Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator von Organisationsrichtlinien können Sie Einschränkungen für die gesamte Ressourcenhierarchie konfigurieren.
Vorteile
- Sie zentralisieren die Kontrolle, um Einschränkungen für die Nutzung der Organisationsressourcen zu konfigurieren.
- Sie definieren und richten Leitlinien für die Entwicklungsteams ein, damit alle geltenden gesetzlichen Bestimmungen eingehalten werden.
- Sie unterstützen Projektinhaber und ihre Teams dabei, schnell zu agieren, ohne sich um Verstöße gegen geltende gesetzliche Bestimmungen sorgen zu müssen.
Gängige Anwendungsfälle
Mit Organisationsrichtlinien können Sie Folgendes tun:
- Beschränken der Ressourcenfreigabe auf Grundlage der Domain.
- Beschränken der Nutzung von IAM-Dienstkonten Identity and Access Management.
- Beschränken des physischen Standorts neu erstellter Ressourcen.
Es gibt viele weitere Einschränkungen, die Ihnen eine detaillierte Kontrolle über die Ressourcen Ihrer Organisation ermöglichen. Weitere Informationen finden Sie in der Liste aller Einschränkungen für Organisationsrichtliniendienste.
Unterschiede zur Identitäts- und Zugriffsverwaltung
Das Identitäts- und Zugriffsmanagement erfolgt auf Nutzerebene. Administratoren können Nutzer autorisieren, auf der Grundlage ihrer Berechtigungen Aktionen an bestimmten Ressourcen auszuführen.
Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und lässt den Administrator Einschränkungen für bestimmte Ressourcen festlegen, um zu bestimmen, wie diese konfiguriert werden können.
Schlüsselkonzepte
Unternehmensrichtlinien
Eine Organisationsrichtlinie konfiguriert eine einzelne Einschränkung, die einen oder mehrere Google Cloud-Dienste einschränkt. Die Organisationsrichtlinie wird für eine Organisations-, Ordner- oder Projektressource festgelegt, um die Einschränkung für diese Ressource und alle untergeordneten Ressourcen zu erzwingen.
Eine Organisationsrichtlinie enthält eine oder mehrere Regeln, die festlegen, wie und ob die Einschränkung erzwungen werden soll. Eine Organisationsrichtlinie kann beispielsweise eine Regel enthalten, die die Einschränkung nur für Ressourcen mit dem Tag environment=development
erzwingt, und eine weitere Regel, die verhindert, dass die Einschränkung für andere Ressourcen erzwungen wird.
Untergeordnete Objekte der Ressource, an die die Organisationsrichtlinie angehängt ist, übernehmen die Organisationsrichtlinie. Durch das Anwenden einer Organisationsrichtlinie auf die Organisationsressource kann der Administrator der Organisationsrichtlinie die Durchsetzung dieser Organisationsrichtlinie und die Konfiguration von Einschränkungen für die gesamte Organisation steuern.
Einschränkungen
Eine Einschränkung wird spezifisch für einen Google Cloud-Dienst oder eine Liste von Google Cloud-Diensten festgelegt. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Dieser Entwurf wird dann auf eine Ressource in Ihrer Ressourcenhierarchie als Organisationsrichtlinie angewendet, die die in der Einschränkung definierten Regeln implementiert. Der Google Cloud-Dienst, dem die Einschränkung zugeordnet ist und der mit dem entsprechenden Ressourcenhierarchieknoten verknüpft ist, setzt dann die in der Organisationsrichtlinie konfigurierten Einschränkungen durch.
Eine Einschränkung hat entweder den Typ Liste oder boolean. Bei Listeneinschränkungen wird die Einschränkung anhand einer Liste von zulässigen oder abgelehnten Werten ausgewertet, die Sie angeben. Die folgende Einschränkung schränkt beispielsweise die IP-Adressen ein, die eine Verbindung zu einer virtuellen Maschine herstellen können:
name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
- projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME
Boolesche Einschränkungen werden für eine bestimmte Ressource entweder erzwungen oder nicht erzwungen und steuern ein bestimmtes Verhalten. Die folgende Einschränkung bestimmt beispielsweise, ob externe Dienstkonten erstellt werden können:
name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Mit Tags können Sie Einschränkungen abhängig davon erzwingen, ob eine Ressource ein bestimmtes Tag hat. Mithilfe von Tags und der bedingten Erzwingung von Einschränkungen können Sie die Ressourcen in Ihrer Hierarchie zentral steuern.
Die folgende Einschränkung deaktiviert Cloud Logging für Ressourcen, die mit environment=development
getaggt sind, aktiviert es aber an allen anderen Orten:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
rules:
- condition:
expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
title: ""
enforce: true
- enforce: false
Jeder Google Cloud-Dienst wertet Einschränkungstypen und -werte aus, um festzulegen, welche Einschränkungen gelten sollen. Weitere Informationen zu Einschränkungen finden Sie auf der Seite mit den Informationen zu Einschränkungen.
Benutzerdefinierte Einschränkungen
Benutzerdefinierte Einschränkungen können das Erstellen und Aktualisieren von Ressourcen auf dieselbe Weise zulassen oder einschränken wie mit vordefinierten Einschränkungen. Administratoren können damit jedoch Bedingungen basierend auf Anfrageparametern und anderen Metadaten konfigurieren.
Sie können benutzerdefinierte Einschränkungen erstellen, die Vorgänge für bestimmte Dienstressourcen einschränken, z. B. Dataproc-NodePool
-Ressourcen. Eine Liste der Dienstressourcen, die benutzerdefinierte Einschränkungen unterstützen, finden Sie unter Unterstützte Dienste für benutzerdefinierte Einschränkungen.
Weitere Informationen zur Verwendung von benutzerdefinierten Einschränkungen in Ihren Organisationsrichtlinien finden Sie unter Benutzerdefinierte Einschränkungen erstellen und verwalten.
Übernahme
Wenn eine Organisationsrichtlinie für eine Ressource festgelegt ist, übernehmen alle untergeordneten Elemente dieser Ressource standardmäßig die Organisationsrichtlinie. Wenn Sie eine Organisationsrichtlinie für die Organisationsressource festlegen, wird die Konfiguration der von dieser Richtlinie definierten Einschränkungen an alle untergeordneten Ordner, Projekte und Dienstressourcen weitergegeben.
Ein Nutzer mit der Rolle "Organisationsrichtlinienadministrator" kann für untergeordnete Knoten der Ressourcenhierarchie eine andere Organisationsrichtlinie festlegen, mit der die Übernahme überschrieben oder die Richtlinien gemäß den Regeln der Evaluierung der Hierarchie zusammengeführt werden. Auf diese Weise können Sie genau steuern, wie die Organisationsrichtlinien in der Organisation angewendet werden und wo Ausnahmen gelten sollen.
Weitere Informationen zur Evaluierung der Hierarchie finden Sie auf der Seite mit den Informationen zur Hierarchie.
Verstöße
Ein Verstoß liegt vor, wenn ein Google Cloud-Dienst im Rahmen seiner Ressourcenhierarchie in einem Modus agiert oder sich in einem Status befindet, der mit der konfigurierten Organisationsrichtlinieneinschränkung im Konflikt steht. Google Cloud-Dienste erzwingen Einschränkungen, um Verstöße zu verhindern, jedoch ist die Anwendung neuer Organisationsrichtlinien in der Regel nicht rückwirkend. Wenn die Einschränkung einer Organisationsrichtlinie rückwirkend erzwungen wird, wird sie auf der Seite Einschränkungen für Organisationsrichtlinien entsprechend gekennzeichnet.
Wenn eine neue Organisationsrichtlinie eine Einschränkung für eine Aktion oder einen Status festlegt, die bereits einen Service beinhaltet, wird davon ausgegangen, dass die Richtlinie einen Verstoß darstellt. Der Service wird jedoch wie gewohnt weitergeführt. Dieser Verstoß muss manuell von Ihnen behoben werden. Dies verhindert das Risiko, dass eine neue Organisationsrichtlinie Ihre Geschäftskontinuität vollständig zum Erliegen bringt.
Nächste Schritte
- Seite Organisationen erstellen und verwalten mit Informationen dazu, wie Sie eine Organisationsressource erhalten
- Organisationsrichtlinien mit der Google Cloud Console erstellen und verwalten
- Organisationsrichtlinien mithilfe von Einschränkungen definieren
- Lösungen, die mit Einschränkungen in Organisationsrichtlinien erreicht werden können