カスタム組織ポリシーを使用する

Google Cloud 組織のポリシーを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソース階層内のGoogle Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。

組織のポリシーは、さまざまなGoogle Cloud サービスに事前に定義された制約を提供します。ただし、組織のポリシーで制限されている特定のフィールドをカスタマイズ可能な方法でより詳細に制御する必要がある場合は、カスタムの組織のポリシーを作成することもできます。

利点

カスタムの組織のポリシーを使用すると、アプリケーションのセキュリティ、コンプライアンス、ガバナンスの要件に応じて、Identity Platform リソースに対する特定のオペレーションを許可または拒否できます。たとえば、次のプロパティを制御できます。

  • 組織内のアプリでパスワード ログイン オプションを無効にして、常にメール ログイン オプションを使用するように設定できます。
  • 組織内のアプリケーションで、指定された発行元を持つ OIDC ID プロバイダ(IdP)を使用するように制限できます。
  • 組織内のアプリケーションに対して OIDC と SAML IdP のオプションを無効にできます。
  • 組織内のアプリケーションのマルチテナンシー オプションを無効にできます。

ポリシーの継承

デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。

料金

事前定義の組織のポリシーやカスタムの組織のポリシーを含む組織のポリシー サービスは料金なしで利用できます。

制限事項

プロジェクトで Identity Platform を有効にすると、Identity Platform はそのプロジェクトのデフォルト構成を作成します。プロジェクトの所有者は、プロジェクトが有効になるまで構成のデフォルト値を変更できません。プロジェクトを有効にする前にデフォルト値を変更すると、有効化が失敗する可能性があります。有効にした後に構成のデフォルト値を変更するには、updateConfig メソッドを使用します。

始める前に

  • アプリを Identity Platform に接続します。アプリを接続する手順については、クイックスタートをご覧ください。

  • 組織 ID を確認します。

必要なロール

組織のポリシーを管理するために必要な権限を取得するには、次の IAM ロールを付与するように管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには、組織のポリシーの管理に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

組織のポリシーを管理するには、次の権限が必要です。

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

カスタム制約を作成する

カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language(CEL)を使用して定義されます。 CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。

カスタム制約の YAML ファイルを作成するには:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- identitytoolkit.googleapis.com/RESOURCE_NAME
methodTypes: METHOD
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID(123456789 など)。

  • CONSTRAINT_NAME: 新しいカスタム制約に付ける名前。カスタム制約は custom. で始まる必要があり、大文字、小文字、数字のみを含めることができます(例: custom.allowEmailLinkLogin)。このフィールドの最大長は 70 文字です。接頭辞(例: organizations/123456789/customConstraints/custom)はカウントされません。

  • RESOURCE_NAME: 制限するオブジェクトとフィールドを含む Identity Platform API REST リソースの名前(URI ではない)。例: identitytoolkit.googleapis.com/Config

  • CONDITION: サポート対象のサービス リソースの表現に対して書き込まれる CEL 条件。このフィールドの最大長は 1,000 文字です。条件の書き込み先として使用できるリソースの詳細については、サポート対象のリソースをご覧ください。例: "resource.signIn.email.passwordRequired == true"

  • METHOD: 構成またはテナントの作成制約を作成する場合は、CREATE を指定します。構成またはテナントの UPDATE 制約を作成する場合は、次のように両方を指定します。

    methodTypes:
- CREATE
- UPDATE

  • ACTION: condition が満たされている場合に実行するアクション。ALLOW または DENY になります。

  • DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。このフィールドの最大長は 200 文字です。

  • DESCRIPTION: ポリシー違反時にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドの最大長は 2,000 文字です。

カスタム制約の作成方法については、カスタム制約の定義をご覧ください。

カスタム制約を設定する

コンソール

カスタム制約を作成する手順は次のとおりです。

  1. Google Cloud コンソールで [組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
  3. [ カスタム制約] をクリックします。
  4. [表示名] ボックスに、人が読める形式で制約の名前を入力します。この名前はエラー メッセージで使用されるほか、識別やデバッグにも使用できます。エラー メッセージで公開される可能性があるため、表示名に個人情報(PII)や機密データを使用しないでください。このフィールドには、最大 200 文字まで入力できます。
  5. [制約 ID] ボックスに、新しいカスタム制約の名前を入力します。カスタム制約の名前に使用できるのは、英字(大文字と小文字)と数字のみです(例: custom.disableGkeAutoUpgrade)。このフィールドには、接頭辞(custom.)を除き、最大 70 文字まで入力できます(例: organizations/123456789/customConstraints/custom)。エラー メッセージで公開される可能性があるため、制約 ID に個人情報(PII)や機密データを含めないでください。
  6. [説明] ボックスに、人が読める形式で制約の説明を入力します。この説明は、ポリシー違反の際にエラー メッセージとして使用されます。ポリシー違反が発生した理由と、ポリシー違反を解決する方法に関する詳細を含めてください。エラー メッセージで公開される可能性があるため、説明に個人情報(PII)や機密データを含めないでください。 このフィールドには、最大 2,000 文字まで入力できます。
  7. [リソースの種類] ボックスで、制限するオブジェクトとフィールドを含む Google Cloud REST リソースの名前を選択します(例: container.googleapis.com/NodePool)。ほとんどの種類のリソースは、最大 20 個のカスタム制約をサポートしています。これより多くのカスタム制約を作成しようとすると、オペレーションは失敗します。
  8. [適用方法] で、REST の CREATE メソッドに制約を適用するか、CREATE メソッドと UPDATE メソッドの両方に制約を適用するかを選択します。制約に違反するリソースに対する UPDATE メソッドに制約を適用した場合、そのリソースへの変更は、違反を解決するものでない限り、組織のポリシーによってブロックされます。

    9. すべての Google Cloud サービスで両方のメソッドがサポートされているわけではありません。各サービスでサポートされているメソッドを確認するには、サポートされているサービスをご覧ください。

  9. 条件を定義するには、[ 条件を編集] をクリックします。
    1. [条件を追加] パネルで、サポートされているサービス リソースを参照する CEL 条件を作成します(例: resource.management.autoUpgrade == false)。このフィールドには、最大 1,000 文字まで入力できます。CEL の使用方法の詳細については、Common Expression Language をご覧ください。 カスタム制約で使用できるサービス リソースの詳細については、カスタム制約のサポート サービスをご覧ください。
    2. [保存] をクリックします。
  10. [アクション] で、条件が満たされた場合に評価対象のメソッドを許可するか拒否するかを選択します。

    11. 拒否アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションがブロックされることを意味します。

    許可アクションは、条件が true と評価された場合にのみ、リソースを作成または更新するオペレーションが許可されることを意味します。条件に明記されているケースを除き、他のケースはすべてブロックされます。

  11. [制約を作成] をクリックします。

    12. 各フィールドに値を入力すると、このカスタム制約に対応する YAML 構成が右側に表示されます。

gcloud

  1. カスタム制約を作成するには、次の形式で YAML ファイルを作成します。 
    2.       name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
      resourceTypes:
      - RESOURCE_NAME
      methodTypes:
      - CREATE
      condition: "CONDITION"
      actionType: ACTION
      displayName: DISPLAY_NAME
      description: DESCRIPTION

    次のように置き換えます。

    • ORGANIZATION_ID: 組織 ID(例: 123456789)。
    • CONSTRAINT_NAME: 新しいカスタム制約の名前。カスタム制約の名前に使用できるのは、英字(大文字と小文字)と数字のみです(例: custom.allowEmailLinkLogin)。このフィールドには、最大 70 文字まで入力できます。
    • RESOURCE_NAME: 制限するオブジェクトとフィールドを含む Google Cloudリソースの完全修飾名。例: identitytoolkit.googleapis.com/Config
    • CONDITION: サポート対象のサービス リソースの表現に対して記述する CEL 条件。このフィールドには、最大 1,000 文字まで入力できます。例: "resource.signIn.email.passwordRequired == true"

      • 条件を記述できるリソースの詳細については、サポートされているリソースをご覧ください。

    • ACTION: condition が満たされている場合に実行するアクション。ALLOW のみを設定できます。

      • 許可アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションが許可されることを意味します。つまり、条件に明記されているケースを除き、他のケースはすべてブロックされます。

    • DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。このフィールドには、最大 200 文字まで入力できます。
    • DESCRIPTION: ポリシー違反の際にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドには、最大 2,000 文字まで入力できます。
  2. 新しいカスタム制約の YAML ファイルを作成したら、組織内で組織のポリシーとして使用できるように設定する必要があります。カスタム制約を設定するには、gcloud org-policies set-custom-constraint コマンドを使用します。 
    3.         gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    CONSTRAINT_PATH は、カスタム制約ファイルのフルパスに置き換えます。例: /home/user/customconstraint.yaml

    この操作が完了すると、カスタム制約が Google Cloud の組織ポリシーのリストに表示され、組織のポリシーとして使用できるようになります。

  3. カスタム制約が存在することを確認するには、gcloud org-policies list-custom-constraints コマンドを使用します。 
    4.       gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    ORGANIZATION_ID は組織リソースの ID に置き換えます。

    詳細については、組織のポリシーの表示をご覧ください。

カスタムの組織のポリシーを適用する

制約を適用するには、それを参照する組織のポリシーを作成し、その組織のポリシーを Google Cloud リソースに適用します。

コンソール

  1. Google Cloud コンソールで [組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
  3. [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
  4. このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
  5. [ポリシーの編集] ページで、[Override parent's policy] を選択します。
  6. [ルールを追加] をクリックします。
  7. [適用] セクションで、この組織のポリシーを適用するかどうかを選択します。
  8. 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグを使用した組織のポリシーの設定をご覧ください。
  9. [変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートします。詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
  10. ドライラン モードで組織のポリシーを適用するには、[ドライラン ポリシーを設定] をクリックします。詳細については、ドライラン モードで組織のポリシーを作成するをご覧ください。
  11. ドライラン モードで組織のポリシーが想定どおりに動作することを確認したら、[ポリシーを設定] をクリックして有効なポリシーを設定します。

gcloud

  1. ブール値のルールを含む組織のポリシーを作成するには、制約を参照するポリシーの YAML ファイルを作成します。
    2.         name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
        spec:
          rules:
          - enforce: true
        
        dryRunSpec:
          rules:
          - enforce: true

    次のように置き換えます。

    • PROJECT_ID: 制約を適用するプロジェクト。
    • CONSTRAINT_NAME: カスタム制約に定義した名前。例: custom.allowEmailLinkLogin
  2. ドライラン モードで組織のポリシーを適用するには、dryRunSpec フラグを指定して次のコマンドを実行します。 
    3.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=dryRunSpec

    POLICY_PATH は、組織のポリシーの YAML ファイルのフルパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。

  3. ドライラン モードで組織のポリシーが想定どおりに動作することを確認したら、org-policies set-policy コマンドと spec フラグを使用して有効なポリシーを設定します。 
    4.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=spec

    POLICY_PATH は、組織のポリシーの YAML ファイルのフルパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。

カスタム組織のポリシーをテストする

カスタム組織のポリシーをテストするには、プロジェクトのマルチテナンシーを有効にしてみます。

curl -i -X PATCH \
-H 'Content-Type: application/json' \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-d '
{
  "sign_in": {"email": {"password_required": false}}
}' https://autopush-identitytoolkit.sandbox.googleapis.com/admin/v2/projects/shimingz-playground-1/config\?update_mask\=sign_in.email.password_required

出力は次のようになります。

Operation denied by custom org policies: ["customConstraints/custom.allowEmailLinkLogin": "Cannot disable email link login."]

Identity Platform でサポートされているリソースとオペレーション

Identity Platform は、カスタム組織のポリシーで次のリソースをサポートしています。

サポートされていないフィールド

次のフィールドは、リソースのセキュリティに関連するため、サポートされていません。

  • identitytoolkit.googleapis.com/Config:
    • resource.notification.send_email.smtp.password
  • identitytoolkit.googleapis.com/DefaultSupportedIdpConfig:
    • resource.client_secret
  • identitytoolkit.googleapis.com/OauthIdpConfig:
    • resource.client_secret

一般的なユースケースのカスタム組織ポリシーの例

次の表では、実際に役に立つ可能性のあるカスタム組織ポリシーの構文を示します。

説明 制約の構文
アプリのメールによるログインは無効にしないでください 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableEmailLogin
    resourceTypes:
    - identitytoolkit.googleapis.com/Config
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.signIn.email.enabled == true"
    actionType: ALLOW
    displayName: Enable email login
    description: All applications must have email login enabled.
特定の Google クライアント ID による Google でのログインのみを許可します 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyUnexpectedGoogleClientId
    resourceTypes:
    - identitytoolkit.googleapis.com/DefaultSupportedIdpConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.name.contains('google.com') && !resource.client_id == 'my-client-id'"
    actionType: DENY
    displayName: Only allow login with Google with specific Google client ID
    description: Only allow login with Google with specific Google client ID for all applications.
特定の SAML エンティティのみを許可します 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowSpecificSamlEntity
    resourceTypes:
    - identitytoolkit.googleapis.com/InboundSamlConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.idp_config.idp_entity_id == 'my-saml-entity-id'"
    actionType: ALLOW
    displayName: Only allow a specific SAML entity
    description: Only allow a specific SAML entity for applications in this organization.
コードフローを使用した OIDC IdP を許可します 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowOauthIdpWithCodeFlow
    resourceTypes:
    - identitytoolkit.googleapis.com/OauthIdpConfig
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.response_type.code == true"
    actionType: ALLOW
    displayName: Allow OIDC IdP with code flow
    description: All OIDC IdP must use code flow.
米国で SMS リージョンを許可します 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowSmsRegion
    resourceTypes:
    - identitytoolkit.googleapis.com/Tenant
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.sms_region_config.allow_by_default.disallowed_regions.exists(disallowed_region, disallowed_region != 'US')"
    actionType: DENY
    displayName: Allow SMS region in US
    description: Only allow SMS to be operated in the US for all applications.

次のステップ