Benutzerdefinierte Organisationsrichtlinien erstellen und verwalten

Mit der Google Cloud-Organisationsrichtlinie können Sie die Ressourcen Ihrer Organisation zentral steuern. Da die Organisationsrichtlinienadministrator können Sie eine Organisationsrichtlinie definieren. Dies sind eine Reihe von Einschränkungen, die als Einschränkungen bezeichnet werden und für Google Cloud-Ressourcen und untergeordnete Ressourcen dieser Ressourcen in der Google Cloud-Ressourcenhierarchie. Sie können Organisationsrichtlinien auf Organisations-, Ordner- oder Projektebene erzwingen.

Die Organisationsrichtlinie bietet vordefinierte Einschränkungen für verschiedene Google Cloud-Dienste. Wenn Sie jedoch mehr Kontrolle über Ihre Organisationsrichtlinien können Sie benutzerdefinierte Organisationsrichtlinien erstellen.

Auf dieser Seite wird beschrieben, wie Sie benutzerdefinierte Organisationen aufrufen, erstellen und verwalten. Richtlinien. Benutzerdefinierte Organisationsrichtlinien werden von Administratoren erstellt, um für eine detailliertere und anpassbarere Kontrolle über die Felder, die durch Ihre Organisationsrichtlinien eingeschränkt sind.

Hinweise

Weitere Informationen dazu, was Organisationsrichtlinien und -einschränkungen sind und wie sie funktionieren, Einführung in den Organisationsrichtliniendienst

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält Berechtigungen zum Verwalten von Organisationsrichtlinien. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Verwalten von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Benutzerdefinierte Einschränkungen

Eine benutzerdefinierte Einschränkung wird in einer YAML-Datei erstellt, in der die Ressourcen, Methoden, Bedingungen und Aktionen, die der Einschränkung unterliegen. Dies sind für den Dienst, für den Sie die Organisationsrichtlinie erzwingen. Die Die Bedingungen für Ihre benutzerdefinierte Einschränkung werden mit dem allgemeinen Ausdruck definiert Sprache (CEL).

Benutzerdefinierte Einschränkung einrichten

Sie können eine benutzerdefinierte Einschränkung erstellen und für die Verwendung in Organisationsrichtlinien mithilfe der Google Cloud Console oder der Google Cloud CLI einrichten.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie um die Organisationsrichtlinie festzulegen.

  4. Klicken Sie auf Benutzerdefinierte Einschränkung.

  5. Geben Sie im Feld Anzeigename einen nutzerfreundlichen Namen für die Einschränkung ein. Dieses Feld hat eine maximale Länge von 200 Zeichen. Verwenden Sie in Anzeigenamen keine personenidentifizierbaren Informationen oder sensiblen Daten, da dies zu in Fehlermeldungen angezeigt werden.

  6. Geben Sie im Feld Einschränkungs-ID den gewünschten Namen für die neue benutzerdefinierte Einschränkung ein. Eine benutzerdefinierte Einschränkung muss mit custom. beginnen und darf nur Großbuchstaben, Kleinbuchstaben oder Ziffern enthalten, z. B. custom.disableGkeAutoUpgrade. Die maximale Länge dieses Feldes beträgt 70 Zeichen, das Präfix wird nicht gezählt (z. B. organizations/123456789/customConstraints/custom.). Die Einschränkungs-ID darf keine personenidentifizierbaren Informationen oder sensiblen Daten enthalten, da sie in Fehlermeldungen enthalten sein.

  7. Geben Sie im Feld Beschreibung eine nutzerfreundliche Beschreibung der Einschränkung ein, die bei einer Verletzung der Richtlinie als Fehlermeldung angezeigt wird. Dieses Feld hat eine maximale Länge von 2000 Zeichen. Die Beschreibung sollte keine personenidentifizierbaren Informationen oder sensiblen Daten enthalten, da sie in Fehlermeldungen enthalten sein.

  8. Wählen Sie im Feld Resource type (Ressourcentyp) den Namen der Google Cloud-Ressource aus. REST-Ressource mit dem Objekt und Feld, das Sie einschränken möchten. Beispiel: container.googleapis.com/NodePool. Es sind maximal 20 benutzerdefinierten Einschränkungen pro Ressourcentyp. Wenn Sie versuchen, ein benutzerdefiniertes für einen Ressourcentyp, der bereits 20 benutzerdefinierte Einschränkungen hat, der Vorgang schlägt fehl.

  9. Wählen Sie unter Erzwingungsmethode aus, ob die Einschränkung erzwungen werden soll für eine REST-Methode CREATE oder für die Methoden CREATE und UPDATE. Nicht alle Google Cloud-Dienste unterstützen beide Methoden. So rufen Sie die unterstützten Funktionen auf: Methoden für die einzelnen Dienste finden Sie unter Unterstützte Dienste.

  10. Klicken Sie zum Definieren einer Bedingung auf Bedingung bearbeiten.

    1. Erstellen Sie im Bereich Bedingung hinzufügen eine CEL-Bedingung, die auf eine unterstützte Dienstressource verweist, z. B. resource.management.autoUpgrade == false. Dieses Feld hat eine maximale Länge von 1.000 Zeichen. Weitere Informationen zur CEL-Nutzung finden Sie unter Common Expression Language. Weitere Informationen Informationen zu den Dienstressourcen, die Sie in Ihrem benutzerdefinierten finden Sie unter Von benutzerdefinierten Einschränkungen unterstützte Dienste.

    2. Klicken Sie auf Speichern.

  11. Wählen Sie unter Aktion aus, ob die ausgewertete Methode zugelassen oder abgelehnt werden soll, wenn die oben aufgeführte Bedingung erfüllt ist.

    Die Ablehnungsaktion bedeutet, dass der Vorgang zum Erstellen oder Aktualisieren der Ressource wird blockiert, wenn die Bedingung als wahr ausgewertet wird.

    Die Aktion „allow“ bedeutet, dass der Vorgang zum Erstellen oder Aktualisieren der Ressource ist nur zulässig, wenn die Bedingung als wahr ausgewertet wird. Jeden außer den explizit in der Bedingung aufgeführten werden blockiert.

  12. Klicken Sie auf Einschränkung erstellen.

Wenn Sie in jedes Feld einen Wert eingegeben haben, wird rechts die entsprechende YAML-Konfiguration für diese benutzerdefinierte Einschränkung angezeigt.

gcloud

Zum Erstellen einer benutzerdefinierten Einschränkung mit der Google Cloud CLI erstellen Sie eine YAML-Datei für die benutzerdefinierte Einschränkung:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID, z. B. 123456789.

  • CONSTRAINT_NAME: Name, den Sie für Ihre neue benutzerdefinierte Einschränkung verwenden möchten. Eine benutzerdefinierte Einschränkung muss mit custom. beginnen und darf nur Großbuchstaben, Kleinbuchstaben oder Ziffern enthalten, z. B. custom.disableGkeAutoUpgrade. Die maximale Länge dieses Feldes beträgt 70 Zeichen, das Präfix wird nicht gezählt (z. B. organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: der vollständig qualifizierte Name des Google Cloud REST-Ressource mit dem Objekt und Feld, das Sie verwenden möchten einschränken. Beispiel: container.googleapis.com/NodePool. Es gibt ein Maximum an von 20 benutzerdefinierten Einschränkungen pro Ressourcentyp. Wenn Sie versuchen, ein benutzerdefiniertes für einen Ressourcentyp, der bereits 20 benutzerdefinierte Einschränkungen hat, der Vorgang fehlschlägt. Weitere Informationen zu den Dienstressourcen, die Sie verwenden können Informationen in den benutzerdefinierten Einschränkungen finden Sie unter Dienste, die von benutzerdefinierten Einschränkungen unterstützt werden.

  • METHOD1,METHOD2: Liste der RESTful-Methoden, für die die Einschränkung erzwungen werden soll. Kann CREATE oder CREATE und UPDATE sein. Nicht alle Google Cloud-Dienste unterstützen beide Methoden. Bis Unterstützte Methoden für jeden Dienst finden Sie unter Unterstützte Dienste.

  • CONDITION: eine CEL-Bedingung, die sich auf eine unterstützte Dienstressource, z. B. "resource.management.autoUpgrade == false". Dieses Feld hat eine maximale Länge von 1.000 Zeichen. Weitere Informationen zur CEL-Nutzung finden Sie unter Common Expression Language.

  • ACTION: Aktion, die ausgeführt werden soll, wenn condition erfüllt ist. Dies kann entweder ALLOW oder DENY sein.

    Die Ablehnungsaktion bedeutet, dass das Wenn die Bedingung als wahr ausgewertet wird, Vorgang zum Erstellen oder Aktualisieren der Ressource wird blockiert.

    Die Aktion „allow“ bedeutet, dass, wenn die Bedingung als wahr ausgewertet wird, Der Vorgang zum Erstellen oder Aktualisieren der Ressource ist zulässig. Dies gilt auch für alle anderen Fälle mit Ausnahme des ausdrücklich unter wird blockiert.

  • DISPLAY_NAME: Ein nutzerfreundlicher Name für die Einschränkung. Dieses Feld hat eine maximale Länge von 200 Zeichen.

  • DESCRIPTION: Eine nutzerfreundliche Beschreibung der Einschränkung, die als Fehlermeldung angezeigt werden soll, wenn die Richtlinie verletzt wird Dieses Feld hat eine maximale Länge von 2000 Zeichen.

Nachdem Sie eine neue benutzerdefinierte Einschränkung mit der Google Cloud CLI erstellt haben, müssen Sie sie einrichten, um sie für Organisationsrichtlinien in Ihrer Organisation verfügbar zu machen. Verwenden Sie zum Einrichten einer benutzerdefinierten Einschränkung den Befehl gcloud org-policies set-custom-constraint: 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Ersetzen Sie CONSTRAINT_PATH durch den vollständigen Pfad zu Ihrer benutzerdefinierten Einschränkungsdatei. Beispiel: /home/user/customconstraint.yaml Nach Abschluss des Vorgangs finden Sie Ihre benutzerdefinierten Einschränkungen als verfügbare Organisationsrichtlinien in der Liste der Google Cloud-Organisationsrichtlinien. Prüfen Sie mit der Methode Befehl gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisationsressource. Weitere Informationen finden Sie unter Organisationsrichtlinien aufrufen.

Benutzerdefinierte Einschränkung aktualisieren

Sie können eine benutzerdefinierte Einschränkung aktualisieren, indem Sie die Einschränkung in der Google Cloud Console erstellen oder eine neue YAML-Datei erstellen und die gcloud CLI-Befehlszeile set-custom-constraint noch einmal. Es gibt keine Versionsverwaltung benutzerdefinierter Einschränkungen, sodass die vorhandenen benutzerdefinierten Einschränkung. Wenn die benutzerdefinierte Einschränkung bereits erzwungen wird, wird die aktualisierte benutzerdefinierte Einschränkung tritt sofort in Kraft.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie um die Organisationsrichtlinie zu aktualisieren.

  4. Wählen Sie die Einschränkung, die Sie bearbeiten möchten, aus der Liste in der Organisationsrichtlinien. Auf der Seite Richtliniendetails angezeigt werden soll.

  5. Klicken Sie auf Beschränkung bearbeiten.

  6. Ändern Sie den Anzeigenamen, die Beschreibung, die Erzwingungsmethode Bedingung und Aktion aus. Sie können die Einschränkungs-ID oder Ressource nicht ändern wenn die Einschränkung erstellt wurde.

  7. Klicken Sie auf Änderungen speichern.

gcloud

Erstellen Sie eine neue YAML-Datei, um eine vorhandene benutzerdefinierte Einschränkung mit der Google Cloud CLI zu bearbeiten Datei mit den gewünschten Änderungen:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID, z. B. 123456789.

  • CONSTRAINT_NAME: Name, den Sie für Ihre neue benutzerdefinierte Einschränkung verwenden möchten. Eine benutzerdefinierte Einschränkung muss mit custom. beginnen und darf nur Großbuchstaben, Kleinbuchstaben oder Ziffern enthalten, z. B. custom.disableGkeAutoUpgrade. Die maximale Länge dieses Feldes beträgt 70 Zeichen, das Präfix wird nicht gezählt (z. B. organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: der vollständig qualifizierte Name des Google Cloud REST-Ressource mit dem Objekt und Feld, das Sie verwenden möchten einschränken. Beispiel: container.googleapis.com/NodePool. Weitere Informationen Informationen zu den Dienstressourcen, die Sie in Ihrem benutzerdefinierten finden Sie unter Von benutzerdefinierten Einschränkungen unterstützte Dienste.

  • METHOD1,METHOD2: Liste der RESTful-Methoden, für die die Einschränkung erzwungen werden soll. Kann CREATE oder CREATE und UPDATE sein. Nicht alle Google Cloud-Dienste unterstützen beide Methoden. Bis Unterstützte Methoden für jeden Dienst finden Sie unter Unterstützte Dienste.

  • CONDITION: eine CEL-Bedingung, die sich auf eine unterstützte Dienstressource, z. B. "resource.management.autoUpgrade == false". Dieses Feld hat eine maximale Länge von 1.000 Zeichen. Weitere Informationen zur CEL-Nutzung finden Sie unter Common Expression Language.

  • ACTION: Aktion, die ausgeführt werden soll, wenn condition erfüllt ist. Dies kann entweder ALLOW oder DENY sein.

  • DISPLAY_NAME: Ein nutzerfreundlicher Name für die Einschränkung. Dieses Feld hat eine maximale Länge von 200 Zeichen.

  • DESCRIPTION: Eine nutzerfreundliche Beschreibung der Einschränkung, die als Fehlermeldung angezeigt werden soll, wenn die Richtlinie verletzt wird Dieses Feld hat eine maximale Länge von 2000 Zeichen.

Nachdem Sie eine neue benutzerdefinierte Einschränkung mit der Google Cloud CLI erstellt haben, müssen Sie sie einrichten, um sie für Organisationsrichtlinien in Ihrer Organisation verfügbar zu machen. Verwenden Sie zum Einrichten einer benutzerdefinierten Einschränkung den Befehl gcloud org-policies set-custom-constraint: 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Ersetzen Sie CONSTRAINT_PATH durch den vollständigen Pfad zu Ihrer benutzerdefinierten Einschränkungsdatei. Beispiel: /home/user/customconstraint.yaml Nach Abschluss des Vorgangs finden Sie Ihre benutzerdefinierten Einschränkungen als verfügbare Organisationsrichtlinien in der Liste der Google Cloud-Organisationsrichtlinien. Prüfen Sie mit der Methode Befehl gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisationsressource. Weitere Informationen finden Sie unter Organisationsrichtlinien aufrufen.

Benutzerdefinierte Einschränkung löschen

Sie können eine benutzerdefinierte Einschränkung über die Google Cloud Console oder die Google Cloud CLI

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.

  3. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie um die Organisationsrichtlinie zu löschen.

  4. Wählen Sie die zu löschende Einschränkung aus der Liste im Organisationsrichtlinien. Auf der Seite Richtliniendetails angezeigt werden soll.

  5. Klicken Sie auf Löschen.

  6. Klicken Sie auf Löschen, um zu bestätigen, dass Sie die Einschränkung löschen möchten.

gcloud

Verwenden Sie zum Löschen einer benutzerdefinierten Einschränkung die org-policies delete-custom-constraint gcloud CLI-Befehlszeile:

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID, z. B. 123456789.

  • CONSTRAINT_NAME: der Name Ihres benutzerdefinierten Elements Einschränkung. Beispiel: custom.disableGkeAutoUpgrade.

Die Ausgabe sieht in etwa so aus:

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Wenn Sie eine benutzerdefinierte Einschränkung löschen, werden alle Richtlinien, die mit diese Einschränkung bestehen bleiben, aber ignoriert werden. Sie können keine weitere erstellen benutzerdefinierte Einschränkung mit dem Namen einer gelöschten benutzerdefinierten Einschränkung.

Änderungen an Organisationsrichtlinien testen und analysieren

Wir empfehlen Ihnen, alle Änderungen um den Status Ihrer Umgebung besser zu verstehen und wie sich Änderungen darauf auswirken.

Policy Simulator für Organisationsrichtlinien hilft Ihnen, die Auswirkungen einer Einschränkung und Organisationsrichtlinie für Ihre aktuelle Umgebung. Mit diesem Tool können Sie alle Ressourcenkonfigurationen überprüfen, um zu sehen, wo Verstöße auftreten, in Ihrer Produktionsumgebung erzwungen. Eine ausführliche Anleitung finden Sie unter Änderungen an Organisationsrichtlinien mit Policy Simulator testen

Wenn Sie die aktuellen Auswirkungen kennen, können Sie eine Organisationsrichtlinie erstellen im Probelaufmodus, um die Auswirkungen und potenziellen Verstöße einer Richtlinie zu verstehen in den nächsten 30 Tagen. Eine Organisationsrichtlinie im Probelaufmodus ist eine Art in der Richtlinienverstöße protokolliert werden, der Maßnahmen, die gegen die Richtlinien verstoßen, nicht abgelehnt werden. Sie können eine Organisationsrichtlinie in Probelaufmodus aus einer benutzerdefinierten Einschränkung in der Google Cloud Console oder Google Cloud CLI Eine ausführliche Anleitung finden Sie unter Organisationsrichtlinie im Probelaufmodus erstellen

Benutzerdefinierte Organisationsrichtlinie erzwingen

Nachdem eine benutzerdefinierte Einschränkung eingerichtet wurde, funktioniert sie genauso wie die vordefinierte Einschränkung boolesche Einschränkungen. Google Cloud prüft benutzerdefinierte Einschränkungen zuerst, wenn um zu prüfen, ob eine Nutzeranfrage zulässig ist. Wenn eine der benutzerdefinierten ablehnen, wird die Anfrage abgelehnt. Dann gibt Google Cloud prüft auf vordefinierte Organisationsrichtlinien, die für diese Ressource erzwungen werden.

Sie können eine boolesche Einschränkung erzwingen, indem Sie eine Organisationsrichtlinie erstellen, die darauf verweist, und diese Organisationsrichtlinie auf eine Google Cloud-Ressource anwenden.

Console

So erzwingen Sie eine boolesche Einschränkung:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf Projektauswahl.
  3. Wählen Sie in der Projektauswahl das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.
  4. Wählen Sie auf der Seite Organisationsrichtlinien Ihre Einschränkung aus der Liste aus. Die Seite Richtliniendetails für diese Einschränkung sollte angezeigt werden.
  5. Zum Konfigurieren der Organisationsrichtlinie für diese Ressource klicken Sie auf Richtlinie verwalten.
  6. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
  7. Klicken Sie auf Regel hinzufügen.
  8. Wählen Sie unter Erzwingung aus, ob die Erzwingung dieser Organisationsrichtlinie aktiviert oder deaktiviert werden soll.
  9. Klicken Sie optional auf Bedingung hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine bedingungsfreie Regel hinzufügen oder die Richtlinie kann nicht gespeichert werden. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
  10. Wenn dies eine benutzerdefinierte Einschränkung ist, können Sie auf Änderungen testen klicken, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.
  11. Klicken Sie auf Richtlinie festlegen, um den Vorgang abzuschließen und die Organisationsrichtlinie anzuwenden. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

gcloud

Um eine Organisationsrichtlinie zu erstellen, die eine boolesche Einschränkung erzwingt, erstellen Sie eine YAML-Richtliniendatei, die auf die Einschränkung verweist: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Ersetzen Sie Folgendes:

  • PROJECT_ID: das Projekt, für das Sie die Einschränkung erzwingen möchten
  • CONSTRAINT_NAME: der Name, den Sie für Ihre benutzerdefinierte Einschränkung definiert haben. Beispiel: custom.disableGkeAutoUpgrade.

Führen Sie den folgenden Befehl aus, um die Organisationsrichtlinie mit der Einschränkung zu erzwingen: 

    gcloud org-policies set-policy POLICY_PATH

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

Beispieleinschränkung

Sie können benutzerdefinierte Einschränkungen ähnlich den vordefinierten Einschränkungen definieren von Google. Eine typische YAML-Datei für eine benutzerdefinierte Einschränkung sieht in etwa so aus:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

Im Organisationsrichtliniendienst wird die Common Expression Language (CEL) verwendet, um Bedingungen für benutzerdefinierte Einschränkungen auszuwerten. CEL ist ein Open-Source-Projekt, das nicht zu Turing gehört. vollständige Sprache, die eine gängige Semantik für die Auswertung von Ausdrücken implementiert.

Jeder Dienst, der benutzerdefinierte Einschränkungen unterstützt, erstellt einen bestimmten Satz seiner Ressourcen und die verfügbaren Felder. Verfügbare Felder sind stark typisiert und können von benutzerdefinierten Einschränkungen direkt referenziert werden.

Sie können CEL-Bedingungen erstellen, die auf Dienstressourcenfeldern basierend auf den Feldtyp. Der Organisationsrichtliniendienst unterstützt einen Teil der CEL-Datentypen, Ausdrücke und Makros. In den folgenden Abschnitten sind die verfügbaren Datentypen gängige Ausdrücke und Makros, die damit funktionieren.

Weitere Informationen dazu, welche Ausdrücke und Makros für die einzelnen Dienste verfügbar sind, Siehe Benutzerdefinierte, von Einschränkungen unterstützte Dienste.

Im folgenden JSON-Beispiel sehen Sie Feldtypen, auf die Sie mit benutzerdefinierten Einschränkungen verweisen können:

{
  integerValue: 1
  stringValue: "A text string"
  booleanValue: true
  nestedValue: {
    nestedStringValue: "Another text string"
  }
  listValue: [foo, bar]
  mapValue["costCenter"] == "123"
}

Die benutzerdefinierte Einschränkung wird für jeden CEL-Ausdruck erzwungen, wenn die Bedingung ergibt true. Sie können Ausdrücke mit und (&&) und oder (||) kombinieren. um eine komplexe Abfrage zu erstellen. Wenn Sie die YAML- oder JSON-Datei für Ihre -Einschränkung, setzen Sie die vollständige Abfrage in doppelte Anführungszeichen (").

Integer

Ganzzahlfelder wie integerValue im Beispiel oben erlauben Vergleichsoperatoren, die in Bedingungen verwendet werden sollen. Beispiel:

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

String

Stringfelder wie stringValue im obigen Beispiel können ausgewertet werden. mit einem Stringliteral, einem regulären Ausdruck oder einem CEL-Ausdruck. Beispiel:

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

Verschachtelte Felder wie nestedStringValue im Beispiel oben müssen mit dem vollständigen Pfad referenziert wird. Beispiel:

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

Boolesch

Boolesche Felder wie booleanValue im obigen Beispiel enthalten einen booleschen Wert Wert, entweder true oder false.

Liste

Listenfelder wie listValue im obigen Beispiel können ausgewertet werden nach Größe und Inhalt der Liste und danach, ob eine bestimmte -Element irgendwo in der Liste vorhanden ist.

Beispiel:

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

Karte

Zuordnungsfelder wie mapValue im Beispiel oben sind Schlüssel/Wert-Paare. die anhand der Existenz und des Wertes bestimmter Elemente bewertet werden können.

Beispiel:

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

CEL-Fehler beheben

Eine Bedingung, die mit ungültigen Ausdrücken oder nicht übereinstimmenden Typen erstellt wurde, gibt Folgendes zurück: wenn Sie versuchen, die benutzerdefinierte Einschränkung einzurichten. Wenn beispielsweise die folgende ungültige benutzerdefinierte Einschränkung, die einen String mit einem Ganzzahl:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Wenn Sie versuchen, diese Einschränkung mithilfe der Methode Google Cloud CLI:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

In der Google Cloud Console werden ungültige CEL-Syntaxfehler mit einem Symbol für Fehler. Dieses Symbol wird hervorgehoben zeigt eine Kurzinfo mit weiteren Informationen zum Syntaxfehler an.

Der Organisationsrichtliniendienst kompiliert und validiert die von Ihnen erstellten Bedingungen und gibt eine wenn die Bedingung syntaktisch nicht korrekt ist. Es gibt jedoch bestimmte Bedingungen, die kompiliert werden, aber zu einem Fehler führen, wenn Google Cloud versucht, die Einschränkungen durchzusetzen. Wenn Sie beispielsweise eine Einschränkung mit einer die versucht, auf einen nicht vorhandenen Listenindex oder Zuordnungsschlüssel zuzugreifen, die Einschränkung fehlschlägt, zum Zeitpunkt der Erzwingung einen Fehler zurückgibt und jeden Versuch, die Ressource zu erstellen.

Beim Erstellen von Bedingungen, die von Listen- oder Kartenelementen abhängig sind, empfehlen wir, Wir beginnen die Bedingung mit einer Prüfung, die sicherstellt, dass die Bedingung in allen Cases. Prüfen Sie beispielsweise list.size(), bevor Sie auf eine bestimmte Liste verweisen. -Element oder verwenden Sie has(), bevor Sie auf ein Kartenelement verweisen.

Unterstützte Dienste

Jeder Dienst definiert die Gruppe benutzerdefinierter Einschränkungsfelder, die für Folgendes verwendet werden können: Organisationsrichtlinien für ihre Dienstressourcen erzwingen. Liste der Dienste die benutzerdefinierte Einschränkungen unterstützen, Benutzerdefinierte, von Einschränkungen unterstützte Dienste:

Weitere Informationen zum Einrichten eines Scanners für Organisationsrichtlinien finden Sie unter Ergebnisse zu Sicherheitslücken in der Organisationsrichtlinie.

Nächste Schritte