通过组织政策服务,您可以对组织的云端资源进行集中编程控制。作为组织政策管理员,您可以为整个资源层次结构配置限制。
优势
- 集中控制以配置有关组织如何 可以使用的资源
- 为开发团队界定和建立界限,以确保始终遵从法规。
- 帮助项目所有者及其团队快速行动,无需担心违反法规。
常见使用场景
借助组织政策,您可以执行以下操作:
此外,您还可以通过更多限制条件对组织的资源进行精细控制。如需了解详情,请参阅所有组织政策服务限制条件的列表。
与 Identity and Access Management 的区别
Identity and Access Management 侧重于谁,可让管理员授权 谁可以根据权限对特定资源执行操作。
组织政策侧重于什么,管理员可以对特定资源设置限制,以决定它们的配置方式。
组织政策的运作方式
组织政策会配置单个限制条件来限制 或更多 Google Cloud 服务。组织政策是在 组织、文件夹或项目资源,以对其强制执行限制条件 资源和任何子资源。
组织政策包含一条或多条规则,用于指定是否以及如何强制执行限制。例如,组织政策可以包含一条规则,用于仅对标记为 environment=development 的资源强制执行限制条件,以及另一条规则,用于阻止对其他资源强制执行限制条件。
附加了组织政策的资源的后代 继承组织政策。通过申请组织 将政策应用于组织资源,则组织政策管理员可以 控制该组织政策的实施和配置, 限制。
限制条件
限制条件是针对某项 Google Cloud 服务或一组 Google Cloud 服务的特定限制类型。考虑
以蓝图的形式定义约束条件,从而定义受控行为。
例如,您可以限制项目资源访问 Compute Engine
使用 compute.storageResourceUseRestrictions 限制条件来设置存储资源。
然后,此蓝图会应用于您的资源层次结构中的资源 作为组织政策,用于实施限制条件中定义的规则。 随后,映射到该限制条件并与该资源层次结构节点相关联的 Google Cloud 服务便会实施组织政策中配置的限制。
YAML 或 JSON 文件中由组织政策定义的限制条件 来强制执行,并视需要根据限制条件 强制执行。每项组织政策只会对有效项强制执行一项限制条件 模式和/或试运行模式。
限制条件的强制执行类型为列表或布尔值,这决定了可用于检查强制执行情况的值。实施的 GCP 服务将评估限制条件类型和值以确定限制。
列表限制条件
列表限制条件允许或禁止组织政策中定义的值列表。该值列表以层次结构子树字符串的形式表示。子树字符串指定了其适用的资源类型。对于
列表限制条件 constraints/compute.trustedImageProjects 采用
项目 ID 列表,格式为 projects/PROJECT_ID。
可以为值添加 prefix:value 形式的前缀,表示
支持它们,从而赋予值额外的含义:
is:- 针对确切的值应用比较。此行为与未加前缀时的行为一样;当值包含冒号时,必需使用此前缀。under:- 对值及其所有子值应用比较。如果 允许或拒绝资源使用此前缀时,其子资源也会被 是允许还是拒绝提供的值必须是组织、文件夹或项目资源的 ID。in:- 对包含此值的所有资源应用比较。对于 例如,您可以将in:us-locations添加到constraints/gcp.resourceLocations限制条件,以屏蔽 位于us区域。
如果未提供值列表,或者组织政策设置为 由 Google 管理的默认行为,则限制条件的默认行为会采用 即允许所有值或拒绝所有值。
以下组织政策会强制执行一项限制,允许 organizations/1234567890123 中的 Compute Engine 虚拟机实例 vm-1 和 vm-2 访问外部 IP 地址:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
布尔值限制条件
布尔值限制条件要么强制执行,要么不强制执行。例如,
预定义限制条件 constraints/compute.disableSerialPortAccess 有两个
可能的状态:
- 已强制执行 - 强制执行限制条件,不访问串行端口 允许。
- 未强制执行 - 未强制执行
disableSerialPortAccess限制条件,或者 因此允许串行端口访问
如果组织政策设置为 Google 管理的默认政策,则限制条件的默认行为将生效。
以下组织政策会实施限制条件,以停用
在 organizations/1234567890123 中创建外部服务账号:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
自定义组织政策
自定义组织政策可以允许或限制资源创建和更新 与预定义组织政策相同,但允许 以便管理员根据请求参数和其他 元数据。
您可以创建自定义组织政策,并在其中添加限制条件,以限制对特定服务资源(例如 Dataproc NodePool 资源)的操作。如需查看支持自定义限制条件的服务资源列表,请参阅
自定义限制条件支持的服务。
如需详细了解如何使用自定义组织政策,请参阅创建和管理自定义组织政策。
试运行模式下的组织政策
试运行模式下的组织政策的创建和实施方式类似于 其他组织政策和政策违规行为都会在审核日志中记录, 而不会拒绝违规操作
您可以在试运行模式下使用组织政策,以便在政策生效之前监控政策更改对工作流的影响。如需了解详情,请参阅在试运行模式下创建组织政策。
基于条件的组织政策
代码提供了一种有条件地实施限制条件的方法,其依据是 具有特定标记。您可以使用代码并有条件地强制执行 限制条件,从而集中控制层次结构中的资源。
如需详细了解代码,请参阅代码概览。要了解如何设置 使用标记的条件组织政策,请参阅 使用标记设置组织政策。
继承
在资源上设置组织政策后,该政策的所有后代都会 默认情况下,资源会继承组织政策。如果您将 组织资源的组织政策,然后配置 该政策定义的限制将通过 文件夹、项目和服务资源
您可以在后代资源上设置组织政策,该政策可能覆盖继承的政策,也可能继承父级资源的组织政策。在后一种情况下,系统会根据以下内容合并这两项组织政策: 层次结构评估规则。这让您可以精确控制 组织政策会应用于整个组织,不限位置 例外情况。
如需详细了解层次结构评估,请参阅了解层次结构 页面。
违规
违规是指 Google Cloud 服务的行为或状态违反其资源层次结构范围内设置的组织政策限制配置。通常,Google Cloud 服务将实施限制条件来防止违规,但新组织政策的效力不会追溯既往。如果组织政策限制强制追溯既往,则其会在组织政策限制页面上标出。
如果新组织政策对某项操作或声明 服务,则视为违规,但 服务不会停止其原始行为。您将需要手动解决该违规问题。这样做可防止新组织政策完全关闭您的业务连续性。
Policy Intelligence
Policy Intelligence 是一套旨在帮助您管理安全政策的工具。这些工具可帮助您了解资源使用情况、了解和改进现有安全政策,以及防止政策配置错误。
一些 Policy Intelligence 工具专门用于帮助 测试和分析组织政策服务政策我们建议您对组织政策的所有更改进行测试和模拟运行。包含 Policy Intelligence,您可以执行如下任务:
- 测试对组织政策和限制条件的更改,并找出不符合拟议政策的资源(预览版)
- 识别不合规的资源(针对组织政策和限制条件变更)(预览版)
- 创建试运行组织政策 监控政策变更将如何影响您的工作流程
- 分析现有组织政策 了解您的哪些项目涵盖哪些 Google Cloud 资源 组织政策
如需详细了解这些工具和其他 Policy Intelligence 工具,请参阅 Policy Intelligence 概览。
后续步骤
- 阅读创建和管理组织页面,了解如何获取组织资源。
- 了解如何使用 Google Cloud 控制台创建和管理组织政策。
- 了解如何使用限制条件定义组织政策。
- 探索您可以通过组织政策限制条件实现的解决方案。