組織のポリシー サービスを使用すると、組織の Cloud リソースをプログラムで一元管理できます。組織ポリシー管理者は、リソース階層全体にわたって制約を構成できます。
利点
- 組織のリソースの使用方法に関する制限を構成して集中管理できます。
- 開発チームがコンプライアンスを遵守できるように違反防止策の定義と確立ができます。
- プロジェクト オーナーとチームがコンプライアンス違反を心配せずに迅速に行動できるようになります。
一般的なユースケース
制約で構成された組織のポリシーを使用すると、次のことが可能になります。
- ドメインに基づいてリソースの共有を制限する。
- Identity and Access Management サービス アカウントの使用を制限する。
- 新しく作成されるリソースの物理的なロケーションを制限する。
組織のリソースをきめ細かく制約できる制約は数多くあります。詳細については、組織ポリシー サービス制約すべての一覧をご覧ください。
Identity and Access Management との相違点
Identity and Access Management で重要なのは「誰であるか」です。管理者は、特定のリソースに対して誰がアクションを実施できるかを権限に基づいて承認します。
組織ポリシーで重要なのは「何」で、管理者は特定のリソースに対して制限を設定し、どのような構成が可能であるかを決定できます。
主なコンセプト
組織ポリシー
組織のポリシーは、制限の構成です。組織のポリシーの管理者は組織のポリシーを定義し、その組織のポリシーを組織、フォルダ、プロジェクトに設定することにより、そのリソースと子リソースに制限を適用します。
組織のポリシーを定義には、制約を選択します。制約は、Google Cloud サービスまたは Google Cloud サービスのグループに対する特定のタイプの制限です。目的とする制限内容に合わせて制約を構成します。
対象のリソース階層ノードの子孫は、組織ポリシーを継承します。組織のポリシーをルート組織ノードに適用すると、組織全体で組織のポリシーの適用と制限の構成を効果的に行うことができます。
制約
制約は、Google Cloud サービスまたは Google Cloud サービスのリストに対する特殊な制限です。制約は、どのような行動が制御されているかを定義する青写真と考えることができます。この青写真は組織のポリシーとしてリソース階層ノードに適用され、これにより制約で定義されたルールが実施されます。その制約にマッピングされ、そのリソース階層ノードに関連付けられた Google Cloud サービスにより、組織のポリシー内で構成された制限が適用されます。
制約のタイプは、リストとブールのいずれかです。リスト制約は、指定する許可値または拒否値のリスト(仮想マシンに接続できる IP アドレスの許可リストなど)を使用して制約を評価します。ブール制約は、特定のリソースに対して適用されるかされないかにかかわらず、特定の動作(外部サービス アカウントを作成できるかどうかなど)を決定します。
制約タイプ | ビジネスニーズ | 制約構成 |
---|---|---|
リスト | 外部 IP の構成をリスト内のインスタンスのみに制限する | resource: "organizations/ORGANIZATION_ID" policy: { constraint: "constraints/compute.vmExternalIpAccess" listPolicy: { allowedValues: [ projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME, projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME ] } } |
ブール値 | サービス アカウント作成の無効化 | resource: "organizations/ORGANIZATION_ID" policy: { constraint: "constraints/iam.disableServiceAccountCreation" booleanPolicy: { enforced: true } } |
各 Google Cloud サービスは制約のタイプと値を評価して、何を制限すべきかを決定します。制約の詳細については、制約についてのページをご覧ください。
カスタム制約
カスタム制約では、事前定義された制約と同様にリソースの作成と更新を許可または制限できますが、管理者はリクエスト パラメータやその他のメタデータに基づいて条件を構成できます。
Dataproc の NodePool
リソースなど、特定のサービス リソースに対するオペレーションを制限するカスタム制約を作成できます。カスタム制約をサポートするサービス リソースの一覧については、カスタム制約でサポートされるサービスをご覧ください。
組織のポリシーでカスタム制約を使用する方法については、カスタム制約の作成と管理をご覧ください。
継承
組織のポリシーをリソース階層ノードに設定すると、そのノードのすべての子孫はデフォルトでその組織のポリシーを継承します。ルート組織ノードで組織のポリシーを設定した場合、そのポリシーで定義されている制限の構成は、子孫であるすべてのフォルダ、プロジェクト、サービス リソースに受け継がれます。
組織ポリシー管理者の役割を持つユーザーは、子孫リソース階層ノードに対して別の組織のポリシーを設定し、この継承された制限の上書き、階層評価のルールに基づくこれらの制限内容の結合ができます。これにより、組織のポリシーが組織全体にどのように適用され、どこで例外を適用するかを正確に制御できます。
階層評価の詳細については、階層についてをご覧ください。
違反
違反とは、Google Cloud サービスがリソース階層の範囲内にある組織のポリシー制限の構成に反して動作している状況を指します。通常、GCP サービスは制約を適用して違反を防止しますが、新しい組織のポリシーの適用は遡及的ではありません。組織のポリシーの制約がさかのぼって適用されている場合は、[組織のポリシーの制約] ページでそのようなラベル付けがされます。
すでに発生しているサービスの動作や状態に対して新しい組織のポリシーにより制限が設定された場合、ポリシー違反状態とみなされますが、サービスは元の動作を停止しません。この違反には手動で対処する必要があります。この動作は新しい組織ポリシーによってビジネスの継続性が完全に損なわれるリスクを防ぐためのものです。
次のステップ
- 組織の作成と管理を読み、組織リソースを取得する方法を学ぶ
- Google Cloud Console を使用して組織のポリシーを作成および管理する方法について確認する
- 制約を使用して組織ポリシーを定義する方法を学ぶ
- 組織ポリシーの制約で実現できるソリューションを検討する