Pengantar Layanan Kebijakan Organisasi

Layanan Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource cloud organisasi. Sebagai administrator kebijakan organisasi, Anda dapat mengonfigurasi batasan di seluruh hierarki resource Anda.

Manfaat

  • Kontrol terpusat untuk mengonfigurasi batasan tentang cara penggunaan resource organisasi Anda.
  • Menentukan dan menetapkan pembatasan untuk tim pengembangan Anda agar tetap berada dalam batas kepatuhan.
  • Membantu pemilik project dan tim mereka bergerak cepat tanpa khawatir melanggar kepatuhan.

Kasus penggunaan umum

Kebijakan organisasi memungkinkan Anda melakukan hal berikut:

Ada banyak batasan lainnya yang memberi Anda kontrol terperinci atas resource organisasi. Untuk mengetahui informasi selengkapnya, lihat daftar semua batasan Layanan Kebijakan Organisasi.

Perbedaan dengan Identity and Access Management

Identity and Access Management berfokus pada siapa, dan memungkinkan administrator memberikan otorisasi kepada siapa yang dapat mengambil tindakan atas resource tertentu berdasarkan izin.

Kebijakan Organisasi berfokus pada apa, dan memungkinkan administrator menetapkan batasan pada resource tertentu untuk menentukan cara mengonfigurasinya.

Cara kerja kebijakan organisasi

Kebijakan organisasi mengonfigurasi satu batasan yang membatasi satu atau beberapa layanan Google Cloud. Kebijakan organisasi ditetapkan pada resource organisasi, folder, atau project untuk menerapkan batasan pada resource tersebut dan resource turunan apa pun.

Kebijakan organisasi berisi satu atau beberapa aturan yang menentukan cara, dan apakah, akan menerapkan batasan. Misalnya, kebijakan organisasi dapat berisi satu aturan yang menerapkan batasan hanya pada resource yang diberi tag environment=development, dan aturan lain yang mencegah batasan tersebut diterapkan pada resource lain.

Turunan resource tempat kebijakan organisasi dilampirkan mewarisi kebijakan organisasi. Dengan menerapkan kebijakan organisasi ke resource organisasi, administrator kebijakan organisasi dapat mengontrol penegakan kebijakan organisasi tersebut dan konfigurasi batasan di seluruh organisasi Anda.

Konsep kebijakan organisasi

Batasan

Batasan adalah jenis pembatasan tertentu terhadap layanan Google Cloud atau daftar layanan Google Cloud. Anggap batasan sebagai blueprint yang menentukan perilaku yang dikontrol. Misalnya, Anda dapat membatasi resource project agar tidak mengakses resource penyimpanan Compute Engine menggunakan batasan compute.storageResourceUseRestrictions.

Blueprint ini kemudian diterapkan ke resource dalam hierarki resource sebagai kebijakan organisasi, yang menerapkan aturan yang ditentukan dalam batasan. Layanan Google Cloud yang dipetakan ke batasan tersebut dan dikaitkan dengan node hierarki resource tersebut akan menerapkan batasan yang dikonfigurasi dalam kebijakan organisasi.

Kebijakan organisasi ditentukan dalam file YAML atau JSON berdasarkan batasan yang diterapkannya, dan secara opsional berdasarkan kondisi penerapan batasan tersebut. Setiap kebijakan organisasi menerapkan tepat satu batasan dalam mode aktif, mode uji coba, atau keduanya.

Batasan memiliki jenis penerapan daftar atau boolean, yang menentukan nilai yang dapat digunakan untuk memeriksa penerapan. Layanan Google Cloud yang menerapkannya akan mengevaluasi jenis dan nilai batasan untuk menentukan pembatasan.

Mencantumkan batasan

Batasan daftar mengizinkan atau melarang daftar nilai yang ditentukan dalam kebijakan organisasi. Daftar nilai ini dinyatakan sebagai string subhierarki hierarki. String sub-pohon menentukan jenis resource yang berlaku. Misalnya, batasan daftar constraints/compute.trustedImageProjects menggunakan daftar project ID dalam bentuk projects/PROJECT_ID.

Nilai dapat diberi awalan dalam bentuk prefix:value untuk batasan yang mendukungnya, yang memberikan makna tambahan pada nilai:

  • is: - menerapkan perbandingan terhadap nilai persis. Ini adalah perilaku yang sama dengan tidak memiliki awalan, dan diperlukan jika nilai menyertakan titik dua.

  • under: - menerapkan perbandingan ke nilai dan semua nilai turunannya. Jika resource diizinkan atau ditolak dengan awalan ini, resource turunannya juga diizinkan atau ditolak. Nilai yang diberikan harus berupa ID resource organisasi, folder, atau project.

  • in: - menerapkan perbandingan ke semua resource yang menyertakan nilai ini. Misalnya, Anda dapat menambahkan in:us-locations ke daftar yang ditolak dari batasan constraints/gcp.resourceLocations untuk memblokir semua lokasi yang disertakan dalam region us.

Jika tidak ada daftar nilai yang diberikan, atau kebijakan organisasi ditetapkan ke default yang dikelola Google, perilaku default batasan akan berlaku, yang mengizinkan semua nilai atau menolak semua nilai.

Kebijakan organisasi berikut menerapkan batasan yang memungkinkan instance VM Compute Engine vm-1 dan vm-2 di organizations/1234567890123 mengakses alamat IP eksternal:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Batasan Boolean

Batasan boolean diterapkan atau tidak diterapkan. Misalnya, batasan yang telah ditentukan sebelumnya constraints/compute.disableSerialPortAccess memiliki dua kemungkinan status:

  • Diterapkan - batasan diterapkan, dan akses port serial tidak diizinkan.
  • Tidak diterapkan - batasan disableSerialPortAccess tidak diterapkan atau diperiksa, sehingga akses port serial diizinkan.

Jika kebijakan organisasi disetel ke default yang dikelola Google, perilaku default untuk batasan akan diterapkan.

Kebijakan organisasi berikut menerapkan batasan yang menonaktifkan pembuatan akun layanan eksternal di organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Kebijakan organisasi kustom

Kebijakan organisasi kustom dapat mengizinkan atau membatasi pembuatan dan pembaruan resource dengan cara yang sama seperti kebijakan organisasi standar, tetapi memungkinkan administrator mengonfigurasi kondisi berdasarkan parameter permintaan dan metadata lainnya. Anda dapat menggunakan alat Policy Intelligence untuk menguji dan menganalisis kebijakan organisasi kustom.

Anda dapat membuat kebijakan organisasi kustom dengan batasan yang membatasi operasi pada resource layanan tertentu, seperti resource NodePool Dataproc. Untuk daftar resource layanan yang mendukung batasan kustom, lihat Layanan yang didukung batasan kustom.

Untuk mempelajari lebih lanjut cara menggunakan kebijakan organisasi kustom, lihat Membuat dan mengelola kebijakan organisasi kustom.

Batasan terkelola

Batasan terkelola adalah batasan standar yang telah dibuat di platform kebijakan organisasi kustom. Platform kebijakan organisasi kustom memungkinkan kebijakan organisasi dirancang dengan lebih fleksibel, dan dengan insight yang lebih besar dari alat Policy Intelligence.

Untuk mempelajari lebih lanjut cara menggunakan batasan terkelola, lihat Menggunakan batasan.

Kebijakan organisasi dalam mode uji coba

Kebijakan organisasi dalam mode uji coba dibuat dan diterapkan dengan cara yang sama seperti kebijakan organisasi lainnya, dan pelanggaran kebijakan dicatat ke dalam log audit, tetapi tindakan yang melanggar tidak ditolak.

Anda dapat menggunakan kebijakan organisasi dalam mode uji coba untuk memantau pengaruh perubahan kebijakan terhadap alur kerja Anda sebelum diterapkan. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan organisasi dalam mode uji coba.

Kebijakan organisasi bersyarat

Tag menyediakan cara untuk menerapkan batasan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda dapat menggunakan tag dan penerapan batasan bersyarat untuk memberikan kontrol terpusat atas resource dalam hierarki Anda.

Untuk mengetahui informasi selengkapnya tentang tag, lihat Ringkasan tag. Untuk mempelajari cara menetapkan kebijakan organisasi bersyarat menggunakan tag, lihat Menetapkan kebijakan organisasi dengan tag.

Pewarisan

Saat kebijakan organisasi ditetapkan pada resource, semua turunan resource tersebut akan mewarisi kebijakan organisasi secara default. Jika Anda menetapkan kebijakan organisasi pada resource organisasi, konfigurasi batasan yang ditentukan oleh kebijakan tersebut akan diteruskan melalui semua folder, project, dan resource layanan turunan.

Anda dapat menetapkan kebijakan organisasi pada resource turunan yang menimpa pewarisan, atau mewarisi kebijakan organisasi resource induk. Dalam kasus kedua, kedua kebijakan organisasi digabungkan berdasarkan aturan evaluasi hierarki. Hal ini memberikan kontrol yang akurat atas cara kebijakan organisasi Anda diterapkan di seluruh organisasi, dan tempat Anda ingin pengecualian dibuat.

Untuk mempelajari lebih lanjut, lihat Memahami evaluasi hierarki.

Pelanggaran

Pelanggaran terjadi saat layanan Google Cloud bertindak atau berada dalam status yang bertentangan dengan konfigurasi batasan kebijakan organisasi dalam cakupan hierarki resource-nya. Layanan Google Cloud akan menerapkan batasan untuk mencegah pelanggaran, tetapi penerapan kebijakan organisasi baru biasanya tidak bersifat retroaktif. Jika batasan kebijakan organisasi diterapkan secara retroaktif, batasan tersebut akan diberi label demikian di halaman batasan kebijakan organisasi.

Jika kebijakan organisasi baru menetapkan batasan pada tindakan atau status yang sudah dimiliki layanan, kebijakan tersebut dianggap melanggar, tetapi layanan tidak akan menghentikan perilaku aslinya. Anda harus mengatasi pelanggaran ini secara manual. Hal ini mencegah risiko kebijakan organisasi baru yang sepenuhnya menghentikan kontinuitas bisnis Anda.

Policy Intelligence

Policy Intelligence adalah serangkaian alat yang dirancang untuk membantu Anda mengelola kebijakan keamanan. Alat ini dapat membantu Anda memahami penggunaan resource, memahami dan meningkatkan kebijakan keamanan yang ada, serta mencegah kesalahan konfigurasi kebijakan.

Beberapa alat Policy Intelligence didesain khusus untuk membantu menguji dan menganalisis kebijakan Organization Policy Service. Sebaiknya uji dan jalankan uji coba semua perubahan pada kebijakan organisasi Anda. Dengan Policy Intelligence, Anda dapat melakukan tugas seperti berikut:

Untuk mempelajari lebih lanjut alat ini dan alat Policy Intelligence lainnya, lihat ringkasan Policy Intelligence.

Langkah berikutnya