创建和管理组织政策

本页介绍了如何使用 Google Cloud 控制台查看、创建和管理组织政策。

Identity and Access Management 角色 roles/orgpolicy.policyAdmin 可让管理员管理组织政策。用户必须拥有组织政策管理员角色才能更改或替换组织政策。

准备工作

如需使用本指南,您需要熟悉以下内容:

查看组织政策

要查看组织政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到组织政策

  2. 在项目选择器中,选择要查看其组织政策的项目、文件夹或组织。

  3. 组织政策页面会显示适用于此资源的组织政策限制条件列表。

  4. 如需按限制条件名称过滤列表,请在过滤条件字段中输入限制条件名称。

如需详细了解如何使用每个限制条件并获取相关分步指南,请参阅组织政策限制条件

创建和修改政策

组织政策由为每个限制条件设置的值定义。这些政策可以在该资源级层进行配置、从父资源继承,也可以设置为 Google 管理的默认行为。

更新布尔值限制条件的政策

如需更新布尔值政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到“组织政策”

  2. 从项目选择器中,选择要为其修改组织政策的项目、文件夹或组织。

  3. 组织政策页面会显示可用组织政策限制条件的可过滤列表。

  4. 组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并提供有关如何应用该限制条件的信息。

  5. 如需为该资源更新组织政策,请点击管理政策

  6. 修改政策页面,选择覆盖父资源的政策

  7. 选择添加规则

  8. 强制执行下,选择开启还是关闭此组织政策的强制执行。

  9. 如需强制执行政策,请点击设置政策

对组织政策的更改最长可能需要 15 分钟才能完全实施。

如需查看 Google Cloud CLI 说明,请参阅使用限制条件中的布尔值限制条件部分。

更新列表限制条件的政策

使用列表限制条件的组织政策不得包含超过 500 个单独的允许或拒绝值,且不得超过 32 KB。如果创建或更新的组织政策包含的值超过 500 个,或者大小超过 32 KB,则无法成功保存,并且请求将返回错误。

如需更新列表限制条件,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到“组织政策”

  2. 从项目选择器中,选择要为其修改组织政策的项目、文件夹或组织。

  3. 组织政策页面会显示可用组织政策限制条件的可过滤列表。

  4. 组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并提供有关如何应用该限制条件的信息。

  5. 如需为该资源更新组织政策,请点击管理政策

  6. 修改政策页面,选择覆盖父资源的政策

  7. 强制执行下,选择强制执行选项:

    • 如需合并和评估组织政策,请选择与父级合并。如需详细了解继承机制与资源层次结构,请参阅了解层次结构评估

    • 要完全替换继承的政策,请选择替换

  8. 选择添加规则

  9. 政策值下,选择该组织政策是允许所有值、拒绝所有值还是指定自定义列表。

    1. 如果您指定了自定义值列表,请在政策类型下,选择组织政策应接受还是拒绝给定值。

    2. 自定义值字段中输入允许或禁止的值。如需添加更多值,请点击添加值。政策接受的特定值取决于应用此政策的服务。如需查看限制条件列表及其接受的值,请参阅组织政策限制条件

  10. 如需强制执行政策,请点击设置政策

对组织政策的更改最长可能需要 15 分钟才能完全实施。

如需查看 Google Cloud CLI 说明,请参阅使用限制条件中的列表限制条件部分。

继承组织政策

您可以将组织政策设置为继承父级组织政策或使用 Google 管理的默认行为。这两个选项都将移除已配置的组织政策。要更改组织政策继承的行为,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到“组织政策”

  2. 从项目选择器中,选择要为其修改组织政策的项目、文件夹或组织。

  3. 组织政策页面会显示可用组织政策限制条件的可过滤列表。

  4. 组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并提供有关如何应用该限制条件的信息。

  5. 如需移除此资源上的已配置组织政策,请点击管理政策,然后选择一项,以指定该组织政策的评估方式:

    • 要使该资源遵循与该限制条件的父级资源相同的规则,请选择继承父级政策。这是资源的默认行为。

    • 要使用 Google 为该限制条件设置的默认行为替换父级资源的组织政策,请选择 Google 管理的默认值

对组织政策的更改最长可能需要 15 分钟才能完全实施。