組織のポリシーの作成と管理

このページでは、Google Cloud Console を使用して組織のポリシーを表示、作成、管理する方法について説明します。

Identity と Access Management のロール roles/orgpolicy.policyAdmin を使用すると、管理者は組織のポリシーを管理できるようになります。組織ポリシーを変更または無効にするには、ユーザーが組織ポリシー管理者である必要があります。

始める前に

このガイドを使用するには、以下の知識が必要です。

組織ポリシーの表示

組織ポリシーを表示するには:

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動

  2. [選択元] をクリックしてから、組織のポリシーを表示する対象のプロジェクト、フォルダ、または組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシーの制約リストが表示されます。

    ポリシー名または ID でフィルタできる組織ポリシーの制約リスト

  3. 制約名を基準にリストをフィルタするには、テキスト ボックスに制約名を入力します。

  4. 継承ステータスを基準にリストをフィルタするには、[Any inheritance] プルダウン リストで、継承タイプを選択します。

    • 親リソースと同じルールに従う組織ポリシーを基準にフィルタするには、[継承] を選択します。

    • 設定した組織ポリシーと親リソースのルールとが結合されたリソースを基準にフィルタするには、[カスタム] を選択します。

  5. 現在の継承ポリシーを表示するには、[編集] をクリックします。[ポリシーの概要] パネルに継承ポリシーが表示されます。

それぞれの制約を使用する詳しい方法と手順については、組織ポリシーの制約をご覧ください。

ポリシーの作成と編集

組織ポリシーは、制約ごとの設定値を使って定義されます。これは、このリソースレベルでカスタマイズされるか、親リソースから継承されるか、Google 管理のデフォルト動作に設定されるかのいずれかです。

ブール型制約用のポリシーのカスタマイズ

ブール型ポリシーをカスタマイズするには:

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動

  2. [選択元] をクリックしてから、組織のポリシーを編集する対象のプロジェクト、フォルダ、または組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシーの制約リストが表示されます。

    ポリシー名または ID でフィルタできる組織ポリシーの制約リスト

  3. [組織のポリシー] ページのリストから制約を選択します。表示される [ポリシーの詳細] ページに、制約の説明と、その制約の現在の適用状況に関する情報が示されます。

    サンプル組織に適用される VM シリアルポート アクセスを無効化するポリシーの詳細な例。

  4. このリソース用に組織ポリシーをカスタマイズするには、[編集] をクリックします。

  5. [編集] ページで、[カスタマイズ] を選択します。

    編集ポリシーで選択された [Customize] オプション。

  6. [適用] で、適用オプションを次のように選択します。

    • この制約の適用を有効にするには、[オン] を選択します。

    • この制約の適用を無効にするには、[オフ] を選択します。

  7. [保存] をクリックします。

gcloud コマンドライン ツールの手順については、制約の使用のブール型制約のセクションをご覧ください。

リスト型制約用のポリシーのカスタマイズ

リスト型制約をカスタマイズするには:

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動

  2. [選択元] をクリックしてから、組織のポリシーを編集する対象のプロジェクト、フォルダ、または組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシーの制約リストが表示されます。

    ポリシー名または ID でフィルタできる組織ポリシーの制約リスト

  3. [組織のポリシー] ページのリストから制約を選択します。表示される [ポリシーの詳細] ページに、制約の説明と、その制約の現在の適用状況に関する情報が示されます。

    サンプル組織に適用される、許可された API とサービスを定義するポリシーの詳細な例

  4. このリソース用に組織ポリシーをカスタマイズするには、[編集] をクリックします。

  5. [編集] ページで、[カスタマイズ] を選択します。

    編集ポリシーで選択された [Customize] オプション。

  6. [ポリシーの適用] で、適用オプションを選択します。

    • 組織ポリシーを結合してまとめて評価するには、[親と結合する] を選択します。継承とリソース階層の詳細については、階層評価についてをご覧ください。

    • 継承ポリシーを完全にオーバーライドするには、[交換] を選択します。

  7. [ポリシーの種類] では、この組織ポリシーで許可値と拒否値のどちらを指定するかを選択します。

    • 一覧表示された値だけが許可値で、他のすべての値が拒否値になるように指定するには、[許可] を選択します。

    • 一覧表示された値を明示的に拒否し、他のすべての値を許可するように指定するには、[拒否] を選択します。

  8. [ポリシー値] で、この組織ポリシーをすべての値に適用するのか、特定の値のリストに適用するのかを選択します。

    • 上記のポリシータイプを可能なすべての値に適用するには、[すべて] を選択します。

    • 具体的な値を一覧表示するには、[カスタム] を選択します。[ポリシーの値] テキスト ボックスが表示されたら、値を入力して Enter キーを押します。この方法で複数のエントリを追加できます。

    • ポリシーで使用できる特定の値は、ポリシーが適用されるサービスによって異なります。使用可能な制約と値の一覧については、組織のポリシーの制約をご覧ください。

  9. 他のユーザー向けの推奨事項を設定するには、[推奨事項の設定] をクリックします。

    • 推奨事項を設定するには、表示されるテキスト ボックスに文字列値を入力します。この文字列値は Cloud Console に表示され、この組織のポリシーのガイダンスがユーザーに提示されます。これは単なるコミュニケーション ツールであり、ポリシーの設定には影響しません。

  10. 組織ポリシーを完成させて適用するには、[保存] をクリックします。

gcloud コマンドライン ツールの手順については、制約の使用のリスト型制約のセクションをご覧ください。

組織ポリシーの継承

組織ポリシーが親組織ポリシーを継承するように設定することも、Google 管理のデフォルト動作を使うように設定することもできます。どちらのオプションを選んだ場合も、既存のカスタム組織ポリシーが削除されます。組織ポリシーが継承する動作を変更するには、次のようにします。

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動

  2. [選択元] をクリックしてから、組織のポリシーを編集する対象のプロジェクト、フォルダ、または組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシーの制約リストが表示されます。

    ポリシー名または ID でフィルタできる組織ポリシーの制約リスト

  3. [組織のポリシー] ページのリストから制約を選択します。表示される [ポリシーの詳細] ページに、制約の説明と、その制約の現在の適用状況に関する情報が示されます。

    サンプル組織に適用される、許可された API とサービスを定義するポリシーの詳細な例

  4. このリソースに関するカスタム組織ポリシーを削除するには、[編集] をクリックして、組織ポリシーの評価方法を指定するオプションを選択します。

    • この制約の親リソースと同じルールに従うようにこのリソースを設定するには、[親のポリシーを継承する] を選択します。これがリソースのデフォルト動作です。

    • この制約に関して Google が設定したデフォルト動作を使って親リソースの組織ポリシーをオーバーライドするには、[Google で管理されるデフォルト値] を選択します。

    編集ポリシーで選択された [Inherit parent's policy] オプション。