本页面介绍了如何在试运行模式下使用组织政策,以在强制执行政策更改之前监控政策更改将如何影响您的工作流。
试运行模式下的组织政策的创建和实施方式与其他组织政策类似,并且系统会审核违反政策的行为,但不会拒绝违反政策的操作。
准备工作
如需在试运行模式下使用组织政策,您必须为 Google Cloud 项目启用结算功能。如需了解如何检查项目是否已启用结算功能,请参阅验证项目的结算状态。
如需详细了解什么是组织政策和限制条件及其工作原理,请参阅组织政策服务简介。
所需的角色
如需获取管理组织政策所需的权限,请让管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
此预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需管理组织政策,您必须拥有以下权限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
限制
在试运行组织政策中只能使用以下组织政策限制条件:
尝试使用任何其他限制条件在试运行模式下创建组织政策会导致错误。
在试运行模式下创建组织政策
列表限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 为列表限制条件创建在试运行模式下的组织政策。以下示例演示了如何在试运行模式下创建组织政策,以审核 gcp.restrictServiceUsage 列表限制条件的影响。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
从项目选择器中,选择要设置组织政策的资源。
从组织政策页面上的列表中选择 Restrict Resource Service Usage 限制条件。
选择试运行标签页。
点击管理试运行政策。
在修改试运行政策页面上,选择覆盖父资源的政策。
在强制执行政策下,点击替换。
点击添加规则。
从政策值中,选择自定义。
从政策类型中,选择拒绝。
在自定义值框中,输入
compute.googleapis.com,然后点击完成。如果这是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
如需在试运行模式下强制执行组织政策,请点击设置试运行政策。您还可以通过点击设置政策来设置实时政策。
您可以转到组织政策限制条件的试运行标签页,在试运行模式下验证组织政策的状态。
对于应用了试运行模式下的组织政策的项目,您可以通过点击查看拒绝日志来查看审核日志。对于此组织政策,审核日志会显示违规问题,就像强制执行限制资源服务使用量限制条件以拒绝 compute.googleapis.com 一样。
gcloud
如需在试运行模式下创建组织政策,请创建一个使用 dryRunSpec 定义限制条件的 YAML 文件。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
dryRunSpec:
rules:
values:
denied_values:
- compute.googleapis.com
请替换以下内容:
将
RESOURCE_TYPE与organizations、folders或projects结合使用。将
RESOURCE_ID替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE中指定的资源类型。
此组织政策不会强制执行 gcp.restrictServiceUsage 限制条件,但审核日志会显示违规问题,就像显示违规问题一样。
如果您同时定义了 spec 和 dryRunSpec,则可以在同一个 YAML 文件中设置实时组织政策和试运行组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
spec:
rules:
- values:
allowedValues:
- container.googleapis.com
dryRunSpec:
rules:
values:
allowedValues:
- compute.googleapis.com
- appengine.googleapis.com
如需在试运行模式下强制执行组织政策,请使用 org-policies set policy 命令。如需更新具有新限制条件的试运行模式下的现有组织政策,请使用 --update-mask 标志。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
请替换以下内容:
将
POLICY_PATH替换为您的组织政策 YAML 文件的完整路径。UPDATE_MASK设置为spec,以仅更新实时政策,或者使用dryRunSpec仅在试运行模式下更新组织政策。您还可以使用*更新spec和dryRunSpec字段。如果在更新现有组织政策时未设置此字段,则此命令会导致错误,并且组织政策不会更新。
您可以使用 org-policies describe 命令验证是否设置了试运行模式下的组织政策。仅当组织政策中存在 dryRunSpec 字段时,该字段才会显示。
上述组织政策将强制执行 gcp.restrictServiceUsage 限制条件,以便仅允许 container.googleapis.com。但是,审核日志也会显示 compute.googleapis.com 和 appengine.googleapis.com 违规行为。
布尔值限制条件
您可以使用 Google Cloud 控制台或 Google Cloud CLI 在试运行模式下为布尔值限制条件创建组织政策。以下示例演示了如何在试运行模式下创建组织政策,以审核布尔自定义组织政策的效果。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
从项目选择器中,选择要设置组织政策的资源。
从组织政策页面上的列表中选择要强制执行的自定义组织政策。
选择试运行标签页。
点击管理试运行政策。
在修改试运行政策页面上,选择覆盖父资源的政策。
点击添加规则。
在强制执行下,选择开启,然后点击完成。
如需在试运行模式下强制执行组织政策,请点击设置试运行政策。确认试运行模式下的组织政策按预期运行后,您可以点击设置政策来设置实时政策。
您可以转到组织政策限制条件的试运行标签页,在试运行模式下验证组织政策的状态。
对于应用了试运行模式下的组织政策的项目,您可以通过点击查看拒绝日志来查看审核日志。对于此组织政策,审核日志会显示违规问题,就像强制执行了自定义组织政策一样。
gcloud
如需在试运行模式下创建组织政策,请创建一个使用 dryRunSpec 定义限制条件的 YAML 文件。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
dryRunSpec:
rules:
- enforce: true
请替换以下内容:
将
RESOURCE_TYPE与organizations、folders或projects结合使用。将
RESOURCE_ID替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE中指定的资源类型。将
CONSTRAINT_NAME替换为您的自定义限制条件的名称。例如custom.disableGkeAutoUpgrade。
此组织政策不会强制执行自定义限制条件,但审核日志会显示违规问题,就像显示违规问题一样。
如果您同时定义了 spec 和 dryRunSpec,则可以在同一 YAML 文件中设置实时组织政策和试运行模式下的组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: false dryRunSpec: rules: - enforce: true
如需在试运行模式下强制执行组织政策,请使用 org-policies set policy 命令。如需更新具有新限制条件的试运行模式下的现有组织政策,请使用 --update-mask 标志。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
请替换以下内容:
将
POLICY_PATH替换为您的组织政策 YAML 文件的完整路径。UPDATE_MASK设置为spec,以仅更新实时政策,或者使用dryRunSpec仅在试运行模式下更新组织政策。您还可以使用*更新spec和dryRunSpec字段。如果在更新现有组织政策时未设置此字段,则此命令会导致错误,并且组织政策不会更新。
您可以使用 org-policies describe 命令验证是否设置了试运行模式下的组织政策。仅当组织政策中存在 dryRunSpec 字段时,该字段才会显示。
此组织政策不强制执行自定义限制条件。不过,审核日志会显示自定义限制条件的违规行为。
根据现行政策在试运行模式下创建组织政策
在试运行模式下,您可以使用现有组织政策作为组织政策的起点。建议您执行此操作,以了解更改现有政策会对环境产生哪些影响。
您可以使用 Google Cloud 控制台或 Google Cloud CLI 根据现有政策在试运行模式下创建组织政策。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
从项目选择器中选择已为其配置 Restrict Resource Service Usage 限制条件的资源。
从组织政策页面上的列表中选择 Restrict Resource Service Usage 限制条件。
选择直播标签页。
点击管理政策。
点击添加规则。
从政策值中,选择自定义。
从政策类型中,选择拒绝。
在自定义值框中,输入
appengine.googleapis.com。点击完成,然后点击设置试运行政策。
gcloud
如需根据现有的有效组织政策在试运行模式下创建组织政策,请使用 org-policies describe 命令获取资源的当前政策。例如:
gcloud org-policies describe gcp.restrictServiceUsage \ --project=PROJECT_ID
将 PROJECT_ID 替换为配置了此组织政策的项目的 ID 或编号。
输出应类似如下所示:
name: projects/123456789012/policies/gcp.restrictServiceUsage
spec:
etag: CJy93KEGEKCJw/QB
rules:
- values:
allowedValues:
- compute.googleapis.com
updateTime: '2023-04-12T21:11:56.512804Z'
将此命令的输出复制到临时文件中。修改此文件以移除 etag 和 updateTime 字段,并将 spec 字段更改为 dryRunSpec。对您希望在组织政策中以试运行模式测试的限制条件配置进行任意更改。
完成后的 YAML 文件应如下所示:
name: projects/123456789012/policies/gcp.restrictServiceUsage
dryRunSpec:
rules:
values:
allowedValues:
- compute.googleapis.com
- appengine.googleapis.com
如需在试运行模式下强制执行组织政策,请将 org-policies set policy 与 --update-mask 标志结合使用。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
将 POLICY_PATH 替换为临时组织政策 YAML 文件的完整路径。
在试运行模式下删除组织政策
您可以使用 Google Cloud 控制台或 Google Cloud CLI 在试运行模式下删除组织政策。
控制台
在 Google Cloud 控制台中,转到组织政策页面。
从项目选择器中,选择要设置组织政策的资源。
从组织政策页面上的列表中选择 Restrict Resource Service Usage 限制条件。
选择试运行标签页。
点击删除试运行政策。
gcloud
如需删除试运行模式下的组织政策,请创建一个 YAML 文件来定义不含试运行规范的组织政策。例如:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
spec:
rules:
- values:
allowedValues:
- container.googleapis.com
请替换以下内容:
将
RESOURCE_TYPE替换为organizations、folders或projects。将
RESOURCE_ID替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE中指定的资源类型。
然后,使用 org-policies set policy 命令并将 --update-mask 标志设置为 dryRunSpec。例如:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
这将更新现有组织政策以移除试运行规范,并忽略该规范的现行部分。
如需同时删除实时组织政策和试运行模式下的组织政策,请使用 org-policies delete 命令。例如:
gcloud org-policies delete CONSTRAINT_NAME \ --RESOURCE_TYPE=RESOURCE_ID
请替换以下内容:
将
CONSTRAINT_NAME替换为您要删除的限制条件的名称。例如gcp.restrictServiceUsage。将
RESOURCE_TYPE替换为organizations、folders或projects。将
RESOURCE_ID替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE中指定的资源类型。
在试运行模式下有效评估组织政策
试运行模式下组织政策的继承方式与其他组织政策类似。如果在组织资源上设置了试运行模式下的组织政策,则所有后代资源都会继承该政策,除非该政策在层次结构中的较低级别被覆盖。
有效政策评估会显示该资源上合并的组织政策的结果。因此,如果试运行模式政策是继承的,而不是在本地设置的,则对实时组织政策的调整会反映在试运行模式下的有效组织政策中。
例如,假设一个组织资源 Organization A,其实时组织政策设置为 enforced: false,试运行模式下的组织政策设置为 enforced: true。子资源 Folder B 也会将活动组织政策设置为 enforced: false,并在试运行模式下继承组织政策。在 Folder B 上,设置的实时政策表示对组织政策在试运行模式下的有效政策评估也是 enforce: false,将覆盖其父级组织中设置的试运行模式下的组织政策。
Folder B 的子资源 Project X 会将当前政策设置为 enforced: true。与 Folder B 上的行为类似,在试运行模式下对 Project X 执行的组织政策的有效评估为 enforced: true,因为设置了实时政策。
Folder B 的另一个子资源 Project Y 将试运行模式下的组织政策设置为 enforced: true。它从其父级资源继承组织政策,因此有效政策的评估结果为 enforced: false,试运行模式下的组织政策的有效评估结果为 enforced: true。
| 资源 | 设置有效的组织政策 | 有效的实时组织政策 | 在试运行模式下设置组织政策 | 试运行模式下的有效组织政策 |
|---|---|---|---|---|
| 组织 A | enforced: false |
enforced: false |
enforced: true |
enforced: true |
| 文件夹 B | enforced: false |
enforced: false |
无 | enforced: false |
| 文件夹 C | 无 | enforced: false |
无 | enforced: true |
| 项目 X | enforced: true |
enforced: true |
无 | enforced: true |
| 项目 Y | 无 | enforced: false |
enforced: true |
enforced: true |
在试运行模式下分析组织政策的影响
强制执行后,试运行模式下的组织政策不会阻止任何操作。如需了解您的组织政策会产生的影响,您可以查看组织政策审核日志。
系统会根据针对给定资源强制执行的政策是允许还是拒绝操作,生成实时组织政策和试运行模式下的组织政策的组织政策审核日志。下表介绍了在哪些情况下会生成组织政策审核日志:
| 已发布的组织政策 | 试运行模式下的组织政策 | 审核日志已生成 |
|---|---|---|
| 允许 | 允许 | 否 |
| 允许 | 拒绝 | 仅在试运行模式下的审核日志 |
| 拒绝 | 允许 | 实时和试运行模式下的审核日志 |
| 拒绝 | 拒绝 | 实时和试运行模式下的审核日志 |
在审核日志中,处于试运行模式的组织政策违规问题与实时模式下的违规问题一起出现在审核日志中。例如:
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"status": {
"code": 7,
"message": "PERMISSION_DENIED"
},
"authenticationInfo": {},
"requestMetadata": {
"callerIp": "1.2.3.4",
"requestAttributes": {},
"destinationAttributes": {}
},
"serviceName": "appengine.googleapis.com",
"methodName": "google.api.appengine.v1.appengine.apps.services.get",
"resourceName": "projects/sur-project-test-3",
"metadata": {
"constraint": "constraints/gcp.restrictServiceUsage",
"checkedValue": "appengine.googleapis.com",
"liveResult": "ALLOWED",
"@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
"dryRunResult": "DENIED"
}
},
"insertId": "1f2bvoxcmg1",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "sur-project-test-3",
"service": "appengine.googleapis.com",
"method": "google.api.appengine.v1.appengine.apps.services.get"
}
},
"timestamp": "2022-06-16T19:42:58.244990928Z",
"severity": "WARNING",
"logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
"receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}
您可以使用日志浏览器仅查询存在试运行模式违规行为的组织政策。
控制台
在 Google Cloud 控制台中,您可以使用 Logs Explorer 来检索 Google Cloud 项目、文件夹或组织的审核日志条目:
在 Google Cloud 控制台中,转到 Logging > 日志浏览器页面。
选择现有的 Google Cloud 项目、文件夹或组织。
在查询构建器窗格中,执行以下操作:
在资源类型中,选择要查看其审核日志的 Google Cloud 资源。
在日志名称中,选择政策审核日志类型。
在 Query 窗格中,输入以下内容:
protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"
如果您在 Logs Explorer 中查看日志时遇到问题,请参阅问题排查信息。
如需详细了解如何使用日志浏览器进行查询,请参阅在日志浏览器中构建查询。
gcloud
Google Cloud CLI 为 Logging API 提供了命令行界面。在每个日志名称中提供有效的资源标识符。例如,如果您的查询包含项目 ID,那么您提供的项目标识符必须引用当前选定的项目名称。
如需读取处于试运行模式违规行为的组织政策的审核日志条目,请运行以下命令:
gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \
protoPayload.metadata.liveResult = "ALLOWED" \
--RESOURCE_TYPE=RESOURCE_ID \
请替换以下内容:
将
RESOURCE_TYPE替换为organization、folder或project。将
RESOURCE_ID替换为您的组织 ID、文件夹 ID、项目 ID 或项目编号,具体取决于RESOURCE_TYPE中指定的资源类型。
在您的命令中添加 --freshness 标志,以读取超过 1 天的日志。
如需详细了解如何使用 gcloud CLI,请参阅 gcloud logging read。
如果您的组织下有多个项目,则可以使用汇总接收器来汇总组织下的所有项目中的审核日志条目,并将其路由到 BigQuery 表。如需详细了解如何创建汇总接收器,请参阅整理组织级日志并将其路由到支持的目标位置。
后续步骤
如需详细了解如何创建和管理组织政策限制条件,请参阅使用限制条件。