このページでは、組織のポリシー サービスのカスタム制約を使用して、次の Google Cloud リソースに対する特定のオペレーションを制限する方法について説明します。
config.googleapis.com/Deploymentconfig.googleapis.com/Preview
組織のポリシーの詳細については、カスタムの組織のポリシーをご覧ください。
組織のポリシーと制約について
Google Cloud 組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソース階層内のGoogle Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。
組織のポリシーを利用することで、あらかじめ用意されたマネージド制約をさまざまな Google Cloud サービスに適用できます。ただし、組織のポリシーで制限されている特定の項目をより細かくカスタマイズして制御したい場合は、カスタム制約を作成して、それを組織のポリシーで使うこともできます。
ポリシーの継承
デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。
始める前に
- アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、実際のシナリオで Google プロダクトのパフォーマンスを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Google Cloud CLI をインストールします。
-
外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。
-
gcloud CLI を初期化するには、次のコマンドを実行します:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Google Cloud CLI をインストールします。
-
外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。
-
gcloud CLI を初期化するには、次のコマンドを実行します:
gcloud init - 組織 ID を確認します。 組織 ID。
必要なロール
組織のポリシーを管理するために必要な権限を取得するには、次の IAM ロールを付与するように管理者に依頼してください。
-
組織のポリシー管理者 (
roles/orgpolicy.policyAdmin)組織リソースに対する -
デプロイまたはプレビュー デプロイを作成または更新するには:
Infra Manager 管理者 (
roles/config.admin) プロジェクト リソースに対する
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、組織のポリシーの管理に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
組織のポリシーを管理するには、次の権限が必要です。
-
orgpolicy.*組織リソースに対する -
デプロイまたはプレビュー デプロイを作成または更新するには:
-
config.deployments.createプロジェクト リソースに対する -
プロジェクト リソースに対する
config.deployments.update -
プロジェクト リソースに対する
config.previews.create
-
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
カスタム制約を設定する
カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language(CEL)を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。
コンソール
カスタム制約を作成する手順は次のとおりです。
- Google Cloud コンソールで [組織のポリシー] ページに移動します。
- プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
- [ カスタム制約] をクリックします。
- [表示名] ボックスに、人が読める形式で制約の名前を入力します。この名前は エラー メッセージで使用されるほか、識別やデバッグにも使用できます。エラー メッセージで公開される可能性があるため、表示名に個人情報(PII)やセンシティブ データを使用しないでください。このフィールドには、最大 200 文字まで入力できます。
-
[**制約 ID**] ボックスに、新しいカスタム
制約の ID を入力します。カスタム制約の名前に使用できるのは、英字(大文字と小文字)と
数字のみです(例:
CONSTRAINT_NAME)。このフィールドには、接頭辞(custom.)を除き、最大 70 文字まで入力できます(例:organizations/123456789/customConstraints/custom)。エラー メッセージで公開される可能性があるため、制約 ID に個人情報(PII)や機密データを含めないでください。 - [説明] ボックスに、人が読める形式で制約の説明を入力します。この説明は、ポリシー違反の際にエラー メッセージとして使用されます。ポリシー違反が発生した理由と、ポリシー違反を解決する方法に関する詳細を含めてください。エラー メッセージで公開される可能性があるため、説明に個人情報(PII)や機密データを含めないでください。 このフィールドには、最大 2,000 文字まで入力できます。
-
[リソースの種類] ボックスで、制限するオブジェクトとフィールドを含む Google Cloud REST リソースの名前を選択します(例:
container.googleapis.com/NodePool)。ほとんどの種類のリソースは、最大 20 個のカスタム制約をサポートしています。これより多くのカスタム制約を作成しようとすると、オペレーションは失敗します。 -
[適用方法] で、REST
CREATEメソッドに制約を適用するか、CREATEメソッドとUPDATEメソッドの両方に制約を適用するかを選択します。制約に違反するリソースに対するUPDATEメソッドに制約を適用した場合、そのリソースへの変更は、違反を解決するものでない限り、 組織のポリシーによってブロックされます。 - 条件を定義するには、 [Edit condition] をクリックします。
-
[条件を追加] パネルで、サポートされているサービス リソースを参照する CEL 条件を作成します(例:
resource.management.autoUpgrade == false)。このフィールドには、最大 1,000 文字まで入力できます。CEL の使用方法の詳細については、Common Expression Language をご覧ください。 カスタム制約で使用できるサービス リソースの詳細については、カスタム制約のサポート サービスをご覧ください。 - [保存] をクリックします。
- [アクション] で、条件が満たされた場合に評価対象のメソッドを許可するか拒否するかを選択します。
- [制約を作成] をクリックします。
各サービスでサポートされているメソッドを確認するには、 カスタム制約をサポートするサービスをご覧ください。
拒否アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションがブロックされることを意味します。
許可アクションは、条件が true と評価された場合にのみ、リソースを作成または更新するオペレーションが許可されることを意味します。条件に明記されているケースを除き、他のケースはすべてブロックされます。
各フィールドに値を入力すると、このカスタム制約に対応する YAML 構成が右側に表示されます。
gcloud
- カスタム制約を作成するには、次の形式で YAML ファイルを作成します。
-
ORGANIZATION_ID: 組織 ID(例:123456789)。 -
CONSTRAINT_NAME: 新しいカスタム制約の名前。カスタム制約の名前に使用できるのは、英字(大文字と小文字) または数字のみです(例:CONSTRAINT_NAME)。このフィールドには、接頭辞(custom.)を除き、最大 70 文字まで入力できます(例:organizations/123456789/customConstraints/custom)。エラー メッセージで公開される可能性があるため、制約 ID に個人情報(PII)やセンシティブ データを含めないでください。 -
RESOURCE_NAME: 制限するオブジェクトとフィールドを含む Google Cloud リソースの完全修飾名。たとえば、config.googleapis.com/Deploymentのようにします。ほとんどの種類のリソースは、最大 20 個のカスタム 制約をサポートしています。これより多くのカスタム制約を作成しようとすると、オペレーションは失敗します。 -
methodTypes: 制約が適用される REST メソッド。CREATEまたはCREATEとUPDATEの両方にできます。制約に違反するリソースに対するUPDATEメソッドに制約を適用した場合、そのリソースへの変更は、違反を解決するものでない限り、組織のポリシーによってブロックされます。 -
CONDITION: サポート対象のサービス リソースの表現に対して記述する CEL 条件。このフィールドには、最大 1,000 文字まで入力できます。例:resource.importExistingResources == true。 -
ACTION:conditionが満たされた場合に実行するアクション。 有効な値はALLOWとDENYです。 -
DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。この名前 はエラー メッセージで使用されるほか、識別やデバッグにも使用できます。エラー メッセージで公開される可能性があるため、表示名に個人情報(PII)やセンシティブ データを使用しないでください。このフィールドには、最大 200 文字まで入力できます。 -
DESCRIPTION: ポリシー違反の際にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドには、最大 2,000 文字まで入力できます。 -
新しいカスタム制約の YAML ファイルを作成したら、組織内で組織のポリシーとして使用できるように設定する必要があります。カスタム制約を設定するには、
gcloud org-policies set-custom-constraintコマンドを使用します。 -
カスタム制約が存在することを確認するには、
gcloud org-policies list-custom-constraintsコマンドを使用します。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resourceTypes: RESOURCE_NAME methodTypes: - CREATE
- UPDATE condition: "CONDITION" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION
次のように置き換えます。
各サービスでサポートされているメソッドを確認するには、 カスタム制約をサポートするサービスをご覧ください。
条件を記述できるリソースの詳細については、サポートされているリソースをご覧ください。
許可アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションが許可されることを意味します。つまり、条件に明記されているケース以外はすべてブロックされます。
拒否アクションは、条件が true と評価された場合に、リソースを作成または 更新するオペレーションがブロックされることを意味します。
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH は、カスタム制約ファイルのフルパスに置き換えます。例: /home/user/customconstraint.yaml。
この操作が完了すると、カスタム制約が Google Cloud の組織ポリシーのリストに表示され、組織のポリシーとして使用できるようになります。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID は組織リソースの ID に置き換えます。
詳細については、組織のポリシーの表示をご覧ください。
カスタムの組織のポリシーを適用する
制約を適用するには、それを参照する組織のポリシーを作成し、その組織のポリシーを Google Cloud リソースに適用します。コンソール
- Google Cloud コンソールで [組織のポリシー] ページに移動します。
- プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
- [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
- このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
- [ポリシーの編集] ページで、[Override parent's policy] を選択します。
- [ルールを追加] をクリックします。
- [適用] セクションで、この組織のポリシーを適用するかどうかを選択します。
- 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、 タグを使用して組織のポリシーのスコープを設定するをご覧ください。
- 組織のポリシーを完成させて適用するには、[ポリシーを設定] をクリックします。ポリシーが有効になるまでに最大 15 分かかります。
gcloud
- ブール値のルールを含む組織のポリシーを作成するには、制約を参照するポリシーの YAML ファイルを作成します。
-
PROJECT_ID: 制約を適用するプロジェクト。 -
CONSTRAINT_NAME: 適用する制約の名前。例:CONSTRAINT_NAME - 制約を含む組織のポリシーを適用するには、次のコマンドを実行します。
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
次のように置き換えます。
gcloud org-policies set-policy POLICY_PATH
POLICY_PATH は、組織のポリシーの YAML ファイルのフルパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。
カスタム組織のポリシーをテストする
次の例では、新しいデプロイで既存のリソースをインポートすることを禁止するカスタム制約とポリシーを作成します。
始める前に、次の対象を把握しておく必要があります。
- 組織の ID
- プロジェクト ID
制約を作成する
カスタム制約を作成する手順は次のとおりです。
次の YAML ファイルを作成して
constraint-import-resources.yamlとして保存します。name: organizations/ORGANIZATION_ID/customConstraints/custom.disallowImportExistingResources resourceTypes: - config.googleapis.com/Deployment methodTypes: - CREATE condition: "resource.importExistingResources == true" actionType: DENY displayName: Reject existing resources description: New deployments disallow the import of existing resources.ORGANIZATION_IDは、実際の組織 ID に置き換えます。これにより、新しいデプロイの作成時に既存のリソースをインポートできないようにする制約が定義されます。
制約を適用します。
gcloud org-policies set-custom-constraint ~/constraint-import-resources制約が存在することを確認します。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID出力は次のようになります。
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.disallowImportExistingResources DENY CREATE config.googleapis.com/Deployment Reject existing resources ...
ポリシーを作成する
次に、ポリシーを作成し、作成したカスタム制約に適用します。
次のファイルに
policy-enforce-import-constraint.yamlという名前を付けて保存します。name: projects/PROJECT_ID/policies/custom.disallowImportExistingResources spec: rules: - enforce: truePROJECT_IDは、実際のプロジェクト ID に置き換えます。ポリシーを適用します。
gcloud org-policies set-policy ~/policy-enforce-import-constraint.yamlポリシーが存在することを確認します。
gcloud org-policies list --project=PROJECT_ID出力は次のようになります。
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.disallowImportExistingResources - SET COCsm5QGENiXi2E=
ポリシーを適用したら、 Google Cloud がポリシーの適用を開始するまで 2 分ほど待ちます。
ポリシーのテスト
プロジェクトで既存のリソースをインポートする Infra Manager デプロイを作成してみます。
gcloud infra-manager deployments apply projects/PROJECT_ID/locations/us-central1/deployments/quickstart-deployment \
--service-account=projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
--git-source-repo=https://github.com/terraform-google-modules/terraform-google-network \
--git-source-directory=modules/vpc \
--git-source-ref=main \
--input-values=project_id=PROJECT_ID,network_name=quickstart-vpc
次のような出力が表示されます。
Operation denied by custom org policies: ["customConstraints/custom.disallowImportExistingResources": "New deployments disallow the import of existing resources."]
一般的なユースケースのカスタム組織ポリシーの例
次の表では一般的なカスタム制約の構文例をまとめています。
| 説明 | 制約の構文 |
|---|---|
| 新しいデプロイで既存のリソースをインポートしないようにする |
name: organizations/ORGANIZATION_ID/customConstraints/custom.disallowImportExistingResources resourceTypes: ‐ config.googleapis.com/Deployment methodTypes: ‐ CREATE condition: "resource.importExistingResources == true" actionType: DENY displayName: Reject existing resources description: New deployments disallow the import of existing resources |
Infrastructure Manager でサポートされているリソース
次の表に、カスタム制約で参照できる Infrastructure Manager リソースを示します。| リソース | フィールド |
|---|---|
| config.googleapis.com/Deployment |
resource.artifactsGcsBucket
|
resource.importExistingResources
| |
resource.name
| |
resource.quotaValidation
| |
resource.serviceAccount
| |
resource.terraformBlueprint.gcsSource
| |
resource.terraformBlueprint.gitSource.directory
| |
resource.terraformBlueprint.gitSource.ref
| |
resource.terraformBlueprint.gitSource.repo
| |
resource.terraformBlueprint.inputValues[*].inputValue
| |
resource.tfVersionConstraint
| |
resource.workerPool
| |
| config.googleapis.com/Preview |
resource.artifactsGcsBucket
|
resource.deployment
| |
resource.name
| |
resource.previewMode
| |
resource.serviceAccount
| |
resource.terraformBlueprint.gcsSource
| |
resource.terraformBlueprint.gitSource.directory
| |
resource.terraformBlueprint.gitSource.ref
| |
resource.terraformBlueprint.gitSource.repo
| |
resource.terraformBlueprint.inputValues[*].inputValue
| |
resource.tfVersionConstraint
| |
resource.workerPool
|
次のステップ
- 組織のポリシー サービスについて詳細を学習する。
- 組織のポリシーの作成と管理の方法について学習する。
- マネージドの組織のポリシーの制約全一覧を参照する。