Layanan Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource cloud organisasi. Sebagai administrator kebijakan organisasi, Anda dapat mengonfigurasi batasan di seluruh hierarki resource.
Manfaat
- Memusatkan kontrol untuk mengonfigurasi batasan terkait cara penggunaan resource organisasi Anda.
- Tentukan dan buat pagar pembatas bagi tim pengembangan Anda agar tetap berada dalam batas kepatuhan.
- Membantu pemilik project dan tim mereka bergerak cepat tanpa khawatir melanggar kepatuhan.
Kasus penggunaan umum
Kebijakan organisasi memungkinkan Anda melakukan hal berikut:
- Batasi berbagi resource berdasarkan domain.
- Batasi penggunaan akun layanan Identity and Access Management.
- Batasi lokasi fisik resource yang baru dibuat.
Ada banyak batasan lainnya yang memberi Anda kontrol terperinci atas resource organisasi. Untuk mengetahui informasi selengkapnya, lihat daftar semua batasan Layanan Kebijakan Organisasi.
Perbedaan dengan Identity and Access Management
Identity and Access Management berfokus pada siapa, dan memungkinkan administrator memberikan otorisasi siapa yang dapat mengambil tindakan pada resource tertentu berdasarkan izin.
Kebijakan Organisasi berfokus pada apa, dan memungkinkan administrator menetapkan batasan pada resource tertentu untuk menentukan cara mengonfigurasi resource tersebut.
Konsep Utama
Kebijakan organisasi
Kebijakan organisasi mengonfigurasi satu batasan yang membatasi satu atau beberapa layanan Google Cloud. Kebijakan organisasi ditetapkan pada organisasi, folder, atau resource project untuk menerapkan batasan pada resource tersebut dan resource turunan mana pun.
Kebijakan organisasi berisi satu atau beberapa aturan yang menentukan cara dan
apakah menerapkan batasan tersebut. Misalnya, kebijakan organisasi dapat
berisi satu aturan yang menerapkan batasan hanya pada resource yang diberi tag
environment=development
, dan aturan lain yang mencegah batasan
diterapkan pada resource lain.
Turunan resource yang disertakan dengan kebijakan organisasi mewarisi kebijakan organisasi. Dengan menerapkan kebijakan organisasi ke resource organisasi, administrator kebijakan organisasi dapat mengontrol penerapan kebijakan organisasi tersebut dan konfigurasi pembatasan di seluruh organisasi Anda.
Batasan
Batasan adalah jenis pembatasan tertentu terhadap layanan Google Cloud atau daftar layanan Google Cloud. Bayangkan batasan itu sebagai cetak biru yang menentukan perilaku apa yang dikontrol. Blueprint ini kemudian diterapkan ke resource di hierarki resource Anda sebagai kebijakan organisasi, yang mengimplementasikan aturan yang ditentukan dalam batasan tersebut. Layanan Google Cloud yang dipetakan ke batasan tersebut dan dikaitkan dengan node hierarki resource tersebut akan menerapkan batasan yang dikonfigurasi dalam kebijakan organisasi.
Batasan memiliki jenis, list atau boolean. Daftar batasan mengevaluasi batasan dengan daftar nilai yang diizinkan atau ditolak yang Anda berikan. Misalnya, batasan berikut membatasi alamat IP yang dapat terhubung ke virtual machine:
name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
- projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME
Batasan Boolean diterapkan atau tidak diberlakukan untuk resource tertentu, dan mengatur perilaku tertentu. Misalnya, batasan berikut menentukan apakah akun layanan eksternal dapat dibuat:
name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Tag menyediakan cara untuk menerapkan batasan secara bersyarat berdasarkan apakah resource memiliki tag tertentu atau tidak. Anda dapat menggunakan tag dan penerapan batasan bersyarat untuk memberikan kontrol terpusat atas resource dalam hierarki Anda.
Misalnya, batasan berikut menonaktifkan Cloud Logging untuk resource yang diberi tag dengan environment=development
, tetapi mengaktifkannya di tempat lain:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
rules:
- condition:
expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
title: ""
enforce: true
- enforce: false
Setiap layanan Google Cloud mengevaluasi jenis dan nilai batasan untuk menentukan apa yang harus dibatasi. Untuk mempelajari batasan lebih lanjut, lihat halaman Memahami Batasan.
Kebijakan organisasi khusus
Kebijakan organisasi khusus dapat mengizinkan atau membatasi pembuatan dan pembaruan resource dengan cara yang sama seperti kebijakan organisasi yang telah ditetapkan, tetapi memungkinkan administrator mengonfigurasi kondisi berdasarkan parameter permintaan dan metadata lainnya.
Anda dapat membuat kebijakan organisasi khusus dengan batasan yang membatasi operasi pada resource layanan tertentu, seperti resource NodePool
Dataproc. Untuk daftar resource layanan yang mendukung batasan kustom, lihat
Layanan yang didukung batasan kustom.
Untuk mempelajari lebih lanjut cara menggunakan kebijakan organisasi khusus, lihat Membuat dan mengelola kebijakan organisasi khusus.
Pewarisan
Jika kebijakan organisasi disetel pada resource, semua turunan resource tersebut akan mewarisi kebijakan organisasi secara default. Jika Anda menetapkan kebijakan organisasi pada resource organisasi, konfigurasi pembatasan yang ditentukan oleh kebijakan tersebut akan diturunkan melalui semua folder, project, dan resource layanan turunan.
Pengguna dengan peran Organization Policy Administrator dapat menetapkan node hierarki resource turunan dengan kebijakan organisasi lain yang menimpa pewarisan, atau menggabungkannya berdasarkan aturan evaluasi hierarki. Hal ini memberikan kontrol yang akurat terkait penerapan kebijakan organisasi di seluruh organisasi, dan di mana Anda ingin pengecualian dibuat.
Untuk mempelajari evaluasi hierarki lebih lanjut, lihat halaman Memahami Hierarki.
Pelanggaran
Pelanggaran adalah saat layanan Google Cloud bertindak atau dalam status yang bertentangan dengan konfigurasi pembatasan kebijakan organisasi dalam cakupan hierarki resource-nya. Layanan Google Cloud akan menerapkan batasan untuk mencegah pelanggaran, tetapi penerapan kebijakan organisasi baru biasanya tidak berlaku surut. Jika batasan kebijakan organisasi diberlakukan secara surut, batasan tersebut akan diberi label seperti itu di halaman Batasan Kebijakan Organisasi.
Jika kebijakan organisasi baru menetapkan batasan pada tindakan atau menyatakan bahwa layanan sudah disertakan, kebijakan tersebut akan dianggap melanggar, tetapi layanan tidak akan menghentikan perilaku aslinya. Anda harus mengatasi pelanggaran ini secara manual. Hal ini mencegah risiko kebijakan organisasi baru yang benar-benar menghentikan kelangsungan bisnis Anda.
Langkah berikutnya
- Baca halaman Membuat dan Mengelola Organisasi untuk mempelajari cara memperoleh resource organisasi.
- Baca cara membuat dan mengelola kebijakan organisasi dengan Konsol Google Cloud.
- Pelajari cara menentukan kebijakan organisasi menggunakan batasan.
- Pelajari solusi yang dapat Anda capai dengan batasan kebijakan organisasi.