組織ポリシー サービスの概要

組織ポリシー サービスを使用すると、組織の Cloud リソースをプログラムで一元管理できます。組織ポリシー管理者は、リソース階層全体で制限を構成できます。

利点

  • 組織のリソースの使用方法に関する制限を構成して集中管理できます。
  • 開発チームがコンプライアンスを遵守できるように違反防止策の定義と確立ができます。
  • プロジェクト オーナーとチームがコンプライアンス違反を心配せずに迅速に行動できるようになります。

一般的なユースケース

すべての組織ポリシー サービスの制約のリストをご覧ください。

Cloud Identity and Access Management との違い

Cloud Identity and Access Management で重要なのは「」で、管理者は特定のリソースに対して誰がアクションを実施できるかを権限に基づいて承認します。

組織ポリシーで重要なのは「」で、管理者は特定のリソースに対して制限を設定し、どのような構成が可能であるかを決定できます。

主なコンセプト

組織ポリシー

組織ポリシーは、制限の構成です。組織ポリシー管理者は組織ポリシーを定義し、その組織ポリシーをリソース階層ノードに設定することにより、その階層ノードと子孫ノードに制限を適用します。

組織ポリシーを定義するには、制約を選択します。制約は、1 つの GCP サービス、または GCP サービスのグループに対する特定の種類の制限です。制約には、目的の制限を構成します。

対象のリソース階層ノードの子孫は、組織ポリシーを継承します。組織ポリシーをルート組織ノードに適用すると、組織全体で組織ポリシーの適用と制限の構成を効果的に行うことができます。

組織ポリシーのコンセプト

制約

制約は、1 つの GCP サービス、または GCP サービスのリストに対する特定の種類の制限です。制約は、どのような行動が制御されているかを定義する青写真と考えることができます。この青写真は組織ポリシーとしてリソース階層に適用され、これにより制約で定義されたルールが実施されます。その制約にマップされ、そのリソース階層ノードに関連付けられている GCP サービスにより、組織ポリシー内で構成された制限が適用されます。

制約にはタイプがあります。このタイプは、入力して適用チェックに使用できる組織ポリシー値を示します。適用を行う GCP サービスは制約のタイプと値を評価して、制限を決定します。

使用可能なタイプは次のとおりです。

制約タイプ サンプル 使用される制約 構成の制限
リスト 外部 IP の構成をインスタンスのリストに制限する constraints/compute.vmExternalIpAccess 以下を許可
projects/P1/zones/Z1/instances/123
projects/P2/zones/Z1/instances/456
ブール値 VM のシリアルポート アクセスを無効にする constraints/compute.disableSerialPortAccess True

制約の詳細については、制約についてのページをご覧ください。

継承

組織ポリシーをリソース階層ノードに設定すると、そのノードのすべての子孫はデフォルトでその組織ポリシーを継承します。ルート組織ノードで組織ポリシーを設定した場合、そのポリシーで定義されている制限の構成は、子孫であるすべてのフォルダ、プロジェクト、サブプロジェクトに渡されます。

組織ポリシー管理者の役割を持つユーザーは、子孫リソース階層ノードに対して別の組織ポリシーを設定し、この継承を上書きしたり、階層評価のルールに基づいてこれらのノードを結合したりできます。これにより、組織ポリシーが組織全体にどのように適用され、どこで例外を適用するかを正確に制御できます。

階層評価の詳細については、階層についてをご覧ください。

違反

違反とは、リソース階層のスコープ内で、GCP サービスの動作や状態が、組織ポリシーの制限構成に反していることを指します。通常、GCP サービスは違反を防止するための制約を適用しますが、新しい組織ポリシーの適用は遡及的ではありません

すでに発生しているサービスの動作や状態に対して新しい組織ポリシーにより制限が設定された場合、ポリシーは違反とみなされますが、サービスは元の動作を停止しません。この違反には手動で対処する必要があります。これにより、新しい組織ポリシーによってビジネスの連続性が完全に途絶えるリスクを防ぎます。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Resource Manager のドキュメント