Membuat batasan kebijakan organisasi kustom

Halaman ini menunjukkan cara menggunakan batasan kustom Layanan Kebijakan Organisasi untuk membatasi operasi tertentu pada resource Google Cloud berikut:

  • dns.googleapis.com/ManagedZone
  • dns.googleapis.com/Policy
  • dns.googleapis.com/ResponsePolicy
  • dns.googleapis.com/ResponsePolicyRule

Untuk mempelajari lebih lanjut Kebijakan Organisasi, lihat Kebijakan organisasi kustom.

Tentang batasan dan kebijakan organisasi

Layanan Kebijakan Organisasi Google Cloud memberi Anda kontrol terpusat dan terprogram atas resource organisasi Anda. Sebagai administrator kebijakan organisasi, Anda dapat menentukan kebijakan organisasi, yang merupakan serangkaian batasan yang disebut batasan yang berlaku untuk resourceGoogle Cloud dan turunan dari resource tersebut dalam hierarki resourceGoogle Cloud . Anda dapat menerapkan kebijakan organisasi di level organisasi, folder, atau project.

Kebijakan Organisasi menyediakan batasan terkelola bawaan untuk berbagai layanan Google Cloud . Namun, jika menginginkan kontrol yang lebih terperinci dan dapat disesuaikan atas kolom tertentu yang dibatasi dalam kebijakan organisasi, Anda juga dapat membuat batasan kustom dan menggunakan batasan kustom tersebut dalam kebijakan organisasi.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada folder, Google Cloud akan menerapkan kebijakan tersebut pada semua project di folder tersebut. Untuk mempelajari lebih lanjut perilaku ini dan cara mengubahnya, lihat Aturan evaluasi hierarki.

Manfaat

Anda dapat menggunakan kebijakan organisasi kustom untuk mengizinkan atau menolak nilai tertentu untuk resource Cloud DNS. Misalnya, jika permintaan untuk membuat atau mengupdate instance Cloud DNS gagal memenuhi validasi batasan kustom sebagaimana ditetapkan oleh kebijakan organisasi Anda, permintaan akan gagal dan pemanggil akan melihat error.

Batasan

Seperti semua batasan kebijakan organisasi, perubahan kebijakan tidak berlaku surut pada instance yang ada.

  • Kebijakan baru tidak akan memengaruhi konfigurasi instance yang ada.
  • Konfigurasi instance yang ada tetap valid, kecuali jika Anda mengubahnya dari nilai yang sesuai menjadi tidak sesuai menggunakan konsolGoogle Cloud , Google Cloud CLI, atau RPC.
  • Kolom resource.visibility untuk ManagedZone harus ditetapkan ke salah satu nilai yang diizinkan, semuanya dalam huruf besar:
    • PUBLIC
    • PRIVATE

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  6. Untuk menginisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  11. Untuk menginisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init
  12. Pastikan Anda mengetahui ID organisasi Anda.

    13. Peran yang diperlukan

    Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi kustom, minta administrator untuk memberi Anda peran IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin) di resource organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran yang telah ditentukan lainnya.

    Membuat batasan kustom

    Batasan kustom ditentukan dalam file YAML oleh resource, metode, kondisi, dan tindakan yang didukung oleh layanan tempat Anda menerapkan kebijakan organisasi. Kondisi untuk batasan kustom Anda ditentukan menggunakan Common Expression Language (CEL). Untuk mengetahui informasi selengkapnya tentang cara membuat kondisi dalam batasan kustom menggunakan CEL, lihat bagian CEL tentang Membuat dan mengelola batasan kustom.

    Untuk membuat batasan kustom, buat file YAML menggunakan format berikut:

    name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Anda, seperti 123456789.

    • CONSTRAINT_NAME: nama yang Anda inginkan untuk batasan kustom baru Anda. Batasan kustom harus diawali dengan custom., dan hanya boleh menyertakan huruf besar, huruf kecil, atau angka. Contoh, custom.restrictManagedZoneWithDeniedDescription. Panjang maksimum kolom ini adalah 70 karakter.

    • RESOURCE_NAME: nama resourceGoogle Cloud yang sepenuhnya memenuhi syarat, yang berisi objek dan kolom yang ingin Anda batasi. Contoh, dns.googleapis.com/ManagedZone.

    • CONDITION: Kondisi CEL yang ditulis berdasarkan representasi resource layanan yang didukung. Kolom ini memiliki panjang maksimum 1.000 karakter. Lihat Resource yang didukung untuk mengetahui informasi selengkapnya tentang resource yang tersedia untuk menulis kondisi. Contoh, resource.description.contains('denied').

    • ACTION: tindakan yang akan diambil jika condition terpenuhi. Kemungkinan nilainya adalah ALLOW dan DENY.

    • DISPLAY_NAME: nama yang mudah dibaca manusia untuk batasan. Kolom ini memiliki panjang maksimum 200 karakter.

    • DESCRIPTION: deskripsi batasan yang mudah dipahami yang akan ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimum 2.000 karakter.

    Untuk mengetahui informasi selengkapnya tentang cara membuat batasan kustom, lihat Menentukan batasan kustom.

    Menyiapkan batasan kustom

    Setelah membuat file YAML untuk batasan kustom baru, Anda harus menyiapkannya agar tersedia untuk kebijakan organisasi di organisasi Anda. Untuk menyiapkan batasan kustom, gunakan perintah gcloud org-policies set-custom-constraint: 
    gcloud org-policies set-custom-constraint CONSTRAINT_PATH
     Ganti CONSTRAINT_PATH dengan jalur lengkap ke file batasan kustom Anda. Contoh, /home/user/customconstraint.yaml. Setelah selesai, batasan kustom Anda akan tersedia sebagai kebijakan organisasi dalam daftar kebijakan organisasi Google Cloud . Untuk memverifikasi ada tidaknya batasan kustom, gunakan perintah gcloud org-policies list-custom-constraints: 
    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
     Ganti ORGANIZATION_ID dengan ID resource organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Melihat kebijakan organisasi.

    Menerapkan kebijakan organisasi kustom

    Anda dapat menerapkan batasan dengan membuat kebijakan organisasi yang mereferensikannya, lalu menerapkan kebijakan organisasi tersebut ke resource Google Cloud .

    Konsol

    1. Di konsol Google Cloud , buka halaman Organization policies.

      Buka Organization policies

    2. Dari pemilih project, pilih project yang ingin Anda tetapkan kebijakan organisasinya.
    3. Dari daftar di halaman Organization policies, pilih batasan Anda untuk melihat halaman Policy details untuk batasan tersebut.
    4. Guna mengonfigurasi kebijakan organisasi untuk resource ini, klik Manage policy.
    5. Di halaman Edit policy, pilih Override parent's policy.
    6. Klik Add a rule.
    7. Di bagian Enforcement, pilih apakah penerapan kebijakan organisasi ini diaktifkan atau dinonaktifkan.
    8. Opsional: Agar kebijakan organisasi menjadi bersyarat pada tag, klik Add condition. Perhatikan bahwa jika menambahkan aturan bersyarat ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui informasi selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.
    9. Klik Test changes untuk menyimulasikan efek kebijakan organisasi. Simulasi kebijakan tidak tersedia untuk batasan terkelola lama. Untuk mengetahui informasi selengkapnya, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
    10. Untuk menyelesaikan dan menerapkan kebijakan organisasi, klik Set policy. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

    gcloud

    Untuk membuat kebijakan organisasi dengan aturan boolean, buat file YAML kebijakan yang mereferensikan batasan: 

          name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

    Ganti kode berikut:

    • PROJECT_ID: project tempat Anda ingin menerapkan batasan.
    • CONSTRAINT_NAME: nama yang Anda tentukan untuk batasan kustom. Contoh, custom.restrictManagedZoneWithDeniedDescription.

    Untuk menerapkan kebijakan organisasi yang berisi batasan, jalankan perintah berikut: 

        gcloud org-policies set-policy POLICY_PATH

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

    Contoh kebijakan organisasi kustom untuk kasus penggunaan umum

    Tabel ini memberikan contoh sintaksis untuk beberapa batasan kustom umum.

    Deskripsi Sintaksis batasan
    Membatasi logging untuk instance Cloud DNS 
          name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictManagedZoneWithDeniedDescription
      resourceTypes:
      - dns.googleapis.com/ManagedZone
      methodTypes:
      - CREATE
      - UPDATE
      condition: resource.description.contains('denied')
      actionType: DENY
      displayName: Restrict create / update for Cloud DNS ManagedZone resources
      description: Prevents users from creating / updating for Cloud DNS ManagedZone resources

    Resource yang didukung Cloud DNS

    Tabel berikut berisi resource Cloud DNS yang dapat Anda referensikan dalam batasan kustom.

    Resource Kolom
    dns.googleapis.com/ManagedZone resource.cloudLoggingConfig.enableLogging
    resource.description
    resource.dnsName
    resource.dnssecConfig.defaultKeySpecs.algorithm
    resource.dnssecConfig.defaultKeySpecs.keyLength
    resource.dnssecConfig.defaultKeySpecs.keyType
    resource.dnssecConfig.nonExistence
    resource.dnssecConfig.state
    resource.forwardingConfig.targetNameServers.domainName
    resource.forwardingConfig.targetNameServers.forwardingPath
    resource.forwardingConfig.targetNameServers.ipv4Address
    resource.forwardingConfig.targetNameServers.ipv6Address
    resource.name
    resource.privateVisibilityConfig.gkeClusters.gkeClusterName
    resource.privateVisibilityConfig.networks.networkUrl
    resource.serviceDirectoryConfig.namespace.namespaceUrl
    resource.visibility
    dns.googleapis.com/Policy resource.alternativeNameServerConfig.targetNameServers.forwardingPath
    resource.alternativeNameServerConfig.targetNameServers.ipv4Address
    resource.alternativeNameServerConfig.targetNameServers.ipv6Address
    resource.description
    resource.dns64Config.scope.allQueries
    resource.enableInboundForwarding
    resource.enableLogging
    resource.name
    resource.networks.networkUrl
    dns.googleapis.com/ResponsePolicy resource.description
    resource.gkeClusters.gkeClusterName
    resource.networks.networkUrl
    resource.responsePolicyName
    dns.googleapis.com/ResponsePolicyRule resource.behavior
    resource.dnsName
    resource.localData.localData.name
    resource.localData.localData.routingPolicy.geo.enableFencing
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.externalEndpoints
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.ipAddress
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.ipProtocol
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.loadBalancerType
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.networkUrl
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.port
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.project
    resource.localData.localData.routingPolicy.geo.item.healthCheckedTargets.internalLoadBalancer.region
    resource.localData.localData.routingPolicy.geo.item.location
    resource.localData.localData.routingPolicy.geo.item.rrdata
    resource.localData.localData.routingPolicy.healthCheck
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.enableFencing
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.externalEndpoints
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.ipAddress
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.ipProtocol
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.loadBalancerType
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.networkUrl
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.port
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.project
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.healthCheckedTargets.internalLoadBalancer.region
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.location
    resource.localData.localData.routingPolicy.primaryBackup.backupGeoTargets.item.rrdata
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.externalEndpoints
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.ipAddress
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.ipProtocol
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.loadBalancerType
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.networkUrl
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.port
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.project
    resource.localData.localData.routingPolicy.primaryBackup.primaryTargets.internalLoadBalancer.region
    resource.localData.localData.routingPolicy.primaryBackup.trickleTraffic
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.externalEndpoints
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.ipAddress
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.ipProtocol
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.loadBalancerType
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.networkUrl
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.port
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.project
    resource.localData.localData.routingPolicy.wrr.item.healthCheckedTargets.internalLoadBalancer.region
    resource.localData.localData.routingPolicy.wrr.item.rrdata
    resource.localData.localData.routingPolicy.wrr.item.weight
    resource.localData.localData.rrdata
    resource.localData.localData.ttl
    resource.localData.localData.type
    resource.ruleName

    Langkah berikutnya