méthode d'application, la condition et l'action. Une fois la contrainte créée, vous ne pouvez plus modifier son ID ni le type de ressource.

  7. Cliquez sur Enregistrer les modifications.

gcloud

Pour modifier une contrainte personnalisée existante à l'aide de Google Cloud CLI, créez un fichier YAML contenant les modifications à apporter:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).

  • CONSTRAINT_NAME : nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemple custom.disableGkeAutoUpgrade. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exemple organizations/123456789/customConstraints/custom..

  • RESOURCE_NAME: nom complet de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre. Exemple :container.googleapis.com/NodePool Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la section Services compatibles avec les contraintes personnalisées.

  • METHOD1,METHOD2 : liste des méthodes RESTful pour lesquelles la contrainte est appliquée. Il peut s'agir de CREATE, ou de CREATE et de UPDATE. Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service concerné dans la section Services compatibles.

  • CONDITION: condition CEL faisant référence à une ressource de service compatible, par exemple "resource.management.autoUpgrade == false". Ce champ ne doit pas comporter plus de 1 000 caractères. Pour en savoir plus sur l'utilisation du CEL, consultez la page Common Expression Language.

  • ACTION : action à effectuer si la condition est remplie. L'action peut être définie sur ALLOW ou DENY.

  • DISPLAY_NAME : nom convivial de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.

  • DESCRIPTION : description conviviale de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.

Après avoir créé une contrainte personnalisée à l'aide de Google Cloud CLI, vous devez la configurer pour la rendre disponible pour les règles d'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commande gcloud org-policies set-custom-constraint : 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Remplacez CONSTRAINT_PATH par le chemin d'accès complet à votre fichier de contrainte personnalisée. Exemple :/home/user/customconstraint.yaml Une fois terminée, vos contraintes personnalisées seront considérées comme des règles d'administration disponibles dans votre liste de règles d'administration Google Cloud. Pour vérifier que la contrainte personnalisée existe, utilisez la commande gcloud org-policies list-custom-constraints : 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID de votre ressource d'organisation. Pour en savoir plus, consultez la page Afficher les règles d'administration.

Supprimer une contrainte personnalisée

Vous pouvez supprimer une contrainte personnalisée à l'aide de la console Google Cloud ou de Google Cloud CLI.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur le sélecteur de projets en haut de la page.

  3. Dans le sélecteur de projet, choisissez la ressource pour laquelle vous souhaitez supprimer la règle d'administration.

  4. Sélectionnez la contrainte que vous souhaitez supprimer dans la liste de la page Règles d'administration. La page Détails de la règle correspondant à cette contrainte doit s'afficher.

  5. Cliquez sur Supprimer.

  6. Pour confirmer la suppression de la contrainte, cliquez sur Supprimer.

gcloud

Pour supprimer une contrainte personnalisée, utilisez la commande gcloud CLI org-policies delete-custom-constraint:

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).

  • CONSTRAINT_NAME: nom de votre contrainte personnalisée. Exemple :custom.disableGkeAutoUpgrade

Le résultat ressemble à ce qui suit :

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Si vous supprimez une contrainte personnalisée, toutes les règles créées à l'aide de cette contrainte continuent d'exister, mais sont ignorées. Vous ne pouvez pas créer d'autre contrainte personnalisée portant le même nom qu'une contrainte personnalisée supprimée.

Tester et analyser les modifications apportées aux règles d'administration

Nous vous recommandons de tester et de faire un essai sur toutes les modifications apportées à vos règles d'administration, afin de mieux comprendre l'état de votre environnement et l'impact de ces modifications.

Policy Simulator pour les règles d'administration vous aide à comprendre l'effet d'une contrainte et d'une règle d'administration sur votre environnement actuel. À l'aide de cet outil, vous pouvez examiner toutes les configurations de ressources afin d'identifier les cas de non-conformité avant qu'ils ne soient appliqués dans votre environnement de production. Pour obtenir des instructions détaillées, consultez la page Tester les modifications apportées aux règles d'administration avec Policy Simulator.

Une fois que vous avez compris l'effet actuel, vous pouvez créer une règle d'administration en mode de simulation pour comprendre l'impact et les cas de non-respect potentiels d'une règle au cours des 30 prochains jours. Une règle d'administration en mode de simulation est un type de règle d'administration dans lequel les violations de la règle sont consignées dans un journal d'audit, mais les actions non conformes ne sont pas refusées. Vous pouvez créer une règle d'administration en mode de simulation à partir d'une contrainte personnalisée à l'aide de la console Google Cloud ou de Google Cloud CLI. Pour obtenir des instructions détaillées, consultez la page Créer une règle d'administration en mode de simulation.

Appliquer une règle d'administration personnalisée

Une fois qu'une contrainte personnalisée a été configurée, elle fonctionne de la même manière que les contraintes booléennes prédéfinies. Google Cloud vérifie d'abord les contraintes personnalisées lorsqu'il évalue si une requête utilisateur est autorisée. Si l'une des règles d'administration personnalisées refuse la requête, celle-ci est rejetée. Google Cloud vérifie ensuite les règles d'administration prédéfinies appliquées à cette ressource.

Vous pouvez appliquer une contrainte booléenne en créant une règle d'administration qui la référence et en appliquant cette règle d'administration à une ressource Google Cloud.

Console

Pour appliquer une contrainte booléenne, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur le sélecteur de projets en haut de la page.
  3. Dans le sélecteur de projets, choisissez le projet pour lequel vous souhaitez définir la règle d'administration.
  4. Sélectionnez votre contrainte dans la liste sur la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.
  5. Pour configurer la règle d'administration pour cette ressource, cliquez sur Gérer la règle.
  6. Sur la page Modifier la stratégie, sélectionnez Remplacer la stratégie parente.
  7. Cliquez sur Ajouter une règle.
  8. Sous Application, indiquez si l'application de cette règle d'administration doit être activée ou désactivée.
  9. Pour rendre la règle d'administration conditionnelle sur un tag, cliquez sur Ajouter une condition. Notez que si vous ajoutez une règle conditionnelle à une règle d'administration, vous devez ajouter au moins une règle non conditionnelle, sinon la règle ne pourra pas être enregistrée. Pour en savoir plus, consultez Définir une règle d'administration avec des tags.
  10. S'il s'agit d'une contrainte personnalisée, vous pouvez cliquer sur Tester les modifications pour simuler l'effet de cette règle d'administration. Pour en savoir plus, consultez la section Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.
  11. Pour finaliser et appliquer la règle d'administration, cliquez sur Définir la règle. La prise en compte de la règle peut prendre jusqu'à 15 minutes.

gcloud

Pour créer une règle d'administration qui applique une contrainte booléenne, créez un fichier YAML de règle qui référence la contrainte : 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Remplacez les éléments suivants :

  • PROJECT_ID : projet sur lequel vous souhaitez appliquer votre contrainte.
  • CONSTRAINT_NAME : nom que vous avez défini pour la contrainte personnalisée. Exemple : custom.disableGkeAutoUpgrade.

Pour appliquer la règle d'administration contenant la contrainte, exécutez la commande suivante : 

    gcloud org-policies set-policy POLICY_PATH

Remplacez POLICY_PATH par le chemin d'accès complet au fichier YAML de votre règle d'administration. La prise en compte de la règle peut prendre jusqu'à 15 minutes.

Exemple de contrainte

Vous pouvez définir des contraintes personnalisées semblables aux contraintes prédéfinies fournies par Google. Un fichier YAML de contrainte personnalisée type se présente comme suit:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

Le service de règles d'administration utilise le langage CEL (Common Expression Language) pour évaluer les conditions par rapport aux contraintes personnalisées. CEL est un langage complet Open Source non-Turing qui met en œuvre une sémantique commune pour l'évaluation des expressions.

Chaque service compatible avec les contraintes personnalisées met à disposition un ensemble particulier de ses ressources et les champs de ces ressources. Les champs disponibles sont fortement typés et peuvent être directement référencés par des contraintes personnalisées.

Vous pouvez créer des conditions CEL qui font référence aux champs de ressources de service en fonction du type de champ. Le service de règles d'administration est compatible avec un sous-ensemble de types de données, d'expressions et de macros CEL. Les sections ci-dessous répertorient les types de données disponibles, ainsi que les expressions et macros courantes qui les utilisent.

Pour en savoir plus sur les expressions et les macros disponibles pour chaque service, consultez la section Services compatibles avec les contraintes personnalisées.

L'exemple JSON suivant montre chacun des types de champs potentiels auxquels vous pouvez faire référence à l'aide de contraintes personnalisées:

{
  integerValue: 1
  stringValue: "A text string"
  booleanValue: true
  nestedValue: {
    nestedStringValue: "Another text string"
  }
  listValue: [foo, bar]
  mapValue["costCenter"] == "123"
}

Pour chaque expression CEL, la contrainte personnalisée est appliquée lorsque la condition renvoie la valeur true. Vous pouvez combiner des expressions avec et (&&) et ou (||) pour créer une requête complexe. Lorsque vous créez le fichier YAML ou JSON pour votre contrainte personnalisée, placez la requête complète entre guillemets doubles (").

Integer

Les champs d'entiers, tels que integerValue dans l'exemple ci-dessus, permettent d'utiliser des opérateurs de comparaison dans des conditions. Exemple :

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

Chaîne

Les champs de chaîne, tels que stringValue dans l'exemple ci-dessus, peuvent être évalués à l'aide d'un littéral de chaîne, d'une expression régulière ou d'une expression CEL. Exemple :

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

Les champs imbriqués, tels que nestedStringValue dans l'exemple ci-dessus, doivent être référencés avec le chemin d'accès complet. Exemple :

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

Booléen

Les champs booléens, tels que booleanValue dans l'exemple ci-dessus, contiennent une valeur booléenne, true ou false.

Liste

Les champs de liste, tels que listValue dans l'exemple ci-dessus, peuvent être évalués par la taille de la liste, son contenu et la présence ou non d'un élément particulier dans la liste.

Exemple :

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

Mappage

Les champs de mappage, tels que mapValue dans l'exemple ci-dessus, sont des paires clé/valeur qui peuvent être évaluées en fonction de l'existence et de la valeur d'éléments particuliers.

Exemple :

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

Résoudre les erreurs CEL

Une condition créée avec des expressions non valides ou des incohérences de types renvoie une erreur lorsque vous tentez de configurer la contrainte personnalisée. Par exemple, pour la contrainte personnalisée non valide suivante, qui compare une chaîne à un entier:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Une erreur est générée si vous essayez de configurer cette contrainte à l'aide de Google Cloud CLI:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

Dans la console Google Cloud, les erreurs de syntaxe CEL non valides seront signalées par une icône Erreur . Si vous mettez cette icône en surbrillance, une info-bulle contenant plus d'informations sur l'erreur de syntaxe s'affiche.

Le service de règles d'administration compile et valide les conditions que vous créez, et renvoie une erreur si la syntaxe de la condition n'est pas correcte. Cependant, certaines conditions se compilent, mais cela entraîne une erreur lorsque Google Cloud tente d'appliquer les contraintes. Par exemple, si vous configurez une contrainte avec une condition qui tente d'accéder à un index de liste ou à une clé de mappage qui n'existe pas, la contrainte échoue et renvoie une erreur au moment de l'application, et bloque toute tentative de création de la ressource.

Lorsque vous créez des conditions qui dépendent d'éléments de liste ou de mappage, nous vous recommandons de commencer la condition par une vérification qui garantit qu'elle est valide dans tous les cas. Par exemple, vérifiez list.size() avant de référencer un élément de liste particulier ou utilisez has() avant de référencer un élément de carte.

Services compatibles

Chaque service définit un ensemble de champs de contrainte personnalisée pouvant être utilisés pour appliquer des règles d'administration à leurs ressources de service. Pour obtenir la liste des services compatibles avec les contraintes personnalisées, consultez la section Services compatibles avec les contraintes personnalisées.

Pour en savoir plus sur la configuration d'un outil d'analyse des règles d'administration, consultez la page Résultats de failles des règles d'administration.

Étapes suivantes