Mengelola resource Memorystore for Redis Cluster dengan batasan kustom

Google Cloud Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource organisasi. Sebagai administrator kebijakan organisasi, Anda dapat menentukan kebijakan organisasi, yang merupakan serangkaian batasan yang berlaku untuk Google Cloud resource dan turunan dari resource tersebut dalam hierarki resourceGoogle Cloud . Anda dapat menerapkan kebijakan organisasi di level organisasi, folder, atau project.

Kebijakan Organisasi menyediakan batasan yang telah ditetapkan untuk berbagaiGoogle Cloud layanan. Namun, jika menginginkan kontrol yang lebih terperinci dan dapat disesuaikan atas kolom tertentu yang dibatasi dalam kebijakan organisasi, Anda juga dapat membuat kebijakan organisasi kustom

Dengan menerapkan kebijakan organisasi kustom, Anda dapat menerapkan konfigurasi dan batasan yang konsisten. Hal ini memastikan bahwa instance Memorystore for Redis Cluster Anda mematuhi praktik terbaik keamanan dan persyaratan peraturan.

Manfaat

Anda dapat menggunakan kebijakan organisasi kustom untuk mengizinkan atau menolak resource Memorystore for Redis Cluster tertentu. Misalnya, jika permintaan untuk membuat atau mengupdate cluster Redis gagal memenuhi validasi batasan kustom sebagaimana ditetapkan oleh kebijakan organisasi Anda, permintaan akan gagal dan pemanggil akan melihat error.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada folder, Google Cloud akan menerapkan kebijakan tersebut pada semua project di folder tersebut. Untuk mempelajari lebih lanjut perilaku ini dan cara mengubahnya, lihat Aturan evaluasi hierarki.

Harga

Layanan Kebijakan Organisasi, termasuk kebijakan organisasi yang telah ditetapkan dan kustom, ditawarkan tanpa biaya.

Batasan

Seperti semua batasan kebijakan organisasi, perubahan kebijakan tidak berlaku surut pada instance yang ada.

  • Kebijakan baru tidak akan memengaruhi konfigurasi instance yang ada.
  • Konfigurasi instance yang ada tetap valid, kecuali jika Anda mengubah konfigurasi instance dari status kepatuhan menjadi ketidakpatuhan menggunakan konsolGoogle Cloud , Google Cloud CLI, atau RPC.
  • Update pemeliharaan terjadwal tidak menyebabkan penegakan kebijakan, karena pemeliharaan tidak mengubah konfigurasi instance.

Sebelum memulai

  1. Siapkan project Anda.
    1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. Instal Google Cloud CLI.

    5. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

    6. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

      gcloud init

    7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    8. Verify that billing is enabled for your Google Cloud project.

    9. Instal Google Cloud CLI.

    10. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

    11. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

      gcloud init
    12. Pastikan Anda mengetahui ID organisasi Anda.

Peran yang diperlukan

Guna mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Organization policy administrator (roles/orgpolicy.policyAdmin) di resource organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Anda juga perlu menambahkan peran yang diperlukan untuk membuat Memorystore for Redis Cluster ke akun pengguna Anda. Lihat Mengonfigurasi akses ke resource Memorystore for Redis Cluster.

Membuat batasan kustom

Anda dapat membuat batasan kustom dengan menggunakan file YAML untuk menentukan resource, metode, kondisi, dan tindakan yang tunduk pada batasan. Kebijakan ini khusus untuk layanan tempat Anda menerapkan kebijakan organisasi. Kondisi untuk batasan kustom Anda harus ditentukan menggunakan Common Expression Language. Lihat halaman GitHub tentang Common Expression Language (CEL). Untuk mengetahui informasi selengkapnya tentang cara membuat kondisi dalam batasan kustom menggunakan CEL, lihat bagian CEL tentang Membuat dan mengelola batasan kustom.

Gunakan template berikut untuk membuat file YAML untuk batasan kustom:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- redis.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda, seperti 123456789.

  • CONSTRAINT_NAME: nama yang diinginkan untuk batasan khusus baru Anda. Batasan khusus harus dimulai dengan custom., dan hanya boleh meliputi huruf besar, huruf kecil, atau angka, misalnya, custom.restrictFiveShardClusters. Panjang maksimum kolom ini adalah 70 karakter, tidak termasuk awalan, misalnya, organizations/123456789/customConstraints/custom.allowConstraint.

  • RESOURCE_NAME: nama (bukan URI) resource Memorystore for Redis Cluster yang berisi objek dan kolom yang ingin Anda batasi. Misalnya, redis.googleapis.com/Cluster.

  • CONDITION: Kondisi CEL yang ditulis berdasarkan representasi resource layanan yang didukung. Kolom ini memiliki panjang maksimum 1.000 karakter. Lihat Resource yang didukung untuk mengetahui informasi selengkapnya tentang resource yang tersedia untuk menulis kondisi. Misalnya, "resource.shardCount == 5".

  • ACTION: tindakan yang akan diambil jika condition terpenuhi. Ini dapat berupa ALLOW atau DENY.

  • DISPLAY_NAME: nama yang mudah dibaca manusia untuk batasan. Kolom ini memiliki panjang maksimum 200 karakter.

  • DESCRIPTION: deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimum 2.000 karakter.

Untuk mengetahui informasi selengkapnya tentang cara membuat batasan kustom, lihat Membuat dan mengelola kebijakan organisasi kustom.

Menyiapkan batasan kustom

Setelah membuat file YAML untuk batasan kustom baru, Anda harus menyiapkannya agar tersedia untuk kebijakan organisasi di organisasi Anda.

Untuk menyiapkan batasan kustom, gunakan perintah gcloud org-policies set-custom-constraint:

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

Ganti CONSTRAINT_PATH dengan jalur lengkap ke file batasan kustom Anda. Contoh, /home/user/customconstraint.yaml. Setelah Anda menyiapkan batasan kustom, batasan tersebut akan tersedia sebagai kebijakan organisasi dalam daftar Google Cloud kebijakan organisasi.

Untuk memverifikasi bahwa ada batasan kustom, gunakan perintah gcloud org-policies list-custom-constraints:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID resource organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Melihat kebijakan organisasi.

Menerapkan kebijakan organisasi kustom

Anda dapat menerapkan batasan dengan membuat kebijakan organisasi yang mereferensikannya, lalu menerapkan kebijakan organisasi tersebut ke resource Google Cloud .

Konsol

  1. Di konsol Google Cloud , buka halaman Organization policies.

    Buka Organization policies

  2. Dari pemilih project, pilih project yang ingin Anda tetapkan kebijakan organisasinya.
  3. Dari daftar di halaman Organization policies, pilih batasan Anda untuk melihat halaman Policy details untuk batasan tersebut.
  4. Guna mengonfigurasi kebijakan organisasi untuk resource ini, klik Manage policy.
  5. Di halaman Edit policy, pilih Override parent's policy.
  6. Klik Add a rule.
  7. Di bagian Enforcement, pilih apakah kebijakan organisasi ini diterapkan atau tidak.
  8. Opsional: Agar kebijakan organisasi menjadi bersyarat pada tag, klik Add condition. Perhatikan bahwa jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui informasi selengkapnya, lihat Mencakup kebijakan organisasi dengan tag.
  9. Klik Test changes untuk menyimulasikan efek kebijakan organisasi. Untuk mengetahui informasi selengkapnya, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
  10. Untuk menerapkan kebijakan organisasi dalam mode uji coba, klik Set dry run policy. Untuk informasi selengkapnya, lihat Menguji kebijakan organisasi.
  11. Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi sebagaimana mestinya, tetapkan kebijakan aktif dengan mengklik Set policy.

gcloud

  1. Untuk membuat kebijakan organisasi dengan aturan boolean, buat file YAML kebijakan yang mereferensikan batasan: 
    2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

    Ganti kode berikut:

    • PROJECT_ID: project tempat Anda ingin menerapkan batasan Anda.
    • CONSTRAINT_NAME: nama yang Anda tentukan untuk batasan kustom. Contoh, custom.restrictFiveShardClusters.
  2. Untuk menerapkan kebijakan organisasi dalam mode uji coba, jalankan perintah berikut dengan tanda dryRunSpec: 
    3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

  3. Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi sebagaimana mestinya, tetapkan kebijakan aktif dengan perintah org-policies set-policy dan tanda spec: 
    4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

Menguji batasan kustom

Untuk menguji batasan kustom, jalankan perintah gcloud yang mencoba membuat cluster Redis.

Misalnya, anggaplah batasan membatasi pembuatan cluster Redis dengan lima shard. Anda dapat menguji batasan ini dengan menjalankan perintah gcloud redis clusters create dengan shard-count yang ditetapkan ke 5 seperti yang ditunjukkan dalam cuplikan berikut:


gcloud redis clusters create redis-cluster-test \
    --replica-count=0 \
    --region=us-east1 \
    --project=my-project \
    --network=projects/my-project/global/networks/default \
    --node-type=redis-shared-core-nano
    --shard-count=5 \

Outputnya mirip dengan hal berikut ini:

Operation denied by custom org policies: ["customConstraints/custom.restrictFiveShardClusters": "Prevent users from creating Redis clusters with five shards."]

Operasi dan resource yang didukung Memorystore for Redis Cluster

Kolom batasan kustom Memorystore for Redis Cluster berikut tersedia untuk digunakan saat Anda membuat atau memperbarui resource Memorystore for Redis Cluster.

  • Cluster Memorystore for Redis Cluster
    • resource.authorizationMode
    • resource.deletionProtectionEnabled
    • resource.name
    • resource.nodeType
    • resource.persistenceConfig.aofConfig.appendFsync
    • resource.persistenceConfig.mode
    • resource.persistenceConfig.rdbConfig.rdbSnapshotPeriod
    • resource.persistenceConfig.rdbConfig.rdbSnapshotStartTime
    • resource.pscConfigs.network
    • resource.redisConfigs
    • resource.replicaCount
    • resource.shardCount
    • resource.transitEncryptionMode

Contoh batasan kustom

Tabel berikut memberikan contoh batasan kustom yang membatasi cluster Redis dengan lima shard:

Deskripsi Sintaksis batasan
Membatasi cluster Redis dengan lima shard 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictFiveShardClusters
    resourceTypes:
    - redis.googleapis.com/Cluster
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.shardCount == 5"
    actionType: DENY
    displayName: Restrict five shard Redis clusters
    description: Prevent users from creating Redis clusters with five shards.

Langkah berikutnya