Utilizzo dei vincoli

Questa guida spiega come creare un criterio dell'organizzazione con un particolare vincolo. I vincoli utilizzati negli esempi in questa pagina non saranno dei vincoli effettivi, ma saranno dei campioni generalizzati a fini didattici.

Per saperne di più sui vincoli e sui problemi che risolvono, consulta l'elenco di tutti i vincoli di Servizio Criteri dell'organizzazione.

Prima di iniziare

Aggiungi un amministratore dei criteri dell'organizzazione

Per aggiungere un utente come amministratore dei criteri dell'organizzazione, devi disporre del ruolo Amministratore organizzazione. Questo ruolo può essere concesso solo a livello di organizzazione. Per impostare o modificare i criteri dell'organizzazione devi avere il ruolo Amministratore criteri organizzazione.

Console

Per aggiungere un amministratore dei criteri dell'organizzazione:

  1. Accedi a Google Cloud Console come super amministratore di Google Workspace o Cloud Identity e vai alla pagina IAM e amministrazione:

    Apri la pagina Amministrazione AMP

  2. Seleziona l'organizzazione che vuoi modificare:

    1. Fai clic sull'elenco a discesa del progetto nella parte superiore della pagina.

    2. Nella finestra di dialogo Seleziona da, fai clic sull'elenco a discesa dell'organizzazione e seleziona l'organizzazione a cui vuoi aggiungere un amministratore dei criteri dell'organizzazione.

    3. Nell'elenco visualizzato, fai clic sull'organizzazione per aprire la relativa pagina Autorizzazioni IAM.

  3. Fai clic su Aggiungi, quindi inserisci l'indirizzo email di uno o più utenti che vuoi impostare come amministratori dei criteri dell'organizzazione.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona Criterio dell'organizzazione > Amministratore criteri dell'organizzazione.

  5. Fai clic su Salva. Viene visualizzata una finestra di dialogo per confermare l'aggiunta o l'aggiornamento del nuovo ruolo dell'entità.

gcloud

Puoi usare file JSON o YAML con i comandi gcloud. In questo esempio viene usato JSON.

Per aggiungere un amministratore dei criteri dell'organizzazione alla tua organizzazione:

  1. Recupera il criterio IAM che vuoi modificare e scrivilo in un file JSON: 
      gcloud organizations get-iam-policy ORGANIZATION_ID \
     --format json > JSON_FILE
  2. I contenuti del file JSON sono simili ai seguenti. Tieni presente che il campo della versione è di sola lettura, pertanto non è necessario fornirlo. 
    3.    {
       "bindings": [
       {
           "members": [
             "user:email1@gmail.com"
           ],
           "role": "roles/owner"
       },
       {
           "members": [
             "serviceAccount:our-project-123@appspot.gserviceaccount.com",
             "serviceAccount:123456789012-compute@developer.gserviceaccount.com"
           ],
           "role": "roles/editor"
       }
       ],
       "etag": "BwUjMhCsNvY=",
       "version": 1
   }
    Dove JSON_FILE è il percorso del file JSON contenente il tuo criterio IAM. Ad esempio, "iam.json".
  3. Utilizza un editor di testo per aggiungere un nuovo oggetto all'array bindings che definisce i membri del gruppo e il ruolo per tali membri. Ad esempio, per concedere il ruolo roles/orgpolicy.policyAdmin all'utente email2@gmail.com, modifica l'esempio precedente come segue: 
    4.    {
     "bindings": [
     {
       "members": [
         "user:email1@gmail.com"
       ],
     "role": "roles/owner"
     },
     {
       "members": [
         "serviceAccount:our-project-123@appspot.gserviceaccount.com",
         "serviceAccount:123456789012-compute@developer.gserviceaccount.com"
       ],
       "role": "roles/editor"
     },
     {
       "members": [
         "user:email2@gmail.com"
       ],
       "role": "roles/orgpolicy.policyAdmin"
     }
     ],
     "etag": "BwUjMhCsNvY="
   }
  4. Aggiorna il criterio dell'organizzazione eseguendo questo comando:
    5.    gcloud organizations set-iam-policy ORGANIZATION_ID iam.json
  5. Il comando restituisce il criterio aggiornato: 
       bindings:
     - members:
       - user:email1@gmail.com
         role: roles/owner
     - members:
       - serviceAccount:our-project-123@appspot.gserviceaccount.com
       - serviceAccount:123456789012-compute@developer.gserviceaccount.com
         role: roles/editor
     - members:
       - user:email2@gmail.com
         role: roles/orgpolicy.policyAdmin
     etag: BwUjMhXbSPU=
     version: 1

Utilizzo di vincoli elenco con un criterio dell'organizzazione

Configurare l'applicazione forzata per la risorsa dell'organizzazione

Puoi impostare un criterio dell'organizzazione sulla risorsa dell'organizzazione che utilizza un vincolo dell'elenco per negare l'accesso a un determinato servizio. Il processo seguente descrive come impostare un criterio dell'organizzazione utilizzando lo strumento a riga di comando gcloud. Per istruzioni su come visualizzare e impostare i criteri dell'organizzazione utilizzando Cloud Console, consulta la sezione Creare e gestire i criteri.

API v2

  1. Scarica il criterio corrente per la risorsa dell'organizzazione utilizzando il comando describe. Questo comando restituisce il criterio applicato direttamente a questa risorsa:

    gcloud org-policies describe \
  LIST_CONSTRAINT --organization=ORGANIZATION_ID

    Dove:

    • ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione. L'ID organizzazione è formattato come numeri decimali e non può contenere zeri anteposti.

    • LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che vuoi applicare.

    Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e con rispettivamente l'ID cartella e l'ID progetto.

    La risposta restituirà il criterio dell'organizzazione corrente, se esistente. Ad esempio:

    name: projects/841166443394/policies/gcp.resourceLocations
spec:
  etag: BwW5P5cEOGs=
  inheritFromParent: true
  rules:
  - condition:
      expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
    values:
      allowedValues:
        - in:us-east1-locations
  - condition:
      expression: resource.matchTag("123/env", "prod")
    values:
      allowedValues:
        - in:us-west1-locations
  - values:
      deniedValues:
        - in:asia-south1-locations
  updateTime: '2021-01-19T12:00:51.095Z'

    Se un criterio non viene configurato, verrà restituito un errore NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Imposta il criterio sull'organizzazione utilizzando il comando set-policy. Questo sovrascriverà qualsiasi criterio attualmente associato alla risorsa.

    1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

       name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
 spec:
     rules:
       - values:
         deniedValues:
           - VALUE_A

    2. Esegui il comando set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml

  3. Visualizza il criterio attualmente in vigore tramite describe --effective. Restituisce il criterio dell'organizzazione che viene valutato in questo punto della gerarchia delle risorse con ereditarietà inclusa.

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    L'output del comando sarà:

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
    - values:
        deniedValues:
          - VALUE_A

    Poiché questo criterio dell'organizzazione è stato impostato a livello di organizzazione, verrà ereditato da tutte le risorse figlio che ne consentono l'ereditarietà.

API v1

  1. Scarica il criterio corrente della risorsa dell'organizzazione utilizzando il comando describe:

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --organization ORGANIZATION_ID

    Dove:

    • ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione. L'ID organizzazione è formattato come numeri decimali e non può contenere zeri anteposti.

    • LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che vuoi applicare.

    Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e con rispettivamente l'ID cartella e l'ID progetto.

    Poiché un criterio non è impostato, viene restituito un criterio incompleto, come nell'esempio seguente:

    constraint: "constraints/LIST_CONSTRAINT"
etag: BwVJi0OOESU=

  2. Utilizza il comando deny per aggiungere il valore negato per il servizio a cui vuoi limitare l'accesso.

    gcloud resource-manager org-policies deny \
  LIST_CONSTRAINT VALUE_A \
  --organization ORGANIZATION_ID

    L'output del comando sarà:

    constraint: constraints/LIST_CONSTRAINT
etag: BwVJi0OOESU=
listPolicy:
  deniedValues:
    - VALUE_A
updateTime: CURRENT_TIME

  3. Visualizza il criterio attualmente in vigore tramite describe --effective.

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization ORGANIZATION_ID

    L'output del comando sarà:

    constraint: constraints/LIST_CONSTRAINT
listPolicy:
  deniedValues:
    - VALUE_A

    Poiché questo criterio dell'organizzazione è stato impostato a livello di organizzazione, verrà ereditato da tutte le risorse figlio che ne consentono l'ereditarietà.

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Configurare l'applicazione forzata per un sottoalbero gerarchica

I vincoli elenco richiedono valori definiti in modo esplicito per determinare quali risorse consentire o rifiutare. Alcuni vincoli possono anche accettare valori che utilizzano il prefisso under:, che specifica un sottoalbero con quella risorsa come radice. L'utilizzo del prefisso under: su un valore consentito o negato fa sì che il criterio dell'organizzazione intervenga su quella risorsa e su tutte le sue unità secondarie. Per informazioni sui limiti che consentono l'utilizzo del prefisso under:, consulta la pagina Vincoli dei criteri dell'organizzazione.

Un valore che utilizza il prefisso under: viene chiamato stringa di sottoalbero gerarchica. Una stringa di sottoalbero gerarchica specifica il tipo di risorsa a cui si applica. Ad esempio, l'utilizzo di una stringa di sottoalbero di projects/PROJECT_ID durante l'impostazione del vincolo di constraints/compute.storageResourceUseRestrictions consentirà o negherà l'utilizzo di spazio di archiviazione di Compute Engine per PROJECT_ID e tutti i relativi elementi secondari.

I prefissi del valore secondario della gerarchia sono funzionalità beta, potrebbero essere modificati in modi incompatibili con le versioni precedenti e non sono soggetti a SLA (accordo sul livello del servizio) o norme sul ritiro.

API v2

  1. Scarica il criterio corrente della risorsa dell'organizzazione utilizzando il comando describe:

    gcloud org-policies describe \
  LIST_CONSTRAINT --organization=ORGANIZATION_ID

    Dove:

    • ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione.

    • LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che vuoi applicare.

    Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e con rispettivamente l'ID cartella e l'ID progetto.

    Se un criterio non viene configurato, verrà restituito un errore NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Imposta il criterio sul progetto utilizzando il comando set-policy. Il prefisso under: imposta il vincolo per negare la risorsa con nome e tutte le relative risorse figlio.

    1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

       name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
 spec:
     rules:
       - values:
           deniedValues:
             - under:folders/VALUE_A

    2. Esegui il comando set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml

    Dove:

    • under: è un prefisso che indica che ciò che segue è una stringa sottoalbero.

    • folders/VALUE_A è l'ID cartella della risorsa principale che vuoi negare. Questa risorsa e tutti gli elementi secondari nella gerarchia delle risorse saranno rifiutati.

    Puoi anche applicare il prefisso under: a organizzazioni e progetti, come mostrato nei seguenti esempi:

    • under:organizations/VALUE_X

    • under:projects/VALUE_Y

  3. Visualizza il criterio attualmente in vigore tramite describe --effective.

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    L'output del comando sarà: 

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
    - values:
        deniedValues:
          - under:folders/VALUE_A

    Ora il criterio valuta di rifiutare la cartella VALUE_A e tutte le rispettive risorse figlio.

API v1

  1. Scarica il criterio corrente della risorsa dell'organizzazione utilizzando il comando describe:

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --organization ORGANIZATION_ID

    Dove:

    • ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione.

    • LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che vuoi applicare.

    Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e con rispettivamente l'ID cartella e l'ID progetto.

    Poiché un criterio non è impostato, viene restituito un criterio incompleto, come nell'esempio seguente:

    constraint: "constraints/LIST_CONSTRAINT"
etag: BwVJi0OOESU=

  2. Utilizza il comando deny per aggiungere il valore negato per il servizio a cui vuoi limitare l'accesso. Il prefisso under: imposta il vincolo per negare la risorsa con nome e tutte le sue risorse figlio.

    gcloud resource-manager org-policies deny \
  LIST_CONSTRAINT under:folders/VALUE_A \
  --organization ORGANIZATION_ID

    Dove:

    • under: è un prefisso che indica che ciò che segue è una stringa sottoalbero.

    • folders/VALUE_A è l'ID cartella della risorsa principale che vuoi negare. Questa risorsa e tutti i relativi elementi secondari nella gerarchia delle risorse verranno rifiutati.

    • VALUE_B e VALUE_C sono progetti che esistono nella gerarchia con VALUE_A come genitore.

    L'output del comando di negazione sarà:

    constraint: constraints/LIST_CONSTRAINT
etag: BwVJi0OOESU=
listPolicy:
  deniedValues:
    - under:folders/VALUE_A
updateTime: CURRENT_TIME

    Puoi anche applicare il prefisso under: a organizzazioni e progetti, come mostrato nei seguenti esempi:

    • under:organizations/VALUE_X

    • under:projects/VALUE_Y

  3. Visualizza il criterio attualmente in vigore tramite describe --effective.

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization ORGANIZATION_ID

    L'output del comando sarà:

    constraint: constraints/LIST_CONSTRAINT
listPolicy:
  deniedValues:
    - under:folders/VALUE_A

    Ora il criterio valuta di rifiutare la cartella VALUE_A e tutte le relative risorse figlio, in questo caso VALUE_B e VALUE_C.

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Unisci il criterio dell'organizzazione in un progetto

Puoi impostare un criterio dell'organizzazione personalizzato per una risorsa, che verrà unito a qualsiasi criterio ereditato dalla risorsa principale. Il criterio unito verrà quindi valutato per creare un nuovo criterio efficace basato sulle regole di ereditarietà.

API v2

  1. Scarica il criterio corrente della risorsa utilizzando il comando describe:

    gcloud org-policies describe \
  LIST_CONSTRAINT --project=PROJECT_ID

    Dove:

    • PROJECT_ID è l'identificatore univoco del progetto.

    • LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che vuoi applicare.

    Se un criterio non viene configurato, verrà restituito un errore NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Visualizza il criterio effettivo corrente utilizzando il comando describe --effective:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
   --project=PROJECT_ID

    L'output del comando includerà un valore negato che eredita dalla risorsa dell'organizzazione:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
    - values:
        deniedValues:
          - VALUE_A

  3. Imposta il criterio sul progetto utilizzando il comando set-policy.

    1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

       name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
 spec:
     inheritFromParent: true
     rules:
       - values:
           deniedValues:
             - VALUE_B
             - VALUE_C

    2. Esegui il comando set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml

  4. Utilizza di nuovo il comando describe --effective per visualizzare il criterio aggiornato:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

    L'output del comando includerà il risultato effettivo dell'unione del criterio dalla risorsa e dall'elemento padre:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
    - values:
        deniedValues:
          - VALUE_A
          - VALUE_B
          - VALUE_C

API v1

  1. Scarica il criterio corrente della risorsa utilizzando il comando describe:

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --project PROJECT_ID

    Dove:

    • PROJECT_ID è l'identificatore univoco del progetto.

    • LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che vuoi applicare.

    Poiché un criterio non è impostato, viene restituito un criterio incompleto, come nell'esempio seguente:

    constraint: "constraints/LIST_CONSTRAINT"
etag: BwVJi0OOESU=

  2. Visualizza il criterio effettivo corrente utilizzando il comando describe --effective:

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
   --project PROJECT_ID

    L'output del comando includerà un valore negato che eredita dalla risorsa dell'organizzazione:

    constraint: constraints/LIST_CONSTRAINT
listPolicy:
  deniedValues:
    - VALUE_A

  3. Imposta il criterio sul progetto utilizzando il comando set-policy.

    1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

       constraint: constraints/LIST_CONSTRAINT
 listPolicy:
   deniedValues:
     - VALUE_B
     - VALUE_C
   inheritFromParent: true

    2. Esegui il comando set-policy:

       gcloud resource-manager org-policies set-policy 
      
   --project PROJECT_ID /tmp/policy.yaml

    3. L'output del comando sarà:

       constraint: constraints/LIST_CONSTRAINT
 etag: BwVLO2timxY=
 listPolicy:
   deniedValues:
     - VALUE_B
     - VALUE_C
   inheritFromParent: true

  4. Utilizza di nuovo il comando describe --effective per visualizzare il criterio aggiornato:

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --project PROJECT_ID

    L'output del comando includerà il risultato effettivo dell'unione del criterio dalla risorsa e dall'elemento padre:

    constraint: constraints/LIST_CONSTRAINT
  listPolicy:
    deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Ripristina comportamento vincolo predefinito

Puoi utilizzare il comando reset per reimpostare il criterio in modo da utilizzare il comportamento predefinito del vincolo. Per un elenco di tutti i vincoli disponibili e dei relativi valori predefiniti, consulta la sezione Vincoli dei criteri dell'organizzazione.L'esempio seguente presuppone che il comportamento del vincolo predefinito sia consentito per tutti i valori.

API v2

  1. Ottieni il criterio efficace sul progetto per mostrare il criterio unito corrente:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

    Dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
    - values:
        deniedValues:
          - VALUE_A
          - VALUE_B
          - VALUE_C

  2. Reimposta il criterio dell'organizzazione utilizzando il comando reset.

    gcloud org-policies reset LIST_CONSTRAINT \
    --project=PROJECT_ID

  3. Ottieni il criterio efficace per verificare il comportamento predefinito:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

    L'output del comando consentirà tutti i valori:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
    - allowAll: true

API v1

  1. Ottieni il criterio efficace sul progetto per mostrare il criterio unito corrente:

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --project PROJECT_ID

    Dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

    constraint: constraints/LIST_CONSTRAINT
  listPolicy:
    deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

  2. Imposta il criterio sul progetto utilizzando il comando set-policy.

    1. Crea un file temporaneo /tmp/restore-policy.yaml per archiviare il criterio:

       restoreDefault: {}
 constraint: constraints/LIST_CONSTRAINT

    2. Esegui il comando set-policy:

       gcloud resource-manager org-policies set-policy 
      
   --project PROJECT_ID /tmp/restore-policy.yaml

    3. L'output del comando sarà:

       constraint: constraints/LIST_CONSTRAINT
 etag: BwVJi9D3VLY=
 restoreDefault: {}

  3. Ottieni il criterio efficace per verificare il comportamento predefinito:

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --project PROJECT_ID

    L'output del comando consentirà tutti i valori:

    Constraint: constraints/LIST_CONSTRAINT
listPolicy:
  allValues: ALLOW

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Eliminare un criterio dell'organizzazione

Puoi eliminare un criterio dell'organizzazione da una risorsa. Una risorsa senza un set di criteri dell'organizzazione erediterà qualsiasi criterio della risorsa principale. Se elimini il criterio dell'organizzazione sulla risorsa dell'organizzazione, il criterio effettivo corrisponderà al comportamento predefinito del vincolo.

I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un'organizzazione.

API v2

  1. Elimina il criterio nella risorsa dell'organizzazione utilizzando il comando delete:

    gcloud org-policies delete \
  LIST_CONSTRAINT --organization=ORGANIZATION_ID

    Dove ORGANIZATION_ID è l'identificatore univoco della risorsa dell'organizzazione. L'output del comando sarà:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT].
{}

  2. Scarica l'efficace norma sull'organizzazione per verificare che non sia applicata:

    gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    L'output del comando sarà:

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
    - allowAll: true

I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione per un progetto:

  1. Elimina il criterio in un progetto utilizzando il comando delete:

    gcloud org-policies delete \
  LIST_CONSTRAINT --project=PROJECT_ID

    Dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

    Deleted policy
[projects/PROJECT_ID/policies/LIST_CONSTRAINT].
{}

  2. Ottieni il criterio efficace sul progetto per verificare che non sia applicato:

    gcloud org-policies describe \
  --effective \
  LIST_CONSTRAINT --project=PROJECT_ID

    L'output del comando sarà:

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
    - allowAll: true

API v1

  1. Elimina il criterio nella risorsa dell'organizzazione utilizzando il comando delete:

    gcloud resource-manager org-policies delete \
  LIST_CONSTRAINT --organization ORGANIZATION_ID

    Dove ORGANIZATION_ID è l'identificatore univoco della risorsa dell'organizzazione. L'output del comando sarà:

    Deleted [<Empty>].

  2. Scarica l'efficace norma sull'organizzazione per verificare che non sia applicata:

    gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization ORGANIZATION_ID

    L'output del comando sarà:

    constraint: constraints/LIST_CONSTRAINT
listPolicy:
  allValues: ALLOW

I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione per un progetto:

  1. Elimina il criterio in un progetto utilizzando il comando delete:

    gcloud resource-manager org-policies delete \
  LIST_CONSTRAINT --project PROJECT_ID

    Dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

    Deleted [<Empty>].

  2. Ottieni il criterio efficace sul progetto per verificare che non sia applicato:

    gcloud resource-manager org-policies describe \
  --effective \
  LIST_CONSTRAINT --project PROJECT_ID

    L'output del comando sarà:

    constraint: constraints/LIST_CONSTRAINT
listPolicy:
  allValues: ALLOW

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Utilizzo di vincoli booleani nei criteri dell'organizzazione

Configurare l'applicazione forzata per la risorsa dell'organizzazione

Puoi impostare un criterio dell'organizzazione sulla risorsa dell'organizzazione per applicare un vincolo booleano. Il seguente processo descrive come impostare un criterio dell'organizzazione mediante l'interfaccia a riga di comando di Google Cloud. Per istruzioni su come visualizzare e impostare i criteri dell'organizzazione utilizzando Cloud Console, consulta la sezione Creare e gestire i criteri.

API v2

  1. Scarica il criterio corrente della risorsa dell'organizzazione utilizzando il comando describe:

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --organization=ORGANIZATION_ID

    Dove ORGANIZATION_ID è l'identificatore univoco della risorsa dell'organizzazione. Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e con rispettivamente l'ID cartella e l'ID progetto.

    Se un criterio non viene configurato, verrà restituito un errore NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Imposta il criterio sul progetto utilizzando il comando set-policy.

    1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

       name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
 spec:
   rules:
     - enforce: true

    2. Esegui il comando set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml

  3. Visualizza il criterio attualmente in vigore tramite describe --effective:

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

    L'output del comando sarà:

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
    - enforce: true

API v1

  1. Scarica il criterio corrente della risorsa dell'organizzazione utilizzando il comando describe:

    gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID

    Dove ORGANIZATION_ID è l'identificatore univoco della risorsa dell'organizzazione. Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con i flag --folder o --project e con rispettivamente l'ID cartella e l'ID progetto.

    Poiché un criterio non è impostato, viene restituito un criterio incompleto, come nell'esempio seguente:

    booleanPolicy: {}
constraint: "constraints/BOOLEAN_CONSTRAINT"

  2. Imposta il criterio per l'applicazione forzata dell'organizzazione con il comando enable-enforce:

    gcloud resource-manager org-policies enable-enforce \
  BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID

    L'output del comando sarà:

    booleanPolicy:
  enforced: true
constraint: constraints/BOOLEAN_CONSTRAINT
etag: BwVJitxdiwY=

  3. Visualizza il criterio attualmente in vigore tramite describe --effective:

    gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization ORGANIZATION_ID

    L'output del comando sarà:

    booleanPolicy:
  enforced: true
constraint: constraints/BOOLEAN_CONSTRAINT

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Sostituire i criteri dell'organizzazione per un progetto

Per eseguire l'override del criterio dell'organizzazione per un progetto, imposta un criterio che disattivi l'applicazione del vincolo booleano per tutte le risorse nella gerarchia sottostante il progetto.

API v2

  1. Scarica il criterio attuale della risorsa per mostrarlo vuoto.

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --project=PROJECT_ID

    Dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

    Se un criterio non viene configurato, verrà restituito un errore NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Ottieni il criterio efficace sul progetto, che conferma che il vincolo viene applicato a questo progetto.

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

    L'output del comando sarà:

    name: projects/PROJECT_ID/policies/BOOLEAN_POLICY
spec:
  rules:
    - enforce: true

  3. Imposta il criterio sul progetto utilizzando il comando set-policy.

    1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

       name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
 spec:
   rules:
     - enforce: false

    2. Esegui il comando set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml

  4. Scarica il criterio efficace per indicare che non è più applicato al progetto.

    gcloud org-policies describe \
  --effective \
  BOOLEAN_CONSTRAINT --project=PROJECT_ID

    L'output del comando sarà:

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
    - enforce: false

API v1

  1. Scarica il criterio attuale della risorsa per mostrarlo vuoto.

    gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --project PROJECT_ID

    Dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

    booleanPolicy: {}
constraint: "constraints/BOOLEAN_CONSTRAINT"

  2. Ottieni il criterio efficace sul progetto, che conferma che il vincolo viene applicato a questo progetto.

    gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project PROJECT_ID

    L'output del comando sarà:

    booleanPolicy:
  enforced: true
constraint: constraints/BOOLEAN_CONSTRAINT

  3. Imposta il criterio sul progetto per non applicare il vincolo utilizzando il comando disable-enforce:

    gcloud resource-manager org-policies disable-enforce \
  BOOLEAN_CONSTRAINT --project PROJECT_ID

    L'output del comando sarà:

    booleanPolicy: {}
constraint: constraints/BOOLEAN_CONSTRAINT
etag: BwVJivdnXvM=

  4. Scarica il criterio efficace per indicare che non è più applicato al progetto.

    gcloud resource-manager org-policies describe \
  --effective \
  BOOLEAN_CONSTRAINT --project PROJECT_ID

    L'output del comando sarà:

    booleanPolicy: {}
constraint: constraints/BOOLEAN_CONSTRAINT

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Eliminare un criterio dell'organizzazione

Puoi eliminare un criterio dell'organizzazione da una risorsa. Una risorsa senza un set di criteri dell'organizzazione erediterà qualsiasi criterio della risorsa principale. Se elimini il criterio dell'organizzazione sulla risorsa dell'organizzazione, il criterio effettivo corrisponderà al vincolo, cioè il comportamento predefinito.

I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un'organizzazione e un progetto.

API v2

  1. Elimina il criterio dalla risorsa dell'organizzazione utilizzando il comando delete:

    gcloud org-policies delete \
  BOOLEAN_CONSTRAINT --organization=ORGANIZATION_ID

    Dove ORGANIZATION_ID è un identificatore univoco per la risorsa dell'organizzazione. L'output del comando sarà:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

  2. Scarica l'efficace norma sull'organizzazione per verificare che non sia applicata:

    gcloud org-policies describe \
  --effective \
  BOOLEAN_CONSTRAINT --organization=ORGANIZATION_ID

    Se un criterio non viene configurato, verrà restituito un errore NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  3. Elimina il criterio dell'organizzazione dal progetto utilizzando il comando delete:

    gcloud org-policies delete \
  BOOLEAN_CONSTRAINT --project=PROJECT_ID

    L'output del comando sarà:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

  4. Ottieni il criterio efficace sul progetto per verificare che non sia applicato:

    gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

    Dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

    Se un criterio non viene configurato, verrà restituito un errore NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

API v1

  1. Elimina il criterio dalla risorsa dell'organizzazione utilizzando il comando delete:

    gcloud resource-manager org-policies delete \
  BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID

    Dove ORGANIZATION_ID è un identificatore univoco per la risorsa dell'organizzazione. L'output del comando sarà:

    Deleted [<Empty>].

  2. Scarica l'efficace norma sull'organizzazione per verificare che non sia applicata:

    gcloud resource-manager org-policies describe \
  --effective \
  BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID

    L'output del comando sarà:

    booleanPolicy: {}
constraint: constraints/BOOLEAN_CONSTRAINT

  3. Elimina il criterio dell'organizzazione dal progetto utilizzando il comando delete:

    gcloud resource-manager org-policies delete \
  BOOLEAN_CONSTRAINT --project PROJECT_ID

    L'output del comando sarà:

    Deleted [<Empty>].

  4. Ottieni il criterio efficace sul progetto per verificare che non sia applicato:

    gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project PROJECT_ID

    Dove PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:

    booleanPolicy: {}
constraint: constraints/BOOLEAN_CONSTRAINT

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.