組織ポリシー サービスの概要

組織ポリシー サービスを使用すると、組織の Cloud リソースをプログラムで一元管理できます。組織ポリシー管理者は、リソース階層全体にわたって制限を構成できます。

利点

  • 組織のリソースの使用方法に関する制限を構成して集中管理できます。
  • 開発チームがコンプライアンスを遵守できるように違反防止策の定義と確立ができます。
  • プロジェクト オーナーとチームがコンプライアンス違反を心配せずに迅速に行動できるようになります。

一般的なユースケース

すべての組織ポリシー サービスの制約のリストをご覧ください。

Cloud Identity and Access Management との違い

Cloud Identity and Access Management で重要なのは「誰が」です。管理者は、特定のリソースに対して誰がアクションを実施できるかを権限に基づいて承認します。

組織ポリシーで重要なのは「」で、管理者は特定のリソースに対して制限を設定し、どのような構成が可能であるかを決定できます。

主なコンセプト

組織ポリシー

組織ポリシーは、制限の構成です。組織ポリシー管理者は組織ポリシーを定義し、その組織ポリシーをリソース階層ノードに設定することにより、その階層ノードと子孫ノードに制限を適用します。

組織ポリシーを定義するには、制約を選択します。制約は、1 つの GCP サービス、または GCP サービスのグループに対する特定の種類の制限です。目的とする制限内容に合わせて制約を構成します。

対象のリソース階層ノードの子孫は、組織ポリシーを継承します。組織ポリシーをルート組織ノードに適用すると、組織全体で組織ポリシーの適用と制限の構成を効果的に行うことができます。

組織ポリシーのコンセプト

制約

制約は、1 つの GCP サービス、または GCP サービスのリストに対する特定の種類の制限です。制約は、どのような行動が制御されているかを定義する青写真と考えることができます。この青写真は組織ポリシーとしてリソース階層ノードに適用され、これにより制約で定義されたルールが実施されます。その制約にマップされ、そのリソース階層ノードに関連付けられている GCP サービスにより、組織ポリシー内で構成された制限が適用されます。

制約のタイプは、リストブールのいずれかです。リスト制約は、指定された許可値または拒否値のリスト(仮想マシンに接続できる IP アドレスのホワイトリストなど)を使って制約を評価します。ブール制約は、特定のリソースに対して適用されるかされないかにかかわらず、特定の動作(外部サービス アカウントを作成できるかどうかなど)を決定します。

制約タイプ ビジネスニーズ 制約構成
リスト 外部 IP の構成をリスト内のインスタンスのみに制限する

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
ブール値 サービス アカウントの作成を無効にする

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation
  booleanPolicy: {
    enforced: true
  }
}

各 GCP サービスは制約のタイプと値を評価して、何を制限すべきかを決定します。制約の詳細については、制約についてのページをご覧ください。

継承

組織ポリシーをリソース階層ノードに設定すると、そのノードのすべての子孫はデフォルトでその組織ポリシーを継承します。ルート組織ノードで組織ポリシーを設定した場合、そのポリシーで定義されている制限の構成は、子孫であるすべてのフォルダ、プロジェクト、サブプロジェクトに受け継がれます。

組織ポリシー管理者の役割を持つユーザーは、子孫リソース階層ノードに対して別の組織ポリシーを設定し、この継承された制限を上書きしたり、階層評価のルールに基づいてこれらの制限内容を結合したりできます。これにより、組織ポリシーが組織全体にどのように適用され、どこで例外を適用するかを正確に制御できます。

階層評価の詳細については、階層についてをご覧ください。

違反

違反とは、リソース階層のスコープ内で、GCP サービスの動作や状態が、組織ポリシーの制限構成に反していることを指します。通常、GCP サービスは制約を適用して違反を防止しますが、新しい組織ポリシーの適用は遡及的ではありません

すでに発生しているサービスの動作や状態に対して新しい組織ポリシーにより制限が設定された場合、ポリシー違反状態とみなされますが、サービスは元の動作を停止しません。この違反には手動で対処する必要があります。この動作は新しい組織ポリシーによってビジネスの継続性が完全に損なわれるリスクを防ぐためのものです。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Resource Manager のドキュメント