Créer et gérer des règles d'administration personnalisées

Les règles d'administration Google Cloud vous offrent un contrôle centralisé et automatisé sur les ressources de votre organisation. En tant qu'administrateur des règles d'administration, vous pouvez définir une règle d'administration, c'est-à-dire un ensemble de restrictions appelées Contraintes qui s'appliquent aux ressources Google Cloud et aux descendants de ces ressources dans la Hiérarchie des ressources Google Cloud. Vous pouvez appliquer des règles d'administration au niveau d'une organisation, d'un dossier ou d'un projet.

Les règles d'administration fournissent des contraintes prédéfinies pour divers services Google Cloud. Toutefois, si vous souhaitez exercer un contrôle plus précis et le personnaliser pour des champs spécifiques restreints dans vos règles d'administration d'administration, vous pouvez également créer des règles d'administration personnalisées.

Cette page explique comment afficher, créer et gérer des règles d'administration personnalisées. Règles d'administration personnalisées sont créées par les administrateurs pour exercer un contrôle plus précis et personnalisable sur les champs spécifiques restreints par vos règles d'administration d'administration.

Avant de commencer

Pour en savoir plus sur les règles d'administration et leurs contraintes, ainsi que sur leur fonctionnement, consultez la section Présentation du service de règles d'administration.

Rôles requis

Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour gérer les règles d'administration :

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Contraintes personnalisées

Une contrainte personnalisée est créée dans un fichier YAML qui spécifie les ressources, méthodes, conditions et actions soumises à la contrainte. Elles sont spécifiques au service sur lequel vous appliquez la règle d'administration de l'organisation. Les conditions de votre contrainte personnalisée sont définies à l'aide du langage CEL (Common Expression Language).

Configurer une contrainte personnalisée

Vous pouvez créer une contrainte personnalisée et la configurer pour l'utiliser dans des règles d'administration à l'aide de la console Google Cloud ou de Google Cloud CLI.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur le sélecteur de projets en haut de la page.

  3. Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez définir la règle d'administration.

  4. Cliquez sur Contrainte personnalisée.

  5. Dans le champ Nom à afficher, saisissez un nom convivial pour la contrainte. Ce champ ne doit pas comporter plus de 200 caractères. N'utilisez pas d'informations personnelles ni de données sensibles dans les noms à afficher, car elles pourraient être exposées dans des messages d'erreur.

  6. Dans la zone ID de contrainte, saisissez le nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemple custom.disableGkeAutoUpgrade. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exemple organizations/123456789/customConstraints/custom.. N'incluez pas d'informations permettant d'identifier l'utilisateur ni de données sensibles dans l'ID de votre contrainte, car ces informations pourraient être divulguées dans les messages d'erreur.

  7. Dans la zone Description, saisissez pour la contrainte une description conviviale qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères. N'incluez pas d'informations permettant d'identifier l'utilisateur ni de données sensibles dans votre description, car elles pourraient être divulguées dans les messages d'erreur.

  8. Dans la zone Type de ressource, sélectionnez le nom de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre (par exemple, container.googleapis.com/NodePool). Il existe un maximum de 20 contraintes personnalisées par type de ressource. Si vous essayez de créer une contrainte personnalisée pour un type de ressource comportant déjà 20 contraintes personnalisées, l'opération échoue.

  9. Sous Méthode d'application, indiquez si vous souhaitez appliquer la contrainte sur la méthode REST CREATE ou sur les méthodes REST CREATE et UPDATE. Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service dans la section Services compatibles.

  10. Pour définir une condition, cliquez sur Modifier la condition.

    1. Dans le panneau Ajouter une condition, créez une condition CEL faisant référence à une ressource de service acceptée, par exemple resource.management.autoUpgrade == false. Ce champ ne doit pas comporter plus de 1 000 caractères. Pour plus d'informations sur l'utilisation du langage CEL, consultez la page Common Expression Language. Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la page Services compatibles avec les contraintes personnalisées.

    2. Cliquez sur Enregistrer.

  11. Sous Action, indiquez si vous souhaitez autoriser ou refuser la méthode évaluée si la condition ci-dessus est remplie.

    L'action de refus signifie que l'opération de création ou de mise à jour de la ressource est bloquée si la condition renvoie la valeur "true".

    L'action d'autorisation signifie que l'opération de création ou de mise à jour de la ressource n'est autorisée que si la condition renvoie la valeur "true". Tous les autres cas, à l'exception de ceux explicitement regroupés dans la condition, sont bloqués.

  12. Cliquez sur Créer une contrainte.

Lorsque vous saisissez une valeur dans chaque champ, la configuration YAML équivalente pour cette contrainte personnalisée s'affiche sur la droite.

gcloud

Pour créer une contrainte personnalisée à l'aide de Google Cloud CLI, créez un fichier YAML pour la contrainte personnalisée :

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).

  • CONSTRAINT_NAME : nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemple custom.disableGkeAutoUpgrade. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exemple organizations/123456789/customConstraints/custom..

  • RESOURCE_NAME : nom complet de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre. Exemple :container.googleapis.com/NodePool Il existe un maximum de 20 contraintes personnalisées par type de ressource. Si vous essayez de créer une contrainte personnalisée pour un type de ressource comportant déjà 20 contraintes personnalisées, l'opération échoue. Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la page Services compatibles avec les contraintes personnalisées.

  • METHOD1,METHOD2 : liste des méthodes RESTful pour lesquelles la contrainte est appliquée. Il peut s'agir de CREATE, ou de CREATE et de UPDATE. Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service dans la section Services compatibles.

  • CONDITION : condition CEL faisant référence à une ressource de service compatible, par exemple "resource.management.autoUpgrade == false". Ce champ ne doit pas comporter plus de 1 000 caractères. Pour plus d'informations sur l'utilisation du langage CEL, consultez la page Common Expression Language.

  • ACTION : action à effectuer si la condition est remplie. Peut être défini sur ALLOW ou DENY.

    L'action de refus signifie que si la condition renvoie la valeur "true", l'opération de création ou de mise à jour de la ressource est bloquée.

    L'action d'autorisation signifie que si la condition renvoie la valeur "true", l'opération de création ou de mise à jour de la ressource est autorisée. Cela signifie également que tous les autres cas, à l'exception de celui explicitement regroupé dans la condition, sont bloqués.

  • DISPLAY_NAME : nom convivial de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.

  • DESCRIPTION : description conviviale de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.

Après avoir créé le fichier YAML pour une nouvelle contrainte personnalisée, vous devez le configurer de sorte qu'il soit disponible pour les règles d'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commande gcloud org-policies set-custom-constraint :

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Remplacez CONSTRAINT_PATH par le chemin d'accès complet à votre fichier de contrainte personnalisée. Par exemple, /home/user/customconstraint.yaml. Une fois l'opération terminée, vos contraintes personnalisées sont disponibles en tant que règles d'administration dans votre liste de règles d'administration Google Cloud. Pour vérifier que la contrainte personnalisée existe, utilisez la commande gcloud org-policies list-custom-constraints :
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID de votre ressource d'organisation. Pour en savoir plus, consultez la page Afficher les règles d'administration.

Mettre à jour une contrainte personnalisée

Vous pouvez mettre à jour une contrainte personnalisée en la modifiant dans la console Google Cloud, ou en créant un fichier YAML et en exécutant à nouveau la commande gcloud CLI set-custom-constraint. Comme il n'y a pas de gestion des versions des contraintes personnalisées, cette méthode remplace la contrainte personnalisée existante. Si la contrainte personnalisée est déjà appliquée, la contrainte personnalisée mise à jour prend effet immédiatement.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur le sélecteur de projets en haut de la page.

  3. Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez mettre à jour la règle d'administration.

  4. Sélectionnez la contrainte que vous souhaitez modifier dans la liste de la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.

  5. Cliquez sur Modifier la contrainte.

  6. Modifiez le nom à afficher, la description, la méthode d'application, la condition et l'action. Une fois la contrainte créée, vous ne pouvez plus modifier son ID ni son type de ressource.

  7. Cliquez sur Enregistrer les modifications.

gcloud

Pour modifier une contrainte personnalisée existante à l'aide de Google Cloud CLI, créez un fichier YAML contenant les modifications que vous souhaitez apporter:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).

  • CONSTRAINT_NAME : nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemple custom.disableGkeAutoUpgrade. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exemple organizations/123456789/customConstraints/custom..

  • RESOURCE_NAME : nom complet de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre. Exemple :container.googleapis.com/NodePool Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la page Services compatibles avec les contraintes personnalisées.

  • METHOD1,METHOD2 : liste des méthodes RESTful pour lesquelles la contrainte est appliquée. Il peut s'agir de CREATE, ou de CREATE et de UPDATE. Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service dans la section Services compatibles.

  • CONDITION : condition CEL faisant référence à une ressource de service compatible, par exemple "resource.management.autoUpgrade == false". Ce champ ne doit pas comporter plus de 1 000 caractères. Pour plus d'informations sur l'utilisation du langage CEL, consultez la page Common Expression Language.

  • ACTION : action à effectuer si la condition est remplie. Peut être défini sur ALLOW ou DENY.

  • DISPLAY_NAME : nom convivial de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.

  • DESCRIPTION : description conviviale de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.

Après avoir créé le fichier YAML pour une nouvelle contrainte personnalisée, vous devez le configurer de sorte qu'il soit disponible pour les règles d'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commande gcloud org-policies set-custom-constraint :

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Remplacez CONSTRAINT_PATH par le chemin d'accès complet à votre fichier de contrainte personnalisée. Par exemple, /home/user/customconstraint.yaml. Une fois l'opération terminée, vos contraintes personnalisées sont disponibles en tant que règles d'administration dans votre liste de règles d'administration Google Cloud. Pour vérifier que la contrainte personnalisée existe, utilisez la commande gcloud org-policies list-custom-constraints :
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID de votre ressource d'organisation. Pour en savoir plus, consultez la page Afficher les règles d'administration.

Supprimer une contrainte personnalisée

Vous pouvez supprimer une contrainte personnalisée à l'aide de la console Google Cloud ou de la Google Cloud CLI.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur le sélecteur de projets en haut de la page.

  3. Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez supprimer la règle d'administration.

  4. Sélectionnez la contrainte que vous souhaitez supprimer dans la liste de la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.

  5. Cliquez sur Supprimer.

  6. Pour confirmer que vous souhaitez supprimer la contrainte, cliquez sur Supprimer.

gcloud

Pour supprimer une contrainte personnalisée, utilisez la commande gcloud CLI org-policies delete-custom-constraint :

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).

  • CONSTRAINT_NAME : nom de votre contrainte personnalisée. Exemple :custom.disableGkeAutoUpgrade

Le résultat ressemble à ce qui suit :

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Si vous supprimez une contrainte personnalisée, toutes les règles créées à l'aide de cette contrainte continuent d'exister, mais sont ignorées. Vous ne pouvez pas créer une autre contrainte personnalisée portant le même nom qu'une contrainte personnalisée supprimée.

Tester et analyser les modifications apportées aux règles d'administration

Nous vous recommandons de tester et d'effectuer un test avant de mettre en œuvre toutes les modifications apportées aux règles de votre organisation afin de mieux comprendre l'état de votre environnement et l'impact des modifications.

Policy Simulator pour les stratégies d'organisation vous aide à comprendre l'impact d'une contrainte et d'une stratégie d'organisation sur votre environnement actuel. Cet outil vous permet d'examiner toutes les configurations de ressources pour voir où des cas de non-respect se produisent, avant qu'ils ne soient appliqués à votre environnement de production. Pour obtenir des instructions détaillées, consultez la section Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.

Une fois que vous avez compris l'impact actuel, vous pouvez créer une règle d'organisation en mode simulation pour comprendre l'impact et les cas de non-respect potentiels d'une règle au cours des 30 prochains jours. Une règle d'administration en mode simulation est un type de règle d'administration dans lequel les cas de non-respect sont consignés dans le journal d'audit, mais les actions non conformes ne sont pas refusées. Vous pouvez créer une règle d'administration en mode simulation à partir d'une contrainte personnalisée à l'aide de la console Google Cloud ou de Google Cloud CLI. Pour obtenir des instructions détaillées, consultez la section Créer une règle d'administration en mode simulation.

Appliquer une règle d'administration personnalisée

Une fois qu'une contrainte personnalisée a été configurée, elle fonctionne de la même manière que les contraintes booléennes prédéfinies. Google Cloud vérifie d'abord les contraintes personnalisées pour déterminer si une requête utilisateur est autorisée. Si l'une des règles d'administration personnalisées refuse la requête, celle-ci est rejetée. Ensuite, Google Cloud vérifie si les règles d'administration prédéfinies sont appliquées sur cette ressource.

Vous pouvez appliquer une contrainte booléenne en créant une règle d'administration qui la référence et en appliquant cette règle d'administration à une ressource Google Cloud.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Dans le sélecteur de projets, choisissez le projet pour lequel vous souhaitez définir la règle d'administration.
  3. Dans la liste de la page Règles d'administration, sélectionnez votre contrainte pour afficher la page Détails de la règle associée.
  4. Pour configurer la règle d'administration pour cette ressource, cliquez sur Gérer la règle.
  5. Sur la page Modifier la stratégie, sélectionnez Remplacer la stratégie parente.
  6. Cliquez sur Ajouter une règle.
  7. Dans la section Application, indiquez si l'application de cette règle d'administration doit être activée ou désactivée.
  8. Facultatif : Pour rendre la règle d'administration conditionnelle sur un tag, cliquez sur Ajouter une condition. Notez que si vous ajoutez une règle conditionnelle à une règle d'administration, vous devez ajouter au moins une règle inconditionnelle, sinon la règle ne pourra pas être enregistrée. Pour en savoir plus, consultez la section Définir une règle d'administration avec des tags.
  9. S'il s'agit d'une contrainte personnalisée, vous pouvez cliquer sur Tester les modifications pour simuler l'effet de cette règle d'administration. Pour en savoir plus, consultez la section Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.
  10. Pour finaliser et appliquer la règle d'administration, cliquez sur Définir la règle. La prise en compte de la règle peut prendre jusqu'à 15 minutes.

gcloud

Pour créer une règle d'administration qui applique une contrainte booléenne, créez un fichier YAML de règle qui référence la contrainte :

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

Remplacez les éléments suivants :

  • PROJECT_ID : projet sur lequel vous souhaitez appliquer votre contrainte.
  • CONSTRAINT_NAME : nom que vous avez défini pour la contrainte personnalisée Par exemple, custom.disableGkeAutoUpgrade.

Pour appliquer la règle d'administration contenant la contrainte, exécutez la commande suivante :

    gcloud org-policies set-policy POLICY_PATH
    

Remplacez POLICY_PATH par le chemin d'accès complet au fichier YAML de votre règle d'administration. La prise en compte de la règle peut prendre jusqu'à 15 minutes.

Exemple de contrainte

Vous pouvez définir des contraintes personnalisées semblables aux contraintes prédéfinies fournies par Google. Un fichier YAML de contrainte personnalisée typique se présente comme suit:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

Le service de règles d'administration utilise le Common Expression Language (CEL) pour évaluer les conditions des contraintes personnalisées. Le CEL est un langage Open Source non Turing-complet qui implémente une sémantique commune pour l'évaluation des expressions.

Chaque service compatible avec les contraintes personnalisées met à disposition un ensemble particulier de ses ressources et des champs de ces ressources. Les champs disponibles sont fortement typés et peuvent être référencés directement par des contraintes personnalisées.

Vous pouvez créer des conditions CEL qui font référence à des champs de ressources de service en fonction du type du champ. Le service de stratégie d'organisation est compatible avec un sous-ensemble de types de données, d'expressions et de macros CEL. Les sections ci-dessous répertorient les types de données disponibles, ainsi que les expressions et macros courantes qui fonctionnent avec eux.

Pour en savoir plus sur les expressions et les macros disponibles pour chaque service, consultez la section Services compatibles avec les contraintes personnalisées.

L'exemple JSON suivant montre chacun des types de champs potentiels que vous pouvez référencer à l'aide de contraintes personnalisées:

{
  integerValue: 1
  stringValue: "A text string"
  booleanValue: true
  nestedValue: {
    nestedStringValue: "Another text string"
  }
  listValue: [foo, bar]
  mapValue["costCenter"] == "123"
}

Pour chaque expression CEL, la contrainte personnalisée est appliquée lorsque la condition est évaluée à true. Vous pouvez combiner des expressions avec and (&&) et or (||) pour créer une requête complexe. Lorsque vous créez le fichier YAML ou JSON pour votre contrainte personnalisée, placez la requête complète entre guillemets doubles (").

Integer

Les champs entiers, tels que integerValue dans l'exemple ci-dessus, permettent d'utiliser des opérateurs de comparaison dans les conditions. Exemple :

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

Chaîne

Les champs de chaîne, tels que stringValue dans l'exemple ci-dessus, peuvent être évalués à l'aide d'un littéral de chaîne, d'une expression régulière ou d'une expression CEL. Exemple :

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

Les champs imbriqués, tels que nestedStringValue dans l'exemple ci-dessus, doivent être référencés avec le chemin d'accès complet. Exemple :

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

Booléen

Les champs booléens, tels que booleanValue dans l'exemple ci-dessus, contiennent une valeur booléenne, true ou false.

Liste

Les champs de liste, tels que listValue dans l'exemple ci-dessus, peuvent être évalués en fonction de la taille de la liste, du contenu de la liste et de l'existence d'un élément particulier dans la liste.

Exemple :

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

Carte

Les champs de mappe, tels que mapValue dans l'exemple ci-dessus, sont des paires clé-valeur qui peuvent être évaluées en fonction de l'existence et de la valeur d'éléments spécifiques.

Exemple :

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

Résoudre les erreurs CEL

Une condition créée avec des expressions non valides ou des incompatibilités de type renvoie une erreur lorsque vous tentez de configurer la contrainte personnalisée. Par exemple, étant donné la contrainte personnalisée non valide suivante, qui compare une chaîne à un entier:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Une erreur se produit si vous essayez de configurer cette contrainte à l'aide de Google Cloud CLI:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

Dans la console Google Cloud, les erreurs de syntaxe CEL non valides sont signalées par une icône Erreur. Si vous sélectionnez cette icône, une info-bulle contenant plus d'informations sur l'erreur de syntaxe s'affiche.

Le service de règles d'administration de l'organisation compile et valide les conditions que vous créez, et renvoie une erreur si la condition n'est pas syntaxiquement correcte. Toutefois, certaines conditions sont compilées, mais entraînent une erreur lorsque Google Cloud tente d'appliquer les contraintes. Par exemple, si vous configurez une contrainte avec une condition qui tente d'accéder à un indice de liste ou à une clé de mappage qui n'existe pas, la contrainte échoue et renvoie une erreur au moment de l'application, et bloque toute tentative de création de la ressource.

Lorsque vous créez des conditions qui dépendent d'éléments de liste ou de carte, nous vous recommandons de commencer la condition par une vérification qui garantit qu'elle est valide dans tous les cas. Par exemple, vérifiez list.size() avant de faire référence à un élément de liste particulier ou utilisez has() avant de faire référence à un élément de carte.

Services compatibles

Chaque service définit l'ensemble de champs de contrainte personnalisée qui peuvent être utilisés pour appliquer les règles d'administration d'administration de l'organisation à ses ressources de service. Pour obtenir la liste des services compatibles avec les contraintes personnalisées, consultez la page Services compatibles avec les contraintes personnalisées.

Pour en savoir plus sur la configuration d'un analyseur de règles d'administration, consultez la page Résultats des failles liées aux règles d'administration.

Étape suivante