組織ポリシー サービスの概要

このページでは、Google Cloud Platform の組織ポリシー サービスの基本コンセプトについて説明します。

組織ポリシー サービスを使用すると、組織の Cloud リソースを一元管理することができます。Cloud リソース階層全体で許可する設定を簡単に制限できます。

組織ポリシーには次の利点があります。

  • プロジェクト、フォルダ、組織のいずれかの単位でポリシーを設定できます。
  • ポリシーはリソース階層の下位レベルに継承されます。組織ポリシーに設定可能な任意のレベルで上書きできます。
  • リソースのオーナーがポリシーを管理する必要はありません。組織のポリシー管理者(IAM 役割: roles/orgpolicy.policyAdmin)がポリシーを管理します。つまり、個々のユーザーやプロジェクト オーナーはポリシーを上書きできません。

プロジェクトまたは組織のサービスで組織ポリシー サービスの API を使用するには、ユーザー プロジェクトで Resource Manager API を有効にする必要があります。

組織ポリシーの IAM 役割

組織ポリシーを設定またはクリアするには、ユーザーに IAM 役割 Organization Policy/Organization Policy Administrator を割り当てる必要があります。この役割は、組織レベルでのみ付与できます。この役割のメンバーは、ポリシーを設定して Cloud リソースに設定する制限を定義できます。前述のように、この役割を組織レベルより下のリソースに付与することはできません。プロジェクトのコンプライアンスを維持し、プロジェクト オーナーによる上書きを防ぐため、IAM 権限の設定が許可されているプロジェクト オーナーは、自分が所有するプロジェクトの役割に自身を追加できません。

組織ポリシー サービスには、制約とポリシーという重要なコンセプトがあります。

制約は制御可能なリソースの設定を定義し、組織ポリシーのスキーマとして機能します。組織ポリシーは関連する制約が適用される範囲を定義します。別の下位のポリシーで上書きされない限り、リソース階層内の特定のリソースとそれより下位にあるすべてのリソースに適用されます。

制約

制約は、制限可能なリソースの設定を記述します。たとえば、制約を使用すると、組織のプロジェクトで有効にできる API を制御できます。組織のポリシー管理者は、組織のリソース階層の異なる場所に制約のポリシーを設定することで、組織の要件に合わせてリソース設定を制限できます。詳細については、制約についてをご覧ください。

ポリシー

組織ポリシーを使用すると、組織レベルで Cloud リソースの設定を制御できます。たとえば、Compute Engine では、シリアルポートへのアクセスを制限できます。

ポリシーはリソースの階層を考慮します。つまり、階層の下位レベルでポリシーを拡張または上書きしない限り、親リソースに適用されたポリシーがその下位レベルにあるすべてのリソースに自動的に適用されます。

継承ルールの詳細については、ポリシーと階層評価についてをご覧ください。

現在、組織ポリシーは、Resource Manager API セットに含まれている組織ポリシー サービスの API で定義し、設定できます。

次のステップ

フィードバックを送信...

Organization Policy Service Documentation