组织政策服务简介

通过组织政策服务，您可以对组织的云端资源进行集中编程控制。身为组织政策管理员，您可以配置整个资源层次结构的限制条件。

优势

集中控制以配置关于如何使用组织资源的限制。
为开发团队界定和建立界限，以确保始终遵从法规。
帮助项目所有者及其团队快速行动，无需担心违反法规。

常见用例

组织政策由允许您执行以下操作的限制条件组成：

根据网域限制资源共享。
限制 Identity and Access Management 服务帐号的使用。
限制新创建的资源的物理位置。

此外，您还可以通过更多限制条件对组织的资源进行精细控制。如需了解详情，请参阅所有组织政策服务限制条件的列表。

与 Identity and Access Management 的区别

Identity and Access Management 侧重于人，可让管理员授权用户根据权限对特定资源执行操作。

组织政策侧重于什么，管理员可以对特定资源设置限制，以决定它们的配置方式。

主要概念

组织政策

组织政策是限制的配置。身为组织政策管理员，您可以定义组织政策，然后在组织、文件夹和项目上设置该政策，以便对该资源及其后代实施相关限制。

要定义组织政策，您可以选择限制条件，这是针对某一 Google Cloud 服务或一组 Google Cloud 服务的特定限制类型。您可以使用所需限制来配置该限制条件。

目标资源层次结构节点的后代会继承该组织政策。通过将组织政策应用于根组织节点，您可以在整个组织有效推动该组织政策和限制配置的实施。

组织政策概念

限制条件

限制条件是针对某项 Google Cloud 服务或一组 Google Cloud 服务的特定限制类型。您可以将限制条件视为定义受控行为的蓝图，然后将该蓝图作为组织政策应用于资源层次结构节点，以实施限制条件中定义的规则。随后，映射到该限制条件并与该资源层次结构节点相关联的 Google Cloud 服务便会实施组织策略中配置的限制。

限制条件具有列表或布尔值两种类型。列表限制条件使用您提供的允许值或拒绝值列表（例如可以连接到虚拟机的 IP 地址许可名单）评估限制条件。系统会对给定资源强制执行或不强制执行布尔值限制条件，这些限制条件用于管理特定行为，例如是否可以创建外部服务帐号。

限制条件类型	业务需求	限制条件配置
列表	将外部 IP 的配置限制在实例列表范围内	resource: "organizations/`ORGANIZATION_ID`" policy: { constraint: "constraints/compute.vmExternalIpAccess" listPolicy: { allowedValues: [ projects/`PROJECT_NAME`/zones/`ZONE_ID`/instances/`INSTANCE_NAME`, projects/`PROJECT_NAME`/zones/`ZONE_ID`/instances/`INSTANCE_NAME` ] } }
布尔值	禁止创建服务帐号	resource: "organizations/`ORGANIZATION_ID`" policy: { constraint: "constraints/iam.disableServiceAccountCreation" booleanPolicy: { enforced: true } }

限制条件类型

业务需求

限制条件配置

列表

将外部 IP 的配置限制在实例列表范围内


resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}

布尔值

禁止创建服务帐号


resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation"
  booleanPolicy: {
    enforced: true
  }
}

每项 Google Cloud 服务都会评估限制条件类型和值，以确定应该进行哪些限制。如需详细了解限制条件，请参阅了解限制条件页面。

自定义约束条件

自定义限制条件可以像预定义限制条件一样允许或限制对 API 调用的访问权限，但允许管理员根据请求参数和其他元数据来配置条件。

您可以创建自定义限制条件来限制对某些服务资源（如 Dataproc NodePool 资源）的操作。如需查看支持自定义限制条件的服务资源列表，请参阅自定义限制条件支持的服务。

如需详细了解如何在组织政策中使用自定义限制条件，请参阅创建和管理自定义限制条件。

继承

在某个资源层次结构节点上设置组织政策时，默认情况下，这个节点的所有后代都会继承该组织政策。如果您在根组织节点上设置组织政策，则这个节点下的所有后代文件夹、项目和服务资源都将继承该政策定义的限制配置。

具有 Organization Policy Administrator 角色的用户可针对后代资源层次结构节点设置不同的组织政策，该政策可能覆盖继承的政策，也可能与继承的政策进行合并，具体取决于层次结构评估规则。如此，您便能精确控制组织政策在整个组织中的应用方式，以及需要进行例外处理的地方。

如需详细了解层次结构评估，请参阅了解层次结构页面。

违规

违规是指 Google Cloud 服务的行为或状态违反其资源层次结构范围内设置的组织政策限制配置。通常，Google Cloud 服务将实施限制条件来防止违规，但新组织政策的效力不会追溯既往。如果组织政策限制强制追溯既往，则其会在组织政策限制页面上标出。

如果新组织政策对服务所执行的操作或服务所处的状态设定限制，则该政策被视为违规，但服务不会停止其原来的行为。您将需要手动解决该违规问题。这样做可防止新组织政策完全关闭您的业务连续性。

后续步骤

阅读创建和管理组织页面，了解如何获取组织资源。
了解如何使用 Google Cloud 控制台创建和管理组织政策。
了解如何使用限制条件定义组织政策。
探索您可以通过组织政策限制条件实现的解决方案。