Layanan Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource cloud organisasi. Sebagai administrator kebijakan organisasi, Anda dapat mengonfigurasi batasan di seluruh hierarki resource Anda.
Manfaat
- Kontrol terpusat untuk mengonfigurasi batasan tentang cara penggunaan resource organisasi Anda.
- Menentukan dan menetapkan pembatasan untuk tim pengembangan Anda agar tetap berada dalam batas kepatuhan.
- Membantu pemilik project dan tim mereka bergerak cepat tanpa khawatir melanggar kepatuhan.
Kasus penggunaan umum
Kebijakan organisasi memungkinkan Anda melakukan hal berikut:
- Membatasi berbagi resource berdasarkan domain.
- Batasi penggunaan akun layanan Identity and Access Management (IAM).
- Membatasi lokasi fisik resource yang baru dibuat.
Ada banyak batasan lainnya yang memberi Anda kontrol terperinci atas resource organisasi. Untuk mengetahui informasi selengkapnya, lihat daftar semua batasan Layanan Kebijakan Organisasi.
Perbedaan dengan Identity and Access Management
Identity and Access Management berfokus pada siapa, dan memungkinkan administrator memberikan otorisasi kepada siapa yang dapat mengambil tindakan atas resource tertentu berdasarkan izin.
Kebijakan Organisasi berfokus pada apa, dan memungkinkan administrator menetapkan batasan pada resource tertentu untuk menentukan cara mengonfigurasinya.
Cara kerja kebijakan organisasi
Kebijakan organisasi mengonfigurasi satu batasan yang membatasi satu atau beberapa layanan Google Cloud. Kebijakan organisasi ditetapkan pada resource organisasi, folder, atau project untuk menerapkan batasan pada resource tersebut dan resource turunan apa pun.
Kebijakan organisasi berisi satu atau beberapa aturan yang menentukan cara, dan
apakah, akan menerapkan batasan. Misalnya, kebijakan organisasi dapat
berisi satu aturan yang menerapkan batasan hanya pada resource yang diberi tag
environment=development
, dan aturan lain yang mencegah batasan tersebut
diterapkan pada resource lain.
Turunan resource tempat kebijakan organisasi dilampirkan mewarisi kebijakan organisasi. Dengan menerapkan kebijakan organisasi ke resource organisasi, administrator kebijakan organisasi dapat mengontrol penegakan kebijakan organisasi tersebut dan konfigurasi batasan di seluruh organisasi Anda.
Batasan
Batasan adalah jenis pembatasan tertentu terhadap layanan Google Cloud atau daftar layanan Google Cloud. Anggap batasan sebagai blueprint yang
menentukan perilaku yang dikontrol. Misalnya, Anda dapat membatasi resource project agar tidak mengakses resource penyimpanan Compute Engine menggunakan batasan compute.storageResourceUseRestrictions
.
Blueprint ini kemudian diterapkan ke resource dalam hierarki resource sebagai kebijakan organisasi, yang menerapkan aturan yang ditentukan dalam batasan. Layanan Google Cloud yang dipetakan ke batasan tersebut dan dikaitkan dengan node hierarki resource tersebut akan menerapkan batasan yang dikonfigurasi dalam kebijakan organisasi.
Kebijakan organisasi ditentukan dalam file YAML atau JSON berdasarkan batasan yang diterapkannya, dan secara opsional berdasarkan kondisi penerapan batasan tersebut. Setiap kebijakan organisasi menerapkan tepat satu batasan dalam mode aktif, mode uji coba, atau keduanya.
Batasan memiliki jenis penerapan daftar atau boolean, yang menentukan nilai yang dapat digunakan untuk memeriksa penerapan. Layanan Google Cloud yang menerapkannya akan mengevaluasi jenis dan nilai batasan untuk menentukan pembatasan.
Mencantumkan batasan
Batasan daftar mengizinkan atau melarang daftar nilai yang ditentukan dalam kebijakan organisasi. Daftar nilai ini dinyatakan sebagai string subhierarki
hierarki. String sub-pohon menentukan jenis resource yang berlaku. Misalnya, batasan daftar constraints/compute.trustedImageProjects
menggunakan
daftar project ID dalam bentuk projects/PROJECT_ID
.
Nilai dapat diberi awalan dalam bentuk prefix:value
untuk batasan yang
mendukungnya, yang memberikan makna tambahan pada nilai:
is:
- menerapkan perbandingan terhadap nilai persis. Ini adalah perilaku yang sama dengan tidak memiliki awalan, dan diperlukan jika nilai menyertakan titik dua.under:
- menerapkan perbandingan ke nilai dan semua nilai turunannya. Jika resource diizinkan atau ditolak dengan awalan ini, resource turunannya juga diizinkan atau ditolak. Nilai yang diberikan harus berupa ID resource organisasi, folder, atau project.in:
- menerapkan perbandingan ke semua resource yang menyertakan nilai ini. Misalnya, Anda dapat menambahkanin:us-locations
ke daftar yang ditolak dari batasanconstraints/gcp.resourceLocations
untuk memblokir semua lokasi yang disertakan dalam regionus
.
Jika tidak ada daftar nilai yang diberikan, atau kebijakan organisasi ditetapkan ke default yang dikelola Google, perilaku default batasan akan berlaku, yang mengizinkan semua nilai atau menolak semua nilai.
Kebijakan organisasi berikut menerapkan batasan yang memungkinkan
instance VM Compute Engine vm-1
dan vm-2
di organizations/1234567890123
mengakses alamat IP eksternal:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
Batasan Boolean
Batasan boolean diterapkan atau tidak diterapkan. Misalnya, batasan yang telah ditentukan sebelumnya constraints/compute.disableSerialPortAccess
memiliki dua
kemungkinan status:
- Diterapkan - batasan diterapkan, dan akses port serial tidak diizinkan.
- Tidak diterapkan - batasan
disableSerialPortAccess
tidak diterapkan atau diperiksa, sehingga akses port serial diizinkan.
Jika kebijakan organisasi disetel ke default yang dikelola Google, perilaku default untuk batasan akan diterapkan.
Kebijakan organisasi berikut menerapkan batasan yang menonaktifkan
pembuatan akun layanan eksternal di organizations/1234567890123
:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Kebijakan organisasi kustom
Kebijakan organisasi kustom dapat mengizinkan atau membatasi pembuatan dan pembaruan resource dengan cara yang sama seperti kebijakan organisasi standar, tetapi memungkinkan administrator mengonfigurasi kondisi berdasarkan parameter permintaan dan metadata lainnya. Anda dapat menggunakan alat Policy Intelligence untuk menguji dan menganalisis kebijakan organisasi kustom.
Anda dapat membuat kebijakan organisasi kustom dengan batasan yang membatasi
operasi pada resource layanan tertentu, seperti resource NodePool
Dataproc. Untuk daftar resource layanan yang mendukung batasan kustom, lihat
Layanan yang didukung batasan kustom.
Untuk mempelajari lebih lanjut cara menggunakan kebijakan organisasi kustom, lihat Membuat dan mengelola kebijakan organisasi kustom.
Batasan terkelola
Batasan terkelola adalah batasan standar yang telah dibuat di platform kebijakan organisasi kustom. Platform kebijakan organisasi kustom memungkinkan kebijakan organisasi dirancang dengan lebih fleksibel, dan dengan insight yang lebih besar dari alat Policy Intelligence.
Untuk mempelajari lebih lanjut cara menggunakan batasan terkelola, lihat Menggunakan batasan.
Kebijakan organisasi dalam mode uji coba
Kebijakan organisasi dalam mode uji coba dibuat dan diterapkan dengan cara yang sama seperti kebijakan organisasi lainnya, dan pelanggaran kebijakan dicatat ke dalam log audit, tetapi tindakan yang melanggar tidak ditolak.
Anda dapat menggunakan kebijakan organisasi dalam mode uji coba untuk memantau pengaruh perubahan kebijakan terhadap alur kerja Anda sebelum diterapkan. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan organisasi dalam mode uji coba.
Kebijakan organisasi bersyarat
Tag menyediakan cara untuk menerapkan batasan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda dapat menggunakan tag dan penerapan batasan bersyarat untuk memberikan kontrol terpusat atas resource dalam hierarki Anda.
Untuk mengetahui informasi selengkapnya tentang tag, lihat Ringkasan tag. Untuk mempelajari cara menetapkan kebijakan organisasi bersyarat menggunakan tag, lihat Menetapkan kebijakan organisasi dengan tag.
Pewarisan
Saat kebijakan organisasi ditetapkan pada resource, semua turunan resource tersebut akan mewarisi kebijakan organisasi secara default. Jika Anda menetapkan kebijakan organisasi pada resource organisasi, konfigurasi batasan yang ditentukan oleh kebijakan tersebut akan diteruskan melalui semua folder, project, dan resource layanan turunan.
Anda dapat menetapkan kebijakan organisasi pada resource turunan yang menimpa pewarisan, atau mewarisi kebijakan organisasi resource induk. Dalam kasus kedua, kedua kebijakan organisasi digabungkan berdasarkan aturan evaluasi hierarki. Hal ini memberikan kontrol yang akurat atas cara kebijakan organisasi Anda diterapkan di seluruh organisasi, dan tempat Anda ingin pengecualian dibuat.
Untuk mempelajari lebih lanjut, lihat Memahami evaluasi hierarki.
Pelanggaran
Pelanggaran terjadi saat layanan Google Cloud bertindak atau berada dalam status yang bertentangan dengan konfigurasi batasan kebijakan organisasi dalam cakupan hierarki resource-nya. Layanan Google Cloud akan menerapkan batasan untuk mencegah pelanggaran, tetapi penerapan kebijakan organisasi baru biasanya tidak bersifat retroaktif. Jika batasan kebijakan organisasi diterapkan secara retroaktif, batasan tersebut akan diberi label demikian di halaman batasan kebijakan organisasi.
Jika kebijakan organisasi baru menetapkan batasan pada tindakan atau status yang sudah dimiliki layanan, kebijakan tersebut dianggap melanggar, tetapi layanan tidak akan menghentikan perilaku aslinya. Anda harus mengatasi pelanggaran ini secara manual. Hal ini mencegah risiko kebijakan organisasi baru yang sepenuhnya menghentikan kontinuitas bisnis Anda.
Policy Intelligence
Policy Intelligence adalah serangkaian alat yang dirancang untuk membantu Anda mengelola kebijakan keamanan. Alat ini dapat membantu Anda memahami penggunaan resource, memahami dan meningkatkan kebijakan keamanan yang ada, serta mencegah kesalahan konfigurasi kebijakan.
Beberapa alat Policy Intelligence didesain khusus untuk membantu menguji dan menganalisis kebijakan Organization Policy Service. Sebaiknya uji dan jalankan uji coba semua perubahan pada kebijakan organisasi Anda. Dengan Policy Intelligence, Anda dapat melakukan tugas seperti berikut:
- Menguji perubahan pada kebijakan dan batasan organisasi serta mengidentifikasi resource yang tidak mematuhi kebijakan yang diusulkan (Pratinjau))
- Buat kebijakan organisasi uji coba untuk memantau pengaruh perubahan kebijakan terhadap alur kerja Anda
- Menganalisis kebijakan organisasi yang ada untuk memahami resource Google Cloud mana yang tercakup dalam kebijakan organisasi mana
Untuk mempelajari lebih lanjut alat ini dan alat Policy Intelligence lainnya, lihat ringkasan Policy Intelligence.
Langkah berikutnya
- Baca halaman Membuat dan mengelola resource organisasi untuk mempelajari cara mendapatkan resource organisasi.
- Pelajari cara menentukan kebijakan organisasi.
- Pelajari solusi yang dapat Anda capai dengan batasan kebijakan organisasi.