本页介绍了如何在试运行模式下使用组织政策,以便在政策生效之前监控政策更改对工作流的影响。
在试运行模式下,组织政策的创建和强制执行方式与其他组织政策类似,系统会将违反政策的行为记录在审核日志中,但不会拒绝违规操作。
准备工作
如需在模拟模式下使用组织政策,您必须为 Google Cloud 项目启用结算功能。如需了解如何检查项目是否已启用结算功能,请参阅验证项目的结算状态。
如需详细了解组织政策和限制条件及其工作原理,请参阅组织政策服务简介。
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin
) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色可提供管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理组织政策需要以下权限:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
限制
在试运行组织政策中可用的组织政策限制条件只有以下几种:
尝试在试运行模式下使用任何其他约束条件创建组织政策时会导致错误。
在试运行模式下创建组织政策
列表限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 在模拟运行模式下为列表限制条件创建组织政策。以下示例演示了如何在模拟运行模式下创建组织政策,以审核 gcp.restrictServiceUsage
列表限制的影响。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
在项目选择器中,选择要为其设置组织政策的资源。
从组织政策页面上的列表中选择限制资源服务使用限制。
选择试运行标签页。
点击管理试运行政策。
在修改模拟运行政策页面上,选择覆盖父级政策。
在强制执行政策下,点击替换。
点击添加规则。
在政策值中,选择自定义。
在政策类型中,选择拒绝。
在自定义值框中,输入
compute.googleapis.com
,然后点击完成。如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
如需在试运行模式下强制执行组织政策,请点击设置试运行政策。您也可以点击设置政策来设置直播政策。
您可以前往组织政策限制条件的试运行标签页,验证组织政策在试运行模式下的状态。
对于已应用试运行模式组织政策的项目,您可以点击查看拒绝日志来查看审核日志。对于此组织政策,审核日志会显示违规情况,就像限制资源服务使用限制条件强制执行以拒绝 compute.googleapis.com
一样。
gcloud
如需在模拟运行模式下创建组织政策,请创建一个 YAML 文件,并使用 dryRunSpec
定义限制条件。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage dryRunSpec: rules: - values: deniedValues: - compute.googleapis.com
替换以下内容:
将
RESOURCE_TYPE
替换为organizations
、folders
或projects
。RESOURCE_ID
,其中包含您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于在RESOURCE_TYPE
中指定的资源类型。
此组织政策不会强制执行 gcp.restrictServiceUsage
限制条件,但审核日志会显示违规情况,就像强制执行了限制条件一样。
如果您同时定义了 spec
和 dryRunSpec
,则可以在同一 YAML 文件中设置正式版组织政策和模拟版组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com dryRunSpec: rules: - values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
如需在试运行模式下强制执行组织政策,请使用 org-policies set policy
命令。如需使用新限制条件在模拟运行模式下更新现有组织政策,请使用 --update-mask
标志。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
替换以下内容:
POLICY_PATH
替换为组织政策 YAML 文件的完整路径。将
UPDATE_MASK
与spec
搭配使用,仅更新正式版政策;将UPDATE_MASK
与dryRunSpec
搭配使用,仅在模拟运行模式下更新组织政策。您还可以使用*
同时更新spec
和dryRunSpec
字段。如果在更新现有组织政策时未设置此字段,此命令将导致错误,并且组织政策将不会更新。
您可以使用 org-policies describe
命令验证是否已在试运行模式下设置组织政策。只有当组织政策中存在 dryRunSpec
字段时,该字段才会显示。
此组织政策会强制执行 gcp.restrictServiceUsage
限制条件,以便仅允许 container.googleapis.com
。不过,审核日志中也会显示违反 compute.googleapis.com
和 appengine.googleapis.com
的行为。
布尔值限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 在模拟运行模式下为布尔值限制条件创建组织政策。以下示例演示了如何在模拟运行模式下创建组织政策,以审核布尔值自定义组织政策的影响。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
在项目选择器中,选择要为其设置组织政策的资源。
从组织政策页面上的列表中选择要强制执行的自定义组织政策。
选择试运行标签页。
点击管理试运行政策。
在修改模拟运行政策页面上,选择覆盖父级政策。
点击添加规则。
在强制执行下,选择开启,然后点击完成。
如需在试运行模式下强制执行组织政策,请点击设置试运行政策。验证模拟运行模式下的组织政策是否按预期运行后,您可以点击设置政策来设置正式版政策。
您可以前往组织政策限制条件的试运行标签页,验证组织政策在试运行模式下的状态。
对于已应用试运行模式组织政策的项目,您可以点击查看拒绝日志来查看审核日志。对于此组织政策,审核日志会显示违规情况,就像强制执行自定义组织政策一样。
gcloud
如需在模拟运行模式下创建组织政策,请创建一个 YAML 文件,并使用 dryRunSpec
定义限制条件。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME dryRunSpec: rules: - enforce: true
替换以下内容:
将
RESOURCE_TYPE
替换为organizations
、folders
或projects
。RESOURCE_ID
,其中包含您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于在RESOURCE_TYPE
中指定的资源类型。将
CONSTRAINT_NAME
替换为自定义约束条件的名称。例如custom.disableGkeAutoUpgrade
。
此组织政策不会强制执行自定义限制条件,但审核日志会显示违规情况,就像强制执行了一样。
如果您同时定义了 spec
和 dryRunSpec
,则可以在同一 YAML 文件中设置正式版组织政策和模拟运行模式下的组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: false dryRunSpec: rules: - enforce: true
如需在试运行模式下强制执行组织政策,请使用 org-policies set policy
命令。如需使用新限制条件在模拟运行模式下更新现有组织政策,请使用 --update-mask
标志。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
替换以下内容:
POLICY_PATH
替换为组织政策 YAML 文件的完整路径。将
UPDATE_MASK
与spec
搭配使用,仅更新正式版政策;将UPDATE_MASK
与dryRunSpec
搭配使用,仅在模拟运行模式下更新组织政策。您还可以使用*
同时更新spec
和dryRunSpec
字段。如果在更新现有组织政策时未设置此字段,此命令将导致错误,并且组织政策将不会更新。
您可以使用 org-policies describe
命令验证是否已设置模拟运行模式下的组织政策。只有当组织政策中存在 dryRunSpec
字段时,该字段才会显示。
此组织政策不会强制执行自定义限制条件。不过,审核日志会显示违反自定义约束条件的情况。
在试运行模式下根据实际政策创建组织政策
您可以在模拟模式下使用现有组织政策作为组织政策的起点。您可能需要这样做,以了解更改现有政策对环境有何影响。
您可以使用 Google Cloud 控制台或 Google Cloud CLI,根据现有政策在模拟运行模式下创建组织政策。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
在项目选择器中,选择已配置限制资源服务使用限制条件的资源。
从组织政策页面上的列表中选择限制资源服务使用限制条件。
选择直播标签页。
点击管理政策。
点击添加规则。
在政策值中,选择自定义。
在政策类型中,选择拒绝。
在自定义值框中,输入
appengine.googleapis.com
。点击完成,然后点击设置模拟运行政策。
gcloud
如需根据现有的实际组织政策在模拟运行模式下创建组织政策,请使用 org-policies describe
命令获取资源的当前政策。例如:
gcloud org-policies describe gcp.restrictServiceUsage \ --project=PROJECT_ID
将 PROJECT_ID
替换为配置此组织政策的项目的项目 ID 或项目编号。
输出应类似如下所示:
name: projects/123456789012/policies/gcp.restrictServiceUsage spec: etag: CJy93KEGEKCJw/QB rules: - values: allowedValues: - compute.googleapis.com updateTime: '2023-04-12T21:11:56.512804Z'
将此命令的输出复制到临时文件中。修改此文件以移除 etag
和 updateTime
字段,并将 spec
字段更改为 dryRunSpec
。在模拟运行模式下,对您要在组织政策中测试的限制条件配置进行任何更改。
完成的 YAML 文件应如下所示:
name: projects/123456789012/policies/gcp.restrictServiceUsage dryRunSpec: rules: - values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
如需在试运行模式下强制执行组织政策,请将 org-policies set policy
与 --update-mask
标志搭配使用。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
将 POLICY_PATH
替换为临时组织政策 YAML 文件的完整路径。
在试运行模式下删除组织政策
您可以使用 Google Cloud 控制台或 Google Cloud CLI 在模拟模式下删除组织政策。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
在项目选择器中,选择要为其设置组织政策的资源。
从组织政策页面上的列表中选择限制资源服务使用限制。
选择试运行标签页。
点击删除试运行政策。
gcloud
如需在试运行模式下删除组织政策,请创建一个 YAML 文件来定义不含试运行规范的组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com
替换以下内容:
将
RESOURCE_TYPE
替换为organizations
、folders
或projects
。RESOURCE_ID
,其中包含您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于在RESOURCE_TYPE
中指定的资源类型。
然后,使用 org-policies set policy
命令,并将 --update-mask
标志设置为 dryRunSpec
。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
这会更新现有组织政策,以移除模拟运行规范并忽略规范的正式版部分。
如需同时删除正式版组织政策和模拟运行模式下的组织政策,请使用 org-policies delete
命令。例如:
gcloud org-policies delete CONSTRAINT_NAME \ --RESOURCE_TYPE=RESOURCE_ID
替换以下内容:
将
CONSTRAINT_NAME
替换为您要删除的约束条件的名称。例如gcp.restrictServiceUsage
。将
RESOURCE_TYPE
替换为organizations
、folders
或projects
。RESOURCE_ID
,其中包含您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于在RESOURCE_TYPE
中指定的资源类型。
在试运行模式下有效评估组织政策
试运行模式下的组织政策的继承方式与其他组织政策类似。如果在组织资源上设置了模拟运行模式下的组织政策,则所有后代资源都会继承该政策,除非在层次结构的更低级别被替换。
有效政策评估会显示在该资源上合并的组织政策的结果。因此,如果试运行模式政策是继承的,而不是在本地设置的,则对实际组织政策的调整会反映在试运行模式下的有效组织政策中。
例如,假设组织资源 Organization A
的正式版组织政策设置为 enforced: false
,而模拟运行模式下的组织政策设置为 enforced: true
。子资源 Folder B
还将实际组织政策设置为 enforced: false
,并在试运行模式下继承组织政策。在 Folder B
上,设置的正式版政策意味着试运行模式下组织政策的有效政策评估结果也为 enforce: false
,这会覆盖其父级组织中设置的试运行模式组织政策。
Folder B
的子资源 Project X
将实时政策设置为 enforced: true
。与 Folder B
上的行为类似,由于已设置正式版政策,因此在试运行模式下对 Project X
的组织政策的有效评估结果为 enforced: true
。
Folder B
的另一个子资源 Project Y
会将试运行模式下的组织政策设置为 enforced: true
。它会从父级资源继承组织政策,因此有效评估结果为:实际政策为 enforced: false
,模拟运行模式下的组织政策为 enforced: true
。
资源 | 设置生效的组织政策 | 有效的实际组织政策 | 在试运行模式下设置组织政策 | 试运行模式下有效的组织政策 |
---|---|---|---|---|
组织 A | enforced: false |
enforced: false |
enforced: true |
enforced: true |
文件夹 B | enforced: false |
enforced: false |
无 | enforced: false |
文件夹 C | 无 | enforced: false |
无 | enforced: true |
Project X | enforced: true |
enforced: true |
无 | enforced: true |
项目 Y | 无 | enforced: false |
enforced: true |
enforced: true |
在试运行模式下分析组织政策的影响
在试运行模式下,强制执行组织政策不会阻止任何操作。如需了解组织政策的影响,您可以查看组织政策审核日志。
有效组织政策和试运行模式下的组织政策的组织政策审核日志是根据对给定资源强制执行的政策是否允许或拒绝相应操作而生成的。下表介绍了生成组织政策审核日志的情况:
生效的组织政策 | 试运行模式下的组织政策 | 生成了审核日志 |
---|---|---|
允许 | 允许 | 否 |
允许 | 拒绝 | 仅在试运行模式下生成审核日志 |
拒绝 | 允许 | 正式版和试运行模式下的审核日志 |
拒绝 | 拒绝 | 正式版和试运行模式下的审核日志 |
试运行模式下的组织政策违规行为会与正式版模式下的违规行为一起显示在审核日志中。例如:
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"status": {
"code": 7,
"message": "PERMISSION_DENIED"
},
"authenticationInfo": {},
"requestMetadata": {
"callerIp": "1.2.3.4",
"requestAttributes": {},
"destinationAttributes": {}
},
"serviceName": "appengine.googleapis.com",
"methodName": "google.api.appengine.v1.appengine.apps.services.get",
"resourceName": "projects/sur-project-test-3",
"metadata": {
"constraint": "constraints/gcp.restrictServiceUsage",
"checkedValue": "appengine.googleapis.com",
"liveResult": "ALLOWED",
"@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
"dryRunResult": "DENIED"
}
},
"insertId": "1f2bvoxcmg1",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "sur-project-test-3",
"service": "appengine.googleapis.com",
"method": "google.api.appengine.v1.appengine.apps.services.get"
}
},
"timestamp": "2022-06-16T19:42:58.244990928Z",
"severity": "WARNING",
"logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
"receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}
您可以使用日志浏览器在模拟运行模式下查询组织政策违规情况。
控制台
在 Google Cloud 控制台中,您可以使用 Logs Explorer 来检索 Google Cloud 项目、文件夹或组织的审核日志条目:
在 Google Cloud 控制台中,转到 Logging > 日志浏览器页面。
选择现有的 Google Cloud 项目、文件夹或组织。
在查询构建器窗格中,执行以下操作:
在资源类型中,选择要查看其审核日志的 Google Cloud 资源。
在日志名称中,选择政策审核日志类型。
在查询窗格中,输入以下内容:
protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"
如果您在尝试从日志浏览器中查看日志时遇到问题,请参阅问题排查信息。
如需详细了解如何使用日志浏览器进行查询,请参阅在日志浏览器中构建查询。
gcloud
Google Cloud CLI 为 Logging API 提供了命令行界面。在每个日志名称中提供有效的资源标识符。例如,如果您的查询包含项目 ID,则您提供的项目标识符必须引用当前选定的项目名称。
如需读取模拟运行模式违反组织政策的审核日志条目,请运行以下命令:
gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED" \ --RESOURCE_TYPE=RESOURCE_ID \
替换以下内容:
将
RESOURCE_TYPE
替换为organization
、folder
或project
。RESOURCE_ID
,其中包含您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于在RESOURCE_TYPE
中指定的资源类型。
在命令中添加 --freshness
标志可读取超过 1 天的日志。
如需详细了解如何使用 gcloud CLI,请参阅 gcloud logging read
。
如果您的组织下有多个项目,您可以使用汇总接收器来汇总组织下所有项目的审核日志条目,并将其路由到 BigQuery 表。如需详细了解如何创建汇总接收器,请参阅整理组织级日志并将其路由到支持的目标位置。
后续步骤
如需详细了解如何创建和管理组织政策限制条件,请参阅使用限制条件。