許可ポリシーにカスタム組織ポリシーを使用する

このページでは、組織のポリシー サービスのカスタム制約を使用して、次の Google Cloud リソースに対する特定のオペレーションを制限する方法について説明します。

• iam.googleapis.com/AllowPolicy

組織のポリシーの詳細については、カスタムの組織のポリシーをご覧ください。

組織のポリシーと制約について

Google Cloud 組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソース階層内のGoogle Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。

組織のポリシーを利用することで、あらかじめ用意されたマネージド制約をさまざまな Google Cloud サービスに適用できます。ただし、組織のポリシーで制限されている特定の項目をより細かくカスタマイズして制御したい場合は、カスタム制約を作成して、それを組織のポリシーで使うこともできます。

ポリシーの継承

デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。

利点

IAM 属性を参照するカスタムの組織のポリシーを使用して、許可ポリシーの変更方法を制御できます。具体的には、以下を制御できます。

• ロールを付与できるユーザー
• ロールを取り消すことができるユーザー
• 付与できるロール
• 取り消し可能なロール

たとえば、メールアドレスの末尾が @gmail.com のプリンシパルに、admin という単語を含むロールが付与されないようにできます。

制限事項

• IAM 属性を参照するドライラン モードのカスタム組織のポリシーには、いくつかの制限があります。たとえば、setIamPolicy メソッドに関連する違反の監査ログに、次のフィールドがない場合があります。

  • resourceName
  • serviceName
  • methodName

• IAM 関連のカスタム組織のポリシー違反に対して、監査ログは生成されません。つまり、カスタム組織ポリシーが原因で組織リソースに対する setIamPolicy オペレーションが失敗した場合、Google Cloud はそのイベントの監査ログを生成しません。

• IAM 属性を参照するカスタム組織ポリシーは、以下には影響しません。

  • Cloud Storage ACL によるデフォルトの付与。
  • Cloud Storage のコンビニエンス値と BigQuery のデフォルト データセットへのアクセスに対するロールの自動付与。
  • デフォルトの許可ポリシーによって付与されるロール。たとえば、プロジェクト作成者にプロジェクトに対するオーナーロール（roles/owner）が自動的に付与される場合などです。

• オーナーロール（roles/owner）の付与を禁止するカスタム組織のポリシーが設定されている場合でも、ユーザーにオーナーになるための招待状を送信できます。ただし、カスタム組織のポリシーは招待状の送信を妨げませんが、招待されたユーザーにオーナーロールを付与することはできません。招待されたユーザーが招待を承諾しようとすると、エラーが発生し、オーナーロールは付与されません。

• Google Cloudの一部のアクション（リソースの作成や API の有効化など）では、サービス エージェントまたはデフォルトのサービス アカウントにロールが自動的に付与されます。アクションにロールの自動付与が含まれ、組織のポリシーによってそのロールを付与できない場合、オペレーション全体が失敗することがあります。

  この問題が発生した場合は、タグを使用して、ロールの付与を妨げる制約を一時的に無効にできます。次に、アクションを実行します。アクションが完了したら、制約を再度有効にします。

始める前に

• IAM リソースを参照するカスタム組織のポリシーをテストする場合は、新しいプロジェクトを作成します。これらの組織のポリシーを既存のプロジェクトでテストすると、セキュリティ ワークフローが中断される可能性があります。

  1. In the Google Cloud console, go to the project selector page.

     Go to project selector

  2. Select or create a Google Cloud project.

     Roles required to select or create a project

     • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
     • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

必要なロール

組織のポリシーを管理するために必要な権限を取得するには、次の IAM ロールを付与するように管理者に依頼してください。

• 組織に対する組織のポリシー管理者（roles/orgpolicy.policyAdmin）
• このページで説明する組織のポリシーをテストする: プロジェクトに対するプロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

これらの事前定義ロールには、組織のポリシーの管理に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

カスタム制約を設定する

カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language（CEL）を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。

カスタムの組織のポリシーを適用する

カスタムの組織のポリシーをテストする

必要に応じて、ポリシーを設定し、ポリシーで禁止されているアクションを試行して、組織のポリシーをテストできます。

制約を作成する

1. 次のファイルに constraint-deny-project-iam-admin という名前を付けて保存します。

   name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
   resourceTypes: iam.googleapis.com/AllowPolicy
   methodTypes:
     - CREATE
     - UPDATE
   condition:
     "resource.bindings.exists(
       binding,
       RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
       binding.members.exists(member,
         MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
       )
     )"
   actionType: DENY
   displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.
   

   次の値を置き換えます。

   • ORG_ID:Google Cloud 組織の数値 ID。
   • MEMBER_EMAIL_ADDRESS: カスタム制約のテストに使用するプリンシパルのメールアドレス。制約が有効な間、このプリンシパルには、制約を適用するプロジェクトに対するプロジェクト IAM 管理者ロール（roles/resourcemanager.projectIamAdmin）を付与できません。

2. 制約を適用します。

   gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml
   

3. 制約が存在することを確認します。

   gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
   

ポリシーを作成する

1. 次のファイルに policy-deny-project-iam-admin.yaml という名前を付けて保存します。

   name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
   spec:
     rules:
     - enforce: true
   

   PROJECT_ID は、実際のプロジェクト ID に置き換えます。

2. ポリシーを適用します。

   gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml
   

3. ポリシーが存在することを確認します。

   gcloud org-policies list --project=PROJECT_ID
   

ポリシーを適用したら、 Google Cloud がポリシーの適用を開始するまで 2 分ほど待ちます。

ポリシーのテスト

カスタム制約にメールアドレスが含まれているプリンシパルに、プロジェクト IAM 管理者ロール（roles/resourcemanager.projectIamAdmin）を付与してみてください。コマンドを実行する前に、次の値を置き換えます。

• PROJECT_ID: 制約を適用した Google Cloudプロジェクトの ID
• EMAIL_ADDRESS: 組織のポリシー制約の作成時に指定したプリンシパルのメールアドレス。

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

次のような出力が表示されます。

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

一般的なユースケースのカスタム組織ポリシーの例

次の表に、一般的なユースケースのカスタム制約の構文を示します。

次の例では、CEL マクロ all と exists を使用します。これらのマクロの詳細については、リストを評価するマクロをご覧ください。

name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted

name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked

name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT

name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2

name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles

name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP

name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers

name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles

name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles

name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfGoogleManagedServiceAgents
resource_types: iam.googleapis.com/AllowPolicy
method_types:
  - REMOVE_GRANT
condition: |-
  resource.bindings.all(
      binding,
      binding.members.all(member,
        MemberTypeMatches(member, ['iam.googleapis.com/ServiceAgent'])
      )
    )
action_type: DENY
display_name: Deny Removal Of Google-Managed Service Agents
description: Restricts the removal of Google-managed service agents from role bindings. Please reach out to your organization admins for if you have any questions.

条件付き組織のポリシー

タグを使用して、カスタムの組織のポリシーを条件付きにできます。たとえば、roles/storage. で始まるロールが付与されないように、次のカスタム制約を作成したとします。

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

制約を条件付きで適用するには、次のような組織のポリシーを作成します。

name: organizations/ORG_ID/policies/custom.dontgrantStorageRoles
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORG_ID/environment', 'dev')"
    enforce: true
  - enforce: false

この組織のポリシーは、environment=dev タグも有しているリソースに roles/storage. で始まるロールが付与されないようにします。

Identity and Access Management でサポートされているリソース

IAM は AllowPolicy リソースをサポートしています。このリソースには resources.bindings 属性があります。この属性は、リソースの許可ポリシーを変更するすべてのメソッドで返されます。リソースの許可ポリシーを変更するメソッドはすべて setIamPolicy で終わります。

resource.bindings 属性の構造は次のとおりです。ここで、BINDINGS は、許可ポリシーの変更中に変更されたロール バインディングの配列です。

{
  "bindings": {
    BINDINGS
  }
}

resource.bindings の各バインディングは次の構造を持ちます。ここで、ROLE はロール バインディング内のロールの名前、MEMBERS はロール バインディングに追加または削除されたプリンシパル ID のリストです。

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

プリンシパル ID の形式については、プリンシパル ID をご覧ください。

resource.bindings 属性とそのフィールドを評価できるのは、サポートされている関数を使用する場合のみです。他の演算子や関数（==、!=、in、contains、startsWith、endsWith など）はサポートされていません。

サポートされる関数

次の CEL 関数を使用して、バインディング内の個々のロールとメンバーを評価できます。

bindings 配列内のすべてのバインディングまたは members 配列内のすべてのメンバーを評価するには、all マクロと exists マクロを使用します。詳細については、このページのリストを評価するマクロをご覧ください。

論理演算子 &&（and）と ||（or）を使用して、マルチパート条件を記述することもできます。

リストを評価するマクロ

all マクロと exists マクロを使用して、項目のリストに対して条件式を評価します。

ネストされたリストを使用した条件

通常、条件にネストされたリストが含まれている場合は、条件内のすべてのリストに同じマクロを使用する必要があります。

以下の例を考えてみましょう。

• ポリシーに actionType ALLOW がある場合は、members リストと bindings リストの両方で all マクロを使用して、変更されたすべてのバインディングのすべてのメンバーが条件を満たしている場合にのみポリシーの変更が許可されるようにします。
• ポリシーに actionType DENY がある場合は、members リストと bindings リストの両方で exists マクロを使用して、変更された任意のバインディングの任意のメンバーが条件を満たしている場合、ポリシーの変更が許可されないようにします。

1 つの条件でマクロを混在させると、意図したとおりに動作しない条件になる可能性があります。

たとえば、example.com 組織外のユーザーにロールが付与されないようにします。example.com 組織の ID は 123456789012 です。

この目的を達成するには、次の条件を記述します。

非推奨 - 構成が不適切な条件

"resource.bindings.all(
  binding,
  binding.members.exists(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

この条件は、example.com 組織外のユーザーにロールを付与できないようにしているようです。ただし、変更された各ロール バインディングのいずれかのメンバーが example.com 組織に属している場合、条件は true と評価されます。そのため、example.com 組織内のメンバーにも同じロールを付与すると、example.com 組織外のユーザーにもロールを付与できます。

たとえば、次のバインディング セットでは、メンバーの 1 人が example.com 組織に属していなくても、条件は true と評価されます。

 "bindings": [
    {
      "members": [
        "user:raha@altostrat.com",
        "user:jie@example.com"
      ],
      "role": "roles/resourcemanager.projectCreator"
    }
  ],

代わりに、次のような条件を記述する必要があります。

推奨 - 正しく構成された条件

"resource.bindings.all(
  binding,
  binding.members.all(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

members.bindings 配列と resource.bindings 配列の両方に all マクロを使用すると、すべてのバインディングのすべてのメンバーが example.com プリンシパル セットにある場合にのみ、条件が true と評価されます。

MemberTypeMatches でサポートされているプリンシパル タイプ

MemberTypeMatches 関数では、指定されたメンバーが一致する必要があるプリンシパル タイプを指定する必要があります。

次の表に、入力できるプリンシパル タイプと、プリンシパル タイプが表す内容の説明を示します。また、各プリンシパル タイプに対応するプリンシパル ID も一覧表示されます。これらの識別子は、IAM ポリシーで使用される値です。

次のステップ

• 組織のポリシー サービスについて詳細を学習する。
• 組織のポリシーの作成と管理の方法について学習する。
• マネージドの組織のポリシーの制約全一覧を参照する。