組織のポリシーの作成と管理

このページでは、Google Cloud Console を使用して組織のポリシーを表示、作成、管理する方法について説明します。

Identity と Access Management のロール roles/orgpolicy.policyAdmin を使用すると、管理者は組織のポリシーを管理できるようになります。組織ポリシーを変更または無効にするには、ユーザーが組織ポリシー管理者である必要があります。

始める前に

このガイドを使用するには、以下の知識が必要です。

組織ポリシーの表示

組織ポリシーを表示するには:

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動

  2. 組織のポリシーを表示するプロジェクト、フォルダまたは組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。

    ポリシー名または ID でフィルタできる組織ポリシーの制約リスト

  3. 制約名を基準にリストをフィルタするには、テキスト ボックスに制約名を入力します。

それぞれの制約を使用する詳しい方法と手順については、組織ポリシーの制約をご覧ください。

ポリシーの作成と編集

組織ポリシーは、制約ごとの設定値を使って定義されます。これは、このリソースレベルでカスタマイズされるか、親リソースから継承されるか、Google 管理のデフォルト動作に設定されるかのいずれかです。

ブール型制約用のポリシーのカスタマイズ

ブール型ポリシーをカスタマイズするには:

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動

  2. [選択元] をクリックしてから、組織のポリシーを編集する対象のプロジェクト、フォルダ、または組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシーの制約リストが表示されます。

    ポリシー名または ID でフィルタできる組織ポリシーの制約リスト

  3. [組織のポリシー] ページのリストから制約を選択します。表示される [ポリシーの詳細] ページに、制約の説明と、その制約の現在の適用状況に関する情報が示されます。

    サンプル組織に適用される VM シリアルポート アクセスを無効化するポリシーの詳細な例。

  4. このリソース用に組織ポリシーをカスタマイズするには、[編集] をクリックします。

  5. [編集] ページで、[カスタマイズ] を選択します。

    編集ポリシーで選択された [Customize] オプション。

  6. [適用] で、適用オプションを次のように選択します。

    • この制約の適用を有効にするには、[オン] を選択します。

    • この制約の適用を無効にするには、[オフ] を選択します。

  7. [保存] をクリックします。

Google Cloud CLI の手順については、制約の使用のブール型制約のセクションをご覧ください。

リスト型制約用のポリシーのカスタマイズ

リスト型制約をカスタマイズするには:

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動

  2. [選択元] をクリックしてから、組織のポリシーを編集する対象のプロジェクト、フォルダ、または組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシーの制約のリストが表示されます。

    ポリシー名または ID でフィルタできる組織ポリシーの制約リスト

  3. [組織のポリシー] ページのリストから制約を選択します。[ポリシーの詳細] ページが開き、制約の説明とその制約が現在どのように適用されているかが表示されます。

    サンプル組織に適用される、許可された API とサービスを定義するポリシーの詳細な例

  4. このリソース用に組織ポリシーをカスタマイズするには、[編集] をクリックします。

  5. [編集] ページで、[カスタマイズ] を選択します。

    編集ポリシーで選択された [Customize] オプション。

  6. [ポリシーの適用] で、適用オプションを選択します。

    • 組織のポリシーを結合してまとめて評価するには、[親と結合する] を選択します。継承とリソース階層の詳細については、階層評価についてをご覧ください。

    • 継承ポリシーを完全にオーバーライドするには、[交換] を選択します。

  7. [ポリシーの種類] では、この組織ポリシーで許可値と拒否値のどちらを指定するかを選択します。

    • 一覧表示された値だけが許可値で、他のすべての値が拒否値になるように指定するには、[許可] を選択します。

    • 一覧表示された値を明示的に拒否し、他のすべての値を許可するように指定するには、[拒否] を選択します。

  8. [ポリシー値] で、この組織ポリシーをすべての値に適用するのか、特定の値のリストに適用するのかを選択します。

    • 上記のポリシータイプを可能なすべての値に適用するには、[すべて] を選択します。

    • 具体的な値を一覧表示するには、[カスタム] を選択します。[ポリシーの値] テキスト ボックスが表示されたら、値を入力して Enter キーを押します。この方法で複数のエントリを追加できます。 値を追加するたびに、[新しいポリシーの値] ボタンをクリックします。

    • ポリシーで使用できる特定の値は、ポリシーが適用されるサービスによって異なります。使用可能な制約と値の一覧については、組織のポリシーの制約をご覧ください。

  9. 他のユーザー向けの推奨事項を設定するには、[推奨事項の設定] をクリックします。

    • 推奨事項を設定するには、表示されるテキスト ボックスに文字列値を入力します。この文字列値は Cloud Console に表示され、この組織のポリシーのガイダンスがユーザーに提示されます。これは単なるコミュニケーション ツールで、設定するポリシーに影響は及ぼしません。

  10. 組織ポリシーを完成させて適用するには、[保存] をクリックします。

Google Cloud CLI の手順については、制約の使用のリスト型制約のセクションをご覧ください。

組織ポリシーの継承

組織ポリシーが親組織ポリシーを継承するように設定することも、Google 管理のデフォルト動作を使うように設定することもできます。どちらのオプションを選んだ場合も、既存のカスタム組織ポリシーが削除されます。組織ポリシーが継承する動作を変更するには、次のようにします。

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動

  2. [選択元] をクリックしてから、組織のポリシーを編集する対象のプロジェクト、フォルダ、または組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシーの制約リストが表示されます。

    ポリシー名または ID でフィルタできる組織ポリシーの制約リスト

  3. [組織のポリシー] ページのリストから制約を選択します。表示される [ポリシーの詳細] ページに、制約の説明と、その制約の現在の適用状況に関する情報が示されます。

    サンプル組織に適用される、許可された API とサービスを定義するポリシーの詳細な例

  4. このリソースに関するカスタム組織ポリシーを削除するには、[編集] をクリックして、組織ポリシーの評価方法を指定するオプションを選択します。

    • この制約の親リソースと同じルールに従うようにこのリソースを設定するには、[親のポリシーを継承する] を選択します。これがリソースのデフォルト動作です。

    • この制約に関して Google が設定したデフォルト動作を使って親リソースの組織ポリシーをオーバーライドするには、[Google で管理されるデフォルト値] を選択します。

    編集ポリシーで選択された [Inherit parent's policy] オプション。