创建和管理组织政策

本页面介绍了如何使用 Google Cloud Console 查看、创建和管理您的组织政策。

Cloud Identity and Access Management 角色 roles/orgpolicy.policyAdmin 可让管理员管理组织政策。用户必须拥有 Organization Policy Administrator 角色才能更改或替换组织政策。

准备工作

• 要设置、更改或删除组织政策，您必须拥有 Organization Policy Administrator 角色。

要使用本指南，您需要熟悉以下内容：

• 组织政策服务。

• 限制条件如何定义组织政策的行为。

• 如何在资源层次结构的不同级层评估组织政策。

查看组织政策

要查看组织政策，请执行以下操作：

1. 转到 Google Cloud Console 中的“组织政策”页面。
   转到“组织政策”页面

2. 点击选择，然后选择要查看其组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的列表。

   

3. 要按限制条件名称过滤列表，请在文本框中输入限制条件名称。

4. 要按继承状态过滤列表，请在任何继承下拉列表中选择继承类型。

   • 要根据与父级资源遵循相同规则的组织政策进行过滤，请选择已继承

   • 要根据带有一组组织政策的资源（该组政策与父级资源设置的规则合并）进行过滤，请选择自定义。

5. 要显示当前继承的政策，请点击修改。继承的政策将显示在政策摘要面板上。

如需了解有关使用每个限制条件的详细信息和相关分步指南，请参阅组织政策限制条件。

创建和修改政策

组织政策由为每个限制条件设置的值定义。这些政策可以在该资源级层进行自定义、从父资源继承，也可以设置为 Google 管理的默认行为。

为布尔值限制条件自定义政策

要自定义布尔值政策，请执行以下操作：

1. 转到 Google Cloud Console 中的“组织政策”页面。
   转到“组织政策”页面

2. 点击选择，然后选择您要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的列表。

   

3. 从组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件，并说明该限制条件的目前应用方式。

   

4. 要为该资源自定义组织政策，请点击修改。

5. 在修改页面，选择自定义。

   

6. 在强制执行下，选择强制执行选项：

   • 要启用该限制条件的强制执行，请选择打开。

   • 要停用该限制条件的强制执行，请选择关闭。

7. 点击保存。

如需查看 gcloud 命令行工具说明，请参阅使用限制条件中的布尔值限制条件部分。

为列表限制条件自定义政策

要自定义列表限制条件，请执行以下操作：

1. 转到 Google Cloud Console 中的“组织政策”页面。
   转到“组织政策”页面

2. 点击选择，然后选择您要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的列表。

   

3. 从组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件，并说明该限制条件的目前应用方式。

   

4. 要为该资源自定义组织政策，请点击修改。

5. 在修改页面，选择自定义。

   

6. 在强制执行政策下，选择强制执行选项：

   • 要合并与评估组织政策，请选择与父资源规则合并。如需详细了解继承机制与资源层次结构，请参阅了解层次结构评估。

   • 要完全替换继承的政策，请选择替换。

7. 在政策类型下，选择该组织政策将指定允许的值还是拒绝的值：

   • 要指定列出的值将为唯一允许的值，并将拒绝所有其他值，请选择允许。

   • 要指定列出的值将被明确拒绝，并将允许所有其他值，请选择拒绝。

8. 在政策值下，选择该组织政策将应用于所有值还是特定值列表：

   • 要将上述政策类型应用于所有可能的值，请选择全部。

   • 要列出显式值，请选择自定义。在随即显示的政策值文本框中，输入一个值，然后按 Enter 键。您可以通过该方式添加多个条目。

9. 要为其他用户设置建议，请点击设置建议。

   • 要设置建议值，请在显示的文本框中输入一个字符串值。此字符串值将显示在 Cloud Console 中，为用户提供有关此组织政策的指导。 这只是一种通信工具，不会影响可设置的政策。

10. 要完成并应用组织政策，请点击保存。

如需查看 gcloud 命令行工具说明，请参阅使用限制条件中的列表限制条件部分。

继承组织政策

您可以将组织政策设置为继承父级组织政策或使用 Google 管理的默认行为。这两个选项都将移除现有的自定义组织政策。要更改组织政策继承的行为，请执行以下操作：

1. 转到 Google Cloud Console 中的“组织政策”页面。
   转到“组织政策”页面

2. 点击选择，然后选择您要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的列表。

   

3. 从组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件，并说明该限制条件的目前应用方式。

   

4. 要移除该资源上的自定义组织政策，请点击修改，然后选择一项，以指定该组织政策的评估方式：

   • 要使该资源遵循与该限制条件的父级资源相同的规则，请选择继承父级政策。这是资源的默认行为。

   • 要使用 Google 针对该限制条件设置的默认行为来替换父资源的组织政策，请选择 Google 管理的默认值。