ניהול משאבים של שירות CA באמצעות אילוצים מותאמים אישית

בדף הזה מוסבר איך להשתמש באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות במשאבים הבאים של Google Cloud :

  • privateca.googleapis.com/CaPool
  • privateca.googleapis.com/CertificateAuthority
  • privateca.googleapis.com/CertificateTemplate

מידע נוסף על מדיניות הארגון זמין במאמר בנושא מדיניות ארגונית בהתאמה אישית.

מידע על מדיניות הארגון ואילוצים

שירות מדיניות הארגון של Google Cloud מאפשר לכם לקבל שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. בתור אדמינים של מדיניות הארגון, אתם יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים שחלות על משאבים ב-Google Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

במסגרת מדיניות הארגון מוצעים אילוצים מנוהלים מובנים עבור שירותים שונים של Google Cloud . עם זאת, אם אתם רוצים שליטה מדויקת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור אילוצים בהתאמה אישית ולהשתמש בהם במדיניות הארגון.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. התקינו את ה-CLI של Google Cloud.

  5. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  6. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. התקינו את ה-CLI של Google Cloud.

  10. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  11. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init
  12. חשוב לוודא שאתם יודעים מהו מספר הארגון שלכם.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול של כללי מדיניות ארגוניים בהתאמה אישית, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM 'אדמין של כללי מדיניות ארגוניים' (`roles/orgpolicy.policyAdmin`) במשאב הארגון. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

משאבים נתמכים ב-Certificate Authority Service

בטבלה הבאה מפורטים המשאבים של Certificate Authority Service שאפשר להפנות אליהם באילוצים מותאמים אישית.

משאב שדה
privateca.googleapis.com/CaPool resource.encryptionSpec.cloudKmsKey
resource.issuancePolicy.allowedIssuanceModes.allowConfigBasedIssuance
resource.issuancePolicy.allowedIssuanceModes.allowCsrBasedIssuance
resource.issuancePolicy.allowedKeyTypes.ellipticCurve.signatureAlgorithm
resource.issuancePolicy.allowedKeyTypes.rsa.maxModulusSize
resource.issuancePolicy.allowedKeyTypes.rsa.minModulusSize
resource.issuancePolicy.allowRequesterSpecifiedNotBeforeTime
resource.issuancePolicy.backdateDuration
resource.issuancePolicy.baselineValues.additionalExtensions.critical
resource.issuancePolicy.baselineValues.additionalExtensions.objectId.objectIdPath
resource.issuancePolicy.baselineValues.additionalExtensions.value
resource.issuancePolicy.baselineValues.aiaOcspServers
resource.issuancePolicy.baselineValues.caOptions.isCa
resource.issuancePolicy.baselineValues.caOptions.maxIssuerPathLength
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.certSign
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.contentCommitment
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.crlSign
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.dataEncipherment
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.decipherOnly
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.digitalSignature
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.encipherOnly
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.keyAgreement
resource.issuancePolicy.baselineValues.keyUsage.baseKeyUsage.keyEncipherment
resource.issuancePolicy.baselineValues.keyUsage.extendedKeyUsage.clientAuth
resource.issuancePolicy.baselineValues.keyUsage.extendedKeyUsage.codeSigning
resource.issuancePolicy.baselineValues.keyUsage.extendedKeyUsage.emailProtection
resource.issuancePolicy.baselineValues.keyUsage.extendedKeyUsage.ocspSigning
resource.issuancePolicy.baselineValues.keyUsage.extendedKeyUsage.serverAuth
resource.issuancePolicy.baselineValues.keyUsage.extendedKeyUsage.timeStamping
resource.issuancePolicy.baselineValues.keyUsage.unknownExtendedKeyUsages.objectIdPath
resource.issuancePolicy.baselineValues.nameConstraints.critical
resource.issuancePolicy.baselineValues.nameConstraints.excludedDnsNames
resource.issuancePolicy.baselineValues.nameConstraints.excludedEmailAddresses
resource.issuancePolicy.baselineValues.nameConstraints.excludedIpRanges
resource.issuancePolicy.baselineValues.nameConstraints.excludedUris
resource.issuancePolicy.baselineValues.nameConstraints.permittedDnsNames
resource.issuancePolicy.baselineValues.nameConstraints.permittedEmailAddresses
resource.issuancePolicy.baselineValues.nameConstraints.permittedIpRanges
resource.issuancePolicy.baselineValues.nameConstraints.permittedUris
resource.issuancePolicy.baselineValues.policyIds.objectIdPath
resource.issuancePolicy.identityConstraints.allowSubjectAltNamesPassthrough
resource.issuancePolicy.identityConstraints.allowSubjectPassthrough
resource.issuancePolicy.identityConstraints.celExpression
resource.issuancePolicy.maximumLifetime
resource.issuancePolicy.passthroughExtensions.additionalExtensions.objectIdPath
resource.issuancePolicy.passthroughExtensions.knownExtensions
resource.name
resource.publishingOptions.encodingFormat
resource.publishingOptions.publishCaCert
resource.publishingOptions.publishCrl
resource.tier
privateca.googleapis.com/CertificateAuthority resource.config.publicKey.format
resource.config.publicKey.key
resource.config.subjectConfig.subject.commonName
resource.config.subjectConfig.subject.countryCode
resource.config.subjectConfig.subject.locality
resource.config.subjectConfig.subject.organization
resource.config.subjectConfig.subject.organizationalUnit
resource.config.subjectConfig.subject.postalCode
resource.config.subjectConfig.subject.province
resource.config.subjectConfig.subject.rdnSequence.attributes.objectId.objectIdPath
resource.config.subjectConfig.subject.rdnSequence.attributes.type
resource.config.subjectConfig.subject.rdnSequence.attributes.value
resource.config.subjectConfig.subject.streetAddress
resource.config.subjectConfig.subjectAltName.customSans.critical
resource.config.subjectConfig.subjectAltName.customSans.objectId.objectIdPath
resource.config.subjectConfig.subjectAltName.customSans.value
resource.config.subjectConfig.subjectAltName.dnsNames
resource.config.subjectConfig.subjectAltName.emailAddresses
resource.config.subjectConfig.subjectAltName.ipAddresses
resource.config.subjectConfig.subjectAltName.uris
resource.config.subjectKeyId.keyId
resource.config.x509Config.additionalExtensions.critical
resource.config.x509Config.additionalExtensions.objectId.objectIdPath
resource.config.x509Config.additionalExtensions.value
resource.config.x509Config.aiaOcspServers
resource.config.x509Config.caOptions.isCa
resource.config.x509Config.caOptions.maxIssuerPathLength
resource.config.x509Config.keyUsage.baseKeyUsage.certSign
resource.config.x509Config.keyUsage.baseKeyUsage.contentCommitment
resource.config.x509Config.keyUsage.baseKeyUsage.crlSign
resource.config.x509Config.keyUsage.baseKeyUsage.dataEncipherment
resource.config.x509Config.keyUsage.baseKeyUsage.decipherOnly
resource.config.x509Config.keyUsage.baseKeyUsage.digitalSignature
resource.config.x509Config.keyUsage.baseKeyUsage.encipherOnly
resource.config.x509Config.keyUsage.baseKeyUsage.keyAgreement
resource.config.x509Config.keyUsage.baseKeyUsage.keyEncipherment
resource.config.x509Config.keyUsage.extendedKeyUsage.clientAuth
resource.config.x509Config.keyUsage.extendedKeyUsage.codeSigning
resource.config.x509Config.keyUsage.extendedKeyUsage.emailProtection
resource.config.x509Config.keyUsage.extendedKeyUsage.ocspSigning
resource.config.x509Config.keyUsage.extendedKeyUsage.serverAuth
resource.config.x509Config.keyUsage.extendedKeyUsage.timeStamping
resource.config.x509Config.keyUsage.unknownExtendedKeyUsages.objectIdPath
resource.config.x509Config.nameConstraints.critical
resource.config.x509Config.nameConstraints.excludedDnsNames
resource.config.x509Config.nameConstraints.excludedEmailAddresses
resource.config.x509Config.nameConstraints.excludedIpRanges
resource.config.x509Config.nameConstraints.excludedUris
resource.config.x509Config.nameConstraints.permittedDnsNames
resource.config.x509Config.nameConstraints.permittedEmailAddresses
resource.config.x509Config.nameConstraints.permittedIpRanges
resource.config.x509Config.nameConstraints.permittedUris
resource.config.x509Config.policyIds.objectIdPath
resource.gcsBucket
resource.keySpec.algorithm
resource.keySpec.cloudKmsKeyVersion
resource.lifetime
resource.name
resource.subordinateConfig.certificateAuthority
resource.subordinateConfig.pemIssuerChain.pemCertificates
resource.type
resource.userDefinedAccessUrls.aiaIssuingCertificateUrls
resource.userDefinedAccessUrls.crlAccessUrls
privateca.googleapis.com/CertificateTemplate resource.description
resource.identityConstraints.allowSubjectAltNamesPassthrough
resource.identityConstraints.allowSubjectPassthrough
resource.identityConstraints.celExpression
resource.maximumLifetime
resource.name
resource.passthroughExtensions.additionalExtensions.objectIdPath
resource.passthroughExtensions.knownExtensions
resource.predefinedValues.additionalExtensions.critical
resource.predefinedValues.additionalExtensions.objectId.objectIdPath
resource.predefinedValues.additionalExtensions.value
resource.predefinedValues.aiaOcspServers
resource.predefinedValues.caOptions.isCa
resource.predefinedValues.caOptions.maxIssuerPathLength
resource.predefinedValues.keyUsage.baseKeyUsage.certSign
resource.predefinedValues.keyUsage.baseKeyUsage.contentCommitment
resource.predefinedValues.keyUsage.baseKeyUsage.crlSign
resource.predefinedValues.keyUsage.baseKeyUsage.dataEncipherment
resource.predefinedValues.keyUsage.baseKeyUsage.decipherOnly
resource.predefinedValues.keyUsage.baseKeyUsage.digitalSignature
resource.predefinedValues.keyUsage.baseKeyUsage.encipherOnly
resource.predefinedValues.keyUsage.baseKeyUsage.keyAgreement
resource.predefinedValues.keyUsage.baseKeyUsage.keyEncipherment
resource.predefinedValues.keyUsage.extendedKeyUsage.clientAuth
resource.predefinedValues.keyUsage.extendedKeyUsage.codeSigning
resource.predefinedValues.keyUsage.extendedKeyUsage.emailProtection
resource.predefinedValues.keyUsage.extendedKeyUsage.ocspSigning
resource.predefinedValues.keyUsage.extendedKeyUsage.serverAuth
resource.predefinedValues.keyUsage.extendedKeyUsage.timeStamping
resource.predefinedValues.keyUsage.unknownExtendedKeyUsages.objectIdPath
resource.predefinedValues.nameConstraints.critical
resource.predefinedValues.nameConstraints.excludedDnsNames
resource.predefinedValues.nameConstraints.excludedEmailAddresses
resource.predefinedValues.nameConstraints.excludedIpRanges
resource.predefinedValues.nameConstraints.excludedUris
resource.predefinedValues.nameConstraints.permittedDnsNames
resource.predefinedValues.nameConstraints.permittedEmailAddresses
resource.predefinedValues.nameConstraints.permittedIpRanges
resource.predefinedValues.nameConstraints.permittedUris
resource.predefinedValues.policyIds.objectIdPath

הגדרת אילוץ בהתאמה אישית

אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

המסוף

כדי ליצור אילוץ בהתאמה אישית:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. לוחצים על Custom constraint (הגבלה מותאמת אישית).
  4. בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות לתצוגה, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
  5. בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.enforceCaPoolEncodingFormat. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
  6. בתיבה Description, מזינים תיאור של האילוץ שכתוב בצורה שקריאה לאנשים. התיאור הזה משמש כהודעת שגיאה כשמתבצעת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
  7. בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
  8. בקטע שיטת אכיפה, בוחרים אם לאכוף את ההגבלה על שיטת REST‏ CREATE או על שיטות CREATE ו-UPDATE. אם אוכפים את האילוץ באמצעות השיטה UPDATE במשאב שמפר את האילוץ, מדיניות הארגון חוסמת שינויים במשאב הזה, אלא אם השינוי פותר את ההפרה.

    9. כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות בקטע שירותים שתומכים באילוצים בהתאמה אישית.

  9. כדי להגדיר תנאי, לוחצים על Edit condition.
    1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
    2. לוחצים על Save.
  10. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.

    11. הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.

    הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

  11. לוחצים על יצירת אילוץ.

    12. אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.

gcloud

  1. כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא: 
    2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
      - UPDATE     
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
    • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.enforceCaPoolEncodingFormat. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
    • RESOURCE_NAME: השם מוגדר במלואו של המשאב Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה: privateca.googleapis.com/CaPool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
    • methodTypes: שיטות ה-REST שבהן האילוץ נאכף. הערך יכול להיות CREATE או גם CREATE וגם UPDATE. אם אוכפים את האילוץ באמצעות השיטה UPDATE על משאב שמפר את האילוץ, שינויים במשאב הזה נחסמים על ידי מדיניות הארגון, אלא אם השינוי פותר את ההפרה.

      • כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.

    • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה: "resource.publishingOptions.encodingFormat == 'DER'".

      • מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

    • ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. הערכים האפשריים הם ALLOW ו-DENY.

      • הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, חוץ מהמקרה שמופיע במפורש בתנאי, ייחסם.

      הפעולה deny (דחייה) פירושה שאם התנאי מחזיר את הערך True, הפעולה ליצירה או לעדכון של המשאב נחסמת.

    • DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
    • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.
  2. אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint: 
    3. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

    אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.

  3. כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints: 
    4. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

    מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

אכיפה של מדיניות ארגון מותאמת אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. מכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
  4. כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
  6. לוחצים על Add a rule.
  7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
  8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
  9. לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
  10. כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
  11. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

  1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ: 
    2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
    • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.enforceCaPoolEncodingFormat.
  2. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec: 
    3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

  3. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec: 
    4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

בדיקה של מדיניות הארגון המותאמת אישית

בדוגמה הבאה נוצרים אילוץ ומדיניות בהתאמה אישית, שמחייבים את כל המשאבים של מאגר רשויות האישורים (CaPool) בפרויקט ספציפי להנפיק אישורים עם משך חיים מקסימלי של לא יותר מ-30 יום.

לפני שמתחילים, חשוב לדעת את הדברים הבאים:

  • מזהה הארגון
  • מזהה פרויקט

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול אילוצים בהתאמה אישית, להפעלת ממשקי API ולניהול משאבי CA Service, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הפעלת Organization Policy Service API

הפקודות gcloud org-policies דורשות את API‏ orgpolicy.googleapis.com. מפעילים את ה-API הזה בפרויקט:

     gcloud services enable orgpolicy.googleapis.com --project=PROJECT_ID

מחליפים את PROJECT_ID במזהה הפרויקט.

יצירת האילוץ

  1. שומרים את הקובץ הבא בשם constraint-cas-capool-lifetime.yaml:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceCasMaxLifetime30d
resourceTypes:
- privateca.googleapis.com/CaPool
methodTypes:
- CREATE
- UPDATE
condition: "!has(resource.issuancePolicy.maximumLifetime) || duration(resource.issuancePolicy.maximumLifetime) > duration('2592000s')"
actionType: DENY
displayName: Enforce Max Certificate Lifetime (30 Days)
description: Only allows CaPools where the issuancePolicy.maximumLifetime field is set to 30 days (2592000 seconds) or less.

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  2. החלת האילוץ הבא:

    gcloud org-policies set-custom-constraint ~/constraint-cas-capool-lifetime.yaml

  3. מוודאים שהאילוץ קיים:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID במזהה הארגון.

יצירת המדיניות

  1. שומרים את הקובץ הבא בשם policy-cas-capool-lifetime.yaml:

    name: projects/PROJECT_ID/policies/custom.enforceCasMaxLifetime30d
spec:
  rules:
  - enforce: true

    מחליפים את PROJECT_ID במזהה הפרויקט.

  2. החלת המדיניות הבאה:

    gcloud org-policies set-policy ~/policy-cas-capool-lifetime.yaml

  3. מוודאים שהמדיניות קיימת:

    gcloud org-policies list --project=PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט.

אחרי שמחילים את המדיניות, צריך להמתין כ-15 דקות עד שמערכת Google Cloud תתחיל לאכוף את המדיניות. מידע נוסף מופיע במאמר בנושא יצירה וניהול של כללי מדיניות ארגוניים.

בדיקת המדיניות

כדי לבדוק את האילוץ בהתאמה אישית, תיצרו ותעדכנו מאגר של CA Service באמצעות ה-CLI של gcloud.

מגדירים משתנים למשאבי הבדיקה:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud
  • LOCATION: האזור של מאגר האישורים, למשל us-west1
  • POOL_NAME: שם למאגר של רשות אישורים לבדיקה, כמו my-test-pool

  1. יצירת מאגר של רשויות אישורים עם משך חיים מקסימלי של יותר מ-30 ימים:

    יוצרים קובץ YAML בשם capool_violating.yaml עם maximumLifetime של יותר מ-30 ימים (לדוגמה, 31 ימים, שהם 2,678,400 שניות). השדה maximumLifetime מוגדר בשניות.

    # capool_violating.yaml
maximumLifetime: 2678400s

    כדי ליצור מאגר של רשויות אישורים שמפר את המדיניות, מריצים את הפקודה הבאה:

    # This creation should be blocked by the policy
gcloud privateca pools create POOL_NAME-violating \
  --location LOCATION \
  --project PROJECT_ID \
  --issuance-policy capool_violating.yaml

    הפקודה נכשלת עם שגיאת FAILED_PRECONDITION, שמציינת הפרה של המגבלה customConstraints/custom.enforceCasMaxLifetime30d.

  2. יוצרים מאגר של רשויות אישורים עם משך חיים מקסימלי שתואם לדרישות:

    יוצרים קובץ YAML בשם capool_compliant.yaml עם maximumLifetime של 30 ימים (2,592,000 שניות). השדה maximumLifetime מוגדר בשניות.

    # capool_compliant.yaml
maximumLifetime: 2592000s

    כדי ליצור את מאגר רשויות האישורים, מריצים את הפקודה הבאה:

    gcloud privateca pools create POOL_NAME \
  --location "LOCATION" \
  --project "PROJECT_ID" \
  --issuance-policy capool_compliant.yaml

    הפקודה הושלמה בהצלחה.

  3. כדאי לנסות לעדכן את מאגר האישורים כך שמשך החיים המקסימלי לא יעמוד בדרישות:

    מריצים את הפקודה הבאה כדי להחיל את ההגדרות מ-capool_violating.yaml:

    # This update is blocked by the policy
gcloud privateca pools update POOL_NAME \
  --location "LOCATION" \
  --project "PROJECT_ID" \
  --issuance-policy capool_violating.yaml

    הפקודה הזו נכשלת עם שגיאה FAILED_PRECONDITION, שמציינת הפרה של האילוץ customConstraints/custom.enforceCasMaxLifetime30d.

  4. עדכון מאגר האישורים (CA) לזמן חיים מקסימלי אחר שעומד בדרישות

    יוצרים קובץ YAML בשם capool_compliant_update.yaml עם maximumLifetime של 15 ימים (1,296,000 שניות). השדה maximumLifetime מוגדר בשניות.

    # capool_compliant_update.yaml
maximumLifetime: 1296000s

    כדי לעדכן את מאגר רשויות האישורים, מריצים את הפקודה הבאה:

    gcloud privateca pools update POOL_NAME \
  --location "LOCATION" \
  --project "PROJECT_ID" \
  --issuance-policy capool_compliant_update.yaml

    הפקודה הושלמה בהצלחה.

  5. לפנות את משאבי הבדיקה.

    מוחקים את מאגר רשויות האישורים שנוצר במהלך הבדיקה:

    gcloud privateca pools delete POOL_NAME \
  --location "LOCATION" \
  --project "PROJECT_ID" \

דוגמאות למדיניות הארגון מותאמת אישית לתרחישים נפוצים

בטבלה הזו מפורטות דוגמאות לתחביר של כמה אילוצים נפוצים בהתאמה אישית.

תיאור תחביר של אילוצים
קביעת אלגוריתמים ספציפיים של מפתחות לכל רשויות האישורים

ההגדרה הזו מבטיחה שכל רשות אישורים חדשה תשתמש באחד מאלגוריתמי המפתח המותרים.

name: organizations/ORGANIZATION_ID/customConstraints/custom.casAllowedKeyAlgos
resourceTypes:
- privateca.googleapis.com/CertificateAuthority
methodTypes:
- CREATE
- UPDATE
condition: "resource.keySpec.algorithm in ['EC_P256_SHA256', 'RSA_PSS_3072_SHA256']"
actionType: ALLOW
displayName: Restrict CA Key Algorithms
description: Only allows specific key algorithms for new CAs.
דרישה של שם ארגון ספציפי בנושא של רשות האישורים

ההגדרה הזו מבטיחה שלכל רשות אישורים חדשה יהיה שדה organization סטנדרטי בנושא שלה.

name: organizations/ORGANIZATION_ID/customConstraints/custom.casRequireSubjectOrg
resourceTypes:
- privateca.googleapis.com/CertificateAuthority
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.subjectConfig.subject.organization == 'Example Company Inc.'"
actionType: ALLOW
displayName: Enforce CA Subject Organization
description: Requires new CAs to have the specified organization name.
אכיפה של משך החיים המקסימלי של אישורים ב-CaPools

מוודא שמאגרי אישורים מוגדרים להנפקת אישורים עם משך חיים מקסימלי של עד 30 ימים.

name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceCasMaxLifetime30d
resourceTypes:
- privateca.googleapis.com/CaPool
methodTypes:
- CREATE
- UPDATE
condition: "!has(resource.issuancePolicy.maximumLifetime) || duration(resource.issuancePolicy.maximumLifetime) > duration('2592000s')"
actionType: DENY
displayName: Enforce Max Certificate Lifetime (30 Days)
description: Only allows CaPools where the issuancePolicy.maximumLifetime field is set to 30 days (2592000 seconds) or less.

המאמרים הבאים