Einführung in den Organisationsrichtliniendienst

Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator von Organisationsrichtlinien können Sie Einschränkungen für die gesamte Ressourcenhierarchie konfigurieren.

Vorteile

  • Sie zentralisieren die Kontrolle, um Einschränkungen für die Nutzung der Organisationsressourcen zu konfigurieren.
  • Sie definieren und richten Leitlinien für die Entwicklungsteams ein, damit alle geltenden gesetzlichen Bestimmungen eingehalten werden.
  • Sie unterstützen Projektinhaber und ihre Teams dabei, schnell zu agieren, ohne sich um Verstöße gegen geltende gesetzliche Bestimmungen sorgen zu müssen.

Gängige Anwendungsfälle

Lesen Sie die Liste aller Einschränkungen des Organisationsrichtliniendiensts.

Unterschiede zur Cloud Identitäts- und Zugriffsverwaltung

Cloud Identity and Access Management konzentriert sich auf den Nutzer und lässt den Administrator die Nutzer autorisieren, die abhängig von Berechtigungen Aktionen für bestimmte Ressourcen ausführen können.

Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und lässt den Administrator Einschränkungen für bestimmte Ressourcen festlegen, um zu bestimmen, wie diese konfiguriert werden können.

Schlüsselkonzepte

Organisationsrichtlinien

Eine Organisationsrichtlinie ist eine Konfiguration von Einschränkungen. Als Organisationsrichtlinienadministrator können Sie eine Organisationsrichtlinie definieren und für einen Knoten in der Ressourcenhierarchie festlegen, um die Einschränkungen für diesen Knoten in der Ressourcenhierarchie und die darunter befindlichen Objekte zu erzwingen.

Wählen Sie eine Einschränkung aus, um eine Organisationsrichtlinie zu definieren. Eine Einschränkung ist eine Art Abgrenzung gegen einen GCP-Dienst oder eine Gruppe von GCP-Diensten. Sie konfigurieren diese Einschränkung mit den gewünschten Beschränkungen.

Untergeordnete Objekte des Zielknotens in der Ressourcenhierarchie übernehmen die Organisationsrichtlinie. Sie können die Durchsetzung der Organisationsrichtlinie und die Konfiguration von Einschränkungen für die gesamte Organisation erzwingen, indem Sie eine Organisationsrichtlinie auf den Stammknoten der Organisation anwenden.

Organisationsrichtlinienkonzepte

Einschränkungen

Eine Einschränkung ist eine Art Abgrenzung gegen einen GCP-Dienst oder eine Liste von GCP-Diensten. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Diese Vorlage wird dann als Organisationsrichtlinie, die die in der Einschränkung definierten Regeln implementiert, auf den Knoten einer Ressourcenhierarchie angewendet. Der GCP-Dienst, der dieser Einschränkung zugeordnet und mit dem Knoten der Ressourcenhierarchie verknüpft ist, erzwingt dann die Einschränkungen, die in der Organisationsrichtlinie konfiguriert wurden.

Eine Einschränkung hat entweder den Typ list oder boolean. Listeneinschränkungen werten die Einschränkung anhand einer Liste von zulässigen oder nicht zulässigen Werten aus, die Sie bereitstellen. Dies kann beispielsweise eine weiße Liste mit IP-Adressen sein, die eine Verbindung zu einer virtuellen Maschine herstellen können. Boolesche Einschränkungen werden für eine angegebene Ressource entweder erzwungen oder nicht erzwungen. Sie steuern ein bestimmtes Verhalten, z. B. ob externe Dienstkonten erstellt werden können.

Einschränkungstyp Geschäftliche Anforderung Einschränkungskonfiguration
List Die Konfiguration externer IP-Adressen wird auf eine Liste von Instanzen beschränkt

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
Boolean Erstellen von Dienstkonten deaktivieren

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation
  booleanPolicy: {
    enforced: true
  }
}

Jeder GCP-Dienst wertet Einschränkungstypen und -werte aus, um zu bestimmen, was eingeschränkt werden soll. Weitere Informationen zu Einschränkungen finden Sie auf der Seite mit den Informationen zu Einschränkungen.

Übernahme

Wenn eine Organisationsrichtlinie für einen Knoten in der Ressourcenhierarchie festgelegt wurde, wird diese von allen untergeordneten Elementen des Knotens standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für den Stammknoten der Organisation festlegen, wird die Konfiguration der Einschränkungen, die von dieser Richtlinie definiert werden, über alle untergeordneten Ordner, Projekte und Unterprojekte weitergegeben.

Ein Nutzer mit der Rolle Organisationsrichtlinienadministrator kann für untergeordnete Knoten der Ressourcenhierarchie eine andere Organisationsrichtlinie festlegen, mit der die Übernahme überschrieben oder die Richtlinien gemäß den Regeln der Evaluierung der Hierarchie zusammengeführt werden. Auf diese Weise können Sie genau steuern, wie die Organisationsrichtlinien in der Organisation angewendet werden und wo Ausnahmen gelten sollen.

Weitere Informationen zur Evaluierung der Hierarchie finden Sie auf der Seite mit den Informationen zur Hierarchie.

Verstöße

Ein Verstoß liegt dann vor, wenn ein GCP-Dienst entgegen der Konfiguration von Einschränkungen für Organisationsrichtlinien innerhalb der zugehörigen Ressourcenhierarchie agiert oder sich in einem nicht damit konformen Zustand befindet. Normalerweise erzwingen GCP-Dienste eine Einschränkung, um Verstöße zu verhindern, jedoch ist die Anwendung einer neuen Organisationsrichtlinie nicht rückwirkend .

Wenn eine neue Organisationsrichtlinie eine Einschränkung für eine Aktion oder einen Status festlegt, die bereits einen Service beinhaltet, wird davon ausgegangen, dass die Richtlinie einen Verstoß darstellt. Der Service wird jedoch wie gewohnt weitergeführt. Dieser Verstoß muss manuell von Ihnen behoben werden. Dies verhindert das Risiko, dass eine neue Organisationsrichtlinie Ihre Geschäftskontinuität vollständig zum Erliegen bringt.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager