通过组织政策服务,您可以对组织的云端资源进行集中编程控制。作为组织政策管理员,您可以为整个资源层次结构配置限制。
优势
- 集中控制以配置有关组织如何 可以使用的资源
- 为开发团队界定和建立界限,以确保始终遵从法规。
- 帮助项目所有者及其团队快速行动,无需担心违反法规。
常见使用场景
通过组织政策,您可以执行以下操作:
此外,您还可以通过更多限制条件对组织的资源进行精细控制。如需了解详情,请参阅所有组织政策服务限制条件的列表。
与 Identity and Access Management 的区别
Identity and Access Management 侧重于谁,可让管理员授权 谁可以根据权限对特定资源执行操作。
组织政策侧重于什么,管理员可以对特定资源设置限制,以决定它们的配置方式。
组织政策的工作原理
组织政策会配置单个限制条件来限制 或更多 Google Cloud 服务。组织政策是在 组织、文件夹或项目资源,以对其强制执行限制条件 资源和任何子资源。
组织政策包含一条或多条规则,这些规则指定如何以及
是否强制执行限制条件。例如,组织政策可以
包含一条规则,该规则仅对标记的资源强制执行限制条件
environment=development 和另一条规则可防止限制条件
对其他资源的强制执行
附加了组织政策的资源的后代 继承组织政策。通过申请组织 将政策应用于组织资源,则组织政策管理员可以 控制该组织政策的实施和配置, 限制。
限制条件
约束条件是针对
Google Cloud 服务或一系列 Google Cloud 服务。考虑
以蓝图的形式定义约束条件,从而定义受控行为。
例如,您可以使用 compute.storageResourceUseRestrictions 约束条件限制项目资源访问 Compute Engine 存储资源。
然后,此蓝图会应用于您的资源层次结构中的资源 作为组织政策,用于实施限制条件中定义的规则。 映射到该限制条件并与 然后该资源层次结构节点将强制执行已配置的限制 在组织政策范围内
YAML 或 JSON 文件中由组织政策定义的限制条件 来强制执行,并视需要根据限制条件 强制执行。每项组织政策在有效模式和/或试运行模式下都会强制执行恰好一个约束条件。
限制条件的强制执行类型是列表或布尔值,用于确定 可用于检查强制执行情况的值。实施的 GCP 服务将评估限制条件类型和值以确定限制。
列表限制条件
列表限制条件可允许或禁止在
组织政策这个值列表以层次结构子树的形式表示
字符串。子树字符串指定了其适用的资源类型。对于
列表限制条件 constraints/compute.trustedImageProjects 采用
项目 ID 列表,格式为 projects/PROJECT_ID。
您可以为值添加 prefix:value 形式的前缀,以便为值赋予其他含义:
is:- 针对确切值应用比较。此行为与未加前缀时的行为一样;当值包含冒号时,必需使用此前缀。under:- 对值及其所有子值应用比较。如果 允许或拒绝资源使用此前缀时,其子资源也会被 是允许还是拒绝提供的值必须是组织的 ID 文件夹或项目资源。in:- 对包含此值的所有资源应用比较。对于 例如,您可以将in:us-locations添加到constraints/gcp.resourceLocations限制条件,以屏蔽 位于us区域。
如果未提供值列表,或者组织政策设置为 由 Google 管理的默认行为,则限制条件的默认行为会采用 即允许所有值或拒绝所有值。
以下组织政策会实施限制条件,以允许
organizations/1234567890123 中的 Compute Engine 虚拟机实例 vm-1 和 vm-2
访问外部 IP 地址:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
布尔值限制条件
布尔值限制条件要么强制执行,要么不强制执行。例如,预定义的约束条件 constraints/compute.disableSerialPortAccess 有两种可能的状态:
- 已强制执行 - 强制执行限制条件,不访问串行端口 允许。
- 未强制执行 - 未强制执行
disableSerialPortAccess限制条件,或者 因此允许串行端口访问
如果组织政策设置为 Google 管理的默认值,则 限制条件的默认行为生效。
以下组织政策会强制执行限制条件,以禁止在 organizations/1234567890123 中创建外部服务账号:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
自定义组织政策
自定义组织政策可以允许或限制资源创建和更新 与预定义组织政策相同,但允许 以便管理员根据请求参数和其他 元数据。
您可以创建具有如下限制的自定义组织政策
对某些服务资源(例如 Dataproc NodePool)执行的操作
资源。如需查看支持自定义限制条件的服务资源列表,请参阅
自定义限制条件支持的服务。
如需详细了解如何使用自定义组织政策, 请参阅创建和管理自定义组织政策。
试运行模式下的组织政策
试运行模式下的组织政策的创建和实施方式类似于 其他组织政策和政策违规行为都会在审核日志中记录, 而不会拒绝违规操作
您可以在试运行模式下使用组织政策来监控政策变更 在强制执行之前影响您的工作流。如需了解详情,请参阅 在试运行模式下创建组织政策。
附条件的组织政策
代码提供了一种有条件地实施限制条件的方法,其依据是 具有特定标记。您可以使用代码并有条件地强制执行 限制条件,从而集中控制层次结构中的资源。
如需详细了解代码,请参阅代码概览。要了解如何设置 使用标记的条件组织政策,请参阅 使用标记设置组织政策。
继承
在资源上设置组织政策后,该政策的所有后代都会 默认情况下,资源会继承组织政策。如果您将 组织资源的组织政策,然后配置 该政策定义的限制将通过 文件夹、项目和服务资源
您可以在后代资源上设置组织政策,该政策可能覆盖继承的政策,也可能继承父级资源的组织政策。在后一种情况下,系统会根据以下内容合并这两项组织政策: 层次结构评估规则。这让您可以精确控制 组织政策会应用于整个组织,不限位置 例外情况。
如需详细了解层次结构评估,请参阅了解层次结构页面。
违规
违规是指 Google Cloud 服务的行为或状态违反其资源层次结构范围内设置的组织政策限制配置。通常,Google Cloud 服务将实施限制条件来防止违规,但新组织政策的效力不会追溯既往。如果组织政策限制条件具有追溯性 都会在组织政策限制条件中带有相应标记 页面。
如果新组织政策对某项操作或声明 服务,则视为违规,但 服务不会停止其原始行为。您将需要手动解决该违规问题。这样做可防止新组织政策完全关闭您的业务连续性。
Policy Intelligence
Policy Intelligence 是一套旨在帮助您管理安全政策的工具。这些工具可帮助您了解资源使用情况、了解和改进现有安全政策,以及防止政策配置错误。
一些 Policy Intelligence 工具专门用于帮助 测试和分析组织政策服务政策我们建议您测试并 试运行对组织政策的所有更改。包含 Policy Intelligence,您可以执行如下任务:
- 测试变更 组织政策和限制条件,并确定 不符合所提议的政策 (预览版)
- 针对组织政策和限制条件识别不合规的资源 变更(预览版)
- 创建试运行组织政策,以监控政策更改对您的工作流的影响
- 分析现有组织政策,了解哪些 Google Cloud 资源受哪些组织政策的约束
如需详细了解这些工具和其他 Policy Intelligence 工具,请参阅 Policy Intelligence 概览。
后续步骤
- 阅读创建和管理组织页面,了解如何获取组织资源。
- 了解如何 创建和管理组织政策 Google Cloud 控制台。
- 了解如何使用限制条件定义组织政策。
- 探索您可以通过组织政策限制条件实现的解决方案。