カスタム組織のポリシーの作成と管理

Google Cloud の組織のポリシーを使用すると、組織のリソースをプログラムで一元管理できます。組織ポリシー管理者は組織ポリシーを定義できます。組織ポリシーは制約と呼ばれる一連の制限で、Google Cloud のリソース階層内の Google Cloud リソースやそれらのリソースの子孫に適用されます。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。

組織のポリシーは、さまざまな Google Cloud サービスに事前に定義された制約を提供します。ただし、組織のポリシーからより詳細に制御する必要がある場合は、カスタムの組織のポリシーを作成できます。

このページでは、カスタムの組織のポリシーを表示、作成、管理する方法について説明します。カスタムの組織のポリシーは管理者が作成します。これにより、組織のポリシーによって制限される特定のフィールドに対してより詳細かつカスタマイズ可能なコントロールを実施できます。

準備

組織のポリシーと制約が何であるかとどう機能するかの詳細については、組織のポリシーのサービスの概要をご覧ください。

必要なロール

組織のポリシーを管理するために必要な権限を取得するには、組織の組織ポリシー管理者（roles/orgpolicy.policyAdmin）の IAM ロールを付与するよう管理者に依頼してください。 ロールの付与の詳細については、アクセスの管理をご覧ください。

この事前定義ロールには、組織のポリシーを管理するために必要な権限が含まれています。必要な権限を正確に確認するには、[必要な権限] セクションを開いてください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

カスタム制約

カスタム制約は YAML ファイルで作成し、制約の対象となるリソース、メソッド、条件、アクションを指定します。これは、組織のポリシーを適用するサービスに固有のものです。カスタム制約の条件は、Common Expression Language（CEL）を使用して定義されます。

カスタム制約を設定する

カスタム制約を作成し、Google Cloud コンソールまたは Google Cloud CLI を使用して組織のポリシーで使用するように設定できます。

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

カスタム制約を更新する

カスタム制約を更新するには、Google Cloud コンソールで制約を編集するか、新しい YAML ファイルを作成して set-custom-constraint gcloud CLI コマンドを再度使用します。カスタム制約のバージョニングがないため、これにより既存のカスタム制約が上書きされます。カスタム制約がすでに適用されている場合、更新されたカスタム制約はすぐに有効になります。

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

カスタム制約を削除する

カスタム制約は、Google Cloud コンソールまたは Google Cloud CLI を使用して削除できます。

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

カスタム制約を削除しても、その制約を使用して作成されたポリシーは引き続き存在しますが、無視されます。削除したカスタム制約と同じ名前のカスタム制約を作成することはできません。

組織のポリシーの変更をテストして分析する

環境の状態と変更による影響をより深く理解するために、組織のポリシーに対するすべての変更のテストとドライランを行うことをおすすめします。

組織のポリシー用の Policy Simulator は、現在の環境に対する制約と組織のポリシーの影響を理解するのに役立ちます。このツールを使用すると、すべてのリソース構成を確認して、本番環境に適用する前に違反の発生場所を確認できます。詳しい手順については、Policy Simulator で組織のポリシーへの変更をテストするをご覧ください。

現在の影響を把握したら、ドライラン モードで組織のポリシーを作成して、今後 30 日間におけるポリシーの影響と潜在的な違反を把握できます。ドライラン モードの組織のポリシーは、ポリシーの違反が監査ログに記録されながら違反アクションは拒否されないタイプの組織のポリシーです。ドライラン モードでカスタムの制約から組織のポリシーを作成するには、Google Cloud コンソールまたは Google Cloud CLI を使用します。詳しい手順については、ドライラン モードで組織のポリシーを作成するをご覧ください。

カスタムの組織のポリシーを適用する

カスタム制約を設定すると、事前定義のブール型制約と同じように動作します。Google Cloud では、ユーザー リクエストが許可されているかどうかを評価する際に、カスタム制約を最初にチェックします。いずれかのカスタム組織のポリシーがリクエストを拒否すると、そのリクエストは拒否されます。次に Google Cloud は、そのリソースに適用されている事前定義された組織のポリシーをチェックします。

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

    gcloud org-policies set-policy POLICY_PATH
    

制約の例

カスタム制約は、Google が提供する事前定義の制約と同様に定義できます。一般的なカスタム制約 YAML ファイルは次のようになります。

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

組織のポリシー サービスは、Common Expression Language（CEL）を使用してカスタム制約の条件を評価します。CEL は、オープンソースの非 Ture 完了言語であり、式評価の一般的なセマンティクスを実装します。

カスタム制約をサポートする各サービスにより、特定のリソースセットとそれらのリソースのフィールドが利用可能になります。使用可能なフィールドは厳格に型指定されており、カスタム制約によって直接参照できます。

フィールドの型に基づいてサービス リソース フィールドを参照する CEL 条件を作成できます。組織のポリシー サービスは、CEL のデータ型、式、マクロのサブセットをサポートしています。以下のセクションでは、使用可能なデータ型と、それらに適用される一般的な式とマクロを示します。

• Integer
• String
• ブール値
• リスト
• 地図

各サービスで使用できる式とマクロの詳細については、カスタム制約がサポートされるサービスをご覧ください。

次の JSON の例は、カスタム制約を使用して参照できる各フィールド タイプを示しています。

{
  integerValue: 1
  stringValue: "A text string"
  booleanValue: true
  nestedValue: {
    nestedStringValue: "Another text string"
  }
  listValue: [foo, bar]
  mapValue["costCenter"] == "123"
}

CEL 式ごとに、条件が true と評価されたときにカスタム制約が適用されます。式を and（&&）および or（||）と組み合わせることで、複雑なクエリを作成できます。カスタム制約の YAML または JSON ファイルを作成する場合は、クエリ全体を二重引用符（"）で囲みます。

Integer

上記の例の integerValue などの整数フィールドでは、条件で比較演算子を使用できます。次に例を示します。

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

String

上の stringValue のような文字列フィールドは、文字列リテラル、正規表現、または CEL 式を使用して評価できます。次に例を示します。

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

上記の例の nestedStringValue などのネストされたフィールドは、フルパスで参照する必要があります。次に例を示します。

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

ブール値

上の例の booleanValue のようなブール値フィールドは、true または false のいずれかのブール値を含みます。

リスト

上の例の listValue などのリスト フィールドは、リストのサイズ、リストの内容、特定の要素がリスト内の任意の場所に存在するかどうかによって評価できます。

次に例を示します。

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

地図

上記の例の mapValue などのマップ フィールドは、特定の要素の存在と値に基づいて評価できる Key-Value ペアです。

次に例を示します。

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

CEL エラーのトラブルシューティング

無効な式や型の不一致を使用して作成された条件では、カスタム制約を設定しようとするとエラーを返します。たとえば、次の無効なカスタム制約があるとします。これは、文字列と整数を比較します。

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Google Cloud CLI を使用してこの制約を設定しようとすると、エラーが発生します。

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

Google Cloud コンソールでは、無効な CEL 構文エラーは [error エラー] アイコンが表示されます。このアイコンをハイライト表示すると、構文エラーに関する詳細情報を含むツールチップが表示されます。

組織のポリシー サービスは、作成した条件をコンパイルして検証し、条件が構文的に正しくない場合はエラーを返します。ただし、コンパイルする特定の条件がありますが、Google Cloud が制約を適用しようとするとエラーが発生します。たとえば、存在しないリスト インデックスまたはマップキーにアクセスしようとする条件で制約を設定すると、制約は失敗して適用時にエラーを返し、リソースの作成をブロックします。

リスト要素またはマップ要素に依存する条件を作成する場合は、すべてのケースで条件が有効であることを確認するチェックで条件を開始することをおすすめします。たとえば、特定のリスト要素を参照する前に list.size() をチェックしたり、マップ要素を参照する前に has() を使用したりします。

サポート対象のサービス

各サービスは、サービス リソースに組織のポリシーを適用するために使用できる一連のカスタム制約フィールドを定義します。カスタム制約をサポートするサービスのリストについては、カスタム制約サポート サービスをご覧ください。

組織ポリシー スキャナの設定の詳細については、組織のポリシーの脆弱性の検出をご覧ください。

次のステップ

• 制約の詳細を確認する。
• ポリシーのカスタマイズに使用できるその他のオプションを確認する。
• タグに基づいて組織のポリシーを設定する方法を確認する。
• Config Validator による組織のポリシーの検証とモニタリングについて確認する。