借助 Google Cloud 组织政策,您可以通过程序化方式对组织资源进行集中控制。作为组织政策管理员,您可以定义组织政策,这是一组称为“限制条件”的约束,适用于 Google Cloud 资源及其在 Google Cloud 资源层次结构中的后代。您可以在组织、文件夹或项目级强制执行组织政策。
组织政策针对各种 Google Cloud 服务提供了预定义的限制条件。但是,如果您希望更好地管理组织政策,可以创建自定义限制条件,并在组织政策中使用这些自定义限制条件。
本页面介绍如何查看、创建和管理自定义组织政策限制条件。自定义限制条件由管理员创建,可让您对组织政策受限的特定字段进行更精细且可自定义的控制。
准备工作
如需详细了解组织政策和限制条件的含义及其工作原理,请参阅组织政策服务简介。
所需的角色
如需获取管理组织政策所需的权限,请让管理员授予您组织的组织政策管理员 (roles/orgpolicy.policyAdmin) IAM 角色。
如需详细了解如何授予角色,请参阅管理访问权限。
此预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
自定义限制条件
自定义限制条件是在 YAML 文件中创建的,用于指定受该限制条件约束的资源、方法、条件和操作。这些日志专门针对您在实施组织政策的服务。使用通用表达式语言 (CEL) 定义自定义限制条件的条件。
设置自定义限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 创建自定义限制条件,并将其设置为在组织政策中使用。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
选择页面顶部的项目选择器。
从项目选择器中,选择要为其设置组织政策的资源。
点击 自定义约束条件。
在显示名称框中,输入简单易懂的限制条件名称。此字段的最大长度为 200 个字符。
在限制条件 ID 框中,输入要用于新自定义限制条件的名称。例如
custom.disableGkeAutoUpgrade。此字段的长度上限为 70 个字符,不包括前缀(例如organizations/123456789/customConstraints/custom.)。在说明框中,输入简单易懂的限制条件说明,以便在违反政策时显示为错误消息。此字段的最大长度为 2000 个字符。
在资源类型框中,选择包含要限制的对象和字段的 Google Cloud REST 资源的名称。例如
container.googleapis.com/NodePool。在强制执行方法下,选择是对 REST
CREATE方法还是同时对CREATE和UPDATE方法强制执行限制条件。并非所有 Google Cloud 服务都支持这两种方法。如需查看每种服务支持的方法,请在支持的服务中查找相应服务。如需定义条件,请点击 修改条件。
在添加条件面板中,创建一个引用受支持的服务资源的 CEL 条件,例如
resource.management.autoUpgrade == false。此字段的长度上限为 1000 个字符。如需详细了解 CEL 的用法,请参阅通用表达式语言。如需详细了解您可以在自定义限制条件中使用的服务资源,请参阅自定义限制条件支持的服务。点击保存。
在操作下,选择在满足上述条件时是允许还是拒绝评估的方法。
点击创建限制条件。
在每个字段中输入值后,右侧会显示此自定义限制条件的等效 YAML 配置。
gcloud
如需使用 Google Cloud CLI 创建自定义限制条件,请为该自定义限制条件创建 YAML 文件:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
请替换以下内容:
ORGANIZATION_ID:您的组织 ID,例如123456789。CONSTRAINT_NAME:新的自定义限制条件的名称。 例如custom.disableGkeAutoUpgrade。此字段的长度上限为 70 个字符,不包括前缀(例如organizations/123456789/customConstraints/custom.)。RESOURCE_NAME:包含要限制的对象和字段的 Google Cloud REST 资源的完全限定名称。例如container.googleapis.com/NodePool。如需详细了解您可以在自定义限制条件中使用的服务资源,请参阅自定义限制条件支持的服务。METHOD1,METHOD2:要强制执行限制条件的 RESTful 方法的列表。可以是CREATE,也可以是CREATE和UPDATE。并非所有 Google Cloud 服务都支持这两种方法。如需查看每种服务支持的方法,请在支持的服务中查找该服务。CONDITION:引用受支持的服务资源的 CEL 条件,例如resource.management.autoUpgrade == false。此字段的长度上限为 1000 个字符。如需详细了解 CEL 的用法,请参阅通用表达式语言。ACTION:满足condition时要执行的操作。可以是ALLOW或DENY。DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION:限制条件的简单说明,在违反政策时显示为错误消息。此字段的长度上限为 2000 个字符。
使用 Google Cloud CLI 创建新的自定义限制条件后,您必须对其进行设置,以使其可用于您组织的组织政策。如需设置自定义限制条件,请使用 gcloud org-policies set-custom-constraint 命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH将
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。
完成后,您的自定义限制条件将作为可用限制条件出现在 Google Cloud 组织政策列表中。如需验证该自定义约束条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID将
ORGANIZATION_ID 替换为您的组织资源的 ID。
输出内容类似如下:
CONSTRAINT: custom.disableGkeAutoUpgrade
LIST_POLICY: -
BOOLEAN_POLICY: SET
ETAG: COCsm5QGENiXi2E=
如需了解详情,请参阅查看组织政策。更新自定义限制条件
如需更新自定义限制条件,您可以在 Google Cloud 控制台中修改该限制条件,也可以创建新的 YAML 文件并再次使用 set-custom-constraint gcloud CLI 命令。没有自定义限制条件的版本控制,因此这将覆盖现有的自定义限制条件。如果已强制执行自定义限制条件,则更新后的自定义限制条件会立即生效。
控制台
在 Google Cloud Console 中,转到组织政策页面。
选择页面顶部的项目选择器。
从项目选择器中,选择您要更新组织政策的资源。
从组织政策页面上的列表中选择要修改的限制条件。此时,系统会显示该限制条件的政策详情页面。
点击 修改限制条件。
更改显示名称、说明、强制执行方法、条件和操作。创建限制条件后,您无法更改限制条件 ID 或资源类型。
点击保存更改。
gcloud
如需使用 Google Cloud CLI 修改现有的自定义限制条件,请创建一个新的 YAML 文件(其中包含您要进行的更改):
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
请替换以下内容:
ORGANIZATION_ID:您的组织 ID,例如123456789。CONSTRAINT_NAME:新的自定义限制条件的名称。 例如custom.disableGkeAutoUpgrade。此字段的长度上限为 70 个字符,不包括前缀(例如organizations/123456789/customConstraints/custom.)。RESOURCE_NAME:包含要限制的对象和字段的 Google Cloud REST 资源的完全限定名称。例如container.googleapis.com/NodePool。如需详细了解您可以在自定义限制条件中使用的服务资源,请参阅自定义限制条件支持的服务。METHOD1,METHOD2:要强制执行限制条件的 RESTful 方法的列表。可以是CREATE,也可以是CREATE和UPDATE。并非所有 Google Cloud 服务都支持这两种方法。如需查看每种服务支持的方法,请在支持的服务中查找该服务。CONDITION:引用受支持的服务资源的 CEL 条件,例如resource.management.autoUpgrade == false。此字段的长度上限为 1000 个字符。如需详细了解 CEL 的用法,请参阅通用表达式语言。ACTION:满足condition时要执行的操作。可以是ALLOW或DENY。DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION:限制条件的简单说明,在违反政策时显示为错误消息。此字段的长度上限为 2000 个字符。
使用 Google Cloud CLI 创建新的自定义限制条件后,您必须对其进行设置,以使其可用于您组织的组织政策。如需设置自定义限制条件,请使用 gcloud org-policies set-custom-constraint 命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH将
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。
完成后,您的自定义限制条件将作为可用限制条件出现在 Google Cloud 组织政策列表中。如需验证该自定义约束条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID将
ORGANIZATION_ID 替换为您的组织资源的 ID。
输出内容类似如下:
CONSTRAINT: custom.disableGkeAutoUpgrade
LIST_POLICY: -
BOOLEAN_POLICY: SET
ETAG: COCsm5QGENiXi2E=
如需了解详情,请参阅查看组织政策。删除自定义限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 删除自定义限制条件。
控制台
在 Google Cloud Console 中,转到组织政策页面。
选择页面顶部的项目选择器。
从项目选择器中,选择要为其删除组织政策的资源。
从组织政策页面上的列表中选择要删除的限制条件。此时,系统会显示该限制条件的政策详情页面。
点击 删除。
要确认删除限制条件,请点击删除。
gcloud
如需删除自定义限制条件,请使用 org-policies delete-custom-constraint gcloud CLI 命令:
gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
--organization=ORGANIZATION_ID
请替换以下内容:
ORGANIZATION_ID:您的组织 ID,例如123456789。CONSTRAINT_NAME:自定义限制条件的名称。例如custom.disableGkeAutoUpgrade
输出类似于以下内容:
Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]
如果您删除自定义限制条件,则使用该限制条件创建的任何政策仍然存在,但会被忽略。
如果您创建具有相同名称的其他自定义限制条件,则这些忽略的组织政策限制条件会使用新的自定义限制条件,并且不会再被忽略。
实施自定义限制条件
自定义限制条件一经设置,其运行方式将与预定义的布尔值限制条件相同。Google Cloud 会在评估是否允许用户请求时先检查自定义限制条件。如果有任何自定义限制条件拒绝该请求,请求会被拒绝。然后,Google Cloud 会检查对该资源强制执行的预定义限制条件。
您可以通过创建引用布尔值的组织政策,并将该组织政策应用于 Google Cloud 资源,从而强制执行布尔值限制条件。控制台
如需强制执行布尔值限制条件,请执行以下操作:
-
打开 Google Cloud 控制台中的
组织政策 页面。 -
选择页面顶部的
项目选择器 。 -
从
项目选择器 中,选择要为其设置组织政策的项目。 -
从
组织政策 页面上的列表中选择限制条件。 系统会显示该限制条件的政策详情 页面。 -
如需自定义此资源的组织政策,请点击
管理政策 。 -
在
修改政策 页面上,选择自定义 。 -
点击
添加规则 。 -
在
强制执行 下,选择是启用或停用此组织政策。 -
(可选)如需使标记条件成为组织政策,请点击
添加条件 。请注意,如果您向组织政策添加条件规则,则必须至少添加一条无条件规则,否则无法保存政策。如需了解详情,请参阅使用标记设置组织政策。 -
要完成并应用组织政策,请点击
保存 。该政策最长可能需要 15 分钟才能生效。
gcloud
如需创建强制执行布尔值限制条件的组织政策,请创建一个引用该限制条件的政策 JSON 文件:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
rules:
- enforce: true
请替换以下内容:
-
PROJECT_ID:要对其实施限制条件的项目。 -
CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如custom.disableGkeAutoUpgrade
如需强制执行包含限制条件的组织政策,请运行以下命令:
gcloud org-policies set-policy POLICY_PATH
将 POLICY_PATH 替换为组织政策 JSON 文件的完整路径。此政策最长可能需要 15 分钟才能生效。
限制条件示例
您可以定义与 Google 提供的预定义限制条件类似的自定义限制条件。典型的自定义限制条件 YAML 文件类似于以下内容:
name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: resource.management.autoUpgrade == false
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.
通用表达式语言
组织政策服务使用通用表达式语言 (CEL) 来评估自定义限制条件的条件。CEL 是一种开源非图灵完整语言,可实现用于表达式评估的常见语义。
每项支持自定义限制条件的服务都提供一组特定的资源及其字段。可用字段属于强类型,可被自定义限制条件直接引用。
您可以根据字段类型构造引用服务资源字段的 CEL 条件。组织政策服务支持一部分 CEL 数据类型、表达式和宏。以下各部分列出了可用数据类型以及适用于这些数据类型的常见表达式和宏。
如需详细了解每种服务可以使用哪些表达式和宏,请参阅支持的自定义限制条件服务。
以下 JSON 示例显示了您可以使用自定义限制条件引用的每个可能的字段类型:
{
integerValue: 1
stringValue: "A text string"
booleanValue: true
nestedValue: {
nestedStringValue: "Another text string"
}
listValue: [foo, bar]
mapValue["costCenter"] == "123"
}
对于每个 CEL 表达式,当条件求得的值为 true 时,系统会强制执行自定义限制条件。您可以将表达式与 (&&) 和/或 (||) 结合使用来创建复杂查询。
整数
整数字段(例如上述示例中的 integerValue)允许在条件中使用比较运算符。例如:
resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10
字符串
字符串字段(如上述示例中的 stringValue)可以使用字符串字面量、正则表达式或 CEL 表达式进行求值。例如:
resource.stringValue == "abc"
// stringValue is exactly "abc".
resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".
resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".
resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".
resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".
必须使用完整路径引用嵌套字段(例如上述示例中的 nestedStringValue)。例如:
resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".
列表
列表字段(例如上述示例中的 listValue)可以按列表大小、列表内容以及特定元素是否存在于列表内的所有位置进行评估。
例如:
resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".
resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".
resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".
Map
映射字段(例如上述示例中的 mapValue)是可基于特定元素是否存在以及相应值进行评估的键值对。
例如:
has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".
排查 CEL 错误
尝试设置自定义限制条件时,如果创建的表达式包含无效表达式或类型不匹配的条件,系统会返回错误。例如,假设存在以下无效自定义限制条件,该限制条件会将字符串与整数进行比较:
name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: resource.config.masterConfig.numInstances == "mismatch"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.
如果您尝试使用 Google Cloud CLI 设置该限制条件,则会产生错误:
ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
| resource.config.masterConfig.numInstances == "mismatch"
| ..........................................^.
在 Google Cloud 控制台中,无效的 CEL 语法错误将带有 错误图标进行标记。突出显示此图标会显示一个提示,其中包含有关语法错误的更多信息。
组织政策服务会编译并验证您创建的条件,如果条件的语法不正确,则返回错误。不过,虽然可以编译某些条件,但当 Google Cloud 尝试强制执行限制条件时,会导致错误。例如,如果您设置一个限制条件,但有一个条件尝试访问不存在的列表索引或映射键,则该限制条件会失败,并在强制执行时返回错误,并且会阻止任何尝试创建资源的操作。
创建依赖于列表或映射元素的条件时,我们建议您先检查条件,以确保该条件在所有情况下都有效。例如,在引用特定列表元素之前检查 list.size(),或者在引用地图元素之前使用 has()。
支持的服务
每项服务都定义了一组自定义限制条件字段,可用于对其服务资源强制执行组织政策。如需查看支持自定义限制条件的服务列表,请参阅支持自定义限制条件的服务。
如需详细了解如何设置组织政策扫描程序,请参阅发现组织政策漏洞。