Evaluasi hierarki

Saat Anda menetapkan kebijakan organisasi pada resource, semua turunan resource tersebut akan mewarisi kebijakan organisasi secara default. Jika Anda menetapkan kebijakan organisasi pada resource organisasi, batasan tersebut akan diwarisi oleh semua resource turunan.

Anda dapat menetapkan kebijakan organisasi yang sama dengan konfigurasi yang berbeda pada resource turunan, yang akan mengganti atau menggabungkan dengan kebijakan yang diwariskan berdasarkan aturan evaluasi hierarki dan jenis batasan yang ditentukan dalam kebijakan organisasi.

Sebelum memulai

• Baca halaman Memahami batasan untuk mempelajari batasan.

• Baca ringkasan Layanan Kebijakan Organisasi untuk mempelajari cara kerja kebijakan organisasi.

Contoh hierarki

Dalam diagram hierarki resource berikut, setiap resource menetapkan kebijakan organisasi yang menerapkan batasan terkelola lama dan menentukan apakah kebijakan tersebut mewarisi kebijakan resource induknya. Bentuk berwarna mewakili nilai yang diizinkan atau ditolak oleh kebijakan organisasi.

Batasan adalah jenis pembatasan tertentu yang diterapkan pada Google Cloud layanan atau daftar layanan Google Cloud . Pada contoh sebelumnya, Batasan mewakili default batasan, yang menentukan perilaku saat batasan tidak ditentukan dalam kebijakan organisasi. Default batasan dalam contoh ini mengizinkan all_inclusive semua nilai. Node di bawahnya menentukan kebijakan organisasi yang mengganti default batasan dengan mengizinkan atau menolak nilai.

Kebijakan efektif pada setiap node dievaluasi berdasarkan aturan pewarisan. Jika kebijakan organisasi tidak ditetapkan, resource akan mewarisi perilaku batasan default. Jika Anda menetapkan kebijakan organisasi, kebijakan Anda akan digunakan. Pada contoh sebelumnya, Node Organisasi menentukan kebijakan yang mengizinkan square merah persegi dan circle hijau lingkaran.

Resource yang berada dalam hierarki di bawah Node Organisasi dievaluasi sebagai berikut:

1. Sumber Daya 1 menentukan kebijakan yang menetapkan inheritFromParent ke TRUE dan mengizinkan square berlian biru. Kebijakan dari Node Organisasi diwarisi dan digabungkan dengan kebijakan yang ditetapkan di Resource 1. Kebijakan efektif dievaluasi untuk mengizinkan square persegi merah, circle lingkaran hijau, dan square berlian biru.

2. Sumber Daya 2 menentukan kebijakan yang menetapkan inheritFromParent ke TRUE dan menolak circle hijau lingkaran. Nilai tolak selalu diutamakan selama rekonsiliasi kebijakan. Kebijakan dari Node Organisasi diwarisi dan digabungkan dengan kebijakan yang ditetapkan di Resource 2. Kebijakan efektif dievaluasi untuk hanya mengizinkan square merah persegi.

3. Sumber Daya 3 menentukan kebijakan yang menetapkan inheritFromParent ke FALSE dan mengizinkan hexagon segi enam kuning. Kebijakan dari Node Organisasi tidak diwarisi, sehingga kebijakan efektif dievaluasi untuk hanya mengizinkan hexagon segi enam kuning.

4. Resource 4 menentukan kebijakan yang menetapkan inheritFromParent ke FALSE dan menyertakan nilai restoreDefault. Kebijakan dari Node Organisasi tidak diwarisi, dan perilaku batasan default digunakan, sehingga kebijakan efektif dievaluasi untuk mengizinkan all_inclusive semua nilai.

Aturan evaluasi hierarki

Aturan berikut mengatur cara kebijakan organisasi dievaluasi pada resource tertentu. Anda memerlukan peran Administrator Kebijakan Organisasi untuk menetapkan kebijakan organisasi.

Batasan yang diterapkan secara otomatis

Jika kebijakan organisasi tidak diterapkan, kebijakan tersebut akan diwarisi dari ancestor terendahnya tempat kebijakan organisasi diterapkan. Jika tidak ada kebijakan organisasi yang diterapkan di mana pun dalam hierarki ancestor, perilaku default batasan yang dikelola Google akan diterapkan.

Jika perilaku default batasan kebijakan organisasi yang dikelola Google membatasi operasi, operasi tersebut akan dibatasi meskipun Anda tidak pernah menentukan kebijakan organisasi secara eksplisit. Untuk mengizinkan operasi tersebut, Anda harus membuat kebijakan organisasi yang mengganti kebijakan induk.

Untuk mengetahui daftar batasan kebijakan organisasi yang memiliki perilaku default yang dikelola Google yang membatasi operasi, lihat Batasan kebijakan organisasi.

Pewarisan

Resource yang memiliki kebijakan organisasi yang ditetapkan secara default menggantikan kebijakan apa pun yang ditetapkan oleh resource induknya dalam hierarki. Namun, jika resource telah menetapkan inheritFromParent = true, Kebijakan efektif resource induk akan diwarisi, digabungkan, dan direkonsiliasi untuk mengevaluasi kebijakan efektif yang dihasilkan. Contoh:

• Folder menolak nilai projects/123.
• Project di bawah folder tersebut menolak nilai projects/456.

Kedua kebijakan tersebut digabungkan, dan dalam hal ini menghasilkan kebijakan efektif yang menolak projects/123 dan projects/456.

Mewarisi perilaku default

Perilaku default tidak pernah digabungkan. Saat kebijakan ditetapkan, kebijakan tersebut akan selalu menggantikan perilaku default apa pun. Contoh:

• constraints/iam.allowServiceAccountCredentialLifetimeExtension ditetapkan ke DENY secara default di tingkat organisasi.
• Untuk batasan ini, project yang berada langsung di bawah organisasi tersebut mengizinkan nilai SomeServiceAccount.

Karena perilaku default tidak pernah digabungkan dan selalu diganti, hal ini menghasilkan kebijakan efektif yang mengizinkan SomeServiceAccount. Sebaliknya, jika kebijakan ditetapkan secara eksplisit ke DENY di tingkat organisasi, aturan "nilai DENY diutamakan" akan berlaku dan kebijakan efektifnya adalah DENY.

Tidak mengizinkan pewarisan

Jika resource memiliki kebijakan yang menyertakan inheritFromParent = false, resource tersebut tidak akan mewarisi kebijakan organisasi dari induknya. Sebagai gantinya, resource akan mewarisi perilaku default batasan kecuali jika Anda menetapkan kebijakan dengan nilai yang diizinkan atau ditolak.

Merekonsiliasi konflik kebijakan

Saat resource mewarisi kebijakan organisasi, kebijakan yang diwariskan akan digabungkan dan direkonsiliasi dengan kebijakan organisasi resource induk. Saat mengevaluasi kebijakan organisasi dengan aturan daftar, nilai DENY selalu diutamakan. Contoh:

• Folder menolak nilai projects/123.
• Project di bawah folder tersebut mengizinkan nilai projects/123.

Kebijakan digabungkan dan nilai DENY diutamakan. Kebijakan efektif menolak semua nilai, dan dievaluasi dengan cara yang sama, baik resource induk maupun turunan menolak nilai tersebut. Sebaiknya jangan menyertakan nilai dalam daftar yang diizinkan dan ditolak. Jika melakukannya, kebijakan Anda akan lebih sulit dipahami.

Kebijakan organisasi dengan aturan boolean tidak menggabungkan dan merekonsiliasi kebijakan. Jika kebijakan ditentukan pada resource, nilai TRUE atau FALSE tersebut digunakan untuk menentukan kebijakan yang efektif. Contoh:

• Folder menetapkan enforced: true untuk constraints/iam.managed.disableServiceAccountCreation.

• Project di bawah folder tersebut menetapkan enforced: false untuk constraints/iam.managed.disableServiceAccountCreation.

Nilai enforced: true yang ditetapkan di folder diabaikan karena enforced: false ditentukan di project itu sendiri. Kebijakan organisasi tidak diterapkan pada project tersebut.

Menyetel ulang ke kebijakan default

Dengan memanggil RestoreDefault, kebijakan organisasi akan menggunakan perilaku default batasan untuk resource ini. Resource turunan juga mewarisi perilaku ini.