创建和管理组织政策

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

本页面介绍了如何使用 Google Cloud Console 查看、创建和管理组织政策。

Identity and Access Management 角色 roles/orgpolicy.policyAdmin 可让管理员管理组织政策。用户必须拥有组织政策管理员角色才能更改或替换组织政策。

准备工作

要使用本指南,您将需要熟悉:

查看组织政策

要查看组织政策,请执行以下操作:

  1. 转到 Google Cloud Console 中的“组织政策”页面。
    转到“组织政策”页面

  2. 选择您要查看其组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的列表。

    可按政策名称或 ID 过滤的组织政策限制条件列表。

  3. 要按限制条件名称过滤列表,请在文本框中输入限制条件名称。

如需详细了解如何使用每个限制条件并获取相关分步指南,请参阅组织政策限制条件

创建和修改政策

组织政策由为每个限制条件设置的值定义。这些政策可以在该资源级层进行自定义、从父资源继承,也可以设置为 Google 管理的默认行为。

为布尔值限制条件自定义政策

要自定义布尔值政策,请执行以下操作:

  1. 转到 Google Cloud Console 中的“组织政策”页面。
    转到“组织政策”页面

  2. 点击选择,然后选择您要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的列表。

    可按政策名称或 ID 过滤的组织政策限制条件列表。

  3. 组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并说明该限制条件的目前应用方式。

    示例政策详细信息,用于停用适用于示例组织的虚拟机串行端口访问权限。

  4. 要为该资源自定义组织政策,请点击修改

  5. 修改页面,选择自定义

    自定义修改政策中选择的选项。

  6. 强制执行下,选择强制执行选项:

    • 若要启用该限制条件的强制执行,请选择打开

    • 若要停用该限制条件的强制执行,请选择关闭

  7. 点击保存

对组织政策的更改最长可能需要 15 分钟才能完全生效。

如需查看 Google Cloud CLI 说明,请参阅使用限制条件中的布尔值限制条件部分。

为列表限制条件自定义政策

使用列表限制条件的组织政策包含允许或拒绝的值不能超过 500 个,且不能超过 32 KB。如果创建或更新的组织政策包含的值超过 500 个,或大小超过 32 KB,则无法成功保存,并且请求将返回错误。

要自定义列表限制条件,请执行以下操作:

  1. 转到 Google Cloud Console 中的“组织政策”页面。
    转到“组织政策”页面

  2. 点击选择,然后选择要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制列表。

    可按政策名称或 ID 过滤的组织政策限制条件列表。

  3. 组织政策页面上的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并提供有关目前如何应用该限制条件的信息。

    示例政策详细信息,用于定义适用于示例组织的受允许 API 和服务。

  4. 要为该资源自定义组织政策,请点击修改

  5. 修改页面,选择自定义

    自定义修改政策中选择的选项。

  6. 强制执行政策下,选择强制执行选项:

    • 如需合并和评估组织政策,请选择与父级合并。如需详细了解继承和资源层次结构,请参阅了解层次结构评估

    • 要完全替换继承的政策,请选择替换

  7. 政策类型下,选择该组织政策将指定允许的值还是拒绝的值:

    • 要指定列出的值将为唯一允许的值,并且将拒绝所有其他值,请选择允许

    • 要指定列出的值将被明确拒绝,并且允许所有其他值,请选择拒绝

  8. 政策值下,选择该组织政策将应用于所有值还是特定值列表:

    • 要将上述政策类型应用于所有可能的值,请选择全部

    • 要列出显式值,请选择自定义。在随即显示的政策值文本框中,输入一个值,然后按 Enter 键。通过这种方式可以添加多个条目。点击每个新值对应的新建政策值按钮。

    • 政策接受的特定值取决于应用此政策的服务。如需查看限制条件列表及其接受的值,请参阅组织政策限制条件

  9. 要为其他用户设置建议,请点击设置建议

    • 要设置建议值,请在显示的文本框中输入一个字符串值。此字符串值将显示在 Google Cloud Console 中,为用户提供有关此组织政策的指导。这只是一种通信工具,不会影响可以设置的政策。

  10. 要完成并应用组织政策,请点击保存

对组织政策的更改最长可能需要 15 分钟才能完全生效。

如需查看 Google Cloud CLI 说明,请参阅使用限制条件中的列表限制条件部分。

继承组织政策

您可以将组织政策设置为继承父级组织政策或使用 Google 管理的默认行为。这两个选项都将移除现有的自定义组织政策。要更改组织政策继承的行为,请执行以下操作:

  1. 转到 Google Cloud Console 中的“组织政策”页面。
    转到“组织政策”页面

  2. 点击选择,然后选择您要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的列表。

    可按政策名称或 ID 过滤的组织政策限制条件列表。

  3. 组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并说明该限制条件的目前应用方式。

    示例政策详细信息,用于定义适用于示例组织的受允许 API 和服务。

  4. 要移除该资源上的自定义组织政策,请点击修改,然后选择一项,以指定该组织政策的评估方式:

    • 要使该资源遵循与该限制条件的父级资源相同的规则,请选择继承父级政策。这是资源的默认行为。

    • 要使用 Google 为该限制条件设置的默认行为替换父级资源的组织政策,请选择 Google 管理的默认值

    继承在修改政策中选择的父级政策选项。

对组织政策的更改最长可能需要 15 分钟才能完全生效。