本頁說明如何使用 Organization Policy Service 自訂限制,限制對下列 Google Cloud 資源執行的特定作業:
securitycenter.googleapis.com/BigQueryExportsecuritycenter.googleapis.com/MuteConfigsecuritycenter.googleapis.com/NotificationConfigsecuritycenter.googleapis.com/ResourceValueConfigsecuritycenter.googleapis.com/ContainerThreatDetectionSettingssecuritycenter.googleapis.com/EventThreatDetectionSettingssecuritycenter.googleapis.com/SecurityHealthAnalyticsSettingssecuritycenter.googleapis.com/VirtualMachineThreatDetectionSettingssecuritycenter.googleapis.com/WebSecurityScannerSettingssecuritycentermanagement.googleapis.com/SecurityCenterServicesecuritycentermanagement.googleapis.com/SecurityHealthAnalyticsCustomModulesecuritycentermanagement.googleapis.com/EventThreatDetectionCustomModulewebsecurityscanner.googleapis.com/ScanConfig
如要進一步瞭解機構政策,請參閱「自訂機構政策」。
關於機構政策和限制
Google Cloud 機構政策服務可讓您透過程式以集中方式控管機構的資源。身為機構政策管理員,您可以定義機構政策,也就是一組稱為「限制」的限制,適用於Google Cloud 資源和Google Cloud 資源階層中這些資源的子系。您可以在機構、資料夾或專案層級強制執行機構政策。
機構政策提供各種 Google Cloud 服務的內建代管限制。不過,如要更精細地自訂機構政策中受限的特定欄位,也可以建立自訂限制,並在機構政策中使用這些自訂限制。
政策繼承
根據預設,機構政策會由您強制執行政策的資源子系繼承。舉例來說,如果您對資料夾強制執行政策, Google Cloud 系統會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更,請參閱「階層評估規則」。
事前準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI。
-
如要初始化 gcloud CLI,請執行下列指令:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI。
-
如要初始化 gcloud CLI,請執行下列指令:
gcloud init - 請確認您知道機構 ID。
ORGANIZATION_ID:您的機構 ID,例如123456789。CONSTRAINT_NAME:新自訂限制的名稱。自訂限制條件必須以custom.開頭,且只能包含大寫英文字母、小寫英文字母或數字。例如,custom.SccNotificationConfig。這個欄位的長度上限為 70 個字元。RESOURCE_NAME:包含要限制物件和欄位的Google Cloud 資源完整名稱。例如:securitycenter.googleapis.com/NotificationConfig。CONDITION:針對支援服務資源的代表項目編寫的 CEL 條件。這個欄位的長度上限為 1000 個字元。如要進一步瞭解可編寫條件的資源,請參閱「支援的資源」。例如:"resource.pubsubTopic != 'projects/PROJECT_ID/topics/TOPIC_ID'"。ACTION:如果符合condition,應採取的動作。可能的值為ALLOW和DENY。DISPLAY_NAME:限制條件的易記名稱。這個欄位的長度上限為 200 個字元。DESCRIPTION:違反政策時,要以錯誤訊息形式顯示的限制說明。這個欄位的長度上限為 2000 個字元。- 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。
- 在專案選擇工具中,選取要設定機構政策的專案。
- 在「Organization policies」(機構政策) 頁面上的清單中選取限制條件,即可查看該限制條件的「Policy details」(政策詳情) 頁面。
- 如要設定資源的機構政策,請按一下「管理政策」。
- 在「編輯政策」頁面中,選取「覆寫上層政策」。
- 按一下「新增規則」。
- 在「Enforcement」(強制執行) 區段中,選取是否要強制執行這項機構政策。
- 選用:如要根據標記設定機構政策條件,請按一下「新增條件」。請注意,如果為組織政策新增條件式規則,您必須至少新增一項無條件規則,否則無法儲存政策。詳情請參閱「使用標記設定組織政策」。
- 按一下「測試變更」,模擬機構政策的影響。舊版受管理限制不支援政策模擬。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」。
- 如要完成並套用機構政策,請按一下「設定政策」。這項政策最多需要 15 分鐘才會生效。
-
PROJECT_ID:您要強制執行限制的專案。 -
CONSTRAINT_NAME:您為自訂限制定義的名稱。例如:custom.SccNotificationConfig。 - 機構 ID
- 專案 ID
- Pub/Sub 主題 ID
建立名為
notificationConfig_constraint.yaml的 YAML 檔案,定義自訂限制:name: organizations/ORGANIZATION_ID/customConstraints/custom.SccNotificationConfig resourceTypes: - securitycenter.googleapis.com/NotificationConfig methodTypes: - CREATE - UPDATE condition: "resource.pubsubTopic != 'projects/PROJECT_ID/topics/TOPIC_ID'" actionType: DENY displayName: Only let users create or modify notification configs that are subscribed to a specific Pub/Sub topic. description: "Can't create or modify notification configs that are subscribed to the specified Pub/Sub topic."套用限制:
gcloud org-policies set-custom-constraint ~/notificationConfig_constraint.yaml確認限制條件是否存在:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID --filter="RESOURCE_TYPES='securitycenter.googleapis.com/NotificationConfig'"建立名為
notificationConfig_policy.yaml的 YAML 檔案,定義機構政策:name: projects/PROJECT_ID/policies/custom.SccNotificationConfig spec: rules: - enforce: true套用政策:
gcloud org-policies set-policy ~/notificationConfig_policy.yaml確認政策存在:
gcloud org-policies list --organization=ORGANIZATION_ID --filter="constraint:custom.SccNotificationConfig"
必要的角色
如要取得管理自訂機構政策所需的權限,請要求管理員為您授予機構資源的機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
建立自訂限制
自訂限制是在 YAML 檔案中定義,其中包含您要強制執行機構政策的服務所支援的資源、方法、條件和動作。自訂限制的條件是使用一般運算語言 (CEL) 定義。如要進一步瞭解如何使用 CEL 在自訂限制中建構條件,請參閱「建立及管理自訂限制」一文的 CEL 一節。
如要建立自訂限制,請使用下列格式建立 YAML 檔案:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
更改下列內容:
如要進一步瞭解如何建立自訂限制,請參閱「定義自訂限制」。
設定自訂限制
為新的自訂限制建立 YAML 檔案後,您必須進行設定,才能在貴機構的機構政策中使用該檔案。如要設定自訂限制,請使用gcloud org-policies set-custom-constraint 指令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替換為自訂限制檔案的完整路徑。例如:/home/user/customconstraint.yaml。
完成後,自訂限制就會顯示在 Google Cloud 機構政策清單中,做為機構政策使用。如要確認自訂限制條件是否存在,請使用 gcloud org-policies list-custom-constraints 指令:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替換為機構資源的 ID。
詳情請參閱「查看組織政策」。
強制執行自訂機構政策
如要強制執行限制,請建立參照該限制的機構政策,然後將該政策套用至 Google Cloud 資源。控制台
gcloud
如要建立含有布林值規則的機構政策,請建立參照限制的政策 YAML 檔案:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
取代下列項目:
如要強制執行包含限制的機構政策,請執行下列指令:
gcloud org-policies set-policy POLICY_PATH
將 POLICY_PATH 替換為機構政策 YAML 檔案的完整路徑。這項政策最多需要 15 分鐘才會生效。
測試自訂機構政策
以下範例會為 securitycenter.googleapis.com/NotificationConfig 資源建立自訂限制。這項限制只允許使用者建立或修改已訂閱指定 Pub/Sub 主題的通知設定。
開始之前,請務必瞭解下列事項:
建立限制
建立政策
測試政策
嘗試建立違反機構政策的通知設定:
gcloud scc notifications create NOTIFICATION_CONFIG_ID \
--pubsub-topic=projects/PROJECT_ID/topics/example_topic \
--project=PROJECT_ID \
--filter="state=\"ACTIVE\""
輸出內容如下:
Operation denied by custom org policies:
["customConstraints/SccNotificationConfig": "Can't create or modify
notification configs that are subscribed to the specified Pub/Sub
topic."]
常見用途的自訂機構政策範例
下表提供一些常見自訂限制的語法範例。
| 說明 | 限制語法 |
|---|---|
| 只允許使用者建立或修改訂閱特定 Pub/Sub 主題的通知設定。 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.SccNotificationConfig resourceTypes: - securitycenter.googleapis.com/NotificationConfig methodTypes: - CREATE - UPDATE condition: "resource.pubsubTopic != 'projects/PROJECT_ID/topics/TOPIC_ID'" actionType: DENY displayName: Only let users create or modify notification configs that are subscribed to a specific Pub/Sub topic. description: "Can't create or modify notification configs that are subscribed to the specified Pub/Sub topic." |
| 只允許使用者匯出特定 BigQuery 資料集。 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.SccBigQueryExport resourceTypes: - securitycenter.googleapis.com/BigQueryExport methodTypes: - CREATE - UPDATE condition: "resource.dataset != 'projects/PROJECT_ID/datasets/DATASET_ID'" actionType: DENY displayName: Only let users export a specific BigQuery dataset. description: "Can't export the specified BigQuery dataset." |
| 禁止使用者變更 Container Threat Detection 設定資源的服務啟用狀態。這個用途也適用於 Event Threat Detection、Security Health Analytics、Virtual Machine Threat Detection 和 Web Security Scanner 設定資源。 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.SccKtdSettings resourceTypes: - securitycenter.googleapis.com/securitycenter.googleapis.com/ContainerThreatDetectionSettings methodTypes: - CREATE - UPDATE condition: "resource.serviceEnablementState != ENABLED" actionType: DENY displayName: Prevent users from changing the Container Threat Detection service enablement state. description: "Can't change the Container Threat Detection service enablement state." |
| 禁止使用者變更 Security Health Analytics 自訂模組資源的啟用狀態。這個用途也適用於 Event Threat Detection 自訂模組資源。 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.SccShaCustomModule resourceTypes: - securitycentermanagement.googleapis.com/SecurityHealthAnalyticsCustomModule methodTypes: - CREATE - UPDATE condition: "resource.serviceEnablementState != ENABLED" actionType: DENY displayName: Prevent users from changing the Security Health Analytics custom module enablement state. description: "Can't change the Security Health Analytics custom module enablement state." |
| 禁止使用者建立或修改 Web Security Scanner 掃描設定,且每秒查詢次數上限大於 10。 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.WssScanConfig resourceTypes: - websecurityscanner.googleapis.com/ScanConfig methodTypes: - CREATE - UPDATE condition: "resource.maxQps > 10" actionType: DENY displayName: Only let users create or modify scan configs with a maximum QPS limit of 10 or less. description: "Can't create or modify scan configs that have a maximum QPS limit greater than 10." |
Security Command Center 支援的資源
下表列出可在自訂限制中參照的 Security Command Center 資源。| 資源 | 欄位 |
|---|---|
| securitycenter.googleapis.com/BigQueryExport |
resource.dataset
|
resource.description
| |
resource.name
| |
| securitycenter.googleapis.com/ContainerThreatDetectionSettings |
resource.modules[*].moduleEnablementState
|
resource.name
| |
resource.serviceEnablementState
| |
| securitycenter.googleapis.com/EventThreatDetectionSettings |
resource.modules[*].moduleEnablementState
|
resource.name
| |
resource.serviceEnablementState
| |
| securitycenter.googleapis.com/MuteConfig |
resource.description
|
resource.expiryTime
| |
resource.name
| |
resource.type
| |
| securitycenter.googleapis.com/NotificationConfig |
resource.description
|
resource.name
| |
resource.pubsubTopic
| |
| securitycenter.googleapis.com/ResourceValueConfig |
resource.cloudProvider
|
resource.description
| |
resource.name
| |
resource.resourceLabelsSelector
| |
resource.resourceType
| |
resource.resourceValue
| |
resource.scope
| |
resource.tagValues
| |
| securitycenter.googleapis.com/SecurityHealthAnalyticsSettings |
resource.modules[*].moduleEnablementState
|
resource.name
| |
resource.serviceEnablementState
| |
| securitycenter.googleapis.com/VirtualMachineThreatDetectionSettings |
resource.modules[*].moduleEnablementState
|
resource.name
| |
resource.serviceEnablementState
| |
| securitycenter.googleapis.com/WebSecurityScannerSettings |
resource.modules[*].moduleEnablementState
|
resource.name
| |
resource.serviceEnablementState
| |
| securitycentermanagement.googleapis.com/EventThreatDetectionCustomModule |
resource.description
|
resource.displayName
| |
resource.enablementState
| |
resource.name
| |
resource.type
| |
| securitycentermanagement.googleapis.com/SecurityCenterService |
resource.intendedEnablementState
|
resource.modules[*].intendedEnablementState
| |
resource.name
| |
| securitycentermanagement.googleapis.com/SecurityHealthAnalyticsCustomModule |
resource.customConfig.customOutput.properties.name
|
resource.customConfig.description
| |
resource.customConfig.recommendation
| |
resource.customConfig.resourceSelector.resourceTypes
| |
resource.customConfig.severity
| |
resource.displayName
| |
resource.enablementState
| |
resource.name
| |
| websecurityscanner.googleapis.com/ScanConfig |
resource.authentication.customAccount.loginUrl
|
resource.authentication.customAccount.password
| |
resource.authentication.customAccount.username
| |
resource.authentication.googleAccount.password
| |
resource.authentication.googleAccount.username
| |
resource.authentication.iapCredential.iapTestServiceAccountInfo.targetAudienceClientId
| |
resource.blacklistPatterns
| |
resource.displayName
| |
resource.exportToSecurityCommandCenter
| |
resource.ignoreHttpStatusErrors
| |
resource.managedScan
| |
resource.maxQps
| |
resource.name
| |
resource.riskLevel
| |
resource.schedule.intervalDurationDays
| |
resource.schedule.scheduleTime
| |
resource.startingUrls
| |
resource.staticIpScan
| |
resource.targetPlatforms
| |
resource.userAgent
|