Gemini Cloud Assist でカスタム制約をテストする

このページでは、Gemini Cloud Assist を使用してカスタムの組織のポリシー制約を作成してテストする方法について説明します。

始める前に

• 組織のポリシーと制約が何かとどのように機能するかの詳細については、組織のポリシー サービスの概要をご覧ください。

• カスタム組織のポリシーの詳細については、カスタム制約を作成するをご覧ください。

• カスタム制約を作成してテストするように Gemini Cloud Assist を設定するには、Gemini Cloud Assist を設定するをご覧ください。

必要なロール

組織のポリシーを管理するために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。

• 組織のポリシー管理者 （roles/orgpolicy.policyAdmin）
• Gemini Cloud Assist を使用するには: Gemini for Google Cloud ユーザー （roles/cloudaicompanion.user）
• Google Cloud API を有効にするには: Service Usage 消費者 （roles/serviceusage.serviceUsageConsumer）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

組織ポリシーの管理を委任するには、組織ポリシー管理者ロール バインディングに IAM 条件を追加します。プリンシパルが組織のポリシーを管理できるリソースを制御するには、特定のタグを条件としてロール バインディングを設定します。詳細については、組織のポリシーを作成するをご覧ください。

カスタム制約

カスタム制約は YAML ファイルで作成されます。このファイルでは、制約の対象となるリソース、メソッド、条件、アクションを指定します。これらは、組織のポリシーを適用するサービスに固有のものです。カスタム制約の条件は、Common Expression Language（CEL）を使用して定義されます。

カスタム制約を設定する

Gemini Cloud Assist を使用して、カスタム制約を作成し、組織のポリシーで使用するように設定できます。

1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

   [組織のポリシー] に移動

2. ページ上部のプロジェクト選択ツールから、組織のポリシーを設定するプロジェクトを選択します。

3. [Gemini でカスタムの組織制約を作成する] バナーで、[制約を作成] をクリックします。

4. [Cloud アシスト] ペインで、生成するカスタム制約を説明するプロンプトを送信します。次に例を示します。

   「すべての compute.googleapis.com/Disk リソースのブートディスク サイズを 250 GB 以下に制限します。」

5. レスポンスを確認します。レスポンスには、制約の生成されたコードと、制約の動作に関する追加の詳細が含まれています。制約が目標を達成していることを確認します。

6. 省略可: 制約の変更が必要な場合は、必要な変更を含むプロンプトを送信します。たとえば、「asia-east1 を追加できますか」という指示は、Gemini Cloud Assist に asia-east1 ロケールを制約の関連する場所に追加するように指示します。

7. 省略可: Gemini Cloud Assist を使用してテストリソースを定義し、制約をシミュレートして、制約が意図したとおりに機能することを確認できます。詳細については、Gemini Cloud Assist を使用してカスタム制約をテストするをご覧ください。

8. 新しい制約を使用してカスタムの組織のポリシーを作成するには、[挿入して制約を作成] をクリックします。[カスタム制約を作成] ウィンドウが表示され、生成されたカスタム制約によってフィールドが入力されます。カスタム組織のポリシーは通常どおりテストまたは作成できます。

Gemini Cloud Assist でカスタム制約をテストする

Gemini Cloud Assist を使用して作成したカスタム制約をテストできます。カスタム制約を作成すると、Gemini Cloud Assist は、そのカスタム制約をテストするための一連のリソースの作成を支援し、そのカスタム制約がリソースに与える影響をシミュレートします。

1. カスタム制約を作成するには、Gemini Cloud Assist ワークフローを使用してカスタム制約を設定します。

2. カスタム制約が生成されたら、[テストを開始] をクリックします。これにより、リソース構成のリストが生成されます。各リソース構成には、カスタム制約に準拠しているかどうかのラベルが付けられます。[属性] 列には、各リソースの固有の属性が記述されています。

   準拠または非準拠のリソースごとに、テストケースで定義されたリソースの作成に使用できる gcloud CLI コマンドのリストが生成されます。

3. 生成された gcloud CLI コマンドをシェルまたは Google Cloud コンソールに入力して、テストリソースを作成します。詳細と問題のトラブルシューティング方法については、テストリソースに関連する特定の Google Cloudサービスのドキュメントをご覧ください。

4. リソースが生成されたら、シミュレーションの準備が整うまで少なくとも 10 分待ちます。

5. カスタム組織ポリシーがリソースに与える影響をシミュレートするには、[シミュレーションを開始] をクリックします。

6. 保留中のシミュレーションの詳細を確認し、[確認] をクリックします。シミュレーションが完了するまでに、最長で 1 時間ほどかかることがあります。

   1. シミュレーション結果を表示するには、[シミュレーションの履歴] ページに移動します。

      [シミュレーションの履歴] に移動する

   2. シミュレーションを選択して詳細を表示します。シミュレーション結果が表示されない場合は、ページの上部にあるプロジェクト選択ツールから組織を選択します。

      [シミュレーションの詳細] ページには、違反の数、チェックされたリソースの数、シミュレーションの日付、準拠していない構成のリソースのリストが表示されます。

      [ドライラン ポリシーを設定] をクリックして、ドライラン モードでシミュレートされた組織のポリシーを設定することもできます。

      詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。

次のステップ

• 制約の詳細を確認する。
• ポリシーのカスタマイズに使用できるその他のオプションを確認する。
• タグに基づいて組織のポリシーを設定する方法を確認する。
• GitHub のカスタム組織ポリシー ライブラリをご覧ください。
• Config Validator を使用して組織のポリシーを検証してモニタリングする方法を確認する。