通过组织政策服务,您可以对组织的云端资源进行集中编程控制。身为组织政策管理员,您可以配置整个资源层次结构的限制条件。
优势
- 集中控制以配置关于如何使用组织资源的限制。
- 为开发团队界定和建立界限,以确保始终遵从法规。
- 帮助项目所有者及其团队快速行动,无需担心违反法规。
常见使用场景
通过组织政策,您可以执行以下操作:
- 根据网域限制资源共享。
- 限制 Identity and Access Management 服务账号的使用。
- 限制新创建的资源的物理位置。
此外,您还可以通过更多限制条件对组织的资源进行精细控制。如需了解详情,请参阅所有组织政策服务限制条件的列表。
与 Identity and Access Management 的区别
Identity and Access Management 侧重于人,可让管理员授权用户根据权限对特定资源执行操作。
组织政策侧重于什么,管理员可以对特定资源设置限制,以决定它们的配置方式。
主要概念
组织政策
组织政策配置单个限制条件来限制一项或多项 Google Cloud 服务。您可以针对组织、文件夹或项目资源设置组织政策,以对该资源及任何子资源强制执行限制条件。
组织政策包含一条或多条规则,用于指定如何以及是否强制执行限制条件。例如,组织政策可以包含一条仅对标记为 environment=development
的资源强制执行限制条件的规则,以及另一个阻止对其他资源强制执行该限制条件的规则。
组织政策附加到的资源的后代会继承组织政策。通过将组织政策应用于组织资源,组织政策管理员可以控制该组织政策的强制执行和整个组织的限制配置。
限制条件
限制条件是针对某项 Google Cloud 服务或一组 Google Cloud 服务的特定限制类型。您可以将限制条件视为定义受控行为的蓝图,然后,系统会将此蓝图作为组织政策应用于资源层次结构中的资源,从而实现限制条件中定义的规则。随后,映射到该限制条件并与该资源层次结构节点相关联的 Google Cloud 服务便会实施组织策略中配置的限制。
限制条件具有列表或boolean两种类型。列表限制条件使用您提供的允许或拒绝值列表来评估限制条件。例如,以下限制条件会限制可以连接到虚拟机的 IP 地址:
name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
- projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME
系统会对给定资源强制执行或不强制执行布尔值限制条件,并且它们用于控制特定行为。例如,以下限制条件决定了是否可以创建外部服务帐号:
name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
标记提供了一种有条件地实施限制条件的方法,具体取决于资源是否具有特定的标记。您可以使用标记并有条件地执行限制条件,从而对层次结构中的资源进行集中控制。
例如,以下限制条件会对带有 environment=development
标记的资源停用 Cloud Logging,但在其他所有位置启用 Cloud Logging:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
rules:
- condition:
expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
title: ""
enforce: true
- enforce: false
每项 Google Cloud 服务都会评估限制条件类型和值,以确定应该进行哪些限制。如需详细了解限制条件,请参阅了解限制条件页面。
自定义组织政策
自定义组织政策可以像预定义组织政策一样允许或限制资源的创建和更新,但允许管理员根据请求参数和其他元数据配置条件。
您可以创建具有限制条件的自定义组织政策,以限制对某些服务资源(例如 Dataproc NodePool
资源)的操作。如需查看支持自定义限制条件的服务资源列表,请参阅支持自定义限制条件的服务。
如需详细了解如何使用自定义组织政策,请参阅创建和管理自定义组织政策。
沿用情况
在资源上设置组织政策时,默认情况下,该资源的所有后代都会继承组织政策。如果您对组织资源设置组织政策,则该政策定义的限制配置将在所有后代文件夹、项目和服务资源中传递。
具有 Organization Policy Administrator 角色的用户可针对后代资源层次结构节点设置不同的组织政策,该政策可能覆盖继承的政策,也可能与继承的政策进行合并,具体取决于层次结构评估规则。如此,您便能精确控制组织政策在整个组织中的应用方式,以及需要进行例外处理的地方。
如需详细了解层次结构评估,请参阅了解层次结构页面。
违规
违规是指 Google Cloud 服务的行为或状态违反其资源层次结构范围内设置的组织政策限制配置。通常,Google Cloud 服务将实施限制条件来防止违规,但新组织政策的效力不会追溯既往。如果组织政策限制强制追溯既往,则其会在组织政策限制页面上标出。
如果新组织政策对服务所执行的操作或服务所处的状态设定限制,则该政策被视为违规,但服务不会停止其原来的行为。您将需要手动解决该违规问题。这样做可防止新组织政策完全关闭您的业务连续性。
后续步骤
- 阅读创建和管理组织页面,了解如何获取组织资源。
- 了解如何使用 Google Cloud 控制台创建和管理组织政策。
- 了解如何使用限制条件定义组织政策。
- 探索您可以通过组织政策限制条件实现的解决方案。