组织政策服务简介

借助组织政策服务,您可以通过程序化方式对组织的云资源进行集中控制。身为组织政策管理员,您可以配置整个资源层次结构的限制。

优点

  • 集中控制以配置关于如何使用组织资源的限制。
  • 为开发团队界定和建立界限,以确保始终遵从法规。
  • 帮助项目所有者及其团队快速行动,无需担心违反法规。

常见使用场景

请参阅组织政策服务的完整限制条件列表

与 Cloud Identity and Access Management 的区别

Cloud Identity and Access Management 侧重于,可让管理员授权用户根据权限对特定资源执行操作。

组织政策侧重于什么,管理员可以对特定资源设置限制,以决定它们的配置方式。

主要概念

组织政策

组织政策就是限制的配置。身为组织政策管理员,您可以定义组织政策,然后在某资源层次结构节点上设置该政策,以便对该资源层次结构节点及其后代节点实施相关限制。

要定义组织政策,您可以选择限制条件,这是针对某一 Google Cloud 服务或一组 Google Cloud 服务的特定限制类型。您可以使用所需的限制来配置该限制条件。

目标资源层次结构节点的后代会继承该组织政策。通过将组织政策应用于根组织节点,您可以在整个组织有效推动该组织政策和限制配置的实施。

组织政策概念

限制条件

限制条件是针对某项 Google Cloud 服务或一组 Google Cloud 服务的特定限制类型。您可以将限制条件视为定义受控行为的蓝图,然后将该蓝图作为组织政策应用于资源层次结构节点,以实施限制条件中定义的规则。随后,映射到该限制条件并与该资源层次结构节点相关联的 Google Cloud 服务便会实施组织策略中配置的限制。

限制条件具有列表布尔值两种类型。列表限制条件使用您提供的允许或拒绝值列表(例如可以连接到虚拟机的 IP 地址白名单)来评估限制条件。系统会对给定资源强制执行或不强制执行布尔值限制条件,这些限制条件用于管理特定行为,例如是否可以创建外部服务帐号。

限制条件类型 业务需求 限制条件配置
列表 限制一组实例的外部 IP 地址配置

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
布尔值 停用服务帐号创建功能

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation
  booleanPolicy: {
    enforced: true
  }
}

每项 Google Cloud 服务都会评估限制条件类型和值,以确定应该进行哪些限制。如需详细了解限制条件,请参阅了解限制条件页面。

继承

在某个资源层次结构节点上设置组织政策时,默认情况下,这个节点的所有后代都会继承该组织政策。如果您在根组织节点上设置组织政策,则这个节点下的所有后代文件夹、项目和服务资源都将继承该政策定义的限制配置。

具有 Organization Policy Administrator 角色的用户可针对后代资源层次结构节点设置不同的组织政策,该政策可能覆盖继承的政策,也可能与继承的政策进行合并,具体取决于层次结构评估规则。如此,您便能精确控制组织政策在整个组织中的应用方式,以及需要进行例外处理的地方。

如需详细了解层次结构评估,请参阅了解层次结构页面。

违规

违规是指 Google Cloud 服务的行为或状态违反其资源层次结构范围内设置的组织政策限制配置。通常,GCP 服务将实施限制条件来防止违规,但新组织政策的效力不会追溯既往

如果新组织政策对服务所执行的操作或服务所处的状态设定限制,则该政策被视为违规,但服务不会停止其原来的行为。您将需要手动解决该违规问题。这样做可防止新组织政策完全关闭您的业务连续性。

后续步骤