このページでは、組織のポリシー サービスのカスタム制約を使用して、次の Google Cloud リソースに対する特定のオペレーションを制限する方法について説明します。
healthcare.googleapis.com/Datasethealthcare.googleapis.com/FhirStorehealthcare.googleapis.com/DicomStorehealthcare.googleapis.com/Hl7V2Storehealthcare.googleapis.com/ConsentStore
組織のポリシーの詳細については、カスタムの組織のポリシーをご覧ください。
組織のポリシーと制約について
Google Cloud 組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソース階層内のGoogle Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。
組織のポリシーを利用することで、あらかじめ用意されたマネージド制約をさまざまな Google Cloud サービスに適用できます。ただし、組織のポリシーで制限されている特定の項目をより細かくカスタマイズして制御したい場合は、カスタム制約を作成して、それを組織のポリシーで使うこともできます。
ポリシーの継承
デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。
制限事項
次の healthcare.googleapis.com/Hl7V2Store フィールドはサポートされていません。
次の healthcare.googleapis.com/FhirStore フィールドはサポートされていません。
notificationConfig。代わりにnotificationConfigsを使用します。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。
-
gcloud CLI を初期化するには、次のコマンドを実行します。
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。
-
gcloud CLI を初期化するには、次のコマンドを実行します。
gcloud init - 組織 ID を確認します。
- Google Cloud コンソールで [組織のポリシー] ページに移動します。
- プロジェクト選択ツールから、組織のポリシーを設定するプロジェクトを選択します。
- [ カスタム制約] をクリックします。
- [表示名] ボックスに、制約のわかりやすい名前を入力します。この名前はエラー メッセージで使用され、識別とデバッグに使用できます。エラー メッセージで漏えいする可能性があるため、表示名には PII や機密データを使用しないでください。このフィールドには、最大 200 文字まで入力できます。
-
[制約 ID] ボックスに、新しいカスタム制約の名前を入力します。カスタム制約には、英字(大文字と小文字を含む)または数字のみを含めることができます(例:
custom.disableGkeAutoUpgrade)。このフィールドには、接頭辞(custom.)を除き、最大 70 文字まで含めることができます(例:organizations/123456789/customConstraints/custom)。エラー メッセージで漏えいする可能性があるため、制約 ID には PII や機密データを含めないでください。 - [説明] ボックスに、制約の説明を入力します。この説明は、ポリシー違反時にエラー メッセージとして使用されます。ポリシー違反が発生した理由と、ポリシー違反を解決する方法に関する詳細を含めます。エラー メッセージで漏えいする可能性があるため、説明には PII や機密データを含めないでください。このフィールドには、最大 2,000 文字を入力できます。
-
[リソースの種類] ボックスで、制限するオブジェクトとフィールドを含む Google Cloud REST リソースの名前(
container.googleapis.com/NodePoolなど)を選択します。ほとんどのリソースタイプは、最大 20 個のカスタム制約をサポートしています。これより多くのカスタム制約を作成しようとすると、オペレーションは失敗します。 - [適用方法] で、REST CREATE メソッドに制約を適用するのか、または CREATE メソッドと UPDATE メソッドの両方に制約を適用するのかを選択します。制約に違反するリソースに対して UPDATE メソッドを使用して制約を適用すると、そのリソースに対する変更は、違反が解決されない限り、組織のポリシーによってブロックされます。
- 条件を定義するには、[ 条件を編集] をクリックします。
-
[条件を追加] パネルで、サポートされているサービス リソースを参照する CEL 条件を作成します(例:
resource.management.autoUpgrade == false)。このフィールドには、最大 1,000 文字を入力できます。CEL の使用方法の詳細については、 Common Expression Language をご覧ください。カスタム制約で使用できるサービス リソースの詳細については、 カスタム制約でサポートされているサービスをご覧ください。 - [保存] をクリックします。
- [アクション] で、条件を満たしている場合に、評価された方法を許可するかどうかを選択します。
- [制約を作成] をクリックします。
- カスタム制約を作成するには、次の形式で YAML ファイルを作成します。
-
ORGANIZATION_ID: 組織 ID(123456789など)。 -
CONSTRAINT_NAME: 新しいカスタム制約に付ける名前。カスタム制約には、文字(大文字と小文字を含む)または数字のみを含めることができます(例:custom.enableHealthcareCMEK)。このフィールドには、最大 70 文字まで入力できます。 -
RESOURCE_NAME: 制限するオブジェクトとフィールドを含む Google Cloudリソースの完全修飾名。例:healthcare.googleapis.com/Dataset。 -
CONDITION: サポートされているサービス リソースの表現に対して書き込まれる CEL 条件。このフィールドには、最大 1,000 文字を入力できます。例:"!has(resource.encryptionSpec)"。 -
ACTION:conditionが満たされている場合に実行するアクション。有効な値はALLOWとDENYです。 -
DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。このフィールドには、最大 200 文字を入力できます。 -
DESCRIPTION: ポリシー違反時にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドには、最大 2,000 文字を入力できます。 -
新しいカスタム制約の YAML ファイルを作成したら、組織のポリシーで使用できるように設定する必要があります。カスタム制約を設定するには、
gcloud org-policies set-custom-constraintコマンドを使用します。 -
カスタム制約が存在することを確認するには、
gcloud org-policies list-custom-constraintsコマンドを使用します。 - Google Cloud コンソールで [組織のポリシー] ページに移動します。
- プロジェクト選択ツールから、組織のポリシーを設定するプロジェクトを選択します。
- [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
- このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
- [ポリシーの編集] ページで、[Override parent's policy] を選択します。
- [ルールを追加] をクリックします。
- [適用] セクションで、この組織のポリシーを適用するかどうかを選択します。
- 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、 タグを使用した組織のポリシーの設定をご覧ください。
- [変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートします。詳細については、 Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
- ドライラン モードで組織のポリシーを適用するには、[ドライラン ポリシーを設定] をクリックします。詳細については、 ドライラン モードで組織のポリシーを作成するをご覧ください。
- ドライラン モードの組織のポリシーが意図したとおりに動作していることを確認したら、[ポリシーを設定] をクリックしてライブポリシーを設定します。
- ブール型ルールを含む組織のポリシーを作成するには、制約を参照するポリシー YAML ファイルを作成します。
-
PROJECT_ID: 制約を適用するプロジェクト。 -
CONSTRAINT_NAME: カスタム制約に定義した名前。例:custom.enableHealthcareCMEK。 -
ドライラン モードで組織のポリシーを適用するには、
dryRunSpecフラグを指定して次のコマンドを実行します。 -
ドライラン モードの組織のポリシーが意図したとおりに動作していることを確認したら、
org-policies set-policyコマンドとspecフラグを使用してライブポリシーを設定します。 - 組織の ID
- プロジェクト ID
次のファイルに
constraint-enable-healthcare-cmek.yamlという名前を付けて保存します。name: organizations/ORGANIZATION_ID/customConstraints/custom.enableHealthcareCMEK resourceTypes: - healthcare.googleapis.com/Dataset methodTypes: - CREATE condition: "!has(resource.encryptionSpec)" actionType: DENY displayName: Enable Healthcare CMEK description: All new datasets must be CMEK-encrypted.これにより、すべての新しいデータセットに対して、データセットが CMEK で暗号化されていない場合にそのオペレーションを拒否する制約が定義されます。
制約を適用します。
gcloud org-policies set-custom-constraint ~/constraint-enable-healthcare-cmek.yaml制約が存在することを確認します。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID出力は次のようになります。
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.enableHealthcareCMEK DENY CREATE healthcare.googleapis.com/Dataset Enable Healthcare CMEK ...次のファイルに
policy-enable-healthcare-cmek.yamlという名前を付けて保存します。name: projects/PROJECT_ID/policies/custom.enableHealthcareCMEK spec: rules: - enforce: truePROJECT_IDは、実際のプロジェクト ID に置き換えます。ポリシーを適用します。
gcloud org-policies set-policy ~/policy-enable-healthcare-cmek.yamlポリシーが存在することを確認します。
gcloud org-policies list --project=PROJECT_ID出力は次のようになります。
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.enableHealthcareCMEK - SET COCsm5QGENiXi2E=- 組織のポリシー サービスについて詳細を学習する。
- 組織のポリシーの作成と管理の方法について学習する。
- マネージドの組織のポリシーの制約全一覧を参照する。
必要なロール
カスタムの組織のポリシーを管理するために必要な権限を取得するには、組織のリソースに対する組織のポリシー管理者(roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
カスタム制約を設定する
カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language(CEL)を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。
コンソール
カスタム制約を作成する手順は次のとおりです。
すべての Google Cloud サービスが両方のメソッドをサポートしているわけではありません。各サービスでサポートされているメソッドを確認するには、 サポートされているサービスをご覧ください。
拒否アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションがブロックされることを意味します。
許可アクションは、条件が true と評価された場合にのみ、リソースを作成または更新するオペレーションが許可されることを意味します。条件に明示的にリストされているケースを除き、他のすべてのケースはブロックされます。
各フィールドに値を入力すると、このカスタム制約の YAML 構成が右側に表示されます。
gcloud
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resourceTypes: - RESOURCE_NAME methodTypes: - CREATE
- UPDATE condition: "CONDITION" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION
次のように置き換えます。
条件の書き込み先として使用できるリソースの詳細については、サポート対象のリソースをご覧ください。
許可アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションが許可されることを意味します。つまり、条件に明示的にリストされているケースを除き、他のすべてのケースはブロックされます。
拒否アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションがブロックされることを意味します。
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH は、カスタム制約ファイルのフルパスに置き換えます。例: /home/user/customconstraint.yaml。
このオペレーションが完了すると、カスタム制約が Google Cloud 組織のポリシーのリストに表示され、使用可能になります。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID は、組織リソースの ID に置き換えます。
詳細については、 組織のポリシーの表示をご覧ください。
カスタムの組織のポリシーを適用する
制約を適用するには、それを参照する組織のポリシーを作成し、その組織のポリシーを Google Cloud リソースに適用します。コンソール
gcloud
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true dryRunSpec: rules: - enforce: true
次のように置き換えます。
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
POLICY_PATH は、組織のポリシーの YAML ファイルのパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。
gcloud org-policies set-policy POLICY_PATH \ --update-mask=spec
POLICY_PATH は、組織のポリシーの YAML ファイルのパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。
カスタム組織のポリシーをテストする
次の例では、特定のプロジェクト内のすべての新しいデータセットが顧客管理の暗号鍵(CMEK)で暗号化されることを要求するカスタムの制約とポリシーを作成します。
始める前に、以下を把握しておく必要があります。
制約を作成する
ポリシーを作成する
ポリシーを適用してから Cloud Healthcare API でポリシーの適用が開始されるまで 2 分ほど待ちます。
ポリシーのテスト
プロジェクトで CMEK 鍵を指定せずに Cloud Healthcare API データセットを作成してみます。
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d "" \
"https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets?datasetId=DATASET_ID"
次のような出力が表示されます。
Operation denied by custom org policies: ["customConstraints/custom.enableHealthcareCMEK": "All new datasets must be CMEK-encrypted."]
Cloud Healthcare API でサポートされているリソース
次の表に、カスタム制約で参照できる Cloud Healthcare API リソースを示します。| リソース | フィールド |
|---|---|
| healthcare.googleapis.com/ConsentStore |
resource.defaultConsentTtl
|
resource.enableConsentCreateOnUpdate
| |
resource.name
| |
| healthcare.googleapis.com/Dataset |
resource.encryptionSpec.kmsKeyName
|
resource.name
| |
resource.timeZone
| |
| healthcare.googleapis.com/DicomStore |
resource.name
|
resource.notificationConfig.pubsubTopic
| |
resource.notificationConfig.sendForBulkImport
| |
resource.notificationConfigs.pubsubTopic
| |
resource.streamConfigs.bigqueryDestination.force
| |
resource.streamConfigs.bigqueryDestination.tableUri
| |
resource.streamConfigs.bigqueryDestination.writeDisposition
| |
| healthcare.googleapis.com/FhirStore |
resource.bulkExportGcsDestination.uriPrefix
|
resource.complexDataTypeReferenceParsing
| |
resource.consentConfig.accessDeterminationLogConfig.logLevel
| |
resource.consentConfig.accessEnforced
| |
resource.consentConfig.consentHeaderHandling.profile
| |
resource.consentConfig.version
| |
resource.defaultSearchHandlingStrict
| |
resource.disableReferentialIntegrity
| |
resource.disableResourceVersioning
| |
resource.enableHistoryModifications
| |
resource.enableUpdateCreate
| |
resource.name
| |
resource.notificationConfigs.pubsubTopic
| |
resource.notificationConfigs.sendFullResource
| |
resource.notificationConfigs.sendPreviousResourceOnDelete
| |
resource.streamConfigs.bigqueryDestination.datasetUri
| |
resource.streamConfigs.bigqueryDestination.force
| |
resource.streamConfigs.bigqueryDestination.schemaConfig.lastUpdatedPartitionConfig.expirationMs
| |
resource.streamConfigs.bigqueryDestination.schemaConfig.lastUpdatedPartitionConfig.type
| |
resource.streamConfigs.bigqueryDestination.schemaConfig.recursiveStructureDepth
| |
resource.streamConfigs.bigqueryDestination.schemaConfig.schemaType
| |
resource.streamConfigs.bigqueryDestination.writeDisposition
| |
resource.streamConfigs.deidentifiedStoreDestination.config.dicom.filterProfile
| |
resource.streamConfigs.deidentifiedStoreDestination.config.dicom.keepList.tags
| |
resource.streamConfigs.deidentifiedStoreDestination.config.dicom.removeList.tags
| |
resource.streamConfigs.deidentifiedStoreDestination.config.dicom.skipIdRedaction
| |
resource.streamConfigs.deidentifiedStoreDestination.config.fhir.defaultKeepExtensions
| |
resource.streamConfigs.deidentifiedStoreDestination.config.fhir.fieldMetadataList.action
| |
resource.streamConfigs.deidentifiedStoreDestination.config.fhir.fieldMetadataList.paths
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.additionalInfoTypes
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.action
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.modality
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.pixelBox.height
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.pixelBox.left
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.pixelBox.top
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.pixelBox.width
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.relativeBox.relativeHeight
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.relativeBox.relativeLeft
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.relativeBox.relativeTop
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.areasOfInterest.relativeBox.relativeWidth
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.excludeInfoTypes
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.minLikelihood
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.textRedactionMode
| |
resource.streamConfigs.deidentifiedStoreDestination.config.image.useBurnedInAnnotationAttribute
| |
resource.streamConfigs.deidentifiedStoreDestination.config.text.additionalTransformations.characterMaskConfig.maskingCharacter
| |
resource.streamConfigs.deidentifiedStoreDestination.config.text.additionalTransformations.infoTypes
| |
resource.streamConfigs.deidentifiedStoreDestination.config.text.excludeInfoTypes
| |
resource.streamConfigs.deidentifiedStoreDestination.config.text.transformations.characterMaskConfig.maskingCharacter
| |
resource.streamConfigs.deidentifiedStoreDestination.config.text.transformations.infoTypes
| |
resource.streamConfigs.deidentifiedStoreDestination.config.useRegionalDataProcessing
| |
resource.streamConfigs.deidentifiedStoreDestination.store
| |
resource.streamConfigs.resourceTypes
| |
resource.validationConfig.disableFhirpathValidation
| |
resource.validationConfig.disableProfileValidation
| |
resource.validationConfig.disableReferenceTypeValidation
| |
resource.validationConfig.disableRequiredFieldValidation
| |
resource.validationConfig.enabledImplementationGuides
| |
resource.version
| |
| healthcare.googleapis.com/Hl7V2Store |
resource.name
|
resource.notificationConfigs.filter
| |
resource.notificationConfigs.pubsubTopic
| |
resource.parserConfig.allowNullHeader
| |
resource.parserConfig.schema.ignoreMinOccurs
| |
resource.parserConfig.schema.schemas.version.mshField
| |
resource.parserConfig.schema.schemas.version.value
| |
resource.parserConfig.schema.schematizedParsingType
| |
resource.parserConfig.schema.types.type.fields.maxOccurs
| |
resource.parserConfig.schema.types.type.fields.minOccurs
| |
resource.parserConfig.schema.types.type.fields.name
| |
resource.parserConfig.schema.types.type.fields.table
| |
resource.parserConfig.schema.types.type.fields.type
| |
resource.parserConfig.schema.types.type.name
| |
resource.parserConfig.schema.types.type.primitive
| |
resource.parserConfig.schema.types.version.mshField
| |
resource.parserConfig.schema.types.version.value
| |
resource.parserConfig.schema.unexpectedFieldHandling
| |
resource.parserConfig.schema.unexpectedSegmentHandling
| |
resource.parserConfig.segmentTerminator
| |
resource.parserConfig.version
| |
resource.rejectDuplicateMessage
|