Per ulteriori informazioni sui vincoli e sui problemi che possono risolvere, esamina il elenco di tutti i vincoli del Servizio Criteri dell'organizzazione.
Prima di iniziare
Leggi la pagina Introduzione al servizio Criteri dell'organizzazione per scoprire come fare. dei criteri dell'organizzazione.
Leggi la pagina Informazioni sulla valutazione della gerarchia per scopri di più sull'ereditarietà dei criteri.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin
) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire i criteri dell'organizzazione. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire i criteri dell'organizzazione sono necessarie le seguenti autorizzazioni:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati e altri ruoli predefiniti.
Utilizzo di vincoli degli elenchi con un criterio dell'organizzazione
Configura l'applicazione forzata per la risorsa dell'organizzazione
Puoi impostare un criterio dell'organizzazione sulla risorsa organizzazione che utilizza un dell'elenco per negare l'accesso a un particolare servizio. La seguente procedura descrive come impostare un criterio dell'organizzazione utilizzando Google Cloud CLI. Per istruzioni su come visualizzare e impostare i criteri dell'organizzazione utilizzando per la console Google Cloud, consulta Creazione e gestione dei criteri.
I criteri dell'organizzazione che utilizzano vincoli di elenco non possono avere più di 500 singoli valori consentiti o negati e non possono superare i 32 kB. Se il criterio dell'organizzazione viene creato o aggiornato in modo da avere più di 500 valori. di dimensioni superiori a 32 kB, non potrà essere salvato correttamente e la richiesta verrà restituiscono un errore.
API v2
Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando
describe
. Questo comando restituisce il criterio applicato direttamente a questa risorsa:gcloud org-policies describe \ LIST_CONSTRAINT --organization=ORGANIZATION_ID
Sostituisci quanto segue:
ORGANIZATION_ID
: un identificatore univoco per il risorsa dell'organizzazione. Organization ID (ID organizzazione) è formattato come numeri decimali e non può avere zeri iniziali.LIST_CONSTRAINT
: il vincolo dell'elenco per che vuoi applicare in modo forzato.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con
--folder
o--project
e i flag ID cartella e ID progetto, rispettivamente.La risposta restituirà il criterio dell'organizzazione attuale, se esistente. Ad esempio:
name: projects/841166443394/policies/gcp.resourceLocations spec: etag: BwW5P5cEOGs= inheritFromParent: true rules: - condition: expression: resource.matchTagId("tagKeys/1111", "tagValues/2222") values: allowedValues: - in:us-east1-locations - condition: expression: resource.matchTag("123/env", "prod") values: allowedValues: - in:us-west1-locations - values: deniedValues: - in:asia-south1-locations updateTime: '2021-01-19T12:00:51.095Z'
Se un criterio non viene configurato, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Imposta il criterio sull'organizzazione utilizzando il comando
set-policy
. In questo modo sovrascriverà qualsiasi criterio attualmente collegato alla risorsa.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
. Questo restituisce il criterio dell'organizzazione così come viene valutato a questo punto gerarchia con ereditarietà inclusa.gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: etag: BwVJi0OOESU= rules: - values: deniedValues: - VALUE_A
Poiché questo criterio dell'organizzazione è stato impostato a livello di organizzazione, essere ereditati da tutte le risorse figlio che consentono ereditarietà.
API v1
Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando
describe
:gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --organization ORGANIZATION_ID
Dove:
ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione. Organization ID (ID organizzazione) sia formattato come numeri decimali e non può avere zeri iniziali.
LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che vuoi applicare.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con
--folder
o--project
e i flag ID cartella e ID progetto, rispettivamente.Poiché una norma non è impostata, ne viene restituita una non completa, ad esempio la nell'esempio seguente:
constraint: "constraints/LIST_CONSTRAINT" etag: BwVJi0OOESU=
Utilizza il comando
deny
per aggiungere il valore negato per il servizio a cui se vogliamo limitare l'accesso.gcloud resource-manager org-policies deny \ LIST_CONSTRAINT VALUE_A \ --organization ORGANIZATION_ID
L'output del comando sarà:
constraint: constraints/LIST_CONSTRAINT etag: BwVJi0OOESU= listPolicy: deniedValues: - VALUE_A updateTime: CURRENT_TIME
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
.gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --effective \ --organization ORGANIZATION_ID
L'output del comando sarà:
constraint: constraints/LIST_CONSTRAINT listPolicy: deniedValues: - VALUE_A
Poiché questo criterio dell'organizzazione è stato impostato a livello di organizzazione, essere ereditati da tutte le risorse figlio che consentono ereditarietà.
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Configura l'applicazione in base a un sottoalbero della gerarchia
I vincoli di elenco assumono valori definiti esplicitamente per determinare quali risorse
deve essere consentito o negato. Alcuni vincoli possono accettare anche valori che utilizzano
il prefisso under:
, che specifica un sottoalbero con questa risorsa come radice.
L'utilizzo del prefisso under:
su un valore consentito o negato fa sì che l'organizzazione
per agire su quella risorsa e su tutti i relativi figli. Per informazioni su
i vincoli che consentono di utilizzare il prefisso under:
, consulta
Vincoli dei criteri dell'organizzazione
.
Un valore che utilizza il prefisso under:
è chiamato stringa del sottoalbero della gerarchia. R
la stringa del sottoalbero della gerarchia specifica il tipo
e le risorse a cui si applica. Ad esempio, utilizzando una stringa sottoalbero di
projects/PROJECT_ID
quando imposti il valore
Il vincolo constraints/compute.storageResourceUseRestrictions
consentirà o
negare l'uso dello spazio di archiviazione di Compute Engine per PROJECT_ID
e tutti i relativi figli.
API v2
Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando
describe
:gcloud org-policies describe \ LIST_CONSTRAINT \ --organization=ORGANIZATION_ID
Sostituisci quanto segue:
ORGANIZATION_ID
è un identificatore univoco della risorsa dell'organizzazione.LIST_CONSTRAINT
è il vincolo dell'elenco per il servizio che che vuoi applicare.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con
--folder
o--project
e i flag ID cartella e ID progetto, rispettivamente.Se un criterio non viene configurato, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Imposta il criterio sul progetto utilizzando il comando
set-policy
.under:
imposta il vincolo che rifiuta la risorsa denominata e tutti i relativi figli Google Cloud.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - under:folders/VALUE_A
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Dove:
under:
è un prefisso che indica che quello che segue è un sottoalbero stringa.folders/VALUE_A
è il ID cartella della risorsa radice che vuoi negare. Questa risorsa e tutti i suoi di risorse figlio nella gerarchia di risorse.
Puoi anche applicare il prefisso
under:
a organizzazioni e progetti, come in i seguenti esempi:under:organizations/VALUE_X
under:projects/VALUE_Y
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
.gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - under:folders/VALUE_A
Il criterio ora valuta di negare la cartella VALUE_A e di tutte le sue risorse figlio.
API v1
Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando
describe
:gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --organization ORGANIZATION_ID
Dove:
ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione.
LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che che vuoi applicare.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con
--folder
o--project
e i flag ID cartella e ID progetto, rispettivamente.Poiché una norma non è impostata, ne viene restituita una non completa, ad esempio la nell'esempio seguente:
constraint: "constraints/LIST_CONSTRAINT" etag: BwVJi0OOESU=
Utilizza il comando
deny
per aggiungere il valore negato per il servizio a cui se vogliamo limitare l'accesso. Il prefissounder:
imposta il vincolo che nega il risorsa denominata e tutte le relative risorse figlio.gcloud resource-manager org-policies deny \ LIST_CONSTRAINT under:folders/VALUE_A \ --organization ORGANIZATION_ID
Dove:
under: è un prefisso che indica che quello che segue è un sottoalbero stringa.
folders/VALUE_A è l'ID cartella della risorsa principale che vuoi negare. Questa risorsa e tutti i relativi figlio nella gerarchia di risorse verranno negata.
VALUE_B e VALUE_C sono progetti esistenti in gerarchia con VALUE_A come padre.
L'output del comando deny sarà:
constraint: constraints/LIST_CONSTRAINT etag: BwVJi0OOESU= listPolicy: deniedValues: - under:folders/VALUE_A updateTime: CURRENT_TIME
Puoi anche applicare il prefisso
under:
a organizzazioni e progetti, come in i seguenti esempi:under:organizations/VALUE_X
under:projects/VALUE_Y
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
.gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --effective \ --organization ORGANIZATION_ID
L'output del comando sarà:
constraint: constraints/LIST_CONSTRAINT listPolicy: deniedValues: - under:folders/VALUE_A
Il criterio ora valuta di negare la cartella VALUE_A e tutte le risorse figlio, in questo caso VALUE_B VALUE_C.
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Unisci il criterio dell'organizzazione su un progetto
Puoi impostare su una risorsa un criterio dell'organizzazione, che verrà unito qualsiasi criterio ereditato dalla risorsa padre. Questo criterio unito verrà poi valutato per creare un nuovo criterio efficace basato sulle regole ereditarietà.
API v2
Ottieni il criterio attuale per la risorsa utilizzando il comando
describe
:gcloud org-policies describe \ LIST_CONSTRAINT \ --project=PROJECT_ID
Sostituisci quanto segue:
PROJECT_ID
: il identificatore univoco del tuo progetto.LIST_CONSTRAINT
: il vincolo dell'elenco per che vuoi applicare in modo forzato.
Se un criterio non viene configurato, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
:gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando includerà un valore negato da cui eredita risorsa dell'organizzazione:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A
Imposta il criterio sul progetto utilizzando il comando
set-policy
.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: inheritFromParent: true rules: - values: deniedValues: - VALUE_B - VALUE_C
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Utilizza di nuovo il comando
describe --effective
per visualizzare il criterio aggiornato:gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando includerà il risultato effettivo dell'unione della risorsa e di quella padre:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A - VALUE_B - VALUE_C
API v1
Ottieni il criterio attuale per la risorsa utilizzando il comando
describe
:gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --project PROJECT_ID
Dove:
PROJECT_ID è il identificatore univoco del tuo progetto.
LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che che vuoi applicare.
Poiché una norma non è impostata, ne viene restituita una non completa, ad esempio la nell'esempio seguente:
constraint: "constraints/LIST_CONSTRAINT" etag: BwVJi0OOESU=
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
:gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --effective \ --project PROJECT_ID
L'output del comando includerà un valore negato da cui eredita risorsa dell'organizzazione:
constraint: constraints/LIST_CONSTRAINT listPolicy: deniedValues: - VALUE_A
Imposta il criterio sul progetto utilizzando il comando
set-policy
.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:constraint: constraints/LIST_CONSTRAINT listPolicy: deniedValues: - VALUE_B - VALUE_C inheritFromParent: true
Esegui il comando
set-policy
:gcloud resource-manager org-policies set-policy \ --project PROJECT_ID /tmp/policy.yaml
L'output del comando sarà:
constraint: constraints/LIST_CONSTRAINT etag: BwVLO2timxY= listPolicy: deniedValues: - VALUE_B - VALUE_C inheritFromParent: true
Utilizza di nuovo il comando
describe --effective
per visualizzare il criterio aggiornato:gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --effective \ --project PROJECT_ID
L'output del comando includerà il risultato effettivo dell'unione della risorsa e di quella padre:
constraint: constraints/LIST_CONSTRAINT listPolicy: deniedValues: - VALUE_A - VALUE_B - VALUE_C
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Ripristina il comportamento predefinito del vincolo
Puoi utilizzare il comando reset
per reimpostare il criterio in modo che utilizzi il valore
comportamento predefinito. Per un elenco di tutti i vincoli disponibili e dei loro valori predefiniti
consulta Vincoli dei criteri dell'organizzazione.
nell'esempio seguente presuppone che il comportamento predefinito del vincolo consenta tutti
e i relativi valori.
API v2
Scarica il criterio effettivo sul progetto per mostrare il criterio unito attuale:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
Sostituisci PROJECT_ID con identificatore univoco del tuo progetto. L'output del comando sarà:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A - VALUE_B - VALUE_C
Reimposta il criterio dell'organizzazione utilizzando il comando
reset
.gcloud org-policies reset LIST_CONSTRAINT \ --project=PROJECT_ID
Scarica il criterio effettivo per verificare il comportamento predefinito:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando consentirà tutti i valori:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
API v1
Scarica il criterio effettivo sul progetto per mostrare il criterio unito attuale:
gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --effective \ --project PROJECT_ID
Sostituisci PROJECT_ID con identificatore univoco del tuo progetto. L'output del comando sarà:
constraint: constraints/LIST_CONSTRAINT listPolicy: deniedValues: - VALUE_A - VALUE_B - VALUE_C
Imposta il criterio sul progetto utilizzando il comando
set-policy
.Crea un file temporaneo
/tmp/restore-policy.yaml
per archiviare il criterio:restoreDefault: {} constraint: constraints/LIST_CONSTRAINT
Esegui il comando
set-policy
:gcloud resource-manager org-policies set-policy \ --project PROJECT_ID /tmp/restore-policy.yaml
L'output del comando sarà:
constraint: constraints/LIST_CONSTRAINT etag: BwVJi9D3VLY= restoreDefault: {}
Scarica il criterio effettivo per verificare il comportamento predefinito:
gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --effective \ --project PROJECT_ID
L'output del comando consentirà tutti i valori:
Constraint: constraints/LIST_CONSTRAINT listPolicy: allValues: ALLOW
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Elimina un criterio dell'organizzazione
Puoi eliminare un criterio dell'organizzazione da una risorsa. Una risorsa senza un il set di criteri dell'organizzazione erediterà tutti i criteri della relativa risorsa padre. Se il criterio dell'organizzazione sulla risorsa organizzazione, sarà il comportamento predefinito del vincolo.
I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un dell'organizzazione.
API v2
Elimina il criterio nella risorsa dell'organizzazione utilizzando
delete
:gcloud org-policies delete \ LIST_CONSTRAINT \ --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'identificatore univoco della risorsa dell'organizzazione. L'output di il comando sarà:
Deleted policy [organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT]. {}
Recupera il criterio in vigore nell'organizzazione per verificare che non sia applicato in modo forzato:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un progetto:
Elimina il criterio su un progetto utilizzando il comando
delete
:gcloud org-policies delete \ LIST_CONSTRAINT \ --project=PROJECT_ID
Dove
PROJECT_ID
è il identificatore univoco del tuo progetto. L'output del comando sarà:Deleted policy [projects/PROJECT_ID/policies/LIST_CONSTRAINT]. {}
Scarica il criterio effettivo sul progetto per verificare che non sia applicato in modo forzato:
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando sarà:
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
API v1
Elimina il criterio nella risorsa dell'organizzazione utilizzando il comando
delete
:gcloud resource-manager org-policies delete \ LIST_CONSTRAINT --organization ORGANIZATION_ID
Dove ORGANIZATION_ID è l'identificatore univoco della risorsa dell'organizzazione. L'output del sarà:
Deleted [<Empty>].
Recupera il criterio in vigore nell'organizzazione per verificare che non sia applicato in modo forzato:
gcloud resource-manager org-policies describe \ LIST_CONSTRAINT --effective \ --organization ORGANIZATION_ID
L'output del comando sarà:
constraint: constraints/LIST_CONSTRAINT listPolicy: allValues: ALLOW
I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un progetto:
Elimina il criterio su un progetto utilizzando il comando
delete
:gcloud resource-manager org-policies delete \ LIST_CONSTRAINT --project PROJECT_ID
Dove PROJECT_ID è il identificatore univoco del tuo progetto. L'output del comando sarà:
Deleted [<Empty>].
Scarica il criterio effettivo sul progetto per verificare che non sia applicato in modo forzato:
gcloud resource-manager org-policies describe \ --effective \ LIST_CONSTRAINT --project PROJECT_ID
L'output del comando sarà:
constraint: constraints/LIST_CONSTRAINT listPolicy: allValues: ALLOW
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Utilizzo di vincoli booleani nei criteri dell'organizzazione
Configura l'applicazione forzata per la risorsa dell'organizzazione
Puoi impostare un criterio dell'organizzazione sulla tua risorsa organizzazione per applicare un vincolo booleano. La procedura seguente descrive come impostare un'organizzazione utilizzando Google Cloud CLI. Per istruzioni su come visualizzare e impostare i criteri dell'organizzazione utilizzando la console Google Cloud, consulta Creazione e gestione dei criteri.
API v2
Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando
describe
:gcloud org-policies describe \ BOOLEAN_CONSTRAINT \ --organization=ORGANIZATION_ID
Sostituisci
ORGANIZATION_ID
con l'identificatore univoco della risorsa dell'organizzazione. Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con--folder
o--project
e i flag ID cartella e ID progetto, rispettivamente.Se un criterio non viene configurato, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Imposta il criterio sul progetto utilizzando il comando
set-policy
.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT spec: rules: - enforce: true
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
:gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: true
API v1
Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando
describe
:gcloud resource-manager org-policies describe \ BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
dove ORGANIZATION_ID è l'identificatore univoco della risorsa dell'organizzazione. Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con
--folder
o--project
e i ID cartella e ID progetto, rispettivamente.Poiché una norma non è impostata, ne viene restituita una non completa, ad esempio la nell'esempio seguente:
booleanPolicy: {} constraint: "constraints/BOOLEAN_CONSTRAINT"
Configura il criterio da applicare all'organizzazione utilizzando
enable-enforce
:gcloud resource-manager org-policies enable-enforce \ BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
L'output del comando sarà:
booleanPolicy: enforced: true constraint: constraints/BOOLEAN_CONSTRAINT etag: BwVJitxdiwY=
Visualizza il criterio attualmente in vigore utilizzando
describe --effective
:gcloud resource-manager org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization ORGANIZATION_ID
L'output del comando sarà:
booleanPolicy: enforced: true constraint: constraints/BOOLEAN_CONSTRAINT
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Esegui l'override del criterio dell'organizzazione per un progetto
Per eseguire l'override del criterio dell'organizzazione per un progetto, imposta un criterio che disattivi Applicazione del vincolo booleano a tutte le risorse nella gerarchia seguente del progetto.
API v2
Scarica il criterio attuale per la risorsa per indicare che è vuota.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT \ --project=PROJECT_ID
Dove
PROJECT_ID
è il identificatore univoco del tuo progetto.Se un criterio non viene configurato, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Ottenere il criterio efficace sul progetto, per confermare che il vincolo in modo forzato in questo progetto.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando sarà:
name: projects/PROJECT_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: true
Imposta il criterio sul progetto utilizzando il comando
set-policy
.Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT spec: rules: - enforce: false
Esegui il comando
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Fai in modo che la norma sia efficace per dimostrare che non è più applicata in progetto.
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
L'output del comando sarà:
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: false
API v1
Scarica il criterio attuale per la risorsa per indicare che è vuota.
gcloud resource-manager org-policies describe \ BOOLEAN_CONSTRAINT --project PROJECT_ID
Dove PROJECT_ID è il identificatore univoco del tuo progetto. L'output del comando sarà:
booleanPolicy: {} constraint: "constraints/BOOLEAN_CONSTRAINT"
Ottenere il criterio efficace sul progetto, per confermare che il vincolo in modo forzato in questo progetto.
gcloud resource-manager org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project PROJECT_ID
L'output del comando sarà:
booleanPolicy: enforced: true constraint: constraints/BOOLEAN_CONSTRAINT
Imposta il criterio sul progetto in modo da non applicare il vincolo, utilizzando il metodo Comando
disable-enforce
:gcloud resource-manager org-policies disable-enforce \ BOOLEAN_CONSTRAINT --project PROJECT_ID
L'output del comando sarà:
booleanPolicy: {} constraint: constraints/BOOLEAN_CONSTRAINT etag: BwVJivdnXvM=
Ottieni il criterio efficace per dimostrare che non viene più applicato al progetto.
gcloud resource-manager org-policies describe \ --effective \ BOOLEAN_CONSTRAINT --project PROJECT_ID
L'output del comando sarà:
booleanPolicy: {} constraint: constraints/BOOLEAN_CONSTRAINT
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.
Elimina un criterio dell'organizzazione
Puoi eliminare un criterio dell'organizzazione da una risorsa. Una risorsa senza un insieme di criteri dell'organizzazione eredita tutti i criteri della risorsa padre. Se il criterio dell'organizzazione sulla risorsa organizzazione, saranno i vincoli" comportamento predefinito.
I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un un'organizzazione e un progetto.
API v2
Elimina il criterio dalla risorsa dell'organizzazione utilizzando il comando
delete
:gcloud org-policies delete \ BOOLEAN_CONSTRAINT \ --organization=ORGANIZATION_ID
Sostituisci
ORGANIZATION_ID
con un identificatore univoco per la risorsa dell'organizzazione. L'output di il comando sarà:Deleted policy [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT]. {}
Recupera il criterio in vigore nell'organizzazione per verificare che non sia applicato in modo forzato:
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization=ORGANIZATION_ID
Se un criterio non viene configurato, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Elimina il criterio dell'organizzazione dal progetto utilizzando il comando
delete
:gcloud org-policies delete \ BOOLEAN_CONSTRAINT \ --project=PROJECT_ID
L'output del comando sarà:
Deleted policy [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT]. {}
Scarica il criterio effettivo sul progetto per verificare che non sia applicato in modo forzato:
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_ID
Sostituisci
PROJECT_ID
con l'identificatore univoco del progetto.Se un criterio non viene configurato, viene restituito un errore
NOT_FOUND
:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
API v1
Elimina il criterio dalla risorsa dell'organizzazione utilizzando il comando
delete
:gcloud resource-manager org-policies delete \ BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
Dove ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione. L'output del sarà:
Deleted [<Empty>].
Recupera il criterio in vigore nell'organizzazione per verificare che non sia applicato in modo forzato:
gcloud resource-manager org-policies describe \ --effective \ BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
L'output del comando sarà:
booleanPolicy: {} constraint: constraints/BOOLEAN_CONSTRAINT
Elimina il criterio dell'organizzazione dal progetto utilizzando il comando
delete
:gcloud resource-manager org-policies delete \ BOOLEAN_CONSTRAINT --project PROJECT_ID
L'output del comando sarà:
Deleted [<Empty>].
Scarica il criterio effettivo sul progetto per verificare che non sia applicato in modo forzato:
gcloud resource-manager org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project PROJECT_ID
Dove la PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:
booleanPolicy: {} constraint: constraints/BOOLEAN_CONSTRAINT
L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.