Informazioni sulla valutazione della gerarchia

Quando imposti un criterio dell'organizzazione su un nodo della gerarchia delle risorse, tutti i discendenti di quel nodo della gerarchia delle risorse ereditano il criterio dell'organizzazione. per impostazione predefinita. Se imposti un criterio dell'organizzazione nel nodo organizzazione principale, queste restrizioni verranno ereditate da tutte le cartelle secondarie, Google Cloud.

Puoi impostare lo stesso criterio dell'organizzazione con una configurazione diversa nell'account secondario nodi, che sovrascriveranno o uniranno il criterio ereditato in base al regole di valutazione della gerarchia.

Prima di iniziare

• Leggi la pagina Informazioni sui vincoli per ulteriori informazioni sulla definizione di un vincolo.

• Leggi la panoramica del Servizio Criteri dell'organizzazione per scoprire come funzionano i criteri dell'organizzazione.

Gerarchia di esempio

Nel diagramma della gerarchia delle risorse riportato di seguito, ogni nodo imposta un'organizzazione e definisce se eredita il criterio del nodo padre. Le forme colorate rappresentano i valori consentiti o vietati dai criteri dell'organizzazione.

Un vincolo è una definizione dei comportamenti controllati da un criterio dell'organizzazione. Nell'esempio riportato sopra, Constraint rappresenta il valore predefinito del vincolo, che definisce il comportamento quando non è presente un criterio dell'organizzazione per il vincolo. Il valore predefinito del vincolo in questo esempio consente tutti i valori all_inclusive. I nodi sottostanti definiscono i criteri dell'organizzazione che sostituiscono il valore predefinito del vincolo consentendo o impedendo i valori.

Il criterio effettivo su ciascun nodo viene valutato in base alle regole ereditarietà. Se non viene impostato un criterio dell'organizzazione, il nodo erediterà il comportamento predefinito della limitazione. Se imposti un criterio dell'organizzazione, al suo posto. Nell'esempio precedente, il Nodo dell'organizzazione definisce un criterio che consente il quadrato square rosso e il cerchio circle verde.

I nodi di risorse che si trovano nella gerarchia sotto il Nodo organizzazione. sono valutate come segue:

1. La risorsa 1 definisce un criterio che imposta inheritFromParent su TRUE e consente il diamante blu square. Il criterio di Nodo organizzazione è ereditato e unito al criterio impostato sulla Risorsa 1. L'efficace il criterio restituisce square rosso quadrato, circle verde cerchio e square rombo blu.

2. La risorsa 2 definisce un criterio che imposta inheritFromParent su TRUE e nega il cerchio verde circle. I valori di negazione hanno sempre la precedenza durante il criterio nella riconciliazione. Il criterio dal nodo organizzazione viene ereditato ed unito al criterio impostato sulla Risorsa 2. Il criterio efficace valuta di consentire solo il quadrato rosso square.

3. La risorsa 3 definisce un criterio che imposta inheritFromParent su FALSE e consente il esagono giallo hexagon. Il criterio del Nodo organizzazione non viene ereditato, pertanto il criterio effettivo valuta come consentito solo il hexagon esagono giallo.

4. La risorsa 4 definisce un criterio che imposta inheritFromParent su FALSE e include il valore restoreDefault. Il criterio del Nodo organizzazione non viene ereditato e viene utilizzato il comportamento di vincolo predefinito, pertanto il criterio effettivo valuta come consentito all_inclusive tutti i valori.

Regole di valutazione della gerarchia

Le seguenti regole regolano il modo in cui un criterio dell'organizzazione viene valutato a una data risorsa. Per impostare i criteri dell'organizzazione, devi disporre del ruolo Amministratore dei criteri dell'organizzazione.

Nessun criterio dell'organizzazione impostato

Se non imposti un criterio dell'organizzazione, un nodo della risorsa eredita dal suo antecessore più basso con un criterio impostato. Se non è impostato alcun criterio nella gerarchia degli antenati, viene applicato il comportamento predefinito della limitazione.

Ereditarietà

Un nodo della risorsa con un criterio dell'organizzazione impostato per impostazione predefinita sostituisce qualsiasi criterio impostato dai nodi principali nella gerarchia. Tuttavia, se un nodo della risorsa ha impostato inheritFromParent = true, il criterio effettivo della risorsa principale viene ereditato, unito e riconciliato per valutare il criterio effettivo risultante. Ad esempio:

• Una cartella nega il valore projects/123.
• Un progetto al di sotto di quella cartella nega il valore projects/456.

I due criteri vengono uniti e, in questo caso, si ottiene un criterio efficace che nega sia projects/123 sia projects/456.

Non consentire l'ereditarietà

Se un nodo della gerarchia di risorse ha un criterio che include inheritFromParent = false, non eredita il criterio dell'organizzazione da per l'elemento principale. Il nodo eredita invece il comportamento predefinito del vincolo, a meno che se imposti un criterio con valori consentiti o negati.

Riconciliare i conflitti di criteri

Quando un nodo secondario eredita i criteri dell'organizzazione in base ai vincoli dell'elenco, i criteri ereditati vengono uniti e riconciliati con i criteri dell'organizzazione del nodo. Criterio nell'elenco durante la valutazione, i valori di DENY hanno sempre la precedenza. Ad esempio:

• Una cartella nega il valore projects/123.
• Un progetto all'interno di questa cartella consente il valore projects/123.

I criteri vengono uniti e il valore DENY ha la precedenza. Il criterio effettivo nega tutti i valori e viene valutato nello stesso modo indipendentemente dal fatto che il nodo principale o secondario neghi il valore. È preferibile non includere un valore sia nel campo consentiti e non consentiti. In questo modo, può essere più difficile comprendere le tue norme.

Criteri dell'organizzazione che derivano I vincoli booleani non vengono uniti i criteri di riconciliazione. Se su un nodo risorsa viene specificato un criterio, TRUE o Il valore FALSE viene utilizzato per determinare il criterio effettivo. Ad esempio:

• Una cartella imposta enforced: true per constraints/compute.disableSerialPortAccess.

• Un progetto sotto quella cartella imposta enforced: false per constraints/compute.disableSerialPortAccess.

Il valore enforced: true impostato per la cartella viene ignorato perché Il campo enforced: false è definito nel progetto stesso. Il criterio dell'organizzazione non applicherà il vincolo per quel progetto.

Ripristina criterio predefinito

Se richiami RestoreDefault, il criterio dell'organizzazione utilizzerà il valore predefinito comportamento del vincolo per questo nodo della gerarchia delle risorse. I nodi figlio questo comportamento.