Benutzerdefinierte Einschränkungen mit Gemini Cloud Assist testen

Auf dieser Seite finden Sie eine Anleitung zum Erstellen und Testen benutzerdefinierter Einschränkungen für Organisationsrichtlinien mit Gemini Cloud Assist.

Hinweis

• Weitere Informationen zu Organisationsrichtlinien und -einschränkungen sowie zu ihrer Funktionsweise finden Sie unter Einführung in den Organisationsrichtliniendienst.

• Weitere Informationen zu benutzerdefinierten Organisationsrichtlinien finden Sie unter Benutzerdefinierte Einschränkungen erstellen.

• Informationen zum Einrichten von Gemini Cloud Assist zum Erstellen und Testen benutzerdefinierter Einschränkungen, siehe Gemini Cloud Assist einrichten.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen:

• Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin)
• Zum Verwenden von Gemini Cloud Assist: Gemini for Google Cloud User (roles/cloudaicompanion.user)
• Zum Aktivieren von Google Cloud APIs: Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Sie können die Verwaltung von Organisationsrichtlinien delegieren, indem Sie der Rollenbindung des Administrators für Organisationsrichtlinien IAM-Bedingungen hinzufügen. Wenn Sie steuern möchten, für welche Ressourcen ein Prinzipal Organisationsrichtlinien verwalten kann, können Sie die Rollenbindung von einem bestimmten Tagabhängig machen. Weitere Informationen finden Sie unter Organisationsrichtlinien erstellen.

Benutzerdefinierte Einschränkungen

Eine benutzerdefinierte Einschränkung wird in einer YAML-Datei erstellt, in der die Ressourcen, Methoden, Bedingungen und Aktionen angegeben sind, die der Einschränkung unterliegen. Diese sind spezifisch für den Dienst, für den Sie die Organisationsrichtlinie erzwingen. Die Bedingungen für Ihre benutzerdefinierte Einschränkung werden mithilfe der Common Expression Language (CEL) definiert.

Benutzerdefinierte Einschränkung einrichten

Sie können eine benutzerdefinierte Einschränkung erstellen und für die Verwendung in Organisationsrichtlinien mit Gemini Cloud Assist einrichten.

1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

   Zu den Organisationsrichtlinien

2. Wählen Sie oben auf der Seite in der Projektauswahl das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.

3. Klicken Sie im Banner Mit Gemini benutzerdefinierte Organisationseinschränkungen erstellen auf Einschränkung erstellen.

4. Senden Sie im Bereich Cloud Assist einen Prompt, in dem Sie die benutzerdefinierte Einschränkung beschreiben, die Sie generieren möchten. Beispiel:

   Beschränken Sie die Größe des Bootlaufwerks auf 250 GB oder weniger für alle compute.googleapis.com/Disk Ressourcen.

5. Prüfen Sie die Antwort, die generierten Code für die Einschränkung und zusätzliche Details zur Funktionsweise der Einschränkung enthält, um zu bestätigen, dass die Einschränkung Ihr Ziel erreicht.

6. Optional: Wenn die Einschränkung geändert werden muss, senden Sie einen Prompt mit den erforderlichen Änderungen. Mit dem Prompt „can you add asia-east1“ wird Gemini Cloud Assist beispielsweise angewiesen, das Gebietsschema asia-east1 an der entsprechenden Stelle in Ihrer Einschränkung hinzuzufügen.

7. Optional: Sie können mit Gemini Cloud Assist Testressourcen definieren und die Einschränkung simulieren, um zu prüfen, ob sie wie vorgesehen funktioniert. Weitere Informationen finden Sie unter Benutzerdefinierte Einschränkungen mit Gemini Cloud Assist testen.

8. Wenn Sie eine benutzerdefinierte Organisationsrichtlinie mit Ihrer neuen Einschränkung erstellen möchten, klicken Sie auf Einschränkung erstellen. Das Fenster Benutzerdefinierte Einschränkung erstellen wird angezeigt. Die Felder sind mit der generierten benutzerdefinierten Einschränkung ausgefüllt. Sie können die benutzerdefinierte Organisationsrichtlinie wie gewohnt testen oder erstellen.

Benutzerdefinierte Einschränkungen mit Gemini Cloud Assist testen

Sie können benutzerdefinierte Einschränkungen testen, die Sie mit Gemini Cloud Assist erstellen. Nachdem Sie Ihre benutzerdefinierte Einschränkung erstellt haben, kann Gemini Cloud Assist Ihnen helfen, eine Reihe von Ressourcen zu erstellen, um diese benutzerdefinierte Einschränkung zu testen. Anschließend wird simuliert, wie sich die benutzerdefinierte Einschränkung auf diese Ressourcen auswirkt.

1. Verwenden Sie den Gemini Cloud Assist -Workflow, um die benutzerdefinierte Einschränkung zu erstellen. Eine Anleitung finden Sie unter Benutzerdefinierte Einschränkung einrichten.

2. Nachdem die benutzerdefinierte Einschränkung generiert wurde, klicken Sie auf Test starten. Dadurch wird eine Liste von Ressourcenkonfigurationen generiert, die jeweils als konform oder nicht konform mit der benutzerdefinierten Einschränkung gekennzeichnet sind. In der Spalte „Attribute“ werden die eindeutigen Attribute der einzelnen Ressourcen beschrieben.

   Für jede konforme oder nicht konforme Ressource wird eine Liste von gcloud CLI-Befehlen generiert, mit denen Sie die in den Testfällen definierten Ressourcen erstellen können.

3. Erstellen Sie die Testressourcen, indem Sie die generierten gcloud CLI Befehle in die Shell oder Google Cloud Console eingeben. Weitere Informationen und Anleitungen zur Fehlerbehebung finden Sie in der Dokumentation für den jeweiligen Google Cloud Dienst, der mit Ihren Testressourcen verknüpft ist.

4. Nachdem die Ressourcen generiert wurden, warten Sie mindestens 10 Minuten, bis die Ressourcen für die Simulation bereit sind.

5. Wenn Sie simulieren möchten, wie sich Ihre benutzerdefinierte Organisationsrichtlinie auf Ihre Ressourcen auswirkt, klicken Sie auf Simulation starten.

6. Prüfen Sie die Details der ausstehenden Simulation und klicken Sie dann auf Bestätigen. Die Simulation kann bis zu eine Stunde dauern.

   1. Die Simulationsergebnisse finden Sie auf der Seite Simulationsverlauf.

      Simulationsverlauf aufrufen

   2. Wählen Sie die Simulation aus, um die Details aufzurufen. Wenn die Simulationsergebnisse nicht sichtbar sind, wählen Sie oben auf der Seite in der Projektauswahl Ihre Organisation aus.

      Auf der Seite Simulationsdetails können Sie die Anzahl der Verstöße, die Anzahl der geprüften Ressourcen, das Datum der Simulation und eine Liste aller Ressourcen mit nicht konformen Konfigurationen sehen.

      Sie können die simulierte Organisationsrichtlinie auch im Probelaufmodus festlegen. Klicken Sie dazu auf Probelaufrichtlinie festlegen.

      Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Policy Simulator testen.

Nächste Schritte

• Detaillierte Informationen zu Einschränkungen
• Weitere Optionen zum Anpassen von Richtlinien
• Organisationsrichtlinien basierend auf Tags festlegen.
• Benutzerdefinierte Organisationsrichtlinienbibliothek auf GitHub
• Organisationsrichtlinien mit Config Validator validieren und überwachen