Les règles d'administrationGoogle Cloud vous offrent un contrôle centralisé et automatisé sur les ressources de votre organisation. En tant qu'administrateur des règles d'administration, vous pouvez définir des ensembles de restrictions appelées contraintes qui s'appliquent aux ressourcesGoogle Cloud et à leurs descendants dans la hiérarchie des ressourcesGoogle Cloud . Chaque ensemble de restrictions constitue une règle d'administration. Vous pouvez appliquer des règles d'administration au niveau d'une organisation, d'un dossier ou d'un projet.
Les règles d'administration offrent des contraintes prédéfinies pour divers servicesGoogle Cloud . Toutefois, si vous souhaitez exercer un contrôle plus précis à partir de vos règles d'administration d'administration, vous pouvez créer des règles d'administration personnalisées.
Ce document explique comment afficher, créer et gérer des règles d'organisation personnalisées en tant qu'administrateur. Règles d'administration personnalisées vous permettent de personnaliser le contrôle sur les champs spécifiques restreints par vos règles d'administration.
Avant de commencer
- Pour en savoir plus sur les règles d'administration et leurs contraintes, ainsi que sur leur fonctionnement, consultez la section Présentation du service de règles d'administration.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer les règles d'administration#39;administration, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation :
-
Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin) -
Pour activer les API Google Cloud :
Utilisateur de l'API Service Usage (
roles/serviceusage.serviceUsageConsumer)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Vous pouvez déléguer l'administration des règles d'administration d'administration en ajoutant des conditions IAM à la liaison de rôle "Administrateur des règles d'administration". Pour contrôler les ressources sur lesquelles un compte principal peut gérer les règles d'administration, vous pouvez rendre l'association de rôle conditionnelle à un tag spécifique. Pour en savoir plus, consultez Utiliser des contraintes.
Contraintes personnalisées
Une contrainte personnalisée est définie dans un fichier YAML, qui spécifie les ressources, méthodes, conditions et actions auxquelles la contrainte s'applique. Le comportement des contraintes personnalisées et les paramètres acceptés sont spécifiques à chaque service. Les conditions des contraintes personnalisées sont définies à l'aide du CEL (Common Expression Language).
Configurer une contrainte personnalisée
Vous pouvez créer une contrainte personnalisée et la configurer pour l'utiliser dans des règles d'administration à l'aide de la console Google Cloud ou de Google Cloud CLI.
Console
Pour créer une contrainte personnalisée :
- Dans la console Google Cloud , accédez à la page Règles d'administration.
- Dans le sélecteur de projets, choisissez le projet pour lequel vous souhaitez définir la règle d'administration.
- Cliquez sur Contrainte personnalisée.
- Dans le champ Nom à afficher, saisissez un nom lisible pour la contrainte. Ce nom est utilisé dans les messages d'erreur et peut servir à l'identification et au débogage. N'utilisez pas d'informations permettant d'identifier personnellement l'utilisateur ni de données sensibles dans les noms à afficher, car ces informations pourraient être divulguées dans les messages d'erreur. Ce champ peut contenir jusqu'à 200 caractères.
-
Dans la zone ID de contrainte, saisissez le nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée ne peut contenir que des lettres (majuscules et minuscules) ou des chiffres, par exemple
custom.disableGkeAutoUpgrade. Ce champ peut contenir jusqu'à 70 caractères, sans compter le préfixe (custom.), par exempleorganizations/123456789/customConstraints/custom. N'incluez pas d'informations permettant d'identifier personnellement l'utilisateur ni de données sensibles dans l'ID de votre contrainte, car elles pourraient être divulguées dans les messages d'erreur. - Dans la zone Description, saisissez une description lisible de la contrainte. Cette description est utilisée comme message d'erreur en cas de non-respect de la règle. Incluez des informations sur les raisons du non-respect des règles et sur la façon de le résoudre. Veuillez n'inclure aucune information permettant d'identifier l'utilisateur ou donnée sensible dans votre description, car ces informations pourraient être divulguées dans les messages d'erreur. Ce champ peut contenir jusqu'à 2 000 caractères.
-
Dans la zone Type de ressource, sélectionnez le nom de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre (par exemple,
container.googleapis.com/NodePool). La plupart des types de ressources acceptent jusqu'à 20 contraintes personnalisées. Si vous essayez de créer d'autres contraintes personnalisées, l'opération échoue. - Sous Méthode d'application, indiquez si vous souhaitez appliquer la contrainte sur une méthode REST CREATE ou sur les méthodes CREATE et UPDATE. Si vous appliquez la contrainte avec la méthode UPDATE sur une ressource qui ne la respecte pas, les modifications apportées à cette ressource sont bloquées par la règle d'administration, sauf si elles résolvent le cas de non-conformité.
- Pour définir une condition, cliquez sur Modifier la condition.
-
Dans le panneau Ajouter une condition, créez une condition CEL faisant référence à une ressource de service acceptée, par exemple
resource.management.autoUpgrade == false. Ce champ peut contenir jusqu'à 1 000 caractères. Pour en savoir plus sur l'utilisation du langage CEL, consultez Common Expression Language. Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez Services compatibles avec les contraintes personnalisées. - Cliquez sur Enregistrer.
- Sous Action, indiquez si vous souhaitez autoriser ou refuser la méthode évaluée si la condition est remplie.
- Cliquez sur Créer une contrainte.
Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service dans la section Services compatibles.
L'action de refus signifie que l'opération de création ou de mise à jour de la ressource est bloquée si la condition renvoie la valeur "true".
L'action "Autoriser" signifie que l'opération de création ou de mise à jour de la ressource n'est autorisée que si la condition renvoie la valeur "true". Tous les autres cas, à l'exception de ceux explicitement regroupés dans la condition, sont bloqués.
Lorsque vous saisissez une valeur dans chaque champ, la configuration YAML équivalant à cette contrainte personnalisée s'affiche sur la droite.
gcloud
- Pour créer une contrainte personnalisée, créez un fichier YAML au format suivant :
-
ORGANIZATION_ID: ID de votre organisation (par exemple,123456789). -
CONSTRAINT_NAME: nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée ne peut contenir que des lettres (majuscules et minuscules) ou des chiffres, par exemplecustom.disableGkeAutoUpgrade. Ce champ peut contenir jusqu'à 70 caractères. -
RESOURCE_NAME: nom complet de la ressource Google Cloudcontenant l'objet et le champ que vous souhaitez restreindre. Par exemple,container.googleapis.com/NodePool. -
CONDITION: condition CEL écrite pour une représentation d'une ressource de service acceptée. Ce champ peut contenir jusqu'à 1 000 caractères. Par exemple,"resource.management.autoUpgrade == false". -
ACTION: action à effectuer si laconditionest remplie. Les valeurs possibles sontALLOWetDENY. -
DISPLAY_NAME: nom convivial de la contrainte. Ce champ peut contenir jusqu'à 200 caractères. -
DESCRIPTION: description conviviale de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ peut contenir jusqu'à 2 000 caractères. -
Après avoir créé le fichier YAML pour une nouvelle contrainte personnalisée, vous devez le configurer de sorte qu'il soit disponible pour les règles d'administration'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commande
gcloud org-policies set-custom-constraint: -
Pour vérifier que la contrainte personnalisée existe, utilisez la commande
gcloud org-policies list-custom-constraints:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resourceTypes: - RESOURCE_NAME methodTypes: - CREATE condition: "CONDITION" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION
Remplacez les éléments suivants :
L'action "Autoriser" signifie que si la condition renvoie la valeur "true", l'opération de création ou de mise à jour de la ressource est autorisée. Cela signifie également que tous les autres cas, à l'exception de celui explicitement regroupé dans la condition, sont bloqués.
L'action de refus signifie que si la condition renvoie la valeur "true", l'opération de création ou de mise à jour de la ressource est bloquée.
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Remplacez CONSTRAINT_PATH par le chemin d'accès complet à votre fichier de contrainte personnalisée. Exemple :/home/user/customconstraint.yaml
Une fois l'opération terminée, vos contraintes personnalisées sont disponibles en tant que règles d'administration dans votre liste de règles d'administration Google Cloud .
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Remplacez ORGANIZATION_ID par l'ID de votre ressource d'organisation.
Pour en savoir plus, consultez Afficher les règles d'administration.
Mettre à jour une contrainte personnalisée
Vous pouvez mettre à jour une contrainte personnalisée en la modifiant dans la consoleGoogle Cloud , ou en créant un fichier YAML et en exécutant à nouveau la commande gcloud CLI set-custom-constraint. Comme il n'y a pas de gestion des versions des contraintes personnalisées, cette méthode remplace la contrainte personnalisée existante. Si la contrainte personnalisée est déjà appliquée, la contrainte personnalisée mise à jour prend effet immédiatement.
Console
Dans la console Google Cloud , accédez à la page Règles d'administration.
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, sélectionnez la ressource pour laquelle vous souhaitez mettre à jour la règle d'administration.
Sélectionnez la contrainte que vous souhaitez modifier dans la liste de la page Règles d'administration pour ouvrir la page Détails de la règle de cette contrainte.
Cliquez sur Modifier la contrainte.
Modifiez le nom à afficher, la description, la méthode d'application, la condition et l'action. Une fois la contrainte créée, vous ne pouvez plus modifier son ID ni son type de ressource.
Cliquez sur Enregistrer les modifications.
gcloud
Obtenez la contrainte personnalisée actuelle à l'aide de la commande
gcloud org-policies describe-custom-constraint.gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \ --organization=ORGANIZATION_ID \ --format=FORMAT > PATHRemplacez les éléments suivants :
ORGANIZATION_ID: ID de votre organisation (par exemple,123456789).CONSTRAINT_NAME: nom de votre contrainte personnalisée, par exemplecustom.disableGkeAutoUpgrade.FORMAT: format de la stratégie d'autorisation. Utilisezjsonouyaml.PATH: chemin d'accès à un nouveau fichier de sortie pour la contrainte personnalisée.
Modifiez la copie locale de la contrainte personnalisée pour refléter les modifications que vous souhaitez apporter au nom à afficher, à la description, à la méthode d'application, à la condition et à l'action. Une fois la contrainte créée, vous ne pouvez plus modifier son ID ni son type de ressource.
Après avoir modifié le fichier YAML de votre contrainte personnalisée, configurez-le pour le rendre disponible pour les règles d'administration'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commande
gcloud org-policies set-custom-constraint:gcloud org-policies set-custom-constraint CONSTRAINT_PATHRemplacez
CONSTRAINT_PATHpar le chemin d'accès complet à votre fichier de contrainte personnalisée.
Une fois la mise à jour terminée, la contrainte personnalisée modifiée est disponible pour vos règles d'administration. Si la contrainte d'origine est déjà appliquée, la contrainte mise à jour prend effet immédiatement.
Supprimer une contrainte personnalisée
Vous pouvez supprimer une contrainte personnalisée à l'aide de la console Google Cloud ou de Google Cloud CLI.
Console
Dans la console Google Cloud , accédez à la page Règles d'administration.
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, sélectionnez la ressource pour laquelle vous souhaitez supprimer la règle d'administration.
Sélectionnez la contrainte que vous souhaitez supprimer dans la liste de la page Règles d'administration pour ouvrir la page Détails de la règle de cette contrainte.
Cliquez sur Supprimer.
Pour confirmer que vous souhaitez supprimer la contrainte, cliquez sur Supprimer.
gcloud
Pour supprimer une contrainte personnalisée, utilisez la commande gcloud CLI org-policies delete-custom-constraint :
gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
--organization=ORGANIZATION_ID
Remplacez les éléments suivants :
ORGANIZATION_ID: ID de votre organisation (par exemple,123456789).CONSTRAINT_NAME: nom de votre contrainte personnalisée. Exemple :custom.disableGkeAutoUpgrade
Le résultat ressemble à ce qui suit :
Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]
Si vous supprimez une contrainte personnalisée, toutes les règles créées à l'aide de cette contrainte continuent d'exister, mais sont ignorées. Vous ne pouvez pas créer une autre contrainte personnalisée portant le même nom qu'une contrainte personnalisée supprimée.
Tester et analyser les modifications apportées aux règles d'administration
Nous vous recommandons de tester et de simuler toutes les modifications apportées aux règles de votre organisation pour comprendre leur impact sur votre environnement.
Policy Simulator pour les règles relatives à l'organisation vous aide à comprendre l'effet d'une contrainte et d'une règle relative à l'organisation sur votre environnement actuel. Cet outil vous permet d'examiner toutes les configurations de ressources pour identifier les cas de non-respect avant que la règle ne soit appliquée à votre environnement de production. Pour obtenir des instructions détaillées, consultez Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.
Une fois que vous avez compris l'effet actuel, vous pouvez créer une règle d'organisation en mode simulation pour comprendre l'impact et les cas potentiels de non-respect d'une règle au cours des 30 prochains jours. Une règle d'administration en mode simulation est un type de règle d'administration pour lequel les cas de non-respect sont consignés dans un journal d'audit, mais les actions concernées ne sont pas refusées. Vous pouvez créer une règle d'administration en mode simulation à partir d'une contrainte personnalisée à l'aide de la console Google Cloud ou de Google Cloud CLI. Pour obtenir des instructions détaillées, consultez Créer une règle d'administration en mode dry run.
Appliquer une règle d'administration personnalisée
Une fois qu'une contrainte personnalisée a été configurée, elle fonctionne de la même manière que les contraintes booléennes prédéfinies. Google Cloud vérifie d'abord les contraintes personnalisées pour déterminer si une requête utilisateur est autorisée. Si l'une des règles d'administration personnalisées refuse la requête, celle-ci est rejetée. Ensuite, Google Cloudvérifie si les règles d'administration prédéfinies sont appliquées sur cette ressource.
Vous pouvez appliquer une contrainte en créant une règle d'administration qui y fait référence, puis en appliquant cette règle à une ressource Google Cloud .Console
- Dans la console Google Cloud , accédez à la page Règles d'administration.
- Dans le sélecteur de projets, choisissez le projet pour lequel vous souhaitez définir la règle d'administration.
- Dans la liste de la page Règles d'administration, sélectionnez votre contrainte pour afficher la page Détails de la règle de cette contrainte.
- Pour personnaliser la règle d'administration pour cette ressource, cliquez sur Gérer la règle.
- Sur la page Modifier la stratégie, sélectionnez Ignorer la règle parente.
- Cliquez sur Ajouter une règle.
- Dans la section Application, indiquez si cette règle d'administration est appliquée ou non.
- Facultatif : pour rendre la règle d'administration conditionnelle à un tag, cliquez sur Ajouter une condition. Notez que si vous ajoutez une règle conditionnelle à une règle d'administration, vous devez ajouter au moins une règle non conditionnelle, sinon la règle ne pourra pas être enregistrée. Pour en savoir plus, consultez Définir une règle d'administration avec des tags.
- Cliquez sur Tester les modifications pour simuler l'effet de la règle d'administration. Pour en savoir plus, consultez Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.
- Pour appliquer la règle d'administration en mode de simulation, cliquez sur Définir la règle de dry run. Pour en savoir plus, consultez Créer une règle d'administration en mode simulation.
- Une fois que vous avez vérifié que la règle d'administration en mode simulation fonctionne comme prévu, définissez la règle active en cliquant sur Définir la règle.
gcloud
- Pour créer une règle d'administration avec des règles booléennes, créez un fichier YAML de règle qui fait référence à la contrainte :
-
PROJECT_ID: projet sur lequel vous souhaitez appliquer votre contrainte. -
CONSTRAINT_NAME: nom que vous avez défini pour la contrainte personnalisée. Exemple :custom.disableGkeAutoUpgrade. -
Pour appliquer la règle d'administration en mode dry run, exécutez la commande suivante avec l'indicateur
dryRunSpec: -
Après avoir vérifié que la règle d'administration en mode simulation fonctionne comme prévu, définissez la règle active avec la commande
org-policies set-policyet l'indicateurspec:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true dryRunSpec: rules: - enforce: true
Remplacez les éléments suivants :
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Remplacez POLICY_PATH par le chemin d'accès complet au fichier YAML de votre règle d'administration. L'application de la règle peut prendre jusqu'à 15 minutes.
gcloud org-policies set-policy POLICY_PATH \ --update-mask=spec
Remplacez POLICY_PATH par le chemin d'accès complet au fichier YAML de votre règle d'administration. L'application de la règle peut prendre jusqu'à 15 minutes.
Exemple de contrainte
Vous pouvez définir des contraintes personnalisées semblables à celles prédéfinies fournies par Google. Un fichier YAML de contrainte personnalisée typique ressemble à ce qui suit :
name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if
AutoUpgrade is not enabled where this custom constraint is enforced.
Common Expression Language
Le service de règles d'administration utilise le CEL (Common Expression Language) pour évaluer les conditions des contraintes personnalisées. CEL est un langage Open Source non Turing-complet qui implémente une sémantique commune pour l'évaluation des expressions.
Chaque service compatible avec les contraintes personnalisées met à disposition un ensemble spécifique de ses ressources et des champs de ces ressources. Les champs disponibles sont fortement typés et peuvent être directement référencés par des contraintes personnalisées.
Vous pouvez créer des conditions CEL faisant référence à des champs de ressources de service en fonction du type de champ. Le service de règles de l'organisation est compatible avec un sous-ensemble de types de données, d'expressions et de macros CEL. Les sections suivantes listent les types de données disponibles, ainsi que les expressions et macros courantes qui fonctionnent avec eux.
Pour en savoir plus sur les expressions et les macros disponibles pour chaque service, consultez Services compatibles avec les contraintes personnalisées.
L'exemple JSON suivant montre chacun des types de champs potentiels auxquels vous pouvez faire référence à l'aide de contraintes personnalisées :
{
"integerValue": 1,
"stringValue": "A text string",
"booleanValue": true,
"nestedValue": {
"nestedStringValue": "Another text string"
},
"listValue": ["foo", "bar"],
"mapValue": {
"costCenter": "123"
}
}
Pour chaque expression CEL, la contrainte personnalisée est appliquée lorsque la condition est évaluée sur true. Vous pouvez combiner des expressions avec "and" (&&) et "or" (||) pour créer une requête complexe. Lorsque vous créez le fichier YAML ou JSON pour votre contrainte personnalisée, placez la requête complète entre guillemets doubles (").
Integer
Les champs entiers, tels que integerValue dans l'exemple précédent, permettent d'utiliser des opérateurs de comparaison dans les conditions. Exemple :
resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10
Chaîne
Les champs de chaîne, tels que stringValue dans l'exemple précédent, peuvent être évalués à l'aide d'un littéral de chaîne, d'une expression régulière ou d'une expression CEL. Exemple :
resource.stringValue == "abc"
// stringValue is exactly "abc".
resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".
resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".
resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".
resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".
Les champs imbriqués, tels que nestedStringValue dans l'exemple précédent, doivent être référencés avec le chemin d'accès complet. Exemple :
resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".
Booléen
Les champs booléens, tels que booleanValue dans l'exemple précédent, contiennent une valeur booléenne, qui est soit true, soit false.
Liste
Les champs de liste, tels que listValue dans l'exemple précédent, peuvent être évalués en fonction de la taille de la liste, de son contenu et de la présence d'un élément particulier dans la liste.
Exemple :
resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".
resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".
resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".
Carte
Les champs de mappage, tels que mapValue dans l'exemple précédent, sont des paires clé-valeur qui peuvent être évaluées en fonction de l'existence et de la valeur d'éléments spécifiques.
Exemple :
has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".
Résoudre les problèmes liés aux contraintes personnalisées
Les sections suivantes décrivent les problèmes courants liés à la création de contraintes personnalisées et présentent des solutions de contournement pour ces problèmes.
Erreurs de type de méthode
Les contraintes personnalisées sont créées avec une liste de méthodes à appliquer, généralement CREATE ou les deux, CREATE et UPDATE. Si vous spécifiez un type de méthode non compatible avec une ressource, comme la méthode UPDATE pour les ressources d'image Compute Engine, vous ne pouvez pas enregistrer la contrainte personnalisée.
Balises non évaluées
Les tags sur les ressources d'organisation, de dossier ou de projet sont compatibles avec les contraintes personnalisées. Pour en savoir plus sur les services compatibles avec les tags, consultez la documentation spécifique à chaque service.
Restrictions multiservices
Certains services, tels que Compute Engine, impliquent un grand nombre de ressources associées. Le message d'erreur en cas de non-respect d'une règle d'administration personnalisée s'affiche lorsque le non-respect se produit, même si la contrainte personnalisée concerne un autre service.
Par exemple, une action Dataproc peut être bloquée par une contrainte personnalisée sur les ressources Compute Engine.
Résoudre les erreurs CEL
Le service de règles d'administration compile et valide les conditions que vous créez, et renvoie une erreur si la condition n'est pas syntaxiquement correcte. Si vous ne parvenez pas à créer ni à enregistrer une contrainte personnalisée, il est probable qu'une erreur de syntaxe CEL non valide se soit produite. Vous devez d'abord résoudre ce problème.
Dans la console Google Cloud , les erreurs de syntaxe CEL non valides sont signalées par une icône d'erreur . Si vous mettez en surbrillance cette icône, une info-bulle s'affiche et contient plus d'informations sur l'erreur de syntaxe.
Certaines conditions peuvent être compilées, mais entraîner une erreur lorsque Google Cloudtente d'appliquer les contraintes. Par exemple, si vous configurez une contrainte avec une condition qui tente d'accéder à un index de liste ou à une clé de mappage qui n'existe pas, la contrainte échoue et renvoie une erreur au moment de l'application, bloquant toute tentative de création de la ressource.
Les sections suivantes décrivent les erreurs CEL courantes et les solutions de contournement potentielles pour ces erreurs.
Expression non valide ou type incompatible
Une condition créée avec des expressions non valides ou des types incompatibles renvoie une erreur lorsque vous tentez de configurer la contrainte personnalisée. Par exemple, prenons la contrainte personnalisée non valide suivante, qui compare une chaîne à un entier :
name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.
Une erreur se produit si vous essayez de configurer cette contrainte à l'aide de Google Cloud CLI :
ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
| resource.config.masterConfig.numInstances == "mismatch"
| ..........................................^.
Dans la console Google Cloud , les erreurs de syntaxe CEL non valides sont signalées par une icône d'erreur . Si vous mettez en surbrillance cette icône, une info-bulle s'affiche et contient plus d'informations sur l'erreur de syntaxe.
Le service de règles d'administration compile et valide les conditions que vous créez, et renvoie une erreur si la condition n'est pas syntaxiquement correcte. Toutefois, certaines conditions peuvent être compilées, mais renvoyer une erreur lorsque Google Cloud tente d'appliquer les contraintes. Par exemple, si vous configurez une contrainte avec une condition qui tente d'accéder à un index de liste ou à une clé de carte qui n'existe pas, la contrainte échoue et renvoie une erreur au moment de l'application, et bloque toute tentative de création de la ressource.
Lorsque vous créez des conditions qui dépendent d'éléments de liste ou de carte, nous vous recommandons de commencer la condition par une vérification qui garantit que la condition est valide dans tous les cas. Par exemple, vérifiez list.size() avant de faire référence à un élément de liste spécifique ou utilisez has() avant de faire référence à un élément de carte.
Services compatibles
Chaque service définit l'ensemble des champs de contraintes personnalisées qui peuvent être utilisés pour appliquer des règles d'administration à ses ressources de service. Pour obtenir la liste des services compatibles avec les contraintes personnalisées, consultez Services compatibles avec les contraintes personnalisées.
Pour en savoir plus sur la configuration d'un outil d'analyse des règles d'administration, consultez Résultats des failles liées aux règles d'administration.
Appliquer des tags obligatoires sur les ressources
Vous pouvez appliquer des tags obligatoires aux ressources à l'aide d'une règle d'administration personnalisée. Lorsque vous appliquez des tags obligatoires, vous ne pouvez créer que des ressources conformes aux règles de taggage de votre organisation. Autrement dit, les ressources sont associées aux valeurs de tag pour les clés de tag obligatoires spécifiées dans la règle. Pour en savoir plus, consultez Configurer une contrainte personnalisée pour appliquer des tags.
Étapes suivantes
- En savoir plus sur les contraintes.
- Découvrez les options supplémentaires que vous pouvez utiliser pour personnaliser vos règles.
- Découvrez comment définir des règles d'administration basées sur des tags.
- Consultez la bibliothèque de règles d'organisation personnalisées sur GitHub.
- Découvrez comment valider et surveiller les règles d'administration avec Config Validator.