מידע על Google Cloud Organization Policy
Google Cloud מדיניות הארגון מאפשרת לכם שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. אדמינים של מדיניות הארגון יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים, שחלות על משאבים בGoogle Cloud היררכיית המשאבים ועל משאבים שנגזרים מהם. Google Cloud אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.
יתרונות
כללי מדיניות מותאמים אישית לארגון מאפשרים שליטה מפורטת יותר על השדות הספציפיים שמוגבלים במדיניות הארגון.
אתם יכולים להשתמש במדיניות ארגונית מותאמת אישית כדי לאשר או לדחות את היצירה של תהליכי שושלת נתונים עם תנאים שמבוססים על מאפייני משאבים נתמכים, כמו שם התהליך, סוג המקור והמקור.
מידע נוסף מופיע במאמר בנושא אילוצים מוגדרים מראש.
העברה בירושה של מדיניות
כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.
תמחור
שירות מדיניות הארגון, כולל מדיניות ארגון מוגדרת מראש ומותאמת אישית, מוצע ללא תשלום.
מגבלות
אפשר לאכוף אילוצים מותאמים אישית רק על משאבי
Processשל שושלת הנתונים. אין תמיכה במשאבים אחרים, כמוRunsו-Events.אילוצים מותאמים אישית חדשים שנאכפים לא חלים על משאבים קיימים.
לפני שמתחילים
- חשוב לוודא שאתם יודעים מה מספר הארגון שלכם.
-
אם רוצים לבדוק מדיניות ארגונית בהתאמה אישית שמפנה למשאבי שושלת נתונים, צריך ליצור פרויקט חדש. בדיקת מדיניות הארגון הזו בפרויקט קיים עלולה לשבש את תהליכי העבודה של האבטחה.
-
מוודאים שיש לכם את תפקיד ה-IAM 'Project Creator' (
roles/resourcemanager.projectCreator). איך מקצים תפקידים -
נכנסים לדף לבחירת הפרויקט במסוף Google Cloud .
-
לוחצים על יצירת פרויקט.
-
נותנים שם לפרויקט. רושמים או זוכרים את מזהה הפרויקט שנוצר.
-
עורכים את שאר השדות לפי הצורך.
-
לוחצים על יצירה.
-
מוודאים שיש לכם את תפקיד ה-IAM 'Project Creator' (
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Organization Policy Administrator (אדמין של מדיניות הארגון) (roles/orgpolicy.policyAdmin) בארגון.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות לניהול מדיניות הארגון. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי לנהל את מדיניות הארגון, נדרשות ההרשאות הבאות:
-
orgpolicy.constraints.list -
orgpolicy.customConstraints.create -
orgpolicy.customConstraints.delete -
orgpolicy.customConstraints.get -
orgpolicy.customConstraints.list -
orgpolicy.customConstraints.update -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
יצירת אילוץ בהתאמה אישית
אתם מגדירים אילוץ בהתאמה אישית בקובץ YAML על ידי ציון המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.
כדי ליצור קובץ YAML לאילוץ בהתאמה אישית:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- datalineage.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
מחליפים את מה שכתוב בשדות הבאים:
ORGANIZATION_ID: מזהה הארגון, למשל123456789.
CONSTRAINT_NAME: השם שרוצים לתת לאילוץ החדש בהתאמה אישית. אילוץ מותאם אישית צריך להתחיל ב-custom., ויכול לכלול רק אותיות רישיות, אותיות קטנות או מספרים – לדוגמה,custom.denyLineageProcess. האורך המקסימלי של השדה הזה הוא 70 תווים, לא כולל הקידומת – לדוגמה,organizations/123456789/customConstraints/custom.
RESOURCE_TYPE: השם (לא ה-URI) של משאב REST של Data Lineage API שמכיל את האובייקט והשדה שרוצים להגביל. רקProcessזמין לתיעוד מקורות הנתונים.
CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. האורך המקסימלי של השדה הוא 1,000 תווים. מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים. לדוגמה, "resource.name.contains('invalid_name')".
ACTION: הפעולה שיש לבצע אם התנאיconditionמתקיים. הערך יכול להיותALLOWאוDENY.
DISPLAY_NAME: שם קריא לאנשים של האילוץ. האורך המקסימלי של השדה הוא 200 תווים.
DESCRIPTION: תיאור ידידותי למשתמש של האילוץ, שיוצג כהודעת שגיאה אם המדיניות תופר. האורך המקסימלי של השדה הוא 2,000 תווים.
מידע נוסף על יצירת אילוץ בהתאמה אישית זמין במאמר הגדרת אילוצים בהתאמה אישית.
הגדרת אילוץ בהתאמה אישית
המסוף
כדי ליצור אילוץ בהתאמה אישית:
- במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
- בבורר הפרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
- לוחצים על Custom constraint (הגבלה מותאמת אישית).
- בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או בנתונים רגישים בשמות לתצוגה, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
-
בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל
custom.denyLineageProcess. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה,organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה. - בתיבה Description, מזינים תיאור של האילוץ שכתוב בצורה שקריאה לאנשים. התיאור הזה משמש כהודעת שגיאה כשמתרחשת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
-
בתיבה Resource type, בוחרים את השם של Google Cloud משאב REST
שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה,
container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל. -
בקטע שיטת אכיפה, בוחרים אם לאכוף את ההגבלה על שיטת REST
CREATEאו על שיטותCREATEו-UPDATE. אם אוכפים את האילוץ באמצעות השיטהUPDATEבמשאב שמפר את האילוץ, מדיניות הארגון חוסמת שינויים במשאב הזה, אלא אם השינוי פותר את ההפרה. - כדי להגדיר תנאי, לוחצים על Edit condition.
-
בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה,
resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית. - לוחצים על Save.
- בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.
- לוחצים על יצירת אילוץ.
כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות בקטע שירותים שתומכים באילוצים בהתאמה אישית.
הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.
הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.
אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.
gcloud
- כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא:
-
ORGANIZATION_ID: מזהה הארגון, למשל123456789. -
CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל,custom.denyLineageProcess. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה,organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה. -
RESOURCE_NAME: השם מוגדר במלואו של המשאב Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה:datalineage.googleapis.com/Process. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל. -
methodTypes: שיטות ה-REST שבהן האילוץ נאכף. הערך יכול להיותCREATEאו גםCREATEוגםUPDATE. אם אוכפים את האילוץ באמצעות השיטהUPDATEעל משאב שמפר את האילוץ, שינויים במשאב הזה נחסמים על ידי מדיניות הארגון, אלא אם השינוי פותר את ההפרה. -
CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה:"resource.name.contains('invalid_name')". -
ACTION: הפעולה שיש לבצע אם התנאיconditionמתקיים. הערכים האפשריים הםALLOWו-DENY. -
DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים. -
DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים. -
אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון שלכם. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה
gcloud org-policies set-custom-constraint: -
כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה
gcloud org-policies list-custom-constraints:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resourceTypes: RESOURCE_NAME methodTypes: - CREATE
- UPDATE condition: "CONDITION" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION
מחליפים את מה שכתוב בשדות הבאים:
כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.
מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.
הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, מלבד המקרה שמופיע במפורש בתנאי, ייחסם.
הפעולה deny (דחייה) פירושה שאם התנאי מחזיר את הערך True, הפעולה ליצירה או לעדכון של המשאב נחסמת.
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.
אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.
מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.
אכיפה של מדיניות ארגון מותאמת אישית
כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .המסוף
- במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
- בתפריט לבחירת פרויקט, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
- מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
- כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
- בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
- לוחצים על Add a rule.
- בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
- אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
- לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
- כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
- אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.
gcloud
- כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ:
-
PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ. -
CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה,custom.denyLineageProcess. -
כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל
dryRunSpec: -
אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה
org-policies set-policyוהדגלspec:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true dryRunSpec: rules: - enforce: true
מחליפים את מה שכתוב בשדות הבאים:
gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec
מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.
gcloud org-policies set-policy POLICY_PATH --update-mask=spec
מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.
בדיקה של מדיניות הארגון המותאמת אישית
כדי לבדוק אילוץ של מדיניות ארגון שמגביל את היצירה של תהליך שושלת נתונים שמכיל את הטקסט invalid_name, מבצעים את הפעולות הבאות:
יוצרים פרויקט חדש, כמו שמתואר בקטע לפני שמתחילים.
מעתיקים את האילוץ הבא לקובץ YAML:
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcess resourceTypes: datalineage.googleapis.com/Process methodTypes: - CREATE - UPDATE condition: "resource.name.contains('invalid_name')" actionType: DENY displayName: Do not allow data lineage process with 'invalid_name' to be created.מחליפים את
ORGANIZATION_IDבמזהה המספרי שלGoogle Cloud הארגון.מגדירים את האילוץ המותאם אישית ואוכפים אותו בפרויקט שיצרתם כדי לבדוק את האילוץ המותאם אישית של מדיניות הארגון.
יוצרים תהליך עם השם שציינתם באילוץ המותאם אישית.
curl -s -X POST -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application.json" \ "https://datalineage.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/processes" \ -d '{"name":"projects/PROJECT_ID/locations/LOCATION/processes/invalid_name"}'
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שבו נוצר התהליך. היא צריכה להיות באותו ארגון שבו מוגבלת האילוץ. -
LOCATION: Google Cloud האזור שבו התהליך נוצר.
הפלט שיתקבל:
Operation denied by org policy on resource 'projects/PROJECT_ID/locations/LOCATION': ["customConstraints/custom.denyLineageProcess"]-
משאבים ופעולות נתמכים של שושלת נתונים
השדות הבאים של אילוצים מותאמים אישית זמינים לשימוש כשיוצרים או מעדכנים תהליך של שרשרת מקורות נתונים:
resource.nameresource.displayNameresource.origin.nameresource.origin.sourceType
האילוצים המותאמים אישית נבדקים בשיטות הבאות:
דוגמאות למדיניות הארגון מותאמת אישית לתרחישים נפוצים
בטבלה הבאה מפורט התחביר של כמה אילוצים בהתאמה אישית לתרחישי שימוש נפוצים:
מידע נוסף על פקודות מאקרו של CEL שזמינות לשימוש בתנאים של אילוצים מותאמים אישית זמין במאמר בנושא Common Expression Language.
| תרחיש שימוש | תחביר של אילוצים |
|---|---|
| השבתת היצירה של תהליכי שושלת נתונים |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE condition: "True" actionType: DENY displayName: Deny creation of all data lineage processes. |
| השבתה של יצירת תהליכי שושלת נתונים על ידי BigQuery או Managed Service for Apache Spark |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE condition: "resource.origin.sourceType == 'BIGQUERY' || resource.origin.sourceType == 'DATAPROC'" actionType: DENY displayName: Deny data lineage processes created by BigQuery or Managed Service for Apache Spark. |
| השבתה של תהליכי שושלת נתונים עם השם שצוין |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE - UPDATE condition: "resource.name.contains('RESTRICTED_NAME')" actionType: DENY displayName: Deny data lineage processes whose name contains RESTRICTED_NAME. |
המאמרים הבאים
- מידע נוסף על מדיניות הארגון זמין במאמר מבוא לשירות של מדיניות הארגון.
- מידע נוסף על יצירה וניהול של כללי מדיניות ארגוניים
- רשימה מלאה של מגבלות שקשורות למדיניות הארגון