Halaman ini memberikan panduan untuk membuat dan menguji batasan kebijakan organisasi kustom menggunakan Gemini Cloud Assist.
Sebelum memulai
Untuk mengetahui informasi selengkapnya tentang apa itu kebijakan dan batasan organisasi serta cara kerjanya, lihat Pengantar Layanan Kebijakan Organisasi.
Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi kustom, lihat Membuat batasan kustom.
Untuk menyiapkan Gemini Cloud Assist guna membuat dan menguji batasan kustom, lihat artikel Menyiapkan Gemini Cloud Assist.
Peran yang diperlukan
Guna mendapatkan izin yang Anda perlukan untuk mengelola kebijakan organisasi, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi:
- Administrator kebijakan organisasi (
roles/orgpolicy.policyAdmin) -
Untuk menggunakan Gemini Cloud Assist:
Pengguna Gemini untuk Google Cloud (
roles/cloudaicompanion.user) -
Untuk mengaktifkan Google Cloud API:
Service Usage Consumer (
roles/serviceusage.serviceUsageConsumer)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Anda dapat mendelegasikan administrasi kebijakan organisasi dengan menambahkan Kondisi IAM ke binding peran administrator kebijakan Organisasi. Untuk mengontrol resource tempat pokok dapat mengelola kebijakan organisasi, Anda dapat membuat binding peran bersyarat pada tag tertentu. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan organisasi.
Batasan kustom
Batasan kustom dibuat dalam file YAML, yang menentukan resource, metode, kondisi, dan tindakan yang tunduk pada batasan. Kebijakan ini khusus untuk layanan tempat Anda menerapkan kebijakan organisasi. Kondisi untuk batasan kustom Anda ditentukan menggunakan Common Expression Language (CEL).
Menyiapkan batasan kustom
Anda dapat membuat batasan khusus dan menyiapkannya untuk digunakan dalam kebijakan organisasi menggunakan Gemini Cloud Assist.
Di konsol Google Cloud , buka halaman Organization policies.
Dari pemilih project di bagian atas halaman, pilih project yang ingin Anda tetapkan kebijakan organisasinya.
Di banner Buat batasan organisasi kustom dengan Gemini, klik Buat batasan.
Di panel Cloud Assist, kirim perintah yang menjelaskan batasan kustom yang ingin Anda buat. Contoh:
"Batasi ukuran boot disk hingga 250 GB atau kurang untuk semua resource
compute.googleapis.com/Disk."Tinjau respons, yang mencakup kode yang dihasilkan untuk batasan dan detail tambahan tentang cara kerja batasan, untuk memverifikasi bahwa batasan mencapai tujuan Anda.
Opsional: Jika batasan perlu diubah, kirim perintah dengan perubahan yang diperlukan. Misalnya, "can you add asia-east1" menginstruksikan Gemini Cloud Assist untuk menambahkan lokalitas
asia-east1ke tempat yang relevan dalam batasan Anda.Opsional: Anda dapat menggunakan Gemini Cloud Assist untuk menentukan sumber daya pengujian dan menyimulasikan batasan untuk memverifikasi apakah batasan tersebut berfungsi sebagaimana mestinya. Untuk mengetahui informasi selengkapnya, lihat Menguji batasan kustom dengan Gemini Cloud Assist.
Untuk membuat kebijakan organisasi kustom menggunakan batasan baru, klik Sisipkan untuk Membuat Batasan. Jendela Buat batasan kustom akan muncul, dengan kolom yang diisi oleh batasan kustom yang dibuat. Anda dapat menguji atau membuat kebijakan organisasi kustom seperti biasa.
Menguji batasan kustom dengan Gemini Cloud Assist
Anda dapat menguji batasan kustom yang Anda buat menggunakan Gemini Cloud Assist. Setelah Anda membuat batasan kustom, Gemini Cloud Assist dapat membantu membuat serangkaian resource untuk menguji batasan kustom tersebut, lalu mensimulasikan efek yang akan ditimbulkan batasan kustom tersebut pada resource tersebut.
Untuk membuat batasan kustom, gunakan alur kerja Gemini Cloud Assist untuk Menyiapkan batasan kustom.
Setelah batasan kustom dibuat, klik Mulai pengujian. Tindakan ini akan menghasilkan daftar konfigurasi resource, yang masing-masing diberi label sesuai atau tidak sesuai dengan batasan kustom. Kolom atribut menjelaskan atribut unik setiap resource.
Untuk setiap resource yang mematuhi atau tidak mematuhi kebijakan, daftar perintah gcloud CLI akan dibuat yang dapat Anda gunakan untuk membuat resource yang ditentukan dalam kasus pengujian.
Buat resource pengujian dengan memasukkan perintah gcloud CLI yang dihasilkan di shell atau konsol Google Cloud . Untuk mengetahui informasi dan petunjuk selengkapnya tentang cara memecahkan masalah, lihat dokumentasi untuk layanan spesifik yang terkait dengan resource pengujian Anda. Google Cloud
Setelah resource dibuat, tunggu setidaknya 10 menit hingga resource siap untuk simulasi.
Untuk menyimulasikan efek yang akan ditimbulkan oleh kebijakan organisasi kustom Anda terhadap resource Anda, klik Begin simulation.
Tinjau detail simulasi yang tertunda, lalu klik Konfirmasi. Simulasi dapat memerlukan waktu hingga satu jam untuk diselesaikan.
Untuk melihat hasil simulasi, buka halaman Histori simulasi.
Pilih simulasi untuk melihat detailnya. Jika hasil simulasi tidak terlihat, pilih organisasi Anda dari pemilih project di bagian atas halaman.
Di halaman Detail simulasi, Anda dapat melihat jumlah pelanggaran, jumlah resource yang diperiksa, tanggal simulasi, dan daftar semua resource dengan konfigurasi yang tidak sesuai.
Anda juga dapat menetapkan kebijakan organisasi simulasi dalam mode uji coba dengan mengklik Set dry-run policy.
Untuk mengetahui informasi selengkapnya, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
Langkah berikutnya
- Pelajari batasan secara mendalam.
- Baca opsi tambahan yang dapat Anda gunakan untuk menyesuaikan kebijakan.
- Pelajari cara menetapkan kebijakan organisasi berdasarkan Tag.
- Lihat library kebijakan organisasi kustom di GitHub.
- Pelajari cara memvalidasi dan memantau kebijakan organisasi dengan Config Validator.