Einführung in den Organisationsrichtliniendienst

Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator von Organisationsrichtlinien können Sie Einschränkungen für die gesamte Ressourcenhierarchie konfigurieren.

Vorteile

• Sie zentralisieren die Kontrolle, um Einschränkungen für die Nutzung der Organisationsressourcen zu konfigurieren.
• Sie definieren und richten Leitlinien für die Entwicklungsteams ein, damit alle geltenden gesetzlichen Bestimmungen eingehalten werden.
• Sie unterstützen Projektinhaber und ihre Teams dabei, schnell zu agieren, ohne sich um Verstöße gegen geltende gesetzliche Bestimmungen sorgen zu müssen.

Gängige Anwendungsfälle

Mit Organisationsrichtlinien haben Sie folgende Möglichkeiten:

• Beschränken der Ressourcenfreigabe auf Grundlage der Domain
• Nutzung von IAM-Dienstkonten (Identity and Access Management) einschränken
• Beschränken Sie den physischen Standort neu erstellter Ressourcen.

Es gibt viele weitere Einschränkungen, die Ihnen eine detaillierte Kontrolle über die Ressourcen Ihrer Organisation ermöglichen. Weitere Informationen finden Sie in der Liste aller Einschränkungen für Organisationsrichtliniendienste.

Unterschiede zur Identitäts- und Zugriffsverwaltung

Die Identitäts- und Zugriffsverwaltung konzentriert sich auf wer und ermöglicht dem Administrator die Autorisierung von Nutzern. die je nach Berechtigungen Aktionen für bestimmte Ressourcen ausführen können.

Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und lässt den Administrator Einschränkungen für bestimmte Ressourcen festlegen, um zu bestimmen, wie diese konfiguriert werden können.

Funktionsweise von Organisationsrichtlinien

Eine Organisationsrichtlinie konfiguriert eine einzelne Einschränkung, die eine bestimmte Einschränkung oder mehr Google Cloud-Dienste. Die Organisationsrichtlinie wird für eine Organisations-, Ordner- oder Projektressource festgelegt, um die Einschränkung für diese Ressource und alle untergeordneten Ressourcen zu erzwingen.

Eine Organisationsrichtlinie enthält eine oder mehrere Regeln, die festlegen, wie und ob die Einschränkung erzwungen werden soll. Eine Organisationsrichtlinie könnte beispielsweise enthalten eine Regel, die die Einschränkung nur für mit Tags gekennzeichnete Ressourcen erzwingt environment=development und eine weitere Regel, die die Einschränkung für andere Ressourcen erzwungen.

Untergeordnete Elemente der Ressource, mit der die Organisationsrichtlinie verknüpft ist übernehmen Sie die Organisationsrichtlinie. Durch Anwenden einer Organisation an die Organisationsressource zu senden, kann der Administrator der Organisationsrichtlinie Folgendes tun: die Erzwingung dieser Organisationsrichtlinie und die Konfiguration in Ihrer Organisation.

Einschränkungen

Eine Einschränkung ist eine Art der Einschränkung Google Cloud-Dienst oder eine Liste von Google Cloud-Diensten. Denken der Einschränkung als Vorlage, die definiert, welches Verhalten gesteuert wird. Mit der Einschränkung compute.storageResourceUseRestrictions können Sie beispielsweise den Zugriff von Projektressourcen auf Compute Engine-Speicherressourcen einschränken.

Diese Vorlage wird dann als Organisationsrichtlinie auf eine Ressource in Ihrer Ressourcenhierarchie angewendet, wodurch die in der Einschränkung definierten Regeln implementiert werden. Der Google Cloud-Dienst, der dieser Einschränkung zugeordnet und mit erzwingt dieser Knoten in der Ressourcenhierarchie dann die konfigurierten Einschränkungen innerhalb der Organisationsrichtlinie.

Eine Organisationsrichtlinie wird in einer YAML- oder JSON-Datei durch die erzwungene Einschränkung und optional durch die Bedingungen definiert, unter denen die Einschränkung erzwungen wird. Jede Organisationsrichtlinie erzwingt genau eine Einschränkung im aktiven Modus, im Probelaufmodus oder in beiden.

Eine Einschränkung hat den Erzwingungstyp „Liste“ oder „Boolescher Wert“. Damit wird festgelegt, -Werte, die zur Überprüfung der Erzwingung verwendet werden können. Der die Einschränkung durchsetzende Google Cloud-Dienst wertet den Typ und Wert der Einschränkung aus, um ihren Umfang zu ermitteln.

Listeneinschränkungen

Eine Listeneinschränkung lässt eine Liste von Werten, die in einer Organisationsrichtlinie definiert ist, zu oder nicht zu. Diese Liste von Werten wird als Hierarchie-Unterstruktur ausgedrückt . Der Unterstrukturstring gibt die Art von Ressource an, für die er gilt. Für Beispiel: Die Listeneinschränkung constraints/compute.trustedImageProjects Eine Liste von Projekt-IDs im Format projects/PROJECT_ID.

Sie können einem Wert für unterstützte Einschränkungen ein Präfix in Form von prefix:value voranstellen, das den Wert weiter spezifiziert:

• is:: Führt einen Vergleich mit dem genauen Wert durch. Das Gleiche ohne Präfix und ist erforderlich, wenn der Wert ein Doppelpunkt.

• under:: Führt einen Vergleich mit dem Wert und allen zugehörigen untergeordneten Werten durch. Wenn ob eine Ressource mit diesem Präfix zugelassen oder abgelehnt wird, werden auch ihre untergeordneten Ressourcen zulässig oder abgelehnt werden. Der angegebene Wert muss die ID einer Organisation sein. Projektressource zu erstellen.

• in:: Führt einen Vergleich mit allen Ressourcen durch, die diesen Wert enthalten. Für Sie können beispielsweise in:us-locations zur Sperrliste der constraints/gcp.resourceLocations, um alle Standorte zu blockieren, die in der Region us enthalten.

Wenn keine Liste mit Werten angegeben ist oder die Organisationsrichtlinie auf die von Google verwaltet wird, gilt das Standardverhalten der Einschränkung , mit der entweder alle Werte zugelassen oder alle Werte abgelehnt werden.

Die folgende Organisationsrichtlinie erzwingt eine Einschränkung, die es den Compute Engine-VM-Instanzen vm-1 und vm-2 in organizations/1234567890123 erlaubt, auf externe IP-Adressen zuzugreifen:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Boolesche Einschränkungen

Eine boolesche Einschränkung wird entweder erzwungen oder nicht. Die vordefinierte Einschränkung constraints/compute.disableSerialPortAccess hat beispielsweise zwei mögliche Status:

• Erzwingen: Die Einschränkung wird erzwungen und der Zugriff auf den seriellen Port ist nicht zulässig.
• Nicht durchgesetzt: Die Einschränkung disableSerialPortAccess wird nicht durchgesetzt oder aktiviert, daher ist der Zugriff auf den seriellen Port zulässig.

Wenn die Organisationsrichtlinie auf den von Google verwalteten Standardwert festgelegt ist, wird das Standardverhalten für die Einschränkung angewendet.

Die folgende Organisationsrichtlinie erzwingt eine Einschränkung, mit der die Erstellung externer Dienstkonten in organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Benutzerdefinierte Organisationsrichtlinien

Mit benutzerdefinierten Organisationsrichtlinien können das Erstellen und Aktualisieren von Ressourcen auf die gleiche Weise wie mit vordefinierten Organisationsrichtlinien zugelassen oder eingeschränkt werden. Administratoren können jedoch Bedingungen basierend auf Anfrageparametern und anderen Metadaten konfigurieren.

Sie können benutzerdefinierte Organisationsrichtlinien mit Einschränkungen erstellen, die Vorgänge auf bestimmten Dienstressourcen einschränken, z. B. auf Dataproc-NodePool-Ressourcen. Eine Liste der Dienstressourcen, die benutzerdefinierte Einschränkungen unterstützen, finden Sie unter Unterstützte Dienste für benutzerdefinierte Einschränkungen.

Weitere Informationen zur Verwendung benutzerdefinierter Organisationsrichtlinien finden Sie unter Benutzerdefinierte Organisationsrichtlinien erstellen und verwalten.

Organisationsrichtlinie im Probelaufmodus

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden protokolliert, die betreffenden Aktionen werden jedoch nicht abgelehnt.

Sie können die Organisationsrichtlinie im Probelaufmodus verwenden, um zu überwachen, wie sich die Richtlinie ändert auf Ihre Workflows auswirken würde, bevor sie erzwungen wird. Weitere Informationen finden Sie unter Organisationsrichtlinie im Modus „Probelauf“ erstellen.

Bedingte Organisationsrichtlinien

Mit Tags können Sie Einschränkungen bedingt erzwingen, je nachdem, ob ein Ressource ein bestimmtes Tag hat. Mit Tags und der bedingten Erzwingung von Einschränkungen können Sie die Ressourcen in Ihrer Hierarchie zentral steuern.

Weitere Informationen finden Sie unter Tags – Übersicht. Informationen zum Festlegen einer bedingten Organisationsrichtlinie mithilfe von Tags finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Übernahme

Wenn eine Organisationsrichtlinie für eine Ressource festgelegt wurde, wird diese von allen untergeordneten Elementen der Ressource standardmäßig übernommen. Wenn Sie eine für die Organisationsressource, dann die Konfiguration die durch diese Richtlinie definierten Einschränkungen, gelten für alle untergeordneten Ordner, Projekte und Dienstressourcen.

Sie können eine Organisationsrichtlinie für eine untergeordnete Ressource festlegen, die entweder die Übernahme überschreibt oder die Organisationsrichtlinie der übergeordneten Ressource übernimmt. Im letzteren Fall werden die beiden Organisationsrichtlinien die Regeln der Hierarchieauswertung. So können Sie genau steuern, wie die Organisationsrichtlinien in der Organisation angewendet werden und wo Ausnahmen gelten sollen.

Weitere Informationen zur Evaluierung der Hierarchie finden Sie unter Informationen zur Hierarchie. Seite.

Verstöße

Ein Verstoß liegt vor, wenn ein Google Cloud-Dienst im Rahmen seiner Ressourcenhierarchie in einem Modus agiert oder sich in einem Status befindet, der mit der konfigurierten Organisationsrichtlinieneinschränkung im Konflikt steht. Google Cloud-Dienste erzwingen Einschränkungen, um Verstöße zu verhindern, jedoch ist die Anwendung neuer Organisationsrichtlinien in der Regel nicht rückwirkend. Wenn die Einschränkung einer Organisationsrichtlinie rückwirkend erzwungen wird, wird sie auf der Seite Einschränkungen für Organisationsrichtlinien entsprechend gekennzeichnet.

Wenn eine neue Organisationsrichtlinie eine Einschränkung für eine Aktion oder einen Status festlegt, die bereits einen Service beinhaltet, wird davon ausgegangen, dass die Richtlinie einen Verstoß darstellt. Der Service wird jedoch wie gewohnt weitergeführt. Dieser Verstoß muss manuell von Ihnen behoben werden. Dies verhindert das Risiko, dass eine neue Organisationsrichtlinie Ihre Geschäftskontinuität vollständig zum Erliegen bringt.

Policy Intelligence

Policy Intelligence ist eine Suite von Tools zur Verwaltung von Sicherheitsrichtlinien. Mit diesen Tools können Sie die Ressourcennutzung nachvollziehen, vorhandene Sicherheitsrichtlinien verstehen und verbessern und Fehlkonfigurationen bei Richtlinien verhindern.

Einige Policy Intelligence-Tools wurden speziell Organisationsrichtliniendienst-Richtlinien testen und analysieren. Wir empfehlen Ihnen, Führen Sie alle Änderungen an Ihren Organisationsrichtlinien per Probelauf aus. Mit Policy Intelligence können Sie unter anderem folgende Aufgaben ausführen:

• Änderungen testen an Organisationsrichtlinien und -beschränkungen zu richten und Ressourcen zu identifizieren, nicht konform gemäß der vorgeschlagenen Richtlinie (Vorschau)
• Nicht konforme Ressourcen identifizieren bei Änderungen an Organisationsrichtlinien und Einschränkungen (Vorabversion)
• Erstellen Sie eine Organisationsrichtlinie für den Testlauf, um zu sehen, wie sich eine Richtlinienänderung auf Ihre Workflows auswirken würde.
• Bestehende Organisationsrichtlinien analysieren welche Google Cloud-Ressourcen von welchen Organisationsrichtlinie

Weitere Informationen zu diesen Tools und anderen Policy Intelligence-Tools finden Sie unter Policy Intelligence-Überblick.

Nächste Schritte

• Seite Organisationen erstellen und verwalten mit Informationen dazu, wie Sie eine Organisationsressource erhalten
• Weitere Informationen Erstellen und Verwalten von Organisationsrichtlinien mit der Google Cloud Console
• Organisationsrichtlinien mithilfe von Einschränkungen definieren
• Lösungen, die mit Einschränkungen in Organisationsrichtlinien erreicht werden können