Einführung in den Organisationsrichtliniendienst

Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator von Organisationsrichtlinien können Sie Einschränkungen für die gesamte Ressourcenhierarchie konfigurieren.

Vorteile

• Sie zentralisieren die Kontrolle, um Einschränkungen für die Nutzung der Organisationsressourcen zu konfigurieren.
• Sie definieren und richten Leitlinien für die Entwicklungsteams ein, damit alle geltenden gesetzlichen Bestimmungen eingehalten werden.
• Sie unterstützen Projektinhaber und ihre Teams dabei, schnell zu agieren, ohne sich um Verstöße gegen geltende gesetzliche Bestimmungen sorgen zu müssen.

Gängige Anwendungsfälle

Mit Organisationsrichtlinien haben Sie folgende Möglichkeiten:

• Beschränken der Ressourcenfreigabe auf Grundlage der Domain
• Nutzung von IAM-Dienstkonten (Identity and Access Management) einschränken
• Beschränken Sie den physischen Standort neu erstellter Ressourcen.

Es gibt viele weitere Einschränkungen, die Ihnen eine detaillierte Kontrolle über die Ressourcen Ihrer Organisation ermöglichen. Weitere Informationen finden Sie in der Liste aller Einschränkungen für Organisationsrichtliniendienste.

Unterschiede zur Identitäts- und Zugriffsverwaltung

Das Identitäts- und Zugriffsmanagement erfolgt auf Nutzerebene. Administratoren können Nutzer autorisieren, auf der Grundlage ihrer Berechtigungen Aktionen an bestimmten Ressourcen auszuführen.

Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und lässt den Administrator Einschränkungen für bestimmte Ressourcen festlegen, um zu bestimmen, wie diese konfiguriert werden können.

Funktionsweise von Organisationsrichtlinien

Mit einer Organisationsrichtlinie wird eine einzelne Einschränkung konfiguriert, die einen oder mehrere Google Cloud Dienste einschränkt. Die Organisationsrichtlinie wird für eine Organisations-, Ordner- oder Projektressource festgelegt, um die Einschränkung für diese Ressource und alle untergeordneten Ressourcen durchzusetzen.

Eine Organisationsrichtlinie enthält eine oder mehrere Regeln, die festlegen, wie und ob die Einschränkung erzwungen werden soll. Eine Organisationsrichtlinie kann beispielsweise eine Regel enthalten, die die Einschränkung nur für Ressourcen mit dem Tag environment=development erzwingt, und eine andere Regel, die verhindert, dass die Einschränkung für andere Ressourcen erzwungen wird.

Untergeordnete Elemente der Ressource, an die die Organisationsrichtlinie angehängt ist, übernehmen die Organisationsrichtlinie. Durch Anwenden einer Organisationsrichtlinie auf die Organisationsressource kann der Administrator von Organisationsrichtlinien die Durchsetzung dieser Organisationsrichtlinie und die Konfiguration von Einschränkungen für die gesamte Organisation steuern.

Einschränkungen

Eine Einschränkung gilt spezifisch für einen Google Cloud Dienst oder eine Liste von Google Cloud Diensten. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Mit der Einschränkung compute.storageResourceUseRestrictions können Sie beispielsweise den Zugriff von Projektressourcen auf Compute Engine-Speicherressourcen einschränken.

Diese Vorlage wird dann als Organisationsrichtlinie auf eine Ressource in Ihrer Ressourcenhierarchie angewendet, wodurch die in der Einschränkung definierten Regeln angewendet werden. Der Dienst Google Cloud , der dieser Einschränkung zugeordnet und mit dieser Ressource verknüpft ist, erzwingt die Einschränkungen, die in der Organisationsrichtlinie konfiguriert wurden.

Eine Organisationsrichtlinie wird in einer YAML- oder JSON-Datei durch die erzwungene Einschränkung und optional durch die Bedingungen definiert, unter denen die Einschränkung erzwungen wird. Jede Organisationsrichtlinie erzwingt genau eine Einschränkung im aktiven Modus, im Probelaufmodus oder in beiden Modi.

Vordefinierte Einschränkungen haben den Einschränkungstyp „Liste“ oder „Boolesch“. Dieser bestimmt die Werte, die für die Überprüfung der Erzwingung verwendet werden können. Der die Einschränkung durchsetzendeGoogle Cloud -Dienst wertet den Typ und Wert der Einschränkung aus, um ihren Umfang zu ermitteln.

Benutzerdefinierte Einschränkungen ähneln funktional booleschen Einschränkungen und werden entweder erzwungen oder nicht erzwungen.

Verwaltete Einschränkungen haben Listen- oder Boolesche Parameter. Die verfügbaren Parameter werden vom Google Cloud -Dienst bestimmt, der die Erzwingung durchführt.

Listeneinschränkungen

Eine Listeneinschränkung ist eine vordefinierte Einschränkung, die eine Liste von Werten, die in einer Organisationsrichtlinie definiert ist, zu oder nicht zulässt. Diese Liste von Werten wird in Form eines Strings für die Hierarchieunterstruktur angegeben. Der Unterstrukturstring gibt die Art von Ressource an, für die er gilt. Die Listeneinschränkung constraints/compute.trustedImageProjects nimmt beispielsweise eine Liste von Projekt-IDs im Format projects/PROJECT_ID an.

Sie können einem Wert für unterstützte Einschränkungen ein Präfix in Form von prefix:value voranstellen, das den Wert weiter spezifiziert:

• is:: Führt einen Vergleich mit dem genauen Wert durch. Dieses Verhalten ist mit dem Verhalten ohne Präfix identisch und erforderlich, wenn der Wert einen Doppelpunkt enthält.

• under:: Führt einen Vergleich mit dem Wert und allen zugehörigen untergeordneten Werten durch. Wenn eine Ressource mit diesem Präfix zugelassen oder abgelehnt wird, werden ihre untergeordneten Ressourcen ebenfalls zugelassen oder abgelehnt. Der angegebene Wert muss die ID einer Organisation, eines Ordners oder einer Projektressource sein.

• in:: Führt einen Vergleich mit allen Ressourcen durch, die diesen Wert enthalten. Sie können beispielsweise in:us-locations zur Liste der abgelehnten Standorte der Einschränkung constraints/gcp.resourceLocations hinzufügen, um alle Standorte zu blockieren, die zur Region us gehören.

Wenn keine Liste mit Werten bereitgestellt wird oder die Organisationsrichtlinie auf den von Google verwalteten Standardwert festgelegt ist, tritt das Standardverhalten der Einschränkung in Kraft, bei dem entweder alle Werte zulässig oder alle Werte unzulässig sind.

Die folgende Organisationsrichtlinie erzwingt eine Listeneinschränkung, die es den Compute Engine-VM-Instanzen vm-1 und vm-2 in organizations/1234567890123 erlaubt, auf externe IP-Adressen zuzugreifen:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Boolesche Einschränkungen

Eine boolesche Einschränkung ist eine vordefinierte Einschränkung, die entweder erzwungen oder nicht erzwungen wird. Die vordefinierte Einschränkung constraints/compute.disableSerialPortAccess hat beispielsweise zwei mögliche Status:

• Erzwingen: Die Einschränkung wird erzwungen und der Zugriff auf den seriellen Port ist nicht zulässig.
• Nicht durchgesetzt: Die Einschränkung disableSerialPortAccess wird nicht durchgesetzt oder aktiviert, daher ist der Zugriff auf den seriellen Port zulässig.

Wenn die Organisationsrichtlinie auf den von Google verwalteten Standardwert festgelegt ist, wird das Standardverhalten für die Einschränkung angewendet.

Die folgende Organisationsrichtlinie erzwingt eine vordefinierte Einschränkung, die das Erstellen externer Dienstkonten in organizations/1234567890123 deaktiviert:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Verwaltete Einschränkungen

Verwaltete Einschränkungen sind Einschränkungen, die auf der Plattform für benutzerdefinierte Organisationsrichtlinien erstellt wurden. Mit der benutzerdefinierten Plattform für Organisationsrichtlinien können Organisationsrichtlinien flexibler gestaltet und mithilfe von Policy Intelligence-Tools besser analysiert werden.

Verwaltete Einschränkungen sollen äquivalente vordefinierte Einschränkungen ersetzen. Wenn die entsprechende vordefinierte Einschränkung den Typ „boolesch“ hat, kann die verwaltete Einschränkung auf dieselbe Weise erzwungen oder nicht erzwungen werden. Die folgende Organisationsrichtlinie erzwingt beispielsweise iam.managed.disableServiceAccountCreation, was der entsprechenden Einschränkung für iam.disableServiceAccountCreation entspricht:

name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Wenn die entsprechende vordefinierte Einschränkung den Typ „Liste“ hat, unterstützt die verwaltete Einschränkung die Definition von Parametern, die die durch die Einschränkung eingeschränkten Ressourcen und Verhaltensweisen definieren. Die folgende Organisationsrichtlinie erzwingt beispielsweise eine verwaltete Einschränkung, die nur zulässt, dass den wichtigen Kontakten für organizations/1234567890123 die Domains example.com und altostrat.com hinzugefügt werden:

name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
   rules:
     - enforce: true
       parameters:
          allowedDomains:
               - @example.com
               - @altostrat.com

Weitere Informationen zur Verwendung verwalteter Einschränkungen finden Sie unter Einschränkungen verwenden.

Benutzerdefinierte Einschränkungen

Mit benutzerdefinierten Einschränkungen können Administratoren das Erstellen und Aktualisieren von Ressourcen auf die gleiche Weise zulassen oder einschränken wie mit booleschen Einschränkungen. Sie können jedoch Bedingungen basierend auf Anfrageparametern und anderen Metadaten konfigurieren. Mit Policy Intelligence-Tools können Sie Ihre benutzerdefinierten Organisationsrichtlinien testen und analysieren.

Eine Liste der Dienstressourcen, die benutzerdefinierte Einschränkungen unterstützen, finden Sie unter Unterstützte Dienste für benutzerdefinierte Einschränkungen.

Weitere Informationen zur Verwendung benutzerdefinierter Organisationsrichtlinien finden Sie unter Benutzerdefinierte Organisationsrichtlinien erstellen und verwalten.

Organisationsrichtlinien im Probelaufmodus

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden protokolliert, die betreffenden Aktionen werden jedoch nicht abgelehnt.

Sie können Organisationsrichtlinien im Modus „Probelauf“ verwenden, um zu sehen, wie sich Richtlinienänderungen auf Ihre Workflows auswirken würden, bevor sie erzwungen werden. Weitere Informationen finden Sie unter Organisationsrichtlinie im Modus „Probelauf“ erstellen.

Bedingte Organisationsrichtlinien

Mit Tags können Sie Einschränkungen bedingt erzwingen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Mit Tags und der bedingten Erzwingung von Einschränkungen können Sie die Ressourcen in Ihrer Hierarchie zentral steuern.

Weitere Informationen zu Tags finden Sie unter Tags – Übersicht. Informationen zum Festlegen einer bedingten Organisationsrichtlinie mithilfe von Tags finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Übernahme

Wenn eine Organisationsrichtlinie für eine Ressource festgelegt wurde, wird diese von allen untergeordneten Elementen der Ressource standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für die Organisationsressource festlegen, wird die Konfiguration der Einschränkungen, die von dieser Richtlinie definiert werden, über alle untergeordneten Ordner, Projekte und Dienstressourcen weitergegeben.

Sie können eine Organisationsrichtlinie für eine untergeordnete Ressource festlegen, die entweder die Übernahme überschreibt oder die Organisationsrichtlinie der übergeordneten Ressource übernimmt. Im letzteren Fall werden die beiden Organisationsrichtlinien gemäß den Regeln zur Evaluierung der Hierarchie zusammengeführt. So können Sie genau steuern, wie die Organisationsrichtlinien in der Organisation angewendet werden und wo Ausnahmen gelten sollen.

Weitere Informationen finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Verstöße

Ein Verstoß liegt vor, wenn ein Google Cloud -Dienst im Rahmen seiner Ressourcenhierarchie in einem Modus agiert oder sich in einem Status befindet, der mit der konfigurierten Organisationsrichtlinieneinschränkung im Konflikt steht. Google Cloud -Dienste erzwingen Einschränkungen, um Verstöße zu verhindern, jedoch ist die Anwendung neuer Organisationsrichtlinien in der Regel nicht rückwirkend. Google Cloud Wenn die Einschränkung einer Organisationsrichtlinie rückwirkend erzwungen wird, wird sie auf der Seite Einschränkungen für Organisationsrichtlinien entsprechend gekennzeichnet.

Wenn eine neue Organisationsrichtlinie eine Einschränkung für eine Aktion oder einen Status festlegt, die bereits einen Service beinhaltet, wird davon ausgegangen, dass die Richtlinie einen Verstoß darstellt. Der Service wird jedoch wie gewohnt weitergeführt. Dieser Verstoß muss manuell von Ihnen behoben werden. Dies verhindert das Risiko, dass eine neue Organisationsrichtlinie Ihre Geschäftskontinuität vollständig zum Erliegen bringt.

Policy Intelligence

Policy Intelligence ist eine Suite von Tools zur Verwaltung von Sicherheitsrichtlinien. Mit diesen Tools können Sie die Ressourcennutzung nachvollziehen, vorhandene Sicherheitsrichtlinien verstehen und verbessern und Fehlkonfigurationen bei Richtlinien verhindern.

Einige Policy Intelligence-Tools wurden speziell zum Testen und Analysieren von Richtlinien für den Dienst „Organization Policy Service“ entwickelt. Wir empfehlen, alle Änderungen an den Richtlinien Ihrer Organisation zu testen und in einer Testumgebung durchzuspielen. Mit Policy Intelligence können Sie unter anderem folgende Aufgaben ausführen:

• Änderungen an den Richtlinien und Einschränkungen der Organisation testen und Ressourcen ermitteln, die nicht der vorgeschlagenen Richtlinie entsprechen (Vorabversion)
• Erstellen Sie eine Organisationsrichtlinie für den Testlauf, um zu sehen, wie sich eine Richtlinienänderung auf Ihre Workflows auswirkt.
• Vorhandene Organisationsrichtlinien analysieren, um zu verstehen, welche Google Cloud Ressourcen von welcher Organisationsrichtlinie abgedeckt sind

Weitere Informationen zu diesen und anderen Policy Intelligence-Tools finden Sie unter Policy Intelligence-Übersicht.

Nächste Schritte

• Seite Organisationsressourcen erstellen und verwalten mit Informationen dazu, wie Sie eine Organisationsressource erhalten
• Informationen zum Definieren von Organisationsrichtlinien
• Lösungen, die mit Einschränkungen in Organisationsrichtlinien erreicht werden können