本页面介绍如何使用 Google Cloud Platform Console 查看、创建和管理您的组织政策。
有了“Cloud 身份和访问权限管理”角色 roles/orgpolicy.policyAdmin,管理员即可管理组织政策。用户必须拥有组织政策管理员角色才能更改或替换组织政策。
准备工作
- 要设置、更改或删除组织政策,您必须拥有组织政策管理员角色。
要使用本指南,您将需要熟悉:
查看组织政策
要查看组织政策,请执行以下操作:
转到 Google Cloud Platform Console 中的“组织政策”页面。
转到“组织政策”页面点击选择,然后选择要查看其组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。
要按限制条件名称过滤列表,请在文本框中输入限制条件名称。
要按继承状态过滤列表,请在任何继承下拉列表中选择继承类型。
要根据与父级资源遵循相同规则的组织政策进行过滤,请选择已继承
要根据带有一组组织政策的资源(该组政策与父级资源设置的规则合并)进行过滤,请选择自定义。
要显示当前继承的政策,请点击修改。继承的政策将显示在政策摘要面板上。
如需详细了解如何使用每个限制条件并获取相关分步指南,请参阅组织政策限制条件。
创建和修改政策
组织政策由为每个限制条件设置的值定义。组织政策可以在该资源的层级进行自定义、从父级资源继承,也可以设置为 Google 管理的默认行为。
为布尔值限制条件自定义政策
要自定义布尔值政策,请执行以下操作:
转到 Google Cloud Platform Console 中的“组织政策”页面。
转到“组织政策”页面点击选择,然后选择要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。
从组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并提供有关目前如何应用该限制条件的信息。
要为该资源自定义组织政策,请点击修改。
在修改页面,选择自定义。
在强制执行下,选择强制执行选项:
要启用该限制条件的强制执行,请选择打开。
要停用该限制条件的强制执行,请选择关闭。
点击保存。
如需查看 gcloud 命令行工具说明,请参阅使用限制条件的布尔值限制条件部分。
为列表限制条件自定义政策
要自定义列表限制条件,请执行以下操作:
转到 Google Cloud Platform Console 中的“组织政策”页面。
转到“组织政策”页面点击选择,然后选择要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。
从组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并提供有关目前如何应用该限制条件的信息。
要为该资源自定义组织政策,请点击修改。
在修改页面,选择自定义。
在强制执行下,选择强制执行选项:
要合并与评估组织政策,请选择与父级合并。如需详细了解继承与资源层次结构,请参阅了解层次结构评估。
要完全替换继承的政策,请选择替换。
在政策类型下,选择该组织政策将指定允许的值还是拒绝的值:
要指定列出的值将为唯一允许的值,并将拒绝所有其他值,请选择允许。
要指定列出的值将被明确拒绝,并将允许所有其他值,请选择拒绝。
在政策值下,选择该组织政策将应用于所有值还是特定值列表:
要将上述政策类型应用于所有可能的值,请选择全部。
要列出显式值,请选择自定义。在出现的政策值文本框中,输入一个值,然后按 Enter 键。您可以通过该方式添加多个条目。
要为其他用户设置建议,请点击设置建议。
- 要设置建议,请在出现的文本框中输入字符串值。该字符串值将显示在 GCP Console 中,为用户提供有关该组织政策的指导。这只是一种沟通工具,不会影响可以设置的政策。
要完成并应用组织政策,请点击保存。
如需查看 gcloud 命令行工具说明,请参阅使用限制条件的列表限制条件部分。
继承组织政策
您可以将组织政策设置为继承父级组织政策或使用 Google 管理的默认行为。这两个选项都将移除现有的自定义组织政策。要更改组织政策继承的行为,请执行以下操作:
转到 Google Cloud Platform Console 中的“组织政策”页面。
转到“组织政策”页面点击选择,然后选择要为其修改组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。
从组织政策页面的列表中选择限制条件。随即显示的政策详情页面会描述该限制条件,并提供有关目前如何应用该限制条件的信息。
要移除该资源上的自定义组织政策,请点击修改,然后选择一项,以指定该组织政策的评估方式:
要使该资源遵循与该限制条件的父级资源相同的规则,请选择继承父级政策。这是资源的默认行为。
要使用 Google 为该限制条件设置的默认行为替换父级资源的组织政策,请选择 Google 管理的默认值。
