Jika Anda menetapkan kebijakan organisasi di node hierarki resource, semua turunan dari node hierarki resource tersebut mewarisi kebijakan organisasi secara default. Jika Anda menetapkan kebijakan organisasi di node organisasi root, pembatasan tersebut akan diwarisi oleh semua folder, project, dan resource turunan.
Anda dapat menetapkan kebijakan organisasi yang sama dengan konfigurasi berbeda pada node turunan, yang akan menimpa atau digabungkan dengan kebijakan yang diwariskan berdasarkan aturan evaluasi hierarki.
Sebelum memulai
Baca halaman Memahami batasan untuk mempelajari tentang batasan.
Baca ringkasan Layanan Kebijakan Organisasi untuk mempelajari cara kerja kebijakan organisasi.
Contoh hierarki
Dalam diagram hierarki resource di bawah, setiap node menetapkan kebijakan organisasi dan menentukan apakah node tersebut mewarisi kebijakan node induknya. Bentuk yang berwarna mewakili nilai yang diizinkan atau ditolak oleh kebijakan organisasi.
Constraint adalah definisi perilaku yang dikontrol oleh kebijakan organisasi. Dalam contoh di atas, Constraint merepresentasikan default batasan, yang menentukan perilaku saat tidak ada kebijakan organisasi untuk batasan tersebut. Batasan default dalam contoh ini mengizinkan semua nilai. Node di bawahnya menentukan kebijakan organisasi yang mengganti batasan default dengan mengizinkan atau menolak nilai.
Kebijakan yang berlaku pada setiap node dievaluasi berdasarkan aturan pewarisan. Jika kebijakan organisasi tidak disetel, node akan mewarisi perilaku batasan default. Jika Anda menetapkan kebijakan organisasi, kebijakan Andalah yang akan digunakan. Pada contoh di atas, Node Organisasi menentukan kebijakan yang mengizinkan kotak merah dan lingkaran hijau .
Node resource yang ada dalam hierarki di bawah Node Organisasi dievaluasi sebagai berikut:
Resource 1 menentukan kebijakan yang menetapkan
inheritFromParentkeTRUEdan mengizinkan berlian biru . Kebijakan dari Organization Node diwarisi dan digabungkan dengan kebijakan yang ditetapkan di Resource 1. Kebijakan yang efektif mengevaluasi untuk mengizinkan kotak merah, lingkaran hijau, dan berlian biru.Resource 2 menentukan kebijakan yang menetapkan
inheritFromParentkeTRUEdan menolak lingkaran hijau . Nilai penolakan selalu diutamakan selama rekonsiliasi kebijakan. Kebijakan dari Organization Node diwariskan dan digabungkan dengan kebijakan yang disetel di Resource 2. Kebijakan yang efektif dievaluasi sehingga hanya mengizinkan kotak merah.Resource 3 menentukan kebijakan yang menetapkan
inheritFromParentkeFALSEdan mengizinkan segi enam kuning. Kebijakan dari Organization Node tidak diwarisi, sehingga kebijakan yang efektif mengevaluasi untuk hanya mengizinkan hexagon kuning .Resource 4 menentukan kebijakan yang menetapkan
inheritFromParentkeFALSEdan menyertakan nilairestoreDefault. Kebijakan dari Organization Node tidak diwarisi, dan perilaku batasan default digunakan, sehingga kebijakan yang efektif akan bernilai mengizinkan semua nilai.
Aturan evaluasi hierarki
Aturan berikut mengatur bagaimana kebijakan organisasi dievaluasi pada resource tertentu. Anda memerlukan peran Organization Policy Administrator untuk menetapkan kebijakan organisasi.
Kebijakan organisasi tidak ditetapkan
Jika Anda tidak menetapkan kebijakan organisasi, node resource akan mewarisi dari ancestor terendahnya dengan kumpulan kebijakan. Jika tidak ada kebijakan yang ditetapkan dalam hierarki ancestor, perilaku default batasan akan diterapkan.
Pewarisan
Node resource yang kebijakan organisasinya disetel secara default akan menggantikan
kebijakan yang disetel oleh node induknya dalam hierarki. Namun, jika node resource telah
menetapkan inheritFromParent = true, Kebijakan yang efektif dari resource induk
akan diwariskan, digabungkan, dan direkonsiliasi untuk mengevaluasi kebijakan efektif
yang dihasilkan. Contoh:
- Folder menolak nilai
projects/123. - Project di bawah folder tersebut menolak nilai
projects/456.
Kedua kebijakan tersebut digabungkan, dan dalam hal ini menghasilkan kebijakan efektif yang
menolak projects/123 dan projects/456.
Melarang pewarisan
Jika node hierarki resource memiliki kebijakan yang menyertakan
inheritFromParent = false, node hierarki resource tidak mewarisi kebijakan organisasi dari
induknya. Sebagai gantinya, node mewarisi perilaku default batasan kecuali
Anda menetapkan kebijakan dengan nilai yang diizinkan atau ditolak.
Merekonsiliasi konflik kebijakan
Jika node turunan mewarisi kebijakan organisasi berdasarkan batasan daftar, kebijakan yang diwariskan akan digabungkan dan direkonsiliasi dengan kebijakan organisasi node. Dalam evaluasi kebijakan
daftar, nilai DENY selalu diprioritaskan. Contoh:
- Folder menolak nilai
projects/123. - Project di bawah folder tersebut memungkinkan nilai
projects/123.
Kebijakan digabungkan dan nilai DENY lebih diprioritaskan. Kebijakan yang efektif menolak semua nilai, dan akan mengevaluasi dengan cara yang sama, baik node induk atau node turunan menolak nilai tersebut. Sebaiknya jangan sertakan nilai dalam daftar yang diizinkan dan ditolak. Melakukannya dapat mempersulit Anda untuk memahami kebijakan.
Kebijakan organisasi yang berasal dari boolean constraints tidak menggabungkan dan merekonsiliasi kebijakan. Jika kebijakan ditentukan pada node resource, nilai TRUE atau
FALSE tersebut akan digunakan untuk menentukan kebijakan yang efektif. Contoh:
Folder menetapkan
enforced: trueuntukconstraints/compute.disableSerialPortAccess.Project di bawah folder tersebut menetapkan
enforced: falseuntukconstraints/compute.disableSerialPortAccess.
Nilai enforced: true yang ditetapkan pada folder diabaikan karena
enforced: false ditentukan pada project itu sendiri. Kebijakan organisasi tidak akan menerapkan batasan untuk project tersebut.
Reset ke kebijakan default
Dengan memanggil RestoreDefault, kebijakan organisasi akan menggunakan perilaku
default batasan untuk node hierarki resource ini. Node turunan juga akan mewarisi perilaku ini.