Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש במדיניות ארגונית בהתאמה אישית

Google Cloud מדיניות הארגון מאפשרת לכם שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. אדמינים של מדיניות הארגון יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים, שחלות על משאביGoogle Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

השירות Organization Policy מספק מגבלות מוגדרות מראש לשירותים שונים שלGoogle Cloud . עם זאת, אם אתם רוצים שליטה מפורטת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור מדיניות ארגונית בהתאמה אישית.

יתרונות

אבטחה, תאימות וניהול: אתם יכולים להשתמש במדיניות ארגונית בהתאמה אישית באופן הבא:
- כדי לאכוף דרישות אבטחה, אתם יכולים לאכוף את השימוש במפתחות הצפנה בניהול הלקוח (CMEK).
- אתם יכולים להגביל כל שדה שמועבר כשאתם יוצרים או מעדכנים מאגר.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

תמחור

שירות מדיניות הארגון, כולל מדיניות ארגון מוגדרת מראש ומותאמת אישית, מוצע ללא תשלום.

לפני שמתחילים

מפעילים את Artifact Registry ומתקינים את Google Cloud CLI.
(אופציונלי) הגדרת ברירות מחדל לפקודות של ה-CLI של gcloud.
אם אתם רוצים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) כדי להצפין את התוכן במאגר, אתם צריכים ליצור ולהפעיל מפתח ב-Cloud KMS בשביל המאגר.
חשוב לוודא שאתם יודעים מהו מספר הארגון שלכם.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin) במשאב הארגון
כדי לבדוק את מדיניות הארגון: אדמין של Artifact Registry (roles/artifactregistry.admin) במשאב הארגון

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לניהול מדיניות הארגון. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנהל את מדיניות הארגון, נדרשות ההרשאות הבאות:

orgpolicy.constraints.list
orgpolicy.policies.create
orgpolicy.policies.delete
orgpolicy.policies.list
orgpolicy.policies.update
orgpolicy.policy.get
orgpolicy.policy.set

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

יצירת אילוץ בהתאמה אישית

אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

‫Artifact Registry תומך בהגבלות מותאמות אישית שחלות על השיטות CREATE ו-UPDATE של משאב REPOSITORY.

יוצרים קובץ YAML לאילוץ בהתאמה אישית שדומה לקובץ הבא:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- artifactregistry.googleapis.com/Repository
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

‫ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
‫CONSTRAINT_NAME: השם שרוצים לתת לאילוץ החדש בהתאמה אישית. אילוץ מותאם אישית חייב להתחיל ב-custom., ויכול לכלול רק אותיות גדולות, אותיות קטנות או מספרים – לדוגמה, custom.enableDockerRemotes. האורך המקסימלי של השדה הזה הוא 70 תווים, לא כולל הקידומת – לדוגמה, organizations/123456789/customConstraints/custom.enableDockerRemotes.
‫CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. האורך המקסימלי של השדה הוא 1,000 תווים. מידע נוסף על המשאבים שאפשר להשתמש בהם כדי לכתוב תנאים, למשל (resource.mode == 'REMOTE' && resource.format == 'DOCKER') || (resource.mode != 'REMOTE'), זמין במאמר בנושא משאבים נתמכים.
‫ACTION: הפעולה שיש לבצע אם התנאי condition מתקיים. הערך יכול להיות ALLOW או DENY.
‫DISPLAY_NAME: שם קריא לאנשים של האילוץ. האורך המקסימלי של השדה הוא 200 תווים.
‫DESCRIPTION: תיאור ידידותי למשתמש של האילוץ, שיוצג כהודעת שגיאה אם תהיה הפרה של המדיניות. האורך המקסימלי של השדה הוא 2,000 תווים – לדוגמה All remote repositories must be Docker format.

מידע נוסף על יצירת אילוץ בהתאמה אישית זמין במאמר הגדרת אילוצים בהתאמה אישית.

הגדרת אילוץ בהתאמה אישית

המסוף

כדי ליצור אילוץ בהתאמה אישית:

במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
מעבר למדיניות הארגון
בכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
לוחצים על Custom constraint (הגבלה מותאמת אישית).
בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות לתצוגה, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.enableDockerRemotes. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
בתיבה Description, מזינים תיאור של האילוץ שכתוב בצורה שקריאה לאנשים. התיאור הזה משמש כהודעת שגיאה כשמתבצעת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
אפשר לאכוף את ההגבלה הזו רק בשיטת REST‏ CREATE.

כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות בקטע שירותים שתומכים באילוצים בהתאמה אישית.

כדי להגדיר תנאי, לוחצים על Edit condition.

בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
לוחצים על Save.

בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.

הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.

הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

לוחצים על יצירת אילוץ.

אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.

gcloud

כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

‫ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
‫CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.enableDockerRemotes. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
‫RESOURCE_NAME: השם מוגדר במלואו של המשאב Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה: artifactregistry.googleapis.com/Repository. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
‫methodTypes: שיטות ה-REST שבהן האילוץ נאכף. הערך יכול להיות רק CREATE.

כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.

‫CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה: (resource.mode == 'REMOTE' && resource.format == 'DOCKER') || (resource.mode != 'REMOTE').

מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

‫ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. הערך יכול להיות רק ALLOW.

הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, חוץ מהמקרה שמופיע במפורש בתנאי, ייחסם.

DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
‫DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.

אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint:

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.

כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

אכיפה של מדיניות ארגון מותאמת אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

המסוף

במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
מעבר למדיניות הארגון
מכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
לוחצים על Add a rule.
בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ:

name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.enableDockerRemotes.

כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec:

gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec:

gcloud org-policies set-policy POLICY_PATH --update-mask=spec

מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

בדיקה של מדיניות הארגון המותאמת אישית

בדוגמה הבאה ליצירת מאגר מרחוק מניחים שנוצרה מדיניות ארגונית מותאמת אישית והיא נאכפת על יצירת מאגר כדי לאפשר רק יצירה של מאגרים מרחוק בפורמט Docker.

מנסים ליצור מאגר Python מרוחק בפרויקט:

  gcloud artifacts repositories create REMOTE-REPOSITORY-NAME \
      --project=PROJECT_ID \
      --repository-format=python \
      --location=LOCATION \
      --description="DESCRIPTION" \
      --mode=remote-repository \
      --remote-repo-config-desc="REMOTE-REPOSITORY-DESCRIPTION" \
      --disable-vulnerability-scanning \
      --remote-python-repo=UPSTREAM

דגלים אופציונליים לאימות למאגר המידע של ה-upstream:

--remote-username=USERNAME
--remote-password-secret-version=SECRET_VERSION

מחליפים את מה שכתוב בשדות הבאים:
REMOTE-REPOSITORY-NAME בשם המאגר. שמות המאגרים צריכים להיות ייחודיים לכל מיקום מאגר בפרויקט.
PROJECT_ID במזהה הפרויקט. אם לא מציינים את הדגל הזה, המערכת משתמשת בפרויקט הנוכחי או בפרויקט ברירת המחדל.
‫LOCATION עם המיקום האזורי או המיקום במספר אזורים של המאגר. אפשר להשמיט את הדגל הזה אם מגדירים ברירת מחדל. כדי לראות רשימה של מיקומים נתמכים, מריצים את הפקודה gcloud artifacts locations list.
DESCRIPTION בתיאור אופציונלי של המאגר. אל תכללו מידע אישי רגיש, כי תיאורי המאגר לא מוצפנים.
‫REMOTE-REPOSITORY-DESCRIPTION עם תיאור של הגדרת המאגר החיצוני למאגר המרוחק הזה.
USERNAME אם משתמשים באימות, אפשר להזין את שם המשתמש לאימות למאגר המידע שלמעלה.
SECRET_VERSION אם משתמשים באימות, אפשר להשתמש בגרסה הסודית שמכילה את הסיסמה של מאגר המידע במעלה הזרם.
‫UPSTREAM עם השם המוגדר מראש של המאגר הראשי, נתיב המאגר של Artifact Registry או כתובת URL שהמשתמש הגדיר של המאגר הראשי.

במאגרי Artifact Registry upstream, צריך לעצב את נתיב המאגר באופן הבא: projects/UPSTREAM_PROJECT_ID/locations/REGION/repositories/UPSTREAM_REPOSITORY.

מידע על שרתים זמינים במעלה הזרם ועל שרתים במעלה הזרם שמוגדרים על ידי המשתמש זמין במאמר פורמטים נתמכים.
‫--disable-vulnerability-scanning: דגל אופציונלי שמגדיר את המאגר להשבתת הסריקה האוטומטית של נקודות חולשה.
‫--allow-vulnerability-scanning: דגל אופציונלי שמאפשר להגדיר את המאגר כך שתתבצע בו סריקה אוטומטית של נקודות חולשה. מידע נוסף מופיע במאמר הפעלה או השבתה של סריקה אוטומטית.

לדוגמה, הפקודה הבאה יוצרת מאגר מרוחק בשם my-repo באזור us-east1 בפרויקט Google Cloud my-project ויכולה לבצע אימות למאגר במעלה הזרם באמצעות שם המשתמש my-username וגרסת הסוד projects/my-project/secrets/my-secret/versions/1.
```
gcloud artifacts repositories create my-repo \
    --project=my-project \
    --repository-format=python \
    --location=us-east1 \
    --description="Remote Python repository" \
    --mode=remote-repository \
    --remote-repo-config-desc="PyPI" \
    --remote-username=my-username \
    --remote-password-secret-version=projects/my-project/secrets/my-secret/versions/1 \
    --remote-python-repo=PYPI
```

הפלט שיתקבל:

Operation denied by custom org policies: ["customConstraints/custom.enableDockerRemotes": "All remote repositories must be Docker format."]

משאבים נתמכים ב-Artifact Registry

‫Artifact Registry תומך באילוצים בהתאמה אישית, בכל השדות חוץ מ-labels, לפעולות יצירה ועדכון במשאב repository.

דוגמאות למדיניות הארגון מותאמת אישית לתרחישים נפוצים

בטבלה הבאה מפורט התחביר של כמה כללי מדיניות ארגוניים בהתאמה אישית שיכולים להיות שימושיים:

תיאור	תחביר של אילוצים
השבתת יצירה של מאגרי מידע מרוחקים	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.disableRemotes resourceTypes: - artifactregistry.googleapis.com/Repository methodTypes: - CREATE condition: "resource.mode in ['STANDARD', 'VIRTUAL']" actionType: ALLOW displayName: Disable remote repository creation description: All repositories must be standard or virtual mode.
אכיפת חוסר שינוי בתגים במאגרי פורמט Docker	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.enableAutoUpgrade resourceTypes: - artifactregistry.googleapis.com/Repository methodTypes: - CREATE condition: "resource.format == 'DOCKER' && !resource.dockerConfig.immutableTags" actionType: DENY displayName: Enforce tag immutability description: All new Docker repositories must have tag immutability enabled.
דרישה למפתח CMEK	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.enableAutoUpgrade resourceTypes: - artifactregistry.googleapis.com/Repository methodTypes: - CREATE condition: "resource.kmsKeyName.contains('projects/my-project/')" actionType: ALLOW displayName: Enforce the use of a CMEK key from my-project description: All repositories must be created with a CMEK key from my-project.

תיאור

תחביר של אילוצים

השבתת יצירה של מאגרי מידע מרוחקים

    name: organizations/ORGANIZATION_ID/customConstraints/custom.disableRemotes
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.mode in ['STANDARD', 'VIRTUAL']"
    actionType: ALLOW
    displayName: Disable remote repository creation
    description: All repositories must be standard or virtual mode.

אכיפת חוסר שינוי בתגים במאגרי פורמט Docker

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.format == 'DOCKER' && !resource.dockerConfig.immutableTags"
    actionType: DENY
    displayName: Enforce tag immutability
    description: All new Docker repositories must have tag immutability enabled.

דרישה למפתח CMEK

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.kmsKeyName.contains('projects/my-project/')"
    actionType: ALLOW
    displayName: Enforce the use of a CMEK key from my-project
    description: All repositories must be created with a CMEK key from my-project.

המאמרים הבאים

מידע נוסף על מדיניות הארגון זמין במאמר מבוא לשירות של מדיניות הארגון.
מידע נוסף על יצירה וניהול של כללי מדיניות ארגוניים
כאן אפשר לראות את הרשימה המלאה של מגבלות שקשורות למדיניות הארגון.

שימוש במדיניות ארגונית בהתאמה אישית קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

יתרונות

העברה בירושה של מדיניות

תמחור

לפני שמתחילים

התפקידים הנדרשים

ההרשאות הנדרשות

יצירת אילוץ בהתאמה אישית

הגדרת אילוץ בהתאמה אישית

המסוף

gcloud

אכיפה של מדיניות ארגון מותאמת אישית

המסוף

gcloud

בדיקה של מדיניות הארגון המותאמת אישית

משאבים נתמכים ב-Artifact Registry

דוגמאות למדיניות הארגון מותאמת אישית לתרחישים נפוצים

המאמרים הבאים

שימוש במדיניות ארגונית בהתאמה אישית