Einschränkungen verwenden

In dieser Anleitung wird erläutert, wie eine Organisationsrichtlinie mit einer bestimmten Einschränkung erstellt wird. Die in diesen Beispielen verwendeten Einschränkungen sind keine tatsächlichen Einschränkungen, sondern Beispiele, die zu Lernzwecken generalisiert wurden.

Weitere Informationen zu Einschränkungen und den Problemen, die damit gelöst werden können, finden Sie in der Liste aller Einschränkungen für Organisationsrichtliniendienste.

Vorbereitung

Organisationsrichtlinienadministrator hinzufügen

Sie benötigen die Rolle Administrator der Organisation, um einen Nutzer als Administrator für Unternehmensrichtlinien hinzuzufügen. Diese Rolle kann nur auf Organisationsebene erteilt werden. Sie benötigen die Rolle Administrator für Unternehmensrichtlinien, um Organisationsrichtlinien festzulegen oder zu ändern.

Console

So fügen Sie einen Organisationsrichtlinienadministrator hinzu:

  1. Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die Seite IAM & Verwaltung auf:

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie die Organisation aus, die Sie bearbeiten möchten:

    1. Klicken Sie oben auf der Seite auf die Projekt-Drop-down-Liste.

    2. Klicken Sie im Dialogfeld Auswählen aus auf die Drop-down-Liste der Organisation und wählen Sie die Organisation aus, der Sie einen Organisationsrichtlinienadministrator hinzufügen möchten.

    3. Klicken Sie in der angezeigten Liste auf die Organisation, um die Seite IAM-Berechtigungen zu öffnen.

  3. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Nutzer ein, die Sie als Administrator für Organisationsrichtlinien festlegen möchten.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Unternehmensrichtlinien > Administrator für Unternehmensrichtlinien aus.

  5. Klicken Sie auf Speichern. Es wird ein Dialogfeld angezeigt, in dem Sie das Einfügen oder Aktualisieren der neuen Rolle des Mitglieds bestätigen.

gcloud

Sie können mit den gcloud-Befehlen JSON- oder YAML-Dateien verwenden. In diesem Beispiel wird JSON verwendet.

So fügen Sie einen Organisationsrichtlinienadministrator zu Ihrer Organisation hinzu:

  1. Rufen Sie die IAM-Richtlinie ab, die Sie ändern möchten, und schreiben Sie sie in eine JSON-Datei:
      gcloud organizations get-iam-policy ORGANIZATION_ID \
         --format json > iam.json
      
  2. Der Inhalt der JSON-Datei sieht in etwa folgendermaßen aus. Beachten Sie, dass das Versionsfeld schreibgeschützt ist; Sie müssen es also nicht ausfüllen.

  3.    {
           "bindings": [
           {
               "members": [
                 "user:email1@gmail.com"
               ],
               "role": "roles/owner"
           },
           {
               "members": [
                 "serviceAccount:our-project-123@appspot.gserviceaccount.com",
                 "serviceAccount:123456789012-compute@developer.gserviceaccount.com"
               ],
               "role": "roles/editor"
           }
           ],
           "etag": "BwUjMhCsNvY=",
           "version": 1
       }
       
  4. Fügen Sie dem Array "bindings", in dem die Gruppenmitglieder und die Rolle dieser Mitglieder festgelegt werden, ein neues Objekt hinzu. Verwenden Sie dazu einen Texteditor. Wenn Sie beispielsweise dem Nutzer "email2@gmail.com" die Rolle "roles/orgpolicy.policyAdmin" zuweisen möchten, ändern Sie das oben aufgeführte Beispiel so:

  5.    {
         "bindings": [
         {
           "members": [
             "user:email1@gmail.com"
           ],
         "role": "roles/owner"
         },
         {
           "members": [
             "serviceAccount:our-project-123@appspot.gserviceaccount.com",
             "serviceAccount:123456789012-compute@developer.gserviceaccount.com"
           ],
           "role": "roles/editor"
         },
         {
           "members": [
             "user:email2@gmail.com"
           ],
           "role": "roles/orgpolicy.policyAdmin"
         }
         ],
         "etag": "BwUjMhCsNvY="
       }
       
  6. Aktualisieren Sie die Richtlinie der Organisation, indem Sie den folgenden Befehl ausführen:

  7.    gcloud organizations set-iam-policy ORGANIZATION_ID iam.json
       
  8. Der Befehl gibt die aktualisierte Richtlinie aus:
       bindings:
         - members:
           - user:email1@gmail.com
             role: roles/owner
         - members:
           - serviceAccount:our-project-123@appspot.gserviceaccount.com
           - serviceAccount:123456789012-compute@developer.gserviceaccount.com
             role: roles/editor
         - members:
           - user:email2@gmail.com
             role: roles/orgpolicy.policyAdmin
         etag: BwUjMhXbSPU=
         version: 1
       

Listeneinschränkungen mit einer Organisationsrichtlinie verwenden

Durchsetzung für die Organisationsressource einrichten

Sie können für die Organisationsressource eine Organisationsrichtlinie festlegen, die mit einer Listeneinschränkung den Zugriff auf einen bestimmten Dienst verweigert. Im folgenden Prozess wird beschrieben, wie Sie eine Organisationsrichtlinie mithilfe des gcloud-Befehlszeilentools festlegen. Anleitungen zum Aufrufen und Festlegen von Organisationsrichtlinien mithilfe der Cloud Console finden Sie unter Richtlinien erstellen und verwalten.

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --organization ORGANIZATION_ID
    

    Dabei gilt:

    • ORGANIZATION_ID ist eine eindeutige Kennzeichnung für die Organisationsressource. Organisations-ID ist als Dezimalzahl formatiert und darf keine führenden Nullen enthalten.

    • LIST_CONSTRAINT ist die Listeneinschränkung für den Dienst, den Sie erzwingen möchten.

    Sie können die Organisationsrichtlinie mit dem Flag --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.

    Da keine Richtlinie festgelegt wurde, wird eine unvollständige Richtlinie wie im folgenden Beispiel zurückgegeben:

    constraint: "constraints/LIST_CONSTRAINT"
    etag: BwVJi0OOESU=
    
  2. Verwenden Sie den Befehl deny, um den abgelehnten Wert für den Dienst hinzuzufügen, auf den nur noch ein eingeschränkter Zugriff möglich sein soll.

    gcloud beta resource-manager org-policies deny \
      LIST_CONSTRAINT VALUE_A \
      --organization ORGANIZATION_ID
    

    Die Ausgabe des Befehls sieht so aus:

    constraint: constraints/LIST_CONSTRAINT
    etag: BwVJi0OOESU=
    listPolicy:
      deniedValues:
        - VALUE_A
    updateTime: CURRENT_TIME
    
  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization ORGANIZATION_ID
    

    Die Ausgabe des Befehls sieht so aus:

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      deniedValues:
        - VALUE_A
    

    Da diese Organisationsrichtlinie auf Organisationsebene festgelegt wurde, wird sie von allen untergeordneten Ressourcen, für die eine Richtlinienübernahme möglich ist, übernommen.

Erzwingung für eine Hierarchieunterstruktur einrichten

Listeneinschränkungen nehmen explizit definierte Werte an, um zu bestimmen, welche Ressourcen zugelassen oder abgelehnt werden sollen. Einige Einschränkungen können auch Werte akzeptieren, die das Präfix under: verwenden, welches eine Unterstruktur mit dieser Ressource als Root angibt. Wenn Sie das Präfix under: für einen zulässigen oder abgelehnten Wert verwenden, wirkt sich die Organisationsrichtlinie auf diese Ressource und alle untergeordneten Elemente aus. Informationen zu den Einschränkungen, die die Verwendung des Präfixes under: ermöglichen, finden Sie auf der Seite Einschränkungen für Organisationsrichtlinien.

Ein Wert, der das Präfix under: verwendet, wird als Hierarchie-Unterstrukturstring bezeichnet. Ein Hierarchie-Unterstrukturstring gibt den Typ der Ressource an, auf die sie angewendet wird. Wenn Sie beispielsweise den Unterstrukturstring projects/PROJECT_ID beim Festlegen der Einschränkung constraints/compute.storageResourceUseRestrictions verwenden, wird die Verwendung von Compute Engine-Speicher für PROJECT_ID und alle untergeordneten Elemente zugelassen oder abgelehnt.

Wertepräfixe für Hierarchieunterstrukturen sind eine Betafunktion und können so geändert werden, dass eine Abwärtskompatibilität nicht mehr gegeben ist. Sie unterliegen weder einem SLA noch einer Einstellungsrichtlinie.

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --organization ORGANIZATION_ID
    

    Dabei gilt:

    • ORGANIZATION_IDist eine eindeutige Kennzeichnung für die Organisationsressource.

    • LIST_CONSTRAINT ist die Listeneinschränkung für den Dienst, den Sie erzwingen möchten.

    Sie können die Organisationsrichtlinie mit dem Flag --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.

    Da keine Richtlinie festgelegt wurde, wird eine unvollständige Richtlinie wie im folgenden Beispiel zurückgegeben:

    constraint: "constraints/LIST_CONSTRAINT"
    etag: BwVJi0OOESU=
    
  2. Verwenden Sie den Befehl deny, um den abgelehnten Wert für den Dienst hinzuzufügen, auf den nur noch ein eingeschränkter Zugriff möglich sein soll. Das Präfix under: legt die Einschränkung fest, mit der die angegebene Ressource und alle ihre untergeordneten Ressourcen abgelehnt werden.

    gcloud beta resource-manager org-policies deny \
      LIST_CONSTRAINT under:folders/VALUE_A \
      --organization ORGANIZATION_ID
    

    Dabei gilt:

    • under: ist ein Präfix, das angibt, dass es sich um einen Unterstrukturstring handelt.

    • folders/VALUE_A ist die Ordner-ID der Stammressource, die Sie ablehnen möchten. Diese Ressource und alle untergeordneten Elemente in der Ressourcenhierarchie werden abgelehnt.

    • VALUE_B und VALUE_C sind Projekte in der Hierarchie, denen VALUE_A übergeordnet ist.

    Die Ausgabe des Befehls "deny" sieht so aus:

    constraint: constraints/LIST_CONSTRAINT
    etag: BwVJi0OOESU=
    listPolicy:
      deniedValues:
        - under:folders/VALUE_A
    updateTime: CURRENT_TIME
    

    Sie können das Präfix under: auch wie in den folgenden Beispielen auf Organisationen und Projekte anwenden:

    • under:organizations/VALUE_X

    • under:projects/VALUE_Y

  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization ORGANIZATION_ID
    

    Die Ausgabe des Befehls sieht so aus:

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      deniedValues:
        - under:folders/VALUE_A
    

    Die Richtlinie führt jetzt eine Evaluierung durch, nach der der Ordner VALUE_A und alle seine untergeordneten Ressourcen abgelehnt werden, in diesem Fall VALUE_B und VALUE_C.

Organisationsrichtlinie für ein Projekt zusammenführen

Sie können eine benutzerdefinierte Organisationsrichtlinie für eine Ressource festlegen. Diese wird dann mit einer beliebigen Richtlinie, die aus der übergeordneten Ressource übernommen wurde, zusammengeführt. Die zusammengeführte Richtlinie wird dann evaluiert, um eine neue geltende Richtlinie auf Grundlage der Regeln für die Übernahme zu erstellen.

  1. Rufen Sie die aktuelle Richtlinie für die Ressource mit dem Befehl describe ab:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --project PROJECT_ID
    

    Dabei gilt:

    • PROJECT_ID ist die eindeutige Kennzeichnung des Projekts.

    • LIST_CONSTRAINT ist die Listeneinschränkung für den Dienst, den Sie erzwingen möchten.

    Da keine Richtlinie festgelegt wurde, wird eine unvollständige Richtlinie wie im folgenden Beispiel zurückgegeben:

    constraint: "constraints/LIST_CONSTRAINT"
    etag: BwVJi0OOESU=
    
  2. Rufen Sie die aktuell geltende Richtlinie mit dem Befehl describe --effective auf:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
       --project PROJECT_ID
    

    Die Ausgabe des Befehls enthält einen abgelehnten Wert, der aus der Organisationsressource übernommen wird:

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      deniedValues:
        - VALUE_A
    
  3. Legen Sie die Richtlinie für das Projekt mit dem Befehl set-policy fest.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

       constraint: constraints/LIST_CONSTRAINT
       listPolicy:
         deniedValues:
           - VALUE_B
           - VALUE_C
         inheritFromParent: true
       

    2. Führen Sie den Befehl set-policy aus:

       gcloud beta resource-manager org-policies set-policy 
      --project PROJECT_ID /tmp/policy.yaml

    3. Die Ausgabe des Befehls sieht so aus:

       constraint: constraints/LIST_CONSTRAINT
       etag: BwVLO2timxY=
       listPolicy:
         deniedValues:
           - VALUE_B
           - VALUE_C
         inheritFromParent: true
       

  4. Verwenden Sie noch einmal den Befehl describe --effective, um die aktualisierte Richtlinie aufzurufen:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --project PROJECT_ID
    

    Die Ausgabe des Befehls enthält das aktuelle Ergebnis der Richtlinienzusammenführung aus der Ressource und der übergeordneten Ressource:

    constraint: constraints/LIST_CONSTRAINT
      listPolicy:
        deniedValues:
          - VALUE_A
          - VALUE_B
          - VALUE_C
    

Standardverhalten der Einschränkung wiederherstellen

Mit dem Wert restoreDefault in einer Organisationsrichtlinie können Sie die Richtlinie zurücksetzen, um das Standardverhalten der Einschränkung zu verwenden. Im folgenden Beispiel wird davon ausgegangen, dass beim Standardverhalten der Einschränkung alle Werte zugelassen werden.

  1. Rufen Sie die geltende Richtlinie für das Projekt ab, um die aktuelle zusammengeführte Richtlinie anzuzeigen:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --project PROJECT_ID
    

    Dabei ist PROJECT_ID die eindeutige Kennzeichnung des Projekts. Die Ausgabe des Befehls sieht so aus:

    constraint: constraints/LIST_CONSTRAINT
      listPolicy:
        deniedValues:
          - VALUE_A
          - VALUE_B
          - VALUE_C
    
  2. Legen Sie die Richtlinie für das Projekt mit dem Befehl set-policy fest.

    1. Erstellen Sie die temporäre Datei /tmp/restore-policy.yaml zum Speichern der Richtlinie:

       restoreDefault: {}
       constraint: constraints/LIST_CONSTRAINT
       

    2. Führen Sie den Befehl set-policy aus:

       gcloud beta resource-manager org-policies set-policy 
      --project PROJECT_ID /tmp/restore-policy.yaml

    3. Die Ausgabe des Befehls sieht so aus:

       constraint: constraints/LIST_CONSTRAINT
       etag: BwVJi9D3VLY=
       restoreDefault: {}
       

  3. Rufen Sie die geltende Richtlinie ab, um das Standardverhalten zu überprüfen:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --project PROJECT_ID
    

    In der Ausgabe des Befehls werden alle Werte zugelassen:

    Constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      allValues: ALLOW
    

Organisationsrichtlinie löschen

Sie können eine Organisationsrichtlinie aus einer Ressource löschen. Eine Ressource, die keine Gruppe von Organisationsrichtlinien umfasst, übernimmt alle Richtlinien der übergeordneten Ressource. Wenn Sie die Organisationsrichtlinie für die Organisationsressource löschen, entspricht die geltende Richtlinie dem Standardverhalten der Einschränkung.

In den folgenden Schritten wird beschrieben, wie Sie eine Organisationsrichtlinie für eine Organisation löschen:

  1. Löschen Sie die Richtlinie für die Organisationsressource mit dem Befehl delete:

    gcloud beta resource-manager org-policies delete \
      LIST_CONSTRAINT --organization ORGANIZATION_ID
    

    Dabei ist ORGANIZATION_ID die eindeutige Kennzeichnung der Organisationsressource. Die Ausgabe des Befehls sieht folgendermaßen aus:

    Deleted [<Empty>].
    
  2. Rufen Sie die geltende Richtlinie für die Organisation ab, um sicherzustellen, dass sie nicht erzwungen wird:

    gcloud beta resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization ORGANIZATION_ID
    

    Die Ausgabe des Befehls sieht so aus:

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      allValues: ALLOW
    

In den folgenden Schritten wird beschrieben, wie eine Organisationsrichtlinie für ein Projekt gelöscht wird:

  1. Löschen Sie die Richtlinie für ein Projekt mit dem Befehl delete:

    gcloud beta resource-manager org-policies delete \
      LIST_CONSTRAINT --project PROJECT_ID
    

    Dabei ist PROJECT_ID die eindeutige Kennzeichnung des Projekts. Die Ausgabe des Befehls sieht so aus:

    Deleted [<Empty>].
    
  2. Rufen Sie die geltende Richtlinie für das Projekt ab, um sicherzustellen, dass sie nicht erzwungen wird.

    gcloud beta resource-manager org-policies describe \
      --effective \
      LIST_CONSTRAINT --project PROJECT_ID
    

    Die Ausgabe des Befehls sieht so aus:

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      allValues: ALLOW
    

Boolesche Einschränkungen in Organisationsrichtlinien verwenden

Durchsetzung für die Organisationsressource einrichten

Sie können eine Organisationsrichtlinie für Ihre Organisationsressource festlegen, um eine boolesche Einschränkung zu erzwingen. Im folgenden Verfahren wird beschrieben, wie Sie eine Organisationsrichtlinie mithilfe des gcloud-Befehlszeilentools festlegen. Anleitungen zum Aufrufen und Festlegen von Organisationsrichtlinien mithilfe der Cloud Console finden Sie unter Richtlinien erstellen und verwalten.

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab:

    gcloud beta resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
    

    Dabei ist ORGANIZATION_ID die eindeutige Kennzeichnung der Organisationsressource. Sie können die Organisationsrichtlinie mit dem Flag --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.

    Da keine Richtlinie festgelegt wurde, wird eine unvollständige Richtlinie wie im folgenden Beispiel zurückgegeben:

    booleanPolicy: {}
    constraint: "constraints/BOOLEAN_CONSTRAINT"
    
  2. Legen Sie die Richtlinie, die für die Organisation erzwungen werden soll, mit dem Befehl enable-enforce fest:

    gcloud beta resource-manager org-policies enable-enforce \
      BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
    

    Die Ausgabe des Befehls sieht so aus:

    booleanPolicy:
      enforced: true
    constraint: constraints/BOOLEAN_CONSTRAINT
    etag: BwVJitxdiwY=
    
  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf:

    gcloud beta resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --organization ORGANIZATION_ID
    

    Die Ausgabe des Befehls sieht so aus:

    booleanPolicy:
      enforced: true
    constraint: constraints/BOOLEAN_CONSTRAINT
    

Organisationsrichtlinie für ein Projekt überschreiben

Wenn Sie die Organisationsrichtlinie für ein Projekt überschreiben möchten, legen Sie eine Richtlinie fest, die die Erzwingung der booleschen Einschränkung für alle Ressourcen in der Hierarchie unter dem Projekt deaktiviert.

  1. Rufen Sie die aktuelle Richtlinie für die Ressource ab, um zu zeigen, dass sie leer ist.

    gcloud beta resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --project PROJECT_ID
    

    Dabei ist PROJECT_ID die eindeutige Kennzeichnung des Projekts. Die Ausgabe des Befehls sieht so aus:

    booleanPolicy: {}
    constraint: "constraints/BOOLEAN_CONSTRAINT"
    
  2. Rufen Sie die geltende Richtlinie für das Projekt ab, um zu bestätigen, dass die Einschränkung für dieses Projekt erzwungen wird.

    gcloud beta resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project PROJECT_ID
    

    Die Ausgabe des Befehls sieht so aus:

    booleanPolicy:
      enforced: true
    constraint: constraints/BOOLEAN_CONSTRAINT
    
  3. Legen Sie mit dem Befehl disable-enforce fest, dass die Einschränkung in der Richtlinie für das Projekt nicht erzwungen wird:

    gcloud beta resource-manager org-policies disable-enforce \
      BOOLEAN_CONSTRAINT --project PROJECT_ID
    

    Die Ausgabe des Befehls sieht so aus:

    booleanPolicy: {}
    constraint: constraints/BOOLEAN_CONSTRAINT
    etag: BwVJivdnXvM=
    
  4. Rufen Sie die geltende Richtlinie ab, um zu zeigen, dass sie für das Projekt nicht mehr erzwungen wird.

    gcloud beta resource-manager org-policies describe \
      --effective \
      BOOLEAN_CONSTRAINT --project PROJECT_ID
    

    Die Ausgabe des Befehls sieht so aus:

    booleanPolicy: {}
    constraint: constraints/BOOLEAN_CONSTRAINT
    

Organisationsrichtlinie löschen

Sie können eine Organisationsrichtlinie aus einer Ressource löschen. Eine Ressource, die keine Gruppe von Organisationsrichtlinien umfasst, übernimmt alle Richtlinien der übergeordneten Ressource. Wenn Sie die Organisationsrichtlinie für die Organisationsressource löschen, entspricht die geltende Richtlinie dem Standardverhalten der Einschränkung.

In den folgenden Schritten wird beschrieben, wie eine Organisationsrichtlinie für eine Organisation und ein Projekt gelöscht wird:

  1. Löschen Sie die Richtlinie mit dem Befehl delete aus der Organisationsressource:

    gcloud beta resource-manager org-policies delete \
      BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
    

    Dabei ist ORGANIZATION_ID eine eindeutige Kennzeichnung der Organisationsressource. Die Ausgabe des Befehls sieht folgendermaßen aus:

    Deleted [<Empty>].
    
  2. Rufen Sie die geltende Richtlinie für die Organisation ab, um sicherzustellen, dass sie nicht erzwungen wird:

    gcloud beta resource-manager org-policies describe \
      --effective \
      BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
    

    Die Ausgabe des Befehls sieht so aus:

    booleanPolicy: {}
    constraint: constraints/BOOLEAN_CONSTRAINT
    
  3. Löschen Sie die Organisationsrichtlinie mithilfe des Befehls delete aus dem Projekt:

    gcloud beta resource-manager org-policies delete \
      BOOLEAN_CONSTRAINT --project PROJECT_ID
    

    Die Ausgabe des Befehls sieht so aus:

    Deleted [<Empty>].
    
  4. Rufen Sie die geltende Richtlinie für das Projekt ab, um sicherzustellen, dass sie nicht erzwungen wird.

    gcloud beta resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project PROJECT_ID
    

    Dabei ist PROJECT_ID die eindeutige Kennzeichnung des Projekts. Die Ausgabe des Befehls sieht so aus:

    booleanPolicy: {}
    constraint: constraints/BOOLEAN_CONSTRAINT