Menggunakan kebijakan organisasi kustom

Google Cloud Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource organisasi. Sebagai administrator kebijakan organisasi, Anda dapat menentukan kebijakan organisasi, yang merupakan serangkaian batasan yang berlaku untuk Google Cloud resource dan turunan dari resource tersebut dalam hierarki resourceGoogle Cloud . Anda dapat menerapkan kebijakan organisasi di level organisasi, folder, atau project.

Kebijakan Organisasi menyediakan batasan yang telah ditetapkan untuk berbagaiGoogle Cloud layanan. Namun, jika menginginkan kontrol yang lebih terperinci dan dapat disesuaikan atas kolom tertentu yang dibatasi dalam kebijakan organisasi, Anda juga dapat membuat kebijakan organisasi kustom

Manfaat

Anda dapat menggunakan kebijakan organisasi kustom untuk mengizinkan atau menolak operasi tertentu pada resource Identity Platform untuk persyaratan keamanan, kepatuhan, atau tata kelola aplikasi Anda. Misalnya, Anda dapat mengontrol properti berikut:

  • Anda dapat menonaktifkan opsi login dengan sandi untuk aplikasi di organisasi Anda dan mewajibkan aplikasi tersebut untuk selalu menggunakan opsi login dengan email.
  • Anda dapat membatasi aplikasi di organisasi Anda untuk menggunakan penyedia identitas (IdP) OIDC dengan penerbit tertentu.
  • Anda dapat menonaktifkan opsi IdP OIDC dan SAML untuk aplikasi di organisasi Anda.
  • Anda dapat menonaktifkan opsi multi-tenancy untuk aplikasi di organisasi Anda.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada folder, Google Cloud akan menerapkan kebijakan tersebut pada semua project di folder tersebut. Untuk mempelajari lebih lanjut perilaku ini dan cara mengubahnya, lihat Aturan evaluasi hierarki.

Harga

Layanan Kebijakan Organisasi, termasuk kebijakan organisasi yang telah ditetapkan dan kustom, ditawarkan tanpa biaya.

Batasan

Saat Anda mengaktifkan Identity Platform untuk project, Identity Platform akan membuat konfigurasi default untuk project tersebut. Pemilik project tidak dapat mengubah nilai default konfigurasi hingga project diaktifkan. Mengubah nilai default sebelum project diaktifkan dapat menyebabkan pengaktifan gagal. Untuk mengubah nilai default konfigurasi setelah diaktifkan, gunakan metode updateConfig.

Sebelum memulai

  • Hubungkan aplikasi Anda ke Identity Platform. Untuk mengetahui petunjuk cara menghubungkan aplikasi, lihat Panduan memulai.

  • Pastikan Anda mengetahui ID organisasi Anda.

Peran yang diperlukan

Guna mendapatkan izin yang Anda perlukan untuk mengelola kebijakan organisasi, minta administrator Anda untuk memberi Anda peran IAM berikut:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengelola kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengelola kebijakan organisasi:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat batasan kustom

Batasan kustom ditentukan dalam file YAML oleh resource, metode, kondisi, dan tindakan yang didukung oleh layanan tempat Anda menerapkan kebijakan organisasi. Kondisi untuk batasan kustom Anda ditentukan menggunakan Common Expression Language (CEL). Untuk mengetahui informasi selengkapnya tentang cara membuat kondisi dalam batasan kustom menggunakan CEL, lihat bagian CEL tentang Membuat dan mengelola batasan kustom.

Untuk membuat file YAML untuk batasan kustom:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- identitytoolkit.googleapis.com/RESOURCE_NAME
methodTypes: METHOD
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda, seperti 123456789.

  • CONSTRAINT_NAME: nama yang Anda inginkan untuk batasan kustom baru Anda. Batasan kustom harus dimulai dengan custom., dan hanya boleh berisi huruf besar, huruf kecil, atau angka, misalnya, custom.allowEmailLinkLogin. Panjang maksimum kolom ini adalah 70 karakter, tidak termasuk awalan, misalnya, organizations/123456789/customConstraints/custom.

  • RESOURCE_NAME: nama (bukan URI) resource REST Identity Platform API yang berisi objek dan kolom yang ingin Anda batasi. Contoh, identitytoolkit.googleapis.com/Config.

  • CONDITION: Kondisi CEL yang ditulis berdasarkan representasi resource layanan yang didukung. Kolom ini memiliki panjang maksimum 1.000 karakter. Lihat Resource yang didukung untuk mengetahui informasi selengkapnya tentang resource yang tersedia untuk menulis kondisi. Contoh, "resource.signIn.email.passwordRequired == true".

  • METHOD: Saat membuat batasan pembuatan konfigurasi atau tenant, tentukan CREATE. Saat membuat batasan UPDATE konfigurasi atau tenant, tentukan keduanya sebagai berikut:

    methodTypes:
- CREATE
- UPDATE

  • ACTION: tindakan yang akan diambil jika condition terpenuhi. Ini dapat berupa ALLOW atau DENY.

  • DISPLAY_NAME: nama yang mudah dibaca manusia untuk batasan. Kolom ini memiliki panjang maksimum 200 karakter.

  • DESCRIPTION: deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimum 2.000 karakter.

Untuk mengetahui informasi selengkapnya tentang cara membuat batasan kustom, lihat Menentukan batasan kustom.

Menyiapkan batasan kustom

Konsol

Untuk membuat batasan kustom, lakukan hal-hal berikut:

  1. Di konsol Google Cloud , buka halaman Organization policies.

    Buka Organization policies

  2. Dari pemilih project, pilih project yang ingin Anda tetapkan kebijakan organisasinya.
  3. Klik Custom constraint.
  4. Di kotak Display name, masukkan nama yang dapat dibaca manusia untuk batasan. Nama ini digunakan dalam pesan error dan dapat digunakan untuk identifikasi dan proses debug. Jangan menggunakan PII atau data sensitif dalam nama tampilan karena nama ini dapat terekspos dalam pesan error. Kolom ini dapat berisi hingga 200 karakter.
  5. Di kotak Constraint ID, masukkan nama yang diinginkan untuk batasan kustom baru. Batasan kustom hanya boleh berisi huruf (termasuk huruf besar dan huruf kecil) atau angka, misalnya custom.disableGkeAutoUpgrade. Kolom ini dapat berisi hingga 70 karakter, tidak termasuk imbuhan (custom.), misalnya, organizations/123456789/customConstraints/custom. Jangan sertakan PII atau data sensitif dalam ID batasan Anda, karena dapat terekspos dalam pesan error.
  6. Di kotak Description, masukkan deskripsi batasan yang dapat dibaca manusia. Deskripsi ini digunakan sebagai pesan error saat kebijakan dilanggar. Sertakan detail tentang alasan pelanggaran kebijakan dapat terjadi dan cara menyelesaikan pelanggaran kebijakan tersebut. Jangan sertakan PII atau data sensitif dalam deskripsi Anda, karena dapat terekspos dalam pesan error. Kolom ini dapat berisi hingga 2.000 karakter.
  7. Di kotak Resource type, pilih nama resource REST Google Cloud yang berisi objek dan kolom yang ingin Anda batasi—misalnya, container.googleapis.com/NodePool. Sebagian besar jenis resource mendukung hingga 20 batasan kustom. Jika Anda mencoba membuat lebih banyak batasan kustom, operasi akan gagal.
  8. Di bagian Enforcement method, pilih apakah akan menerapkan batasan pada metode CREATE atau pada metode CREATE dan UPDATE. Jika Anda menerapkan batasan dengan metode UPDATE pada resource yang melanggar batasan, perubahan pada resource tersebut akan diblokir oleh kebijakan organisasi kecuali jika perubahan tersebut menyelesaikan pelanggaran.

    9. Tidak semua layanan Google Cloud mendukung kedua metode tersebut. Untuk melihat metode yang didukung untuk setiap layanan, temukan layanan di Layanan yang didukung.

  9. Untuk menentukan kondisi, klik Edit condition.
    1. Di panel Add condition, buat kondisi CEL yang mengacu pada resource layanan yang didukung, misalnya resource.management.autoUpgrade == false. Kolom ini dapat berisi hingga 1.000 karakter. Untuk mengetahui detail tentang penggunaan CEL, lihat Common Expression Language. Untuk mengetahui informasi selengkapnya tentang resource layanan yang dapat Anda gunakan dalam batasan kustom, lihat Layanan yang didukung batasan kustom.
    2. Klik Save.
  10. Di bagian Action, pilih apakah akan mengizinkan atau menolak metode yang dievaluasi jika kondisi di atas terpenuhi.

    11. Tindakan penolakan berarti operasi untuk membuat atau memperbarui resource diblokir jika kondisi bernilai benar.

    Tindakan izinkan berarti operasi untuk membuat atau memperbarui resource hanya diizinkan jika kondisi bernilai benar. Setiap kasus lainnya, kecuali yang tercantum secara eksplisit dalam kondisi, akan diblokir.

  11. Klik Create constraint.

    12. Setelah Anda memasukkan nilai ke setiap kolom, konfigurasi YAML yang setara untuk batasan kustom ini akan muncul di sebelah kanan.

gcloud

  1. Untuk membuat batasan kustom, buat file YAML menggunakan format berikut: 
    2.       name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
      resourceTypes:
      - RESOURCE_NAME
      methodTypes:
      - CREATE
      condition: "CONDITION"
      actionType: ACTION
      displayName: DISPLAY_NAME
      description: DESCRIPTION

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Anda, seperti 123456789.
    • CONSTRAINT_NAME: nama yang Anda inginkan untuk batasan kustom baru Anda. Batasan kustom hanya boleh berisi huruf (termasuk huruf besar dan huruf kecil) atau angka, misalnya, custom.allowEmailLinkLogin. Kolom ini dapat berisi hingga 70 karakter.
    • RESOURCE_NAME: nama resource Google Cloudyang sepenuhnya memenuhi syarat, yang berisi objek dan kolom yang ingin Anda batasi. Contoh, identitytoolkit.googleapis.com/Config.
    • CONDITION: Kondisi CEL yang ditulis berdasarkan representasi resource layanan yang didukung. Kolom ini dapat berisi hingga 1.000 karakter. Contoh, "resource.signIn.email.passwordRequired == true".

      • Untuk mengetahui informasi selengkapnya tentang resource yang tersedia untuk menulis kondisi, lihat Resource yang didukung.

    • ACTION: tindakan yang akan diambil jika condition terpenuhi. Hanya dapat berupa ALLOW.

      • Tindakan izinkan berarti jika kondisi bernilai benar, operasi untuk membuat atau memperbarui resource diizinkan. Artinya juga bahwa setiap kasus lain kecuali yang tercantum secara eksplisit dalam kondisi diblokir.

    • DISPLAY_NAME: nama yang mudah dipahami manusia untuk batasan tersebut. Kolom ini dapat berisi hingga 200 karakter.
    • DESCRIPTION: deskripsi batasan yang mudah dipahami manusia untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini dapat berisi hingga 2.000 karakter.
  2. Setelah membuat file YAML untuk batasan kustom baru, Anda harus menyiapkannya agar tersedia untuk kebijakan organisasi di organisasi Anda. Untuk menyiapkan batasan kustom, gunakan perintah gcloud org-policies set-custom-constraint: 
    3.         gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    Ganti CONSTRAINT_PATH dengan jalur lengkap ke file batasan kustom Anda. Contoh, /home/user/customconstraint.yaml.

    Setelah operasi ini selesai, batasan kustom Anda tersedia sebagai kebijakan organisasi dalam daftar kebijakan organisasi Google Cloud .

  3. Untuk memverifikasi ada tidaknya batasan kustom, gunakan perintah gcloud org-policies list-custom-constraints: 
    4.       gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    Ganti ORGANIZATION_ID dengan ID resource organisasi Anda.

    Untuk mengetahui informasi selengkapnya, lihat Melihat kebijakan organisasi.

Menerapkan kebijakan organisasi kustom

Anda dapat menerapkan batasan dengan membuat kebijakan organisasi yang mereferensikannya, lalu menerapkan kebijakan organisasi tersebut ke resource Google Cloud .

Konsol

  1. Di konsol Google Cloud , buka halaman Organization policies.

    Buka Organization policies

  2. Dari pemilih project, pilih project yang ingin Anda tetapkan kebijakan organisasinya.
  3. Dari daftar di halaman Organization policies, pilih batasan Anda untuk melihat halaman Policy details untuk batasan tersebut.
  4. Guna mengonfigurasi kebijakan organisasi untuk resource ini, klik Manage policy.
  5. Di halaman Edit policy, pilih Override parent's policy.
  6. Klik Add a rule.
  7. Di bagian Enforcement, pilih apakah kebijakan organisasi ini diterapkan atau tidak.
  8. Opsional: Agar kebijakan organisasi menjadi bersyarat pada tag, klik Add condition. Perhatikan bahwa jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui informasi selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.
  9. Klik Test changes untuk menyimulasikan efek kebijakan organisasi. Untuk mengetahui informasi selengkapnya, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
  10. Untuk menerapkan kebijakan organisasi dalam mode uji coba, klik Set dry run policy. Untuk informasi selengkapnya, lihat Membuat kebijakan organisasi dalam mode uji coba.
  11. Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi sebagaimana mestinya, tetapkan kebijakan aktif dengan mengklik Set policy.

gcloud

  1. Untuk membuat kebijakan organisasi dengan aturan boolean, buat file YAML kebijakan yang mereferensikan batasan: 
    2.         name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
        spec:
          rules:
          - enforce: true
        
        dryRunSpec:
          rules:
          - enforce: true

    Ganti kode berikut:

    • PROJECT_ID: project tempat Anda ingin menerapkan batasan Anda.
    • CONSTRAINT_NAME: nama yang Anda tentukan untuk batasan kustom. Contoh, custom.allowEmailLinkLogin.
  2. Untuk menerapkan kebijakan organisasi dalam mode uji coba, jalankan perintah berikut dengan tanda dryRunSpec: 
    3.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=dryRunSpec

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

  3. Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi sebagaimana mestinya, tetapkan kebijakan aktif dengan perintah org-policies set-policy dan tanda spec: 
    4.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=spec

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

Menguji kebijakan organisasi kustom

Untuk menguji kebijakan organisasi kustom, coba aktifkan multi-tenancy untuk project:

curl -i -X PATCH \
-H 'Content-Type: application/json' \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-d '
{
  "sign_in": {"email": {"password_required": false}}
}' https://autopush-identitytoolkit.sandbox.googleapis.com/admin/v2/projects/shimingz-playground-1/config\?update_mask\=sign_in.email.password_required

Outputnya akan seperti berikut:

Operation denied by custom org policies: ["customConstraints/custom.allowEmailLinkLogin": "Cannot disable email link login."]

Resource dan operasi yang didukung Identity Platform

Identity Platform mendukung resource berikut untuk kebijakan organisasi kustom:

Kolom yang tidak didukung

Kolom berikut tidak didukung karena berkaitan dengan keamanan resource Anda:

  • identitytoolkit.googleapis.com/Config:
    • resource.notification.send_email.smtp.password
  • identitytoolkit.googleapis.com/DefaultSupportedIdpConfig:
    • resource.client_secret
  • identitytoolkit.googleapis.com/OauthIdpConfig:
    • resource.client_secret

Contoh kebijakan organisasi kustom untuk kasus penggunaan umum

Tabel berikut memberikan sintaksis beberapa kebijakan organisasi kustom yang mungkin berguna bagi Anda:

Deskripsi Sintaksis batasan
Jangan nonaktifkan login email untuk aplikasi 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableEmailLogin
    resourceTypes:
    - identitytoolkit.googleapis.com/Config
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.signIn.email.enabled == true"
    actionType: ALLOW
    displayName: Enable email login
    description: All applications must have email login enabled.
Hanya izinkan login dengan Google menggunakan client ID Google tertentu 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyUnexpectedGoogleClientId
    resourceTypes:
    - identitytoolkit.googleapis.com/DefaultSupportedIdpConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.name.contains('google.com') && !resource.client_id == 'my-client-id'"
    actionType: DENY
    displayName: Only allow login with Google with specific Google client ID
    description: Only allow login with Google with specific Google client ID for all applications.
Hanya mengizinkan entity SAML tertentu 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowSpecificSamlEntity
    resourceTypes:
    - identitytoolkit.googleapis.com/InboundSamlConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.idp_config.idp_entity_id == 'my-saml-entity-id'"
    actionType: ALLOW
    displayName: Only allow a specific SAML entity
    description: Only allow a specific SAML entity for applications in this organization.
Mengizinkan IdP OIDC dengan alur kode 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowOauthIdpWithCodeFlow
    resourceTypes:
    - identitytoolkit.googleapis.com/OauthIdpConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.response_type.code == true"
    actionType: ALLOW
    displayName: Allow OIDC IdP with code flow
    description: All OIDC IdP must use code flow.
Izinkan wilayah SMS di Amerika Serikat 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowSmsRegion
    resourceTypes:
    - identitytoolkit.googleapis.com/Tenant
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.sms_region_config.allow_by_default.disallowed_regions.exists(disallowed_region, disallowed_region != 'US')"
    actionType: DENY
    displayName: Allow SMS region in US
    description: Only allow SMS to be operated in the US for all applications.

Langkah berikutnya