組織ポリシー サービスの概要

組織のポリシー サービスを使用すると、組織の Cloud リソースをプログラムで一元管理できます。組織ポリシー管理者は、リソース階層全体にわたって制約を構成できます。

利点

  • 組織のリソースの使用方法に関する制限を構成して集中管理できます。
  • 開発チームがコンプライアンスを遵守できるように違反防止策の定義と確立ができます。
  • プロジェクト オーナーとチームがコンプライアンス違反を心配せずに迅速に行動できるようになります。

一般的なユースケース

組織のポリシーでは、次のことができます。

  • ドメインに基づいてリソースの共有を制限する。
  • Identity and Access Management サービス アカウントの使用を制限する。
  • 新しく作成されるリソースの物理的なロケーションを制限する。

組織のリソースをきめ細かく制約できる制約は数多くあります。詳細については、組織ポリシー サービス制約すべての一覧をご覧ください。

Identity and Access Management との相違点

Identity and Access Management で重要なのは「誰であるか」です。管理者は、特定のリソースに対して誰がアクションを実施できるかを権限に基づいて承認します。

組織ポリシーで重要なのは「」で、管理者は特定のリソースに対して制限を設定し、どのような構成が可能であるかを決定できます。

主なコンセプト

組織ポリシー

組織のポリシーは、1 つ以上の Google Cloud サービスを制限する単一の制約を構成します。組織のポリシーは、組織、フォルダ、またはプロジェクト リソースに対して設定され、そのリソースおよび子リソースに制約を適用します。

組織のポリシーには、制約を適用する方法と適用条件を指定するルールが 1 つ以上含まれます。たとえば、組織のポリシーに、environment=development タグのあるリソースにのみ制約を適用するルールと、他のリソースに制約が適用されないようにするルールを含めることができます。

組織のポリシーが接続されているリソースの子孫は、組織のポリシーを継承します。組織のポリシーを組織リソースに適用すると、組織のポリシー管理者は組織全体での組織のポリシーの適用と制限の構成を制御できます。

組織のポリシーのコンセプト

制約

制約は、Google Cloud サービスまたは Google Cloud サービスのリストに対する特殊な制限です。制約は、どのような行動が制御されているかを定義する青写真と考えることができます。この青写真は組織のポリシーとしてリソース階層のリソースに適用され、これにより制約で定義されたルールが実施されます。その制約にマッピングされ、そのリソース階層ノードに関連付けられた Google Cloud サービスにより、組織のポリシー内で構成された制限が適用されます。

制約のタイプは、リストブールのいずれかです。リスト型制約は、指定された許可値または拒否値のリストを使用して制約を評価します。たとえば、次の制約により、仮想マシンに接続できる IP アドレスが制限されます。

name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
      - projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME

ブール制約は、特定のリソースに対して適用されるかされないかにかかわらず、特定の動作を決定します。たとえば、次の制約は、外部サービス アカウントを作成できるかどうかを決定します。

name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

タグを使用すると、リソースに特定のタグが付加されているかどうかに基づいて、条件付きで制約を適用できます。タグを使用し、条件付きでの制約の適用を使用すると、階層内のリソースを集中管理できます。

たとえば、次の制約により、environment=development でタグ付けされたリソースについては Cloud Logging は無効になりますが、それ以外の場所では有効になります。

name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
  rules:
  - condition:
      expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
      title: ""
    enforce: true
  - enforce: false

各 Google Cloud サービスは制約のタイプと値を評価して、何を制限すべきかを決定します。制約の詳細については、制約についてのページをご覧ください。

カスタム制約

カスタム制約では、事前定義された制約と同様にリソースの作成と更新を許可または制限できますが、管理者はリクエスト パラメータやその他のメタデータに基づいて条件を構成できます。

Dataproc の NodePool リソースなど、特定のサービス リソースに対するオペレーションを制限するカスタム制約を作成できます。カスタム制約をサポートするサービス リソースの一覧については、カスタム制約でサポートされるサービスをご覧ください。

組織のポリシーでカスタム制約を使用する方法については、カスタム制約の作成と管理をご覧ください。

継承

リソースに組織のポリシーが設定されている場合、そのリソースのすべての子孫はデフォルトでその組織のポリシーを継承します。組織リソースで組織のポリシーを設定した場合、そのポリシーで定義されている制限の構成は、子孫であるすべてのフォルダ、プロジェクト、サービス リソースに受け継がれます。

組織ポリシー管理者の役割を持つユーザーは、子孫リソース階層ノードに対して別の組織のポリシーを設定し、この継承された制限の上書き、階層評価のルールに基づくこれらの制限内容の結合ができます。これにより、組織のポリシーが組織全体にどのように適用され、どこで例外を適用するかを正確に制御できます。

階層評価の詳細については、階層についてをご覧ください。

違反

違反とは、Google Cloud サービスがリソース階層の範囲内にある組織のポリシー制限の構成に反して動作している状況を指します。通常、GCP サービスは制約を適用して違反を防止しますが、新しい組織のポリシーの適用は遡及的ではありません。組織のポリシーの制約がさかのぼって適用されている場合は、[組織のポリシーの制約] ページでそのようなラベル付けがされます。

すでに発生しているサービスの動作や状態に対して新しい組織のポリシーにより制限が設定された場合、ポリシー違反状態とみなされますが、サービスは元の動作を停止しません。この違反には手動で対処する必要があります。この動作は新しい組織ポリシーによってビジネスの継続性が完全に損なわれるリスクを防ぐためのものです。

次のステップ