Testare i vincoli personalizzati con Gemini Cloud Assist

Questa pagina fornisce indicazioni per la creazione e il test di vincoli personalizzati delle policy dell'organizzazione utilizzando Gemini Cloud Assist.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Puoi delegare l'amministrazione delle policy dell'organizzazione aggiungendo condizioni IAM al binding del ruolo di amministratore delle policy dell'organizzazione. Per controllare le risorse in cui un'entità può gestire le policy dell'organizzazione, puoi rendere l'associazione di ruolo condizionale a un particolare tag. Per saperne di più, consulta Crea policy dell'organizzazione.

Vincoli personalizzati

Un vincolo personalizzato viene creato in un file YAML, che specifica le risorse, i metodi, le condizioni e le azioni soggette al vincolo. Questi sono specifici per il servizio su cui stai applicando la policy dell'organizzazione. Le condizioni per il vincolo personalizzato vengono definite utilizzando il Common Expression Language (CEL).

Configura un vincolo personalizzato

Puoi creare un vincolo personalizzato e configurarlo per l'utilizzo nelle policy dell'organizzazione utilizzando Gemini Cloud Assist.

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore di progetti nella parte superiore della pagina, seleziona il progetto per cui vuoi impostare la policy dell'organizzazione.

  3. Nel banner Crea vincoli personalizzati dell'organizzazione con Gemini, fai clic su Crea vincolo.

  4. Nel riquadro Cloud Assist, invia un prompt che descriva il vincolo personalizzato che vuoi generare. Ad esempio:

    "Limita la dimensione del disco di avvio a 250 GB o meno per tutte le risorse compute.googleapis.com/Disk."

  5. Esamina la risposta, che include il codice generato per il vincolo e ulteriori dettagli sul funzionamento del vincolo, per verificare che il vincolo raggiunga il tuo obiettivo.

  6. (Facoltativo) Se il vincolo deve essere modificato, invia un prompt con le modifiche richieste. Ad esempio, "can you add asia-east1" (puoi aggiungere asia-east1) indica a Gemini Cloud Assist di aggiungere il locale asia-east1 al punto pertinente del vincolo.

  7. (Facoltativo) Puoi utilizzare Gemini Cloud Assist per definire le risorse di test e simulare il vincolo per verificare che funzioni come previsto. Per saperne di più, consulta Testare i vincoli personalizzati con Gemini Cloud Assist.

  8. Per creare una policy dell'organizzazione personalizzata utilizzando il nuovo vincolo, fai clic su Inserisci per creare il vincolo. Viene visualizzata la finestra Crea vincolo personalizzato, con i campi compilati con il vincolo personalizzato generato. Puoi testare o creare la policy dell'organizzazione personalizzata come di consueto.

Testare i vincoli personalizzati con Gemini Cloud Assist

Puoi testare i vincoli personalizzati che crei utilizzando Gemini Cloud Assist. Dopo aver creato il vincolo personalizzato, Gemini Cloud Assist può aiutarti a creare un insieme di risorse per testare il vincolo personalizzato e quindi simulare l'effetto che avrà su queste risorse.

  1. Per creare il vincolo personalizzato, utilizza il flusso di lavoro di Gemini Cloud Assist per impostare un vincolo personalizzato.

  2. Dopo aver generato il vincolo personalizzato, fai clic su Inizia test. Viene generato un elenco di configurazioni delle risorse, ognuna delle quali è etichettata come conforme o non conforme al vincolo personalizzato. La colonna attributi descrive gli attributi univoci di ogni risorsa.

    Per ogni risorsa conforme o non conforme, viene generato un elenco di comandi gcloud CLI che puoi utilizzare per creare le risorse definite nei casi di test.

  3. Crea le risorse di test inserendo i comandi gcloud CLI generati nella shell o nella console Google Cloud . Per ulteriori informazioni e istruzioni su come risolvere i problemi, consulta la documentazione del servizio Google Cloud specifico correlato alle risorse di test.

  4. Dopo la generazione delle risorse, attendi almeno 10 minuti prima che siano pronte per la simulazione.

  5. Per simulare l'effetto che la policy dell'organizzazione personalizzata avrà sulle tue risorse, fai clic su Inizia simulazione.

  6. Controlla i dettagli della simulazione in attesa e poi fai clic su Conferma. Il completamento della simulazione può richiedere fino a un'ora.

    1. Per visualizzare i risultati della simulazione, vai alla pagina Cronologia delle simulazioni.

      Vai alla cronologia delle simulazioni

    2. Seleziona la simulazione per visualizzarne i dettagli. Se i risultati della simulazione non sono visibili, seleziona la tua organizzazione dal selettore di progetti nella parte superiore della pagina.

      Nella pagina Dettagli simulazione, puoi visualizzare il numero di violazioni, il numero di risorse controllate, la data della simulazione e un elenco di tutte le risorse con configurazioni non conformi.

      Puoi anche impostare la policy dell'organizzazione simulata in modalità dry run facendo clic su Imposta policy dry run.

      Per saperne di più, consulta Testa le modifiche alla policy dell'organizzazione con Policy Simulator.

Passaggi successivi