Einführung in den Organisationsrichtliniendienst

Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator von Organisationsrichtlinien können Sie Einschränkungen für die gesamte Ressourcenhierarchie konfigurieren.

Vorteile

  • Sie zentralisieren die Kontrolle, um Einschränkungen für die Nutzung der Organisationsressourcen zu konfigurieren.
  • Sie definieren und richten Leitlinien für die Entwicklungsteams ein, damit alle geltenden gesetzlichen Bestimmungen eingehalten werden.
  • Sie unterstützen Projektinhaber und ihre Teams dabei, schnell zu agieren, ohne sich um Verstöße gegen geltende gesetzliche Bestimmungen sorgen zu müssen.

Gängige Anwendungsfälle

Mit Organisationsrichtlinien haben Sie folgende Möglichkeiten:

Es gibt viele weitere Einschränkungen, die Ihnen eine detaillierte Kontrolle über die Ressourcen Ihrer Organisation ermöglichen. Weitere Informationen finden Sie in der Liste aller Einschränkungen für Organisationsrichtliniendienste.

Unterschiede zur Identitäts- und Zugriffsverwaltung

Das Identitäts- und Zugriffsmanagement erfolgt auf Nutzerebene. Administratoren können Nutzer autorisieren, auf der Grundlage ihrer Berechtigungen Aktionen an bestimmten Ressourcen auszuführen.

Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und lässt den Administrator Einschränkungen für bestimmte Ressourcen festlegen, um zu bestimmen, wie diese konfiguriert werden können.

Funktionsweise von Organisationsrichtlinien

Mit einer Organisationsrichtlinie wird eine einzelne Einschränkung konfiguriert, die einen oder mehrere Google Cloud-Dienste einschränkt. Die Organisationsrichtlinie wird für eine Organisations-, Ordner- oder Projektressource festgelegt, um die Einschränkung für diese Ressource und alle untergeordneten Ressourcen durchzusetzen.

Eine Organisationsrichtlinie enthält eine oder mehrere Regeln, die festlegen, wie und ob die Einschränkung erzwungen werden soll. Eine Organisationsrichtlinie kann beispielsweise eine Regel enthalten, die die Einschränkung nur für Ressourcen mit dem Tag environment=development erzwingt, und eine andere Regel, die verhindert, dass die Einschränkung für andere Ressourcen erzwungen wird.

Untergeordnete Elemente der Ressource, an die die Organisationsrichtlinie angehängt ist, übernehmen die Organisationsrichtlinie. Durch Anwenden einer Organisationsrichtlinie auf die Organisationsressource kann der Administrator von Organisationsrichtlinien die Durchsetzung dieser Organisationsrichtlinie und die Konfiguration von Einschränkungen für die gesamte Organisation steuern.

Organisationsrichtlinienkonzepte

Einschränkungen

Eine Einschränkung wird spezifisch für einen Google Cloud-Dienst oder eine Liste von Google Cloud-Diensten festgelegt. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Mit der Einschränkung compute.storageResourceUseRestrictions können Sie beispielsweise den Zugriff von Projektressourcen auf Compute Engine-Speicherressourcen einschränken.

Diese Vorlage wird dann als Organisationsrichtlinie auf eine Ressource in Ihrer Ressourcenhierarchie angewendet, wodurch die in der Einschränkung definierten Regeln implementiert werden. Der Google Cloud-Dienst, der dieser Einschränkung zugeordnet und mit dem Knoten der Ressourcenhierarchie verknüpft ist, erzwingt dann die Einschränkungen, die in der Organisationsrichtlinie konfiguriert wurden.

Eine Organisationsrichtlinie wird in einer YAML- oder JSON-Datei durch die erzwungene Einschränkung und optional durch die Bedingungen definiert, unter denen die Einschränkung erzwungen wird. Jede Organisationsrichtlinie erzwingt genau eine Einschränkung im aktiven Modus, im Probelaufmodus oder in beiden Modi.

Eine Einschränkung hat den Erzwingungstyp „Liste“ oder „Boolesch“, der bestimmt, welche Werte für die Überprüfung der Erzwingung verwendet werden können. Der die Einschränkung durchsetzende Google Cloud-Dienst wertet den Typ und Wert der Einschränkung aus, um ihren Umfang zu ermitteln.

Listeneinschränkungen

Eine Listeneinschränkung lässt eine Liste von Werten, die in einer Organisationsrichtlinie definiert ist, zu oder nicht zu. Diese Liste von Werten wird in Form eines Strings für die Hierarchieunterstruktur angegeben. Der Unterstrukturstring gibt die Art von Ressource an, für die er gilt. Die Listeneinschränkung constraints/compute.trustedImageProjects kann beispielsweise eine Liste von Projekt-IDs im Format projects/PROJECT_ID annehmen.

Sie können einem Wert für unterstützte Einschränkungen ein Präfix in Form von prefix:value voranstellen, das den Wert weiter spezifiziert:

  • is:: Führt einen Vergleich mit dem genauen Wert durch. Dieses Verhalten ist mit dem Verhalten ohne Präfix identisch und erforderlich, wenn der Wert einen Doppelpunkt enthält.

  • under:: Führt einen Vergleich mit dem Wert und allen zugehörigen untergeordneten Werten durch. Wenn eine Ressource mit diesem Präfix zugelassen oder abgelehnt wird, werden ihre untergeordneten Ressourcen ebenfalls zugelassen oder abgelehnt. Der angegebene Wert muss die ID einer Organisation, eines Ordners oder einer Projektressource sein.

  • in:: Führt einen Vergleich mit allen Ressourcen durch, die diesen Wert enthalten. Sie können beispielsweise in:us-locations zur Liste der abgelehnten Standorte der Einschränkung constraints/gcp.resourceLocations hinzufügen, um alle Standorte zu blockieren, die zur Region us gehören.

Wenn keine Liste mit Werten bereitgestellt wird oder die Organisationsrichtlinie auf den von Google verwalteten Standardwert festgelegt ist, tritt das Standardverhalten der Einschränkung in Kraft, bei dem entweder alle Werte zulässig oder alle Werte unzulässig sind.

Die folgende Organisationsrichtlinie erzwingt eine Einschränkung, die es den Compute Engine-VM-Instanzen vm-1 und vm-2 in organizations/1234567890123 erlaubt, auf externe IP-Adressen zuzugreifen:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Boolesche Einschränkungen

Eine boolesche Einschränkung wird entweder erzwungen oder nicht erzwungen. Die vordefinierte Einschränkung constraints/compute.disableSerialPortAccess hat beispielsweise zwei mögliche Status:

  • Erzwingen: Die Einschränkung wird erzwungen und der Zugriff auf den seriellen Port ist nicht zulässig.
  • Nicht durchgesetzt: Die Einschränkung disableSerialPortAccess wird nicht durchgesetzt oder aktiviert, daher ist der Zugriff auf den seriellen Port zulässig.

Wenn die Organisationsrichtlinie auf den von Google verwalteten Standardwert festgelegt ist, wird das Standardverhalten für die Einschränkung angewendet.

Die folgende Organisationsrichtlinie erzwingt eine Einschränkung, die das Erstellen externer Dienstkonten in organizations/1234567890123 deaktiviert:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Benutzerdefinierte Organisationsrichtlinien

Mit benutzerdefinierten Organisationsrichtlinien können das Erstellen und Aktualisieren von Ressourcen auf die gleiche Weise wie mit vordefinierten Organisationsrichtlinien zugelassen oder eingeschränkt werden. Administratoren können jedoch Bedingungen basierend auf Anfrageparametern und anderen Metadaten konfigurieren. Mit den Policy Intelligence-Tools können Sie Ihre benutzerdefinierten Richtlinien für Ihre Organisation testen und analysieren.

Sie können benutzerdefinierte Organisationsrichtlinien mit Einschränkungen erstellen, die Vorgänge auf bestimmten Dienstressourcen einschränken, z. B. auf Dataproc-NodePool-Ressourcen. Eine Liste der Dienstressourcen, die benutzerdefinierte Einschränkungen unterstützen, finden Sie unter Unterstützte Dienste für benutzerdefinierte Einschränkungen.

Weitere Informationen zur Verwendung benutzerdefinierter Organisationsrichtlinien finden Sie unter Benutzerdefinierte Organisationsrichtlinien erstellen und verwalten.

Verwaltete Einschränkungen

Verwaltete Einschränkungen sind vordefinierte Einschränkungen, die auf der Plattform für benutzerdefinierte Organisationsrichtlinien erstellt wurden. Mit der benutzerdefinierten Plattform für Organisationsrichtlinien können Organisationsrichtlinien flexibler gestaltet und mithilfe von Policy Intelligence-Tools besser analysiert werden.

Weitere Informationen zur Verwendung verwalteter Einschränkungen finden Sie unter Einschränkungen verwenden.

Organisationsrichtlinien im Probelaufmodus

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden protokolliert, die betreffenden Aktionen werden jedoch nicht abgelehnt.

Sie können Organisationsrichtlinien im Modus „Dry Run“ verwenden, um zu sehen, wie sich Richtlinienänderungen auf Ihre Workflows auswirken würden, bevor sie erzwungen werden. Weitere Informationen finden Sie unter Organisationsrichtlinie im Modus „Probelauf“ erstellen.

Bedingte Organisationsrichtlinien

Mit Tags können Sie Einschränkungen bedingt erzwingen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Mit Tags und der bedingten Erzwingung von Einschränkungen können Sie die Ressourcen in Ihrer Hierarchie zentral steuern.

Weitere Informationen zu Tags finden Sie unter Tags – Übersicht. Informationen zum Festlegen einer bedingten Organisationsrichtlinie mithilfe von Tags finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Übernahme

Wenn eine Organisationsrichtlinie für eine Ressource festgelegt wurde, wird diese von allen untergeordneten Elementen der Ressource standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für die Organisationsressource festlegen, wird die Konfiguration der Einschränkungen, die von dieser Richtlinie definiert werden, über alle untergeordneten Ordner, Projekte und Dienstressourcen weitergegeben.

Sie können eine Organisationsrichtlinie für eine untergeordnete Ressource festlegen, die entweder die Übernahme überschreibt oder die Organisationsrichtlinie der übergeordneten Ressource übernimmt. Im letzteren Fall werden die beiden Organisationsrichtlinien gemäß den Regeln zur Evaluierung der Hierarchie zusammengeführt. So können Sie genau steuern, wie die Organisationsrichtlinien in der Organisation angewendet werden und wo Ausnahmen gelten sollen.

Weitere Informationen finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Verstöße

Ein Verstoß liegt vor, wenn ein Google Cloud-Dienst im Rahmen seiner Ressourcenhierarchie in einem Modus agiert oder sich in einem Status befindet, der mit der konfigurierten Organisationsrichtlinieneinschränkung im Konflikt steht. Google Cloud-Dienste erzwingen Einschränkungen, um Verstöße zu verhindern, jedoch ist die Anwendung neuer Organisationsrichtlinien in der Regel nicht rückwirkend. Wenn die Einschränkung einer Organisationsrichtlinie rückwirkend erzwungen wird, wird sie auf der Seite Einschränkungen für Organisationsrichtlinien entsprechend gekennzeichnet.

Wenn eine neue Organisationsrichtlinie eine Einschränkung für eine Aktion oder einen Status festlegt, die bereits einen Service beinhaltet, wird davon ausgegangen, dass die Richtlinie einen Verstoß darstellt. Der Service wird jedoch wie gewohnt weitergeführt. Dieser Verstoß muss manuell von Ihnen behoben werden. Dies verhindert das Risiko, dass eine neue Organisationsrichtlinie Ihre Geschäftskontinuität vollständig zum Erliegen bringt.

Policy Intelligence

Policy Intelligence ist eine Suite von Tools zur Verwaltung von Sicherheitsrichtlinien. Mit diesen Tools können Sie die Ressourcennutzung nachvollziehen, vorhandene Sicherheitsrichtlinien verstehen und verbessern und Fehlkonfigurationen bei Richtlinien verhindern.

Einige Policy Intelligence-Tools wurden speziell zum Testen und Analysieren von Richtlinien für den Dienst „Organization Policy Service“ entwickelt. Wir empfehlen, alle Änderungen an den Richtlinien Ihrer Organisation zu testen und in einer Testumgebung durchzuspielen. Mit Policy Intelligence können Sie unter anderem folgende Aufgaben ausführen:

Weitere Informationen zu diesen und anderen Policy Intelligence-Tools finden Sie unter Policy Intelligence-Übersicht.

Nächste Schritte