本页介绍了如何使用组织政策服务自定义限制条件来限制对以下 Google Cloud 资源的特定操作:
secretmanager.googleapis.com/Secret
如需详细了解组织政策,请参阅自定义组织政策。
组织政策和限制条件简介
Google Cloud 组织政策服务可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于 Google Cloud 资源层次结构中的 Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。
组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义限制条件并在组织政策中使用这些自定义限制条件。
政策继承
如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则。
优势
您可以使用自定义组织政策执行以下操作:
- 强制要求用户为密文添加注释、为密文设置到期日期或设置延迟销毁密文版本,以强制执行严格的安全要求。
- 通过要求特定项目或文件夹中的所有 Secret 设置轮替时间表,支持特定轮替要求。
- 验证注释和版本别名是否与自动化脚本中的所选表达式匹配。
- 通过限制组织中允许的 Secret 类型来控制云端费用。
限制
- 您可以使用
expire_time(特定时间点)或ttl(时长)来指定密钥的到期时间。在自定义组织政策中,您只能使用expire_time来确定密文的到期时间。如果您为 Secret 设置了ttl,Secret Manager 会将其转换为expire_time值,以便处理和评估政策。
准备工作
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - 请确保您知道您的组织 ID。
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:
-
组织资源的 Organization Policy Administrator (
roles/orgpolicy.policyAdmin) -
如需创建或更新 Secret,请使用项目的 Secret Manager Admin (
roles/secretmanager.admin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理组织政策需要以下权限:
-
orgpolicy.*针对组织资源的orgpolicy.* -
如需创建或更新 Secret Manager Secret,请执行以下操作:
-
针对项目资源的
secretmanager.secrets.create -
针对项目资源的
secretmanager.secrets.get -
针对项目资源的
secretmanager.secrets.list -
针对项目资源的
secretmanager.secrets.update
-
针对项目资源的
创建自定义限制条件
自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。
如需创建自定义限制条件,请使用以下格式创建 YAML 文件:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
替换以下内容:
ORGANIZATION_ID:您的组织 ID,例如123456789。CONSTRAINT_NAME:新的自定义限制条件的名称。 自定义限制条件必须以custom.开头,只能包含大写字母、小写字母或数字,例如custom.ensureVersionDestroyTTL。此字段的最大长度为 70 个字符。RESOURCE_NAME:包含要限制的对象和字段的 Google Cloud 资源的完全限定名称。例如secretmanager.googleapis.com/Secret。CONDITION:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。 例如"resource.versionDestroyTtl < duration('30h')"。ACTION:满足condition时要执行的操作。可能的值有ALLOW和DENY。DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的长度上限为 2,000 个字符。
如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件。
设置自定义限制条件
为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用gcloud org-policies set-custom-constraint 命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替换为您的组织资源的 ID。
如需了解详情,请参阅查看组织政策。
强制执行自定义组织政策
如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。控制台
- 在 Google Cloud 控制台中,转到组织政策页面。
- 在项目选择器中,选择要设置组织政策的项目。
- 从组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
- 如需为该资源配置组织政策,请点击管理政策。
- 在修改政策页面,选择覆盖父级政策。
- 点击添加规则。
- 在强制执行部分中,选择开启还是关闭此组织政策的强制执行。
- (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策。
- 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
- 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。
gcloud
如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
请替换以下内容:
-
PROJECT_ID:要对其实施限制条件的项目。 -
CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.ensureVersionDestroyTTL。
如需强制执行包含限制条件的组织政策,请运行以下命令:
gcloud org-policies set-policy POLICY_PATH
将 POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。
测试自定义组织政策
以下示例展示了如何配置自定义约束条件和政策,以确保在给定项目中创建的所有新 Secret 的销毁延迟时长 (version_destroy_ttl) 至少为 30 小时。
在开始之前,请确保满足以下条件:
- 启用 Secret Manager API,每个项目一次。
- 了解您的组织 ID。
- 了解您的项目 ID。
创建限制条件
将以下文件保存为
constraint.yaml:name: organizations/ORGANIZATION_ID/customConstraints/custom.ensureVersionDestroyTTLAtLeast30hours resourceTypes: - secretmanager.googleapis.com/Secret methodTypes: - CREATE condition: "resource.versionDestroyTtl < duration('30h')" actionType: DENY displayName: Enable Secret Version Destroy TTL with at least 30 hours description: All new secrets must have Version Destroy TTL values of at least 30 hours此文件定义了一个限制条件,对于每个新密钥,如果未应用密钥版本
version_destroy_ttl或version_destroy_ttl小于 30 小时,则操作将被拒绝。应用限制条件:
gcloud org-policies set-custom-constraint ~/constraint.yaml验证限制条件存在:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID输出类似于以下内容:
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.ensureVersionDestroyTTLAtLeast30hours DENY CREATE secretmanager.googleapis.com/Secret Enable Secret Version Destroy TTL with at least 30 hours ...
创建政策
将以下文件保存为
policy.yaml:name: projects/PROJECT_ID/policies/custom.ensureVersionDestroyTTLAtLeast30hours spec: rules: - enforce: true将
PROJECT_ID替换为您的项目 ID。应用政策:
gcloud org-policies set-policy ~/policy.yaml验证政策存在:
gcloud org-policies list --project=PROJECT_ID输出类似于以下内容:
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.ensureVersionDestroyTTLAtLeast30hours - SET COCsm5QGENiXi2E=
应用政策后,请等待大约两分钟,以便 Google Cloud 开始强制执行政策。
测试政策
gcloud secrets create org-policy-test-secret \
--project=PROJECT_ID \
--version-destroy-ttl=100000s
输出如下所示:
Operation denied by custom org policies: ["customConstraints/custom.ensureVersionDestroyTTL": "All new secrets must have version destroy TTL values with at least 30 hours"]
常见用例的自定义组织政策示例
下表提供了一些常见用例的自定义约束条件的语法:
| 说明 | 限制条件语法 |
|---|---|
| 必须将版本销毁 TTL 设置为超过两天 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.secretManagerEnableTTL resourceTypes: - secretmanager.googleapis.com/Secret methodTypes: - CREATE condition: "has(resource.versionDestroyTtl) && resource.versionDestroyTtl.getSeconds() > 172800" actionType: ALLOW displayName: Must set version destroy TTL more than one hour description: All new secrets must set version destroy TTL and version destroy TTL seconds should be more than two days |
| 设置 Pub/Sub 主题 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.secretsWithPubSubTopic resourceTypes: - secretmanager.googleapis.com/Secret methodTypes: - CREATE - UPDATE condition: "has(resource.topics) && size(resource.topics) > 0 && resource.topics[0].name.matches('projects/a_test_project/topics/a_topic_name')" actionType: ALLOW displayName: Set secret first topic as a_topic_name description: All secret must use a_topic_name Pub/Sub topic as the first topic for notifications. |
| 拒绝带有前缀的注解 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.secretManagerAnnotationPrefixes resourceTypes: - secretmanager.googleapis.com/Secret methodTypes: - CREATE condition: "has(resource.annotations) && resource.annotations['key1'].startsWith('some-prefix-')" actionType: DENY displayName: Deny annotation of 'key1' with prefix 'some-prefix-' description: All new secrets should not have 'key1' annotations set with prefix 'some-prefix-'. |
Secret Manager 支持的资源
本部分中的表格列出了您可以在自定义约束条件中引用的 Secret Manager 资源。
如需设置资源位置限制条件,请使用资源位置组织政策。同样,如需设置 CMEK 使用限制,我们建议您使用 CMEK 组织政策。
| 资源 | 字段 |
|---|---|
| secretmanager.googleapis.com/Secret |
resource.annotations
|
resource.expireTime
| |
resource.rotation.nextRotationTime
| |
resource.rotation.rotationPeriod
| |
resource.topics.name
| |
resource.versionAliases
| |
resource.versionDestroyTtl
|