Créer et gérer des règles d'administration personnalisées

Les règles d'administration Google Cloud vous offrent un contrôle centralisé et automatisé sur les ressources de votre organisation. En tant que administrateur des règles d'administration, vous pouvez définir une règle d'administration, Il s'agit d'un ensemble de restrictions appelées contraintes qui s'appliquent aux ressources Google Cloud et aux descendants de ces ressources Hiérarchie des ressources Google Cloud : Vous pouvez appliquer des règles d'administration au niveau d'une organisation, d'un dossier ou d'un projet.

Les règles d'administration fournissent des contraintes prédéfinies pour divers services Google Cloud. Toutefois, si vous souhaitez contrôler davantage vous pouvez créer des règles d'administration personnalisées.

Cette page explique comment afficher, créer et gérer une organisation personnalisée règles. Les règles d'administration personnalisées sont créées par les administrateurs un contrôle plus précis et plus personnalisable sur les champs spécifiques qui sont limitées par vos règles d'administration.

Avant de commencer

Pour en savoir plus sur les règles et les contraintes d'administration, leur fonctionnement, consultez les Présentation du service de règles d'administration

Rôles requis

Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Contraintes personnalisées

Une contrainte personnalisée est créée dans un fichier YAML méthodes, conditions et actions soumises à la contrainte. Il s'agit propre au service auquel vous appliquez la règle d'administration. La les conditions de votre contrainte personnalisée sont définies à l'aide d'une expression commune du langage (CEL).

Configurer une contrainte personnalisée

Vous pouvez créer une contrainte personnalisée et la configurer pour l'utiliser dans des règles d'administration à l'aide de la console Google Cloud ou de Google Cloud CLI.

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Mettre à jour une contrainte personnalisée

Vous pouvez mettre à jour une contrainte personnalisée en la modifiant dans le console Google Cloud, ou en créant un fichier YAML et en utilisant set-custom-constraint. Il n'y a aucun la gestion des versions des contraintes personnalisées, ce qui remplace d'une contrainte. Si la contrainte personnalisée est déjà appliquée, la valeur prend effet immédiatement.

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Supprimer une contrainte personnalisée

Vous pouvez supprimer une contrainte personnalisée à l'aide de la console Google Cloud ou de la Google Cloud CLI.

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Si vous supprimez une contrainte personnalisée, toutes les règles créées avec ces contraintes continuent d'exister, mais sont ignorées. Vous ne pouvez pas en créer d'autre contrainte personnalisée portant le même nom qu'une contrainte personnalisée supprimée.

Tester et analyser les modifications apportées aux règles d'administration

Nous vous recommandons de tester et de tester toutes les modifications des règles d'administration, pour mieux comprendre l'état de votre environnement comment les modifications l’affectent.

Policy Simulator pour les règles d'administration vous aide à comprendre l'effet d'un une contrainte et une règle d'administration dans votre environnement actuel. À l'aide de cet outil, vous pouvez examiner toutes les configurations de ressources afin d'identifier les cas de non-conformité il est appliqué à votre environnement de production. Pour obtenir des instructions détaillées, consultez Tester les modifications apportées aux règles d'administration avec Policy Simulator

Une fois que vous connaissez l'effet actuel, vous pouvez créer une règle d'administration en mode de simulation pour comprendre l'impact et les cas de non-respect potentiels d'une règle au cours des 30 prochains jours. Une règle d'administration en mode de simulation est un type d'une règle d'administration dans laquelle les cas de non-respect sont consignés dans des journaux, les actions non conformes ne sont pas refusées. Vous pouvez créer une règle d'administration le mode de simulation à partir d'une contrainte personnalisée à l'aide de la console Google Cloud ou Google Cloud CLI. Pour obtenir des instructions détaillées, consultez Créez une règle d'administration en mode de simulation.

Appliquer une règle d'administration personnalisée

Une fois qu'une contrainte personnalisée a été définie, elle fonctionne de la même manière que des contraintes booléennes. Google Cloud vérifie d'abord les contraintes personnalisées pour évaluer si la requête d'un utilisateur est autorisée. Si l'une des organisations personnalisées refusent la requête, celle-ci est rejetée. Ensuite, Google Cloud vérifie les règles d'administration prédéfinies appliquées à cette ressource.

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

    gcloud org-policies set-policy POLICY_PATH
    

Exemple de contrainte

Vous pouvez définir des contraintes personnalisées semblables aux contraintes prédéfinies fournies par Google. Voici à quoi ressemble un fichier YAML de contrainte personnalisée type:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

Le service de règles d'administration utilise le langage CEL (Common Expression Language) pour : pour évaluer les conditions sur des contraintes personnalisées. Le CEL est un modèle Open Source non-Turing un langage complet qui implémente une sémantique commune pour l'évaluation des expressions.

Chaque service compatible avec les contraintes personnalisées constitue un ensemble particulier ressources et les champs de ces ressources disponibles. Champs disponibles sont fortement typés et peuvent être directement référencés par des contraintes personnalisées.

Vous pouvez créer des conditions CEL qui font référence à des champs de ressources de service en fonction le type de champ. Le service de règles d'administration prend en charge un sous-ensemble de types de données CEL. des expressions et des macros. Les sections ci-dessous répertorient les types de données disponibles et les expressions courantes et les macros qui les utilisent.

• Entier
• Chaîne
• Booléen
• Liste
• Plan

Pour en savoir plus sur les expressions et macros disponibles pour chaque service, voir Services compatibles avec les contraintes personnalisées.

L'exemple JSON suivant montre chacun des types de champs auxquels vous pouvez faire référence à l'aide de contraintes personnalisées:

{
  integerValue: 1
  stringValue: "A text string"
  booleanValue: true
  nestedValue: {
    nestedStringValue: "Another text string"
  }
  listValue: [foo, bar]
  mapValue["costCenter"] == "123"
}

Pour chaque expression CEL, la contrainte personnalisée est appliquée lorsque la condition prend la valeur true. Vous pouvez combiner des expressions avec et (&&) et ou (||) pour créer une requête complexe. Lors de la création du fichier YAML ou JSON pour votre , placez la requête complète entre guillemets doubles (").

Integer

Les champs entiers, tels que integerValue dans l'exemple ci-dessus, permettent les opérateurs de comparaison à utiliser dans les conditions. Exemple :

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

Chaîne

Les champs de type chaîne, tels que stringValue dans l'exemple ci-dessus, peuvent être évalués à l'aide d'un littéral de chaîne, d'une expression régulière ou d'une expression CEL. Exemple :

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

Les champs imbriqués, tels que nestedStringValue dans l'exemple ci-dessus, doivent être référencées par le chemin d'accès complet. Exemple :

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

Booléen

Les champs booléens, tels que booleanValue dans l'exemple ci-dessus, contiennent une valeur booléenne (true ou false).

Liste

Les champs de liste, comme listValue dans l'exemple ci-dessus, peuvent être évalués en fonction de la taille et du contenu de la liste, et détermine si un élément n'importe où dans la liste.

Exemple :

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

Carte

Les champs de mappage, tels que mapValue dans l'exemple ci-dessus, sont des paires clé/valeur. qui peut être évaluée en fonction de l'existence et de la valeur d'éléments particuliers.

Exemple :

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

Résoudre les erreurs CEL

Une condition créée avec des expressions non valides ou des incohérences de type renvoie une erreur s'affiche lorsque vous tentez de configurer la contrainte personnalisée. Par exemple, pour la contrainte personnalisée non valide suivante, qui compare une chaîne à une entier:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Une erreur est générée si vous essayez de configurer cette contrainte à l'aide de la classe Google Cloud CLI:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

Dans la console Google Cloud, les erreurs de syntaxe CEL non valides sont signalées par une Icône Erreur error. Mettre cette icône en surbrillance affiche une info-bulle contenant plus d'informations sur l'erreur de syntaxe.

Le service de règles d'administration compile et valide les conditions que vous créez, en renvoyant un s'affiche si la syntaxe de la condition est incorrecte. Cependant, il existe certains des conditions qui se compilent, mais qui génère une erreur lorsque Google Cloud tente pour appliquer les contraintes. Par exemple, si vous configurez une contrainte avec qui tente d'accéder à un index de liste ou à une clé de mappage qui n'existe pas, la échoue et renvoie une erreur au moment de son application, et bloque toute tentative de création de la ressource.

Lorsque vous créez des conditions qui dépendent d'éléments de liste ou de carte, nous vous recommandons en commençant la condition par une vérification qui s'assure qu'elle est valide cas d'utilisation. Par exemple, vérifiez list.size() avant de faire référence à une liste particulière. ou utiliser has() avant de référencer un élément de carte.

Services compatibles

Chaque service définit l'ensemble des champs de contrainte personnalisés pouvant être utilisés pour et d'appliquer des règles d'administration à leurs ressources de service. Pour obtenir la liste des services compatibles avec les contraintes personnalisées, consultez Services compatibles avec les contraintes personnalisées.

Pour en savoir plus sur la configuration d'un outil d'analyse des règles d'administration, consultez Résultats de failles liées aux règles d'administration

Étape suivante

• En savoir plus sur les contraintes.
• Découvrez les options supplémentaires que vous pouvez utiliser pour personnaliser vos règles.
• Découvrez comment définir des règles d'administration basées sur des tags.
• Découvrez comment valider et surveiller les règles d'administration avec Config Validator.