本页面介绍了如何在试运行模式下使用组织政策,以便在实施政策之前监控政策更改会如何影响您的工作流。
在试运行模式下,组织政策的创建和强制执行与其他组织政策类似,系统会审核违反政策的行为,但不会拒绝违规操作。
准备工作
如需在试运行模式下使用组织政策,您必须为 Google Cloud 项目启用结算功能。如需了解如何检查项目是否已启用结算功能,请参阅验证项目的结算状态。
如需详细了解组织政策和限制条件及其工作原理,请参阅组织政策服务简介。
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin
) IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
此预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需管理组织政策,您必须拥有以下权限:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
限制
唯一可用于试运行组织政策的组织政策限制条件如下:
尝试使用任何其他限制条件在试运行模式下创建组织政策会导致错误。
在试运行模式下创建组织政策
列表限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 在试运行模式下为列表限制条件创建组织政策。以下示例演示了如何在试运行模式下创建组织政策,以审核 gcp.restrictServiceUsage
列表限制条件的效果。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
从项目选择器中,选择要为其设置组织政策的资源。
从组织政策页面的列表中选择限制资源服务使用限制条件。
选择试运行标签页。
点击管理试运行政策。
在修改试运行政策页面上,选择覆盖父级政策。
在强制执行政策下,点击替换。
点击添加规则。
从政策值中,选择自定义。
从政策类型中,选择拒绝。
在自定义值框中,输入
compute.googleapis.com
,然后点击完成。如果这是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
如需在试运行模式下强制执行组织政策,请点击设置试运行政策。您还可以通过点击设置政策来设置当前政策。
您可以转到组织政策限制条件的试运行标签页,在试运行模式下验证组织政策的状态。
如果项目应用了试运行模式下的组织政策,您可以点击查看拒绝日志来查看审核日志。对于此组织政策,审核日志会显示违规行为,就像强制执行限制资源服务使用限制条件以拒绝 compute.googleapis.com
一样。
gcloud
如需在试运行模式下创建组织政策,请创建一个 YAML 文件以使用 dryRunSpec
定义限制条件。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage dryRunSpec: rules: - values: denied_values: - compute.googleapis.com
替换以下内容:
将
RESOURCE_TYPE
与organizations
、folders
或projects
结合使用。将
RESOURCE_ID
替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE
中指定的资源类型。
此组织政策不会强制执行 gcp.restrictServiceUsage
限制条件,但审核日志会像之前一样显示违规行为。
如果您同时定义了 spec
和 dryRunSpec
,则可以在同一 YAML 文件中设置实时组织政策和试运行组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com dryRunSpec: rules: - values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
如需在试运行模式下强制执行组织政策,请使用 org-policies set policy
命令。如需在试运行模式下使用新的限制条件更新现有组织政策,请使用 --update-mask
标志。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
替换以下内容:
将
POLICY_PATH
替换为组织政策 YAML 文件的完整路径。将
UPDATE_MASK
与spec
搭配使用,仅更新当前政策;或者为dryRunSpec
,仅在试运行模式下更新组织政策。您还可以使用*
更新spec
和dryRunSpec
字段。如果在更新现有组织政策时未设置此字段,则此命令将导致错误,并且组织政策不会更新。
您可以使用 org-policies describe
命令验证是否已设置试运行模式下的组织政策。仅当组织政策中存在 dryRunSpec
字段时,此字段才会显示。
上述组织政策将强制执行 gcp.restrictServiceUsage
限制条件,以便仅允许 container.googleapis.com
。但是,审核日志还会显示 compute.googleapis.com
和 appengine.googleapis.com
违规行为。
布尔值限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 在试运行模式下为布尔值限制条件创建组织政策。以下示例演示了如何在试运行模式下创建组织政策,以审核布尔值自定义组织政策的效果。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
从项目选择器中,选择要为其设置组织政策的资源。
从组织政策页面上的列表中选择要强制执行的自定义组织政策。
选择试运行标签页。
点击管理试运行政策。
在修改试运行政策页面上,选择覆盖父级政策。
点击添加规则。
在强制执行下,选择开启,然后点击完成。
如需在试运行模式下强制执行组织政策,请点击设置试运行政策。确认试运行模式下的组织政策按预期运行后,可以点击设置政策来设置现行政策。
您可以转到组织政策限制条件的试运行标签页,在试运行模式下验证组织政策的状态。
如果项目应用了试运行模式下的组织政策,您可以点击查看拒绝日志来查看审核日志。对于此组织政策,审核日志会显示违规行为,就像强制执行了自定义组织政策一样。
gcloud
如需在试运行模式下创建组织政策,请创建一个 YAML 文件以使用 dryRunSpec
定义限制条件。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME dryRunSpec: rules: - enforce: true
替换以下内容:
将
RESOURCE_TYPE
与organizations
、folders
或projects
结合使用。将
RESOURCE_ID
替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE
中指定的资源类型。将
CONSTRAINT_NAME
替换为您的自定义限制条件的名称。例如custom.disableGkeAutoUpgrade
。
此组织政策不会强制执行自定义限制条件,但审核日志会像之前一样显示违规行为。
如果您同时定义了 spec
和 dryRunSpec
,则可以在同一 YAML 文件中设置实时组织政策和试运行模式下的组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: false dryRunSpec: rules: - enforce: true
如需在试运行模式下强制执行组织政策,请使用 org-policies set policy
命令。如需在试运行模式下使用新的限制条件更新现有组织政策,请使用 --update-mask
标志。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
替换以下内容:
将
POLICY_PATH
替换为组织政策 YAML 文件的完整路径。将
UPDATE_MASK
与spec
搭配使用,仅更新当前政策;或者为dryRunSpec
,仅在试运行模式下更新组织政策。您还可以使用*
更新spec
和dryRunSpec
字段。如果在更新现有组织政策时未设置此字段,则此命令将导致错误,并且组织政策不会更新。
您可以使用 org-policies describe
命令验证是否已设置试运行模式下的组织政策。仅当组织政策中存在 dryRunSpec
字段时,此字段才会显示。
此组织政策不会强制执行自定义限制条件。 但是,审核日志会显示违反自定义限制条件的行为。
通过实时政策在试运行模式下创建组织政策
在试运行模式下,您可以使用现有组织政策作为组织政策的起点。您可能需要执行此操作,了解现有政策的更改会对环境产生哪些影响。
您可以使用 Google Cloud 控制台或 Google Cloud CLI 根据现有政策,在试运行模式下创建组织政策。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
从项目选择器中,选择已针对该资源配置了限制资源服务使用限制条件的资源。
从组织政策页面的列表中选择限制资源服务使用限制条件。
选择直播标签页。
点击管理政策。
点击添加规则。
从政策值中,选择自定义。
从政策类型中,选择拒绝。
在自定义值框中,输入
appengine.googleapis.com
。点击完成,然后点击设置试运行政策。
gcloud
如需根据现有的活跃组织政策在试运行模式下创建组织政策,请使用 org-policies describe
命令获取资源的当前政策。例如:
gcloud org-policies describe gcp.restrictServiceUsage \ --project=PROJECT_ID
将 PROJECT_ID
替换为配置了此组织政策的项目的 ID 或项目编号。
输出应类似如下所示:
name: projects/123456789012/policies/gcp.restrictServiceUsage spec: etag: CJy93KEGEKCJw/QB rules: - values: allowedValues: - compute.googleapis.com updateTime: '2023-04-12T21:11:56.512804Z'
将此命令的输出复制到临时文件中。修改此文件以移除 etag
和 updateTime
字段,并将 spec
字段更改为 dryRunSpec
。对要在试运行模式下在组织政策中测试的限制条件配置进行任何更改。
完成后的 YAML 文件应如下所示:
name: projects/123456789012/policies/gcp.restrictServiceUsage dryRunSpec: rules: - values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
如需在试运行模式下强制执行组织政策,请将 org-policies set policy
与 --update-mask
标志结合使用。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
将 POLICY_PATH
替换为临时组织政策 YAML 文件的完整路径。
在试运行模式下删除组织政策
您可以使用 Google Cloud 控制台或 Google Cloud CLI 在试运行模式下删除组织政策。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
从项目选择器中,选择要为其设置组织政策的资源。
从组织政策页面的列表中选择限制资源服务使用限制条件。
选择试运行标签页。
点击删除试运行政策。
gcloud
如需在试运行模式下删除组织政策,请创建一个 YAML 文件来定义没有试运行规范的组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com
替换以下内容:
将
RESOURCE_TYPE
与organizations
、folders
或projects
结合使用。将
RESOURCE_ID
替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE
中指定的资源类型。
然后,使用 org-policies set policy
命令,并将 --update-mask
标志设置为 dryRunSpec
。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
此操作会更新现有组织政策,以移除试运行规范,并忽略规范的实际部分。
如需同时删除正在运行的组织政策和试运行模式下的组织政策,请使用 org-policies delete
命令。例如:
gcloud org-policies delete CONSTRAINT_NAME \ --RESOURCE_TYPE=RESOURCE_ID
替换以下内容:
将
CONSTRAINT_NAME
替换为您要删除的限制条件的名称。例如gcp.restrictServiceUsage
。将
RESOURCE_TYPE
与organizations
、folders
或projects
结合使用。将
RESOURCE_ID
替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE
中指定的资源类型。
在试运行模式下有效评估组织政策
试运行模式下的组织政策的继承方式与其他组织政策类似。如果对组织资源设置了试运行模式的组织政策,则所有后代资源都会继承该政策,除非它在层次结构中的较低级别被覆盖。
有效政策评估会显示合并到该资源的组织政策的结果。因此,如果继承(而不是在本地设置)试运行模式政策,则对当前组织政策的调整会反映在试运行模式下的有效组织政策中。
例如,假设组织资源 Organization A
的实时组织政策设置为 enforced: false
,并且试运行模式下的组织政策设置为 enforced: true
。此外,子资源 Folder B
还会将实际组织政策设置为 enforced: false
,并在试运行模式下继承组织政策。在 Folder B
上,设置的现行政策意味着组织政策在试运行模式下的有效政策评估也是 enforce: false
,从而替换其父级组织中设置的试运行模式下的组织政策。
Folder B
的子资源 Project X
将实际政策设置为 enforced: true
。与 Folder B
上的行为类似,Project X
在试运行模式下对组织政策的有效评估为 enforced: true
,因为已设置实时政策。
Folder B
的另一个子资源 Project Y
将试运行模式下的组织政策设置为 enforced: true
。它从其父资源继承组织政策,因此有效评估为 enforced: false
(对于实时政策)和 enforced: true
(对于试运行模式下的组织政策)。
资源 | 设置当前组织政策 | 有效的实时组织政策 | 在试运行模式下设置组织政策 | 试运行模式下的有效组织政策 |
---|---|---|---|---|
组织 A | enforced: false |
enforced: false |
enforced: true |
enforced: true |
文件夹 B | enforced: false |
enforced: false |
无 | enforced: false |
文件夹 C | 无 | enforced: false |
无 | enforced: true |
项目 X | enforced: true |
enforced: true |
无 | enforced: true |
项目 Y | 无 | enforced: false |
enforced: true |
enforced: true |
在试运行模式下分析组织政策的影响
实施试运行模式下的组织政策不会阻止任何操作。如需了解组织政策将产生的影响,可以查看组织政策审核日志。
针对实时组织政策和试运行模式下的组织政策,系统会根据对给定资源强制执行的政策是允许还是拒绝操作来生成组织政策审核日志。下表介绍了生成组织政策审核日志的几种情况:
实时组织政策 | 试运行模式下的组织政策 | 已生成审核日志 |
---|---|---|
允许 | 允许 | 否 |
允许 | 拒绝 | 仅在试运行模式下的审核日志 |
拒绝 | 允许 | 实时和试运行模式下的审核日志 |
拒绝 | 拒绝 | 实时和试运行模式下的审核日志 |
试运行模式下的组织政策违规问题会与实时模式下的违规问题一起显示在审核日志中。例如:
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"status": {
"code": 7,
"message": "PERMISSION_DENIED"
},
"authenticationInfo": {},
"requestMetadata": {
"callerIp": "1.2.3.4",
"requestAttributes": {},
"destinationAttributes": {}
},
"serviceName": "appengine.googleapis.com",
"methodName": "google.api.appengine.v1.appengine.apps.services.get",
"resourceName": "projects/sur-project-test-3",
"metadata": {
"constraint": "constraints/gcp.restrictServiceUsage",
"checkedValue": "appengine.googleapis.com",
"liveResult": "ALLOWED",
"@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
"dryRunResult": "DENIED"
}
},
"insertId": "1f2bvoxcmg1",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "sur-project-test-3",
"service": "appengine.googleapis.com",
"method": "google.api.appengine.v1.appengine.apps.services.get"
}
},
"timestamp": "2022-06-16T19:42:58.244990928Z",
"severity": "WARNING",
"logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
"receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}
您可以使用日志浏览器仅查询处于试运行模式下违规行为的组织政策。
控制台
在 Google Cloud 控制台中,您可以使用 Logs Explorer 来检索 Google Cloud 项目、文件夹或组织的审核日志条目:
在 Google Cloud 控制台中,转到 Logging > 日志浏览器页面。
选择现有的 Google Cloud 项目、文件夹或组织。
在查询构建器窗格中,执行以下操作:
在资源类型中,选择要查看其审核日志的 Google Cloud 资源。
在日志名称中,选择 policy 审核日志类型。
在查询窗格中,输入以下内容:
protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"
如果尝试在 Logs Explorer 中查看日志时遇到问题,请参阅问题排查信息。
如需详细了解如何使用日志浏览器进行查询,请参阅在日志浏览器中构建查询。
gcloud
Google Cloud CLI 为 Logging API 提供了命令行界面。在每个日志名称中提供有效的资源标识符。例如,如果您的查询包含项目 ID,则您提供的项目标识符必须引用当前选定的项目名称。
如需在试运行模式下读取组织政策的审核日志条目,请运行以下命令:
gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED" \ --RESOURCE_TYPE=RESOURCE_ID \
替换以下内容:
将
RESOURCE_TYPE
与organization
、folder
或project
结合使用。将
RESOURCE_ID
替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE
中指定的资源类型。
在您的命令中添加 --freshness
标志,以读取超过 1 天的日志。
如需详细了解如何使用 gcloud CLI,请参阅 gcloud logging read
。
如果您的组织下有多个项目,则可以使用聚合接收器来汇总组织下所有项目的审核日志条目,并将其路由到 BigQuery 表。如需详细了解如何创建汇总接收器,请参阅整理组织级日志并将其路由到支持的目标位置。
后续步骤
如需详细了解如何创建和管理组织政策限制条件,请参阅使用限制条件。