組織のポリシーの作成と管理

このページでは、Google Cloud コンソールを使用して組織のポリシーを表示、作成、管理する方法について説明します。

Identity and Access Management のロール roles/orgpolicy.policyAdmin を使用すると、管理者は組織のポリシーを管理できるようになります。組織のポリシーを変更または無効にするには、ユーザーが組織のポリシーの管理者である必要があります。

準備

このガイドを使用するには、以下の知識が必要です。

  • 制約で組織のポリシーの動作を定義する方法。

  • リソース階層のさまざまなレベルで組織のポリシーがどのように評価されるか。

組織のポリシーの表示

組織のポリシーを表示するには:

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. プロジェクト選択ツールから、組織のポリシーを表示するプロジェクト、フォルダ、または組織を選択します。

  3. [組織のポリシー] ページに、このリソースで使用可能な組織のポリシーの制約のリストが表示されます。

  4. 制約名を基準にリストをフィルタするには、[フィルタ] フィールドに制約名を入力します。

それぞれの制約を使用する詳しい方法と手順については、組織ポリシーの制約をご覧ください。

ポリシーの作成と編集

組織のポリシーは、制約ごとの設定値を使って定義されます。これは、このリソースレベルで構成されるか、親リソースから継承されるか、Google 管理のデフォルトの動作に設定されるかのいずれかです。

ブール型制約のポリシーの更新

ブール型ポリシーを更新するには:

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. プロジェクト選択ツールから、組織のポリシーを編集するプロジェクト、フォルダ、または組織を選択します。

  3. [組織のポリシー] ページに、利用可能な組織ポリシー制約のフィルタ可能なリストが表示されます。

  4. [組織のポリシー] ページのリストから制約を選択します。[ポリシーの詳細] ページが開き、制約の説明とその制約がどのように適用されているかが表示されます。

  5. このリソースの組織ポリシーを更新するには、[ポリシーを管理] をクリックします。

  6. [ポリシーの編集] ページで、[親のポリシーをオーバーライドする] を選択します。

  7. [ルールを追加] を選択します。

  8. [適用] で、この組織のポリシーの適用を有効にするかどうかを選択します。

  9. ポリシーを適用するには、[ポリシーを設定] をクリックします。

組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。

Google Cloud CLI の手順については、制約の使用のブール値型制約のセクションをご覧ください。

リスト型制約のポリシーの更新

リスト型制約を使用する組織のポリシーでは、許可または拒否する値を 500 個以下、32 KB 以下にする必要があります。組織ポリシーの作成や更新で 500 個を超える値や 32 KB を超えるサイズがある場合は、組織のポリシーが正常に保存されず、リクエストからエラーが返されます。

リスト型制約を更新するには:

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. プロジェクト選択ツールから、組織のポリシーを編集するプロジェクト、フォルダ、または組織を選択します。

  3. [組織のポリシー] ページに、利用可能な組織ポリシー制約のフィルタ可能なリストが表示されます。

  4. [組織のポリシー] ページのリストから制約を選択します。[ポリシーの詳細] ページが開き、制約の説明とその制約がどのように適用されているかが表示されます。

  5. このリソースの組織ポリシーを更新するには、[ポリシーを管理] をクリックします。

  6. [ポリシーの編集] ページで、[親のポリシーをオーバーライドする] を選択します。

  7. [ポリシーの適用] で、適用オプションを選択します。

    • 組織のポリシーを結合してまとめて評価するには、[親と結合する] を選択します。継承とリソース階層の詳細については、階層評価についてをご覧ください。

    • 継承ポリシーを完全にオーバーライドするには、[交換] を選択します。

  8. [ルールを追加] を選択します。

  9. [ポリシー値] で、この組織のポリシーですべての値を許可するか、すべての値を拒否するか、カスタムリストを指定するかを選択します。

    1. 値のカスタムリストを指定する場合は、[ポリシータイプ] で、指定した値を組織のポリシーで許可するか拒否するかを選択します。

    2. [カスタム値] フィールドに、許可または拒否の値を入力します。他の値を追加するには、[値を追加] をクリックします。ポリシーで使用できる特定の値は、ポリシーが適用されるサービスによって異なります。使用可能な制約と値の一覧については、組織のポリシーの制約をご覧ください。

  10. ポリシーを適用するには、[ポリシーを設定] をクリックします。

組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。

Google Cloud CLI の手順については、制約の使用のリスト型制約のセクションをご覧ください。

組織ポリシーの継承

組織ポリシーが親組織ポリシーを継承するように設定することも、Google 管理のデフォルト動作を使うように設定することもできます。どちらのオプションを選んだ場合も、構成された組織のポリシーが削除されます。組織ポリシーが継承する動作を変更するには、次のようにします。

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. プロジェクト選択ツールから、組織のポリシーを編集するプロジェクト、フォルダ、または組織を選択します。

  3. [組織のポリシー] ページに、利用可能な組織ポリシー制約のフィルタ可能なリストが表示されます。

  4. [組織のポリシー] ページのリストから制約を選択します。[ポリシーの詳細] ページが開き、制約の説明とその制約がどのように適用されているかが表示されます。

  5. このリソースで構成された組織ポリシーを削除するには、[ポリシーを管理] をクリックして、組織ポリシーの評価方法を指定するオプションを選択します。

    • この制約の親リソースと同じルールに従うようにこのリソースを設定するには、[親のポリシーを継承する] を選択します。これがリソースのデフォルト動作です。

    • この制約に関して Google が設定したデフォルト動作を使って親リソースの組織ポリシーをオーバーライドするには、[Google で管理されるデフォルト値] を選択します。

組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。