本頁說明如何使用 Organization Policy Service 自訂限制,限制對下列 Google Cloud 資源執行的特定作業:
accesscontextmanager.googleapis.com/AccessPolicyaccesscontextmanager.googleapis.com/AccessLevelaccesscontextmanager.googleapis.com/AuthorizedOrgsDescaccesscontextmanager.googleapis.com/ServicePerimeter
如要進一步瞭解機構政策,請參閱「自訂機構政策」。
關於機構政策和限制
Google Cloud 機構政策服務可讓您透過程式以集中方式控管機構的資源。身為機構政策管理員,您可以定義機構政策,也就是一組稱為「限制」的限制,適用於Google Cloud 資源和Google Cloud 資源階層中這些資源的子系。您可以在機構、資料夾或專案層級強制執行機構政策。
機構政策提供各種 Google Cloud 服務的內建代管限制。不過,如要更精細地自訂機構政策中受限的特定欄位,也可以建立自訂限制,並在機構政策中使用這些自訂限制。
政策繼承
根據預設,機構政策會由您強制執行政策的資源子系繼承。舉例來說,如果您對資料夾強制執行政策, Google Cloud 系統會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更,請參閱「階層評估規則」。
事前準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI。
-
如要初始化 gcloud CLI,請執行下列指令:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI。
-
如要初始化 gcloud CLI,請執行下列指令:
gcloud init - 請確認您知道機構 ID。
ORGANIZATION_ID:您的機構 ID,例如123456789。CONSTRAINT_NAME:新自訂限制的名稱。自訂限制條件必須以custom.開頭,且只能包含大寫英文字母、小寫英文字母或數字。例如,custom.disableCustomAccessLevels。這個欄位的長度上限為 70 個字元。RESOURCE_NAME:包含要限制物件和欄位的Google Cloud 資源完整名稱。例如:accesscontextmanager.googleapis.com/AccessLevel。CONDITION:針對支援服務資源的代表項目編寫的 CEL 條件。這個欄位的長度上限為 1000 個字元。如要進一步瞭解可編寫條件的資源,請參閱「支援的資源」。例如:"resource.basic.conditions.exists(c, has(c.devicePolicy))"。ACTION:如果符合condition,應採取的動作。可能的值為ALLOW和DENY。DISPLAY_NAME:限制條件的易記名稱。這個欄位的長度上限為 200 個字元。DESCRIPTION:違反政策時,要以錯誤訊息形式顯示的限制說明。這個欄位的長度上限為 2000 個字元。- 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。
- 在專案選擇工具中,選取要設定機構政策的專案。
- 在「Organization policies」(機構政策) 頁面上的清單中選取限制條件,即可查看該限制條件的「Policy details」(政策詳情) 頁面。
- 如要設定資源的機構政策,請按一下「管理政策」。
- 在「編輯政策」頁面中,選取「覆寫上層政策」。
- 按一下「新增規則」。
- 在「Enforcement」(強制執行) 區段中,選取是否要強制執行這項機構政策。
- 選用:如要根據標記設定機構政策條件,請按一下「新增條件」。請注意,如果為組織政策新增條件式規則,您必須至少新增一項無條件規則,否則無法儲存政策。詳情請參閱「使用標記設定組織政策」。
- 按一下「測試變更」,模擬機構政策的影響。舊版受管理限制不支援政策模擬。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」。
- 如要完成並套用機構政策,請按一下「設定政策」。這項政策最多需要 15 分鐘才會生效。
-
PROJECT_ID:您要強制執行限制的專案。 -
CONSTRAINT_NAME:您為自訂限制定義的名稱。例如:custom.disableCustomAccessLevels。 - 機構 ID
- 專案 ID
將下列檔案儲存為
constraint-disable_custom_access_level.yaml:name: organizations/ORGANIZATION_ID/customConstraints/custom.disableCustomAccessLevels resourceTypes: - accesscontextmanager.googleapis.com/AccessLevel methodTypes: - CREATE - UPDATE condition: "resource.basic.conditions.exists(c, has(c.devicePolicy))" actionType: DENY displayName: Deny basic access levels using `devicePolicy` description: Basic access levels must not use the `devicePolicy` attribute.將
ORGANIZATION_ID替換為機構 ID。這項限制會禁止建立自訂存取層級,只允許建立基本存取層級。
套用限制:
gcloud org-policies set-custom-constraint ~/constraint-disable_custom_access_level.yaml確認限制條件是否存在:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID輸出結果會與下列內容相似:
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.disableCustomAccessLevels DENY CREATE accesscontextmanager.googleapis.com/AccessLevel Deny basic access levels using `devicePolicy` ...將下列檔案儲存為
policy-disable_custom_access_level.yaml:name: organizations/ORGANIZATION_ID/policies/custom.disableCustomAccessLevels spec: rules: - enforce: true將
ORGANIZATION_ID替換為機構 ID。套用政策:
gcloud org-policies set-policy ~/policy-disable_custom_access_level.yaml確認政策存在:
gcloud org-policies list --organization=ORGANIZATION_ID輸出結果會與下列內容相似:
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.disableCustomAccessLevels - SET COCsm5QGENiXi2E=將下列存取層級規格檔案儲存為
example_access_level.yaml:- devicePolicy: requireScreenlock: true建立存取層級:
gcloud access-context-manager levels create ACCESS_LEVEL_NAME --policy=ACCESS_POLICY_ID --title=ACCESS_LEVEL_TITLE --basic-level-spec=example_access_level.yaml更改下列內容:
ACCESS_LEVEL_NAME:存取層級的專屬名稱。ACCESS_POLICY_ID:機構存取權政策的 ID。ACCESS_LEVEL_TITLE:存取層級的簡短標題。
如要進一步瞭解如何建立基本存取層級,請參閱「建立基本存取層級」。
輸出結果會與下列內容相似:
ERROR: (gcloud.access-context-manager.levels.create) [USER] does not have permission to access accessPolicies instance [ACCESS_POLICY_ID] (or it may not exist): The caller does not have permission. This command is authenticated as USER which is the active account specified by the [core/account] property '@type': type.googleapis.com/google.rpc.DebugInfo detail: '[ORIGINAL ERROR] generic::permission_denied: com.google.apps.framework.request.ForbiddenException: The user is not authorized!'常見用途的自訂機構政策範例
下表提供一些常見自訂限制的語法範例。
說明 限制語法 停用範圍政策 name: organizations/ORGANIZATION_ID/customConstraints/custom.disableScopedPolicies resourceTypes: - accesscontextmanager.googleapis.com/AccessPolicy methodTypes: - CREATE - UPDATE condition: "size(resource.scopes) == 0" actionType: DENY displayName: Disable scoped policies description: Disables the creation of scoped policies.
停用自訂存取層級 name: organizations/ORGANIZATION_ID/customConstraints/custom.denyBasicAccessLevels resourceTypes: - accesscontextmanager.googleapis.com/AccessLevel methodTypes: - CREATE - UPDATE condition: "has(resource.custom)" actionType: ALLOW displayName: Disable custom access levels description: Disables the creation of custom access levels. Allows only basic access levels.
在自訂存取層級中停用 region_codename: organizations/ORGANIZATION_ID/customConstraints/custom.denyRegionCode resourceTypes: - accesscontextmanager.googleapis.com/AccessLevel methodTypes: - CREATE - UPDATE condition: "resource.custom.expr.expression.contains('region_code')" actionType: DENY displayName: Disable
region_codein custom access levels description: Disables the use ofregion_codeattribute in custom access levels.強制執行存取層級的詳細說明 name: organizations/ORGANIZATION_ID/customConstraints/custom.enforseVerboseDescriptioninAccessLevels resourceTypes: - accesscontextmanager.googleapis.com/AccessLevel methodTypes: - CREATE - UPDATE condition: "size(resource.description) < 50" actionType: DENY displayName: Enforce access level descriptions to have at least 50 characters description: Denies access levels with a short description. The access level description must be at least 50 characters long.
停用重疊範圍 name: organizations/ORGANIZATION_ID/customConstraints/custom.denyBridgePerimeters resourceTypes: - accesscontextmanager.googleapis.com/ServicePerimeter methodTypes: - CREATE - UPDATE condition: "resource.perimeterType == 'PERIMETER_TYPE_BRIDGE'" actionType: DENY displayName: Disable perimeter bridges description: Disables the use of perimeter bridges. Instead, use ingress and egress rules.
VPC Service Controls 支援的資源
下表列出可在自訂限制中參照的 VPC Service Controls 資源。資源 欄位 accesscontextmanager.googleapis.com/AccessLevel resource.basic.combiningFunctionresource.basic.conditions.devicePolicy.allowedDeviceManagementLevelsresource.basic.conditions.devicePolicy.allowedEncryptionStatusesresource.basic.conditions.devicePolicy.osConstraints.minimumVersionresource.basic.conditions.devicePolicy.osConstraints.osTyperesource.basic.conditions.devicePolicy.osConstraints.requireVerifiedChromeOsresource.basic.conditions.devicePolicy.requireAdminApprovalresource.basic.conditions.devicePolicy.requireCorpOwnedresource.basic.conditions.devicePolicy.requireScreenlockresource.basic.conditions.ipSubnetworksresource.basic.conditions.membersresource.basic.conditions.negateresource.basic.conditions.regionsresource.basic.conditions.requiredAccessLevelsresource.custom.exprresource.descriptionresource.titleaccesscontextmanager.googleapis.com/AccessPolicy resource.parentresource.scopesresource.titleaccesscontextmanager.googleapis.com/AuthorizedOrgsDesc resource.assetTyperesource.authorizationDirectionresource.authorizationTyperesource.orgsaccesscontextmanager.googleapis.com/ServicePerimeter resource.descriptionresource.perimeterTyperesource.spec.accessLevelsresource.spec.egressPolicies.egressFrom.identitiesresource.spec.egressPolicies.egressFrom.identityTyperesource.spec.egressPolicies.egressFrom.sourceRestrictionresource.spec.egressPolicies.egressTo.externalResourcesresource.spec.egressPolicies.egressTo.operations.methodSelectors.methodresource.spec.egressPolicies.egressTo.operations.methodSelectors.permissionresource.spec.egressPolicies.egressTo.operations.serviceNameresource.spec.egressPolicies.egressTo.resourcesresource.spec.ingressPolicies.ingressFrom.identitiesresource.spec.ingressPolicies.ingressFrom.identityTyperesource.spec.ingressPolicies.ingressFrom.sources.accessLevelresource.spec.ingressPolicies.ingressFrom.sources.resourceresource.spec.ingressPolicies.ingressTo.operations.methodSelectors.methodresource.spec.ingressPolicies.ingressTo.operations.methodSelectors.permissionresource.spec.ingressPolicies.ingressTo.operations.serviceNameresource.spec.ingressPolicies.ingressTo.resourcesresource.spec.resourcesresource.spec.restrictedServicesresource.spec.vpcAccessibleServices.allowedServicesresource.spec.vpcAccessibleServices.enableRestrictionresource.status.accessLevelsresource.status.egressPolicies.egressFrom.identitiesresource.status.egressPolicies.egressFrom.identityTyperesource.status.egressPolicies.egressFrom.sourceRestrictionresource.status.egressPolicies.egressTo.externalResourcesresource.status.egressPolicies.egressTo.operations.methodSelectors.methodresource.status.egressPolicies.egressTo.operations.methodSelectors.permissionresource.status.egressPolicies.egressTo.operations.serviceNameresource.status.egressPolicies.egressTo.resourcesresource.status.ingressPolicies.ingressFrom.identitiesresource.status.ingressPolicies.ingressFrom.identityTyperesource.status.ingressPolicies.ingressFrom.sources.accessLevelresource.status.ingressPolicies.ingressFrom.sources.resourceresource.status.ingressPolicies.ingressTo.operations.methodSelectors.methodresource.status.ingressPolicies.ingressTo.operations.methodSelectors.permissionresource.status.ingressPolicies.ingressTo.operations.serviceNameresource.status.ingressPolicies.ingressTo.resourcesresource.status.resourcesresource.status.restrictedServicesresource.status.vpcAccessibleServices.allowedServicesresource.status.vpcAccessibleServices.enableRestrictionresource.titleresource.useExplicitDryRunSpec後續步驟
必要的角色
如要取得管理自訂機構政策所需的權限,請要求管理員為您授予機構資源的機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
建立自訂限制
自訂限制是在 YAML 檔案中定義,其中包含您要強制執行機構政策的服務所支援的資源、方法、條件和動作。自訂限制的條件是使用一般運算語言 (CEL) 定義。如要進一步瞭解如何使用 CEL 在自訂限制中建構條件,請參閱「建立及管理自訂限制」一文的 CEL 一節。
如要建立自訂限制,請使用下列格式建立 YAML 檔案:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
更改下列內容:
如要進一步瞭解如何建立自訂限制,請參閱「定義自訂限制」。
設定自訂限制
為新的自訂限制建立 YAML 檔案後,您必須進行設定,才能在貴機構的機構政策中使用該檔案。如要設定自訂限制,請使用gcloud org-policies set-custom-constraint 指令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替換為自訂限制檔案的完整路徑。例如:/home/user/customconstraint.yaml。
完成後,自訂限制就會顯示在 Google Cloud 機構政策清單中,做為機構政策使用。如要確認自訂限制條件是否存在,請使用 gcloud org-policies list-custom-constraints 指令:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替換為機構資源的 ID。
詳情請參閱「查看組織政策」。
強制執行自訂機構政策
如要強制執行限制,請建立參照該限制的機構政策,然後將該政策套用至 Google Cloud 資源。控制台
gcloud
如要建立含有布林值規則的機構政策,請建立參照限制的政策 YAML 檔案:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
取代下列項目:
如要強制執行包含限制的機構政策,請執行下列指令:
gcloud org-policies set-policy POLICY_PATH
將 POLICY_PATH 替換為機構政策 YAML 檔案的完整路徑。這項政策最多需要 15 分鐘才會生效。
測試自訂機構政策
下列範例會建立自訂限制和政策,拒絕特定機構中所有使用 devicePolicy 屬性的基本存取層級。
開始之前,請先瞭解下列事項:
建立自訂限制
建立政策
套用政策後,請等待約兩分鐘, Google Cloud 就會開始強制執行政策。