Einführung in den Organisationsrichtliniendienst

Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator von Organisationsrichtlinien können Sie Einschränkungen für die gesamte Ressourcenhierarchie konfigurieren.

Vorteile

  • Sie zentralisieren die Kontrolle, um Einschränkungen für die Nutzung der Organisationsressourcen zu konfigurieren.
  • Sie definieren und richten Leitlinien für die Entwicklungsteams ein, damit alle geltenden gesetzlichen Bestimmungen eingehalten werden.
  • Sie unterstützen Projektinhaber und ihre Teams dabei, schnell zu agieren, ohne sich um Verstöße gegen geltende gesetzliche Bestimmungen sorgen zu müssen.

Gängige Anwendungsfälle

Organisationsrichtlinien bestehen aus Einschränkungen, die Ihnen Folgendes ermöglichen:

Es gibt noch viele weitere Einschränkungen, die Ihnen eine detaillierte Kontrolle über die Ressourcen Ihrer Organisation ermöglichen. Weitere Informationen finden Sie in der Liste aller Einschränkungen für Organisationsrichtliniendienste.

Unterschiede zur Identitäts- und Zugriffsverwaltung

Das Identitäts- und Zugriffsmanagement erfolgt auf Nutzerebene. Administratoren können Nutzer autorisieren, auf der Grundlage ihrer Berechtigungen Aktionen an bestimmten Ressourcen auszuführen.

Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und lässt den Administrator Einschränkungen für bestimmte Ressourcen festlegen, um zu bestimmen, wie diese konfiguriert werden können.

Schlüsselkonzepte

Unternehmensrichtlinien

Eine Organisationsrichtlinie ist eine Konfiguration von Einschränkungen. Als Organisationsrichtlinienadministrator definieren Sie eine Organisationsrichtlinie und legen diese für Organisationen, Ordner und Projekte fest, um die Einschränkungen für diese Ressource und ihre untergeordneten Elemente zu erzwingen.

Wählen Sie zur Definition einer Organisationsrichtlinie eine Einschränkung aus, die für einen Google Cloud-Dienst oder eine Gruppe von Google Cloud-Diensten gelten kann. Sie konfigurieren diese Einschränkung mit den gewünschten Beschränkungen.

Untergeordnete Objekte des Zielknotens in der Ressourcenhierarchie übernehmen die Organisationsrichtlinie. Sie können die Durchsetzung der Organisationsrichtlinie und die Konfiguration von Einschränkungen für die gesamte Organisation erzwingen, wenn Sie eine Organisationsrichtlinie auf den Stammknoten der Organisation anwenden.

Organisationsrichtlinienkonzepte

Einschränkungen

Eine Einschränkung wird spezifisch für einen Google Cloud-Dienst oder eine Liste von Google Cloud-Diensten festgelegt. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Diese Vorlage wird dann als Organisationsrichtlinie auf den Knoten einer Ressourcenhierarchie angewendet, wodurch die in der Einschränkung definierten Regeln implementiert werden. Der Google Cloud-Dienst, dem die Einschränkung zugeordnet ist und der mit dem entsprechenden Ressourcenhierarchieknoten verknüpft ist, setzt dann die in der Organisationsrichtlinie konfigurierten Einschränkungen durch.

Eine Einschränkung hat entweder den Typ Liste oder Boolesch. Listeneinschränkungen bewerten die Einschränkung mit einer Liste der zulässigen oder abgelehnten Werte, die Sie bereitstellen, z. B. einer Zulassungsliste von IP-Adressen, die eine Verbindung zu einer virtuellen Maschine herstellen können. Boolesche Einschränkungen werden für eine angegebene Ressource entweder erzwungen oder nicht erzwungen. Sie steuern ein bestimmtes Verhalten, z. B. ob externe Dienstkonten erstellt werden können.

Einschränkungstyp Geschäftliche Anforderung Einschränkungskonfiguration
Liste Die Konfiguration externer IP-Adressen wird auf eine Liste von Instanzen beschränkt

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
Boolesch Erstellen von Dienstkonten deaktivieren

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation"
  booleanPolicy: {
    enforced: true
  }
}

Jeder Google Cloud-Dienst wertet Einschränkungstypen und -werte aus, um festzulegen, welche Einschränkungen gelten sollen. Weitere Informationen zu Einschränkungen finden Sie auf der Seite mit den Informationen zu Einschränkungen.

Übernahme

Wenn eine Organisationsrichtlinie für einen Knoten in der Ressourcenhierarchie festgelegt wurde, wird diese von allen untergeordneten Elementen des Knotens standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für den Stammknoten der Organisation festlegen, wird die Konfiguration der Einschränkungen, die von dieser Richtlinie definiert werden, über alle untergeordneten Ordner, Projekte und Dienstressourcen weitergegeben.

Ein Nutzer mit der Rolle "Organisationsrichtlinienadministrator" kann für untergeordnete Knoten der Ressourcenhierarchie eine andere Organisationsrichtlinie festlegen, mit der die Übernahme überschrieben oder die Richtlinien gemäß den Regeln der Evaluierung der Hierarchie zusammengeführt werden. Auf diese Weise können Sie genau steuern, wie die Organisationsrichtlinien in der Organisation angewendet werden und wo Ausnahmen gelten sollen.

Weitere Informationen zur Evaluierung der Hierarchie finden Sie auf der Seite mit den Informationen zur Hierarchie.

Verstöße

Ein Verstoß liegt vor, wenn ein Google Cloud-Dienst im Rahmen seiner Ressourcenhierarchie in einem Modus agiert oder sich in einem Status befindet, der mit der konfigurierten Organisationsrichtlinieneinschränkung im Konflikt steht. Google Cloud-Dienste erzwingen Einschränkungen, um Verstöße zu verhindern, jedoch ist die Anwendung neuer Organisationsrichtlinien in der Regel nicht rückwirkend. Wenn die Einschränkung einer Organisationsrichtlinie rückwirkend erzwungen wird, wird sie auf der Seite Einschränkungen für Organisationsrichtlinien entsprechend gekennzeichnet.

Wenn eine neue Organisationsrichtlinie eine Einschränkung für eine Aktion oder einen Status festlegt, die bereits einen Service beinhaltet, wird davon ausgegangen, dass die Richtlinie einen Verstoß darstellt. Der Service wird jedoch wie gewohnt weitergeführt. Dieser Verstoß muss manuell von Ihnen behoben werden. Dies verhindert das Risiko, dass eine neue Organisationsrichtlinie Ihre Geschäftskontinuität vollständig zum Erliegen bringt.

Weitere Informationen