建立及管理自訂限制

Google Cloud 組織政策可讓您透過程式,集中控管組織的資源。組織政策管理員可以定義組織政策,也就是一組稱為「限制」的限制,適用於Google Cloud 資源和這些資源在Google Cloud 資源階層中的子系。您可以在機構、資料夾或專案層級強制執行組織政策。

組織政策提供各種Google Cloud 服務的預先定義限制。不過,如要透過組織政策進一步控管,可以建立自訂組織政策。

本文說明管理員如何查看、建立及管理自訂機構政策。透過自訂機構政策,您可以自訂機構政策限制的特定欄位。

事前準備

必要的角色

如要取得管理機構政策所需的權限,請要求管理員授予您機構的下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

您可以將身分與存取權管理條件新增至機構政策管理員角色繫結,藉此委派機構政策的管理權。如要控管主體可管理組織政策的資源,您可以根據特定標記設定角色繫結條件。詳情請參閱「使用限制」。

自訂限制

自訂限制是在 YAML 檔案中定義,其中指定受限的資源、方法、條件和動作。自訂限制行為和支援的參數因服務而異。自訂限制的條件是使用一般運算語言 (CEL) 所定義。

設定自訂限制

您可以使用 Google Cloud 控制台或 Google Cloud CLI 建立自訂限制,並設定在機構政策中使用。

控制台

如要建立自訂限制,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

    前往組織政策

  2. 在專案選擇工具中,選取要設定組織政策的專案。
  3. 按一下「自訂限制」
  4. 在「顯示名稱」方塊中,輸入容易理解的限制名稱。這個名稱會顯示在錯誤訊息中,可用於識別和偵錯。請勿在顯示名稱中使用 PII 或機密資料,因為錯誤訊息可能會顯示這類名稱。這個欄位最多可包含 200 個半形字元。
  5. 在「Constraint ID」(限制 ID) 方塊中,輸入新自訂限制的名稱。自訂限制只能包含字母 (包括大寫和小寫) 或數字,例如 custom.disableGkeAutoUpgrade。這個欄位最多可包含 70 個字元,前置字元 (custom.) 不計入,例如 organizations/123456789/customConstraints/custom。請勿在限制 ID 中輸入 PII 或機密資料,因為錯誤訊息可能會顯示上述資訊。
  6. 在「說明」方塊中,輸入使用者可理解的限制說明。違反政策時,系統會顯示這項說明做為錯誤訊息。請提供違反政策的詳細原因,以及如何解決問題。請勿在說明中輸入 PII 或機密資料,因為錯誤訊息可能會顯示上述資訊。這個欄位最多可輸入 2000 個字元。
  7. 在「Resource type」方塊中,選取包含要限制物件和欄位的 Google Cloud REST 資源名稱,例如 container.googleapis.com/NodePool。大多數資源類型最多支援 20 個自訂限制。如果嘗試建立更多自訂限制,作業會失敗。
  8. 在「強制執行方法」下方,選取要對 REST 「CREATE」方法強制執行限制,還是對「CREATE」和「UPDATE」方法都強制執行限制。如果您對違反限制的資源使用 UPDATE 方法強制執行限制,除非變更可解決違規問題,否則機構政策會封鎖對該資源的變更。

    9. 並非所有 Google Cloud 服務都支援這兩種方法。如要查看各項服務支援的方法,請在「 支援的服務」中找出該服務。

  9. 如要定義條件,請按一下「編輯條件」
    1. 在「新增條件」面板中,建立參照支援服務資源的 CEL 條件,例如 resource.management.autoUpgrade == false。這個欄位最多可輸入 1,000 個半形字元。如要瞭解如何使用 CEL,請參閱「 一般運算語言」。如要進一步瞭解可在自訂限制中使用的服務資源,請參閱「 自訂限制支援的服務」。
    2. 按一下 [儲存]
  10. 在「動作」下方,選取符合條件時要允許或拒絕評估方法。

    11. 如果條件評估結果為 true,系統就會拒絕動作,也就是禁止建立或更新資源。

    允許動作表示只有在條件評估為 true 時,才能建立或更新資源。除了條件中明確列出的情況外,所有其他情況都會遭到封鎖。

  11. 按一下「建立限制」

    12. 在每個欄位中輸入值後,右側會顯示這個自訂限制的對等 YAML 設定。

gcloud

  1. 如要建立自訂限制,請使用下列格式建立 YAML 檔案: 
    2.       name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
      resourceTypes:
      - RESOURCE_NAME
      methodTypes:
      - CREATE
      condition: "CONDITION"
      actionType: ACTION
      displayName: DISPLAY_NAME
      description: DESCRIPTION

    取代下列項目:

    • ORGANIZATION_ID:您的機構 ID,例如 123456789
    • CONSTRAINT_NAME:新自訂限制的名稱。自訂限制只能包含字母 (包括大寫和小寫) 或數字,例如 custom.disableGkeAutoUpgrade。這個欄位最多可包含 70 個字元。
    • RESOURCE_NAME:內含您要限制的物件或欄位的 Google Cloud資源完整名稱,例如: container.googleapis.com/NodePool
    • CONDITION:針對支援服務資源表示法所撰寫的 CEL 條件。這個欄位最多可輸入 1,000 個半形字元。例如: "resource.management.autoUpgrade == false"
    • ACTION:符合 condition 時採取的動作。 可能的值為 ALLOWDENY

      • 如果條件評估結果為 true,表示允許執行建立或更新資源的作業。這也表示系統會封鎖條件中明確列出的情況以外的所有其他情況。

      如果條件評估結果為 true,系統會封鎖建立或更新資源的作業。

    • DISPLAY_NAME:限制的易記名稱。這個欄位最多可包含 200 個半形字元。
    • DESCRIPTION:違反政策時,要以錯誤訊息形式顯示的限制說明。這個欄位最多可輸入 2000 個字元。
  2. 為新的自訂限制建立 YAML 檔案後,您必須加以設定,才能用於貴機構的組織政策。如要設定自訂限制,請使用 gcloud org-policies set-custom-constraint 指令:
    3.         gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    CONSTRAINT_PATH 替換成自訂限制檔案的完整路徑,例如:/home/user/customconstraint.yaml

    完成後,自訂限制就會顯示在 Google Cloud 組織政策清單中,供組織政策使用。

  3. 如要確認是否存在自訂限制,請使用 gcloud org-policies list-custom-constraints 指令:
    4.       gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    請將 ORGANIZATION_ID 替換成組織資源的 ID。

    詳情請參閱「 查看組織政策」。

更新自訂限制

如要更新自訂限制,請在Google Cloud 控制台中編輯限制,或建立新的 YAML 檔案,然後再次使用 set-custom-constraint gcloud CLI 指令。自訂限制沒有版本控管功能,因此會覆寫現有的自訂限制。如果已強制執行自訂限制,更新後的自訂限制會立即生效。

控制台

  1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

    前往組織政策

  2. 選取頁面頂端的專案挑選器。

  3. 在專案選擇工具中,選取要更新組織政策的資源。

  4. 在「Organization policies」(機構政策) 頁面上的清單中,選取要編輯的限制,開啟該限制的「Policy details」(政策詳細資料) 頁面。

  5. 按一下「編輯限制」

  6. 變更顯示名稱、說明、強制執行方法、條件和動作。限制條件建立後,您就無法再變更限制條件 ID 或資源類型。

  7. 按一下 [儲存變更]。

gcloud

  1. 使用 gcloud org-policies describe-custom-constraint 指令取得目前的自訂限制。

    gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID \
  --format=FORMAT > PATH

    更改下列內容:

    • ORGANIZATION_ID:組織 ID,例如 123456789

    • CONSTRAINT_NAME:自訂限制的名稱,例如 custom.disableGkeAutoUpgrade

    • FORMAT:允許政策的格式。使用 jsonyaml

    • PATH:自訂限制的新輸出檔案路徑。

  2. 修改自訂限制的本機副本,以反映您要對顯示名稱、說明、執行方法、條件和動作進行的變更。限制條件建立後,就無法變更限制條件 ID 或資源類型。

  3. 更新自訂限制的 YAML 檔案後,請加以設定,才能用於組織的組織政策。如要設定自訂限制,請使用 gcloud org-policies set-custom-constraint 指令:

    gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    CONSTRAINT_PATH 替換成自訂限制檔案的完整路徑。

更新完成後,您就可以在組織政策中使用更新後的自訂限制。如果原始限制已強制執行,更新後的限制會立即生效。

刪除自訂限制

您可以使用 Google Cloud 控制台或 Google Cloud CLI 刪除自訂限制。

控制台

  1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

    前往組織政策

  2. 選取頁面頂端的專案挑選器。

  3. 在專案選擇工具中,選取要刪除組織政策的資源。

  4. 在「Organization policies」(機構政策) 頁面上的清單中選取要刪除的限制,開啟該限制的「Policy details」(政策詳細資料) 頁面。

  5. 按一下「刪除」圖示

  6. 按一下「Delete」(刪除),確認刪除限制。

gcloud

如要刪除自訂限制,請使用 org-policies delete-custom-constraint gcloud CLI 指令:

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

更改下列內容:

  • ORGANIZATION_ID:組織 ID,例如 123456789

  • CONSTRAINT_NAME:自訂限制的名稱。例如:custom.disableGkeAutoUpgrade

輸出結果會與下列內容相似:

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

刪除自訂限制後,使用該限制建立的任何政策都會繼續存在,但系統會忽略這些政策。您無法建立與已刪除自訂限制條件同名的自訂限制條件。

測試及分析組織政策變更

建議您測試並模擬執行所有機構政策變更,瞭解變更對環境的影響。

機構政策模擬器可協助您瞭解限制和機構政策對目前環境的影響。使用這項工具,您可以在政策於正式環境中強制執行前,查看所有資源設定,瞭解違規情形。如需詳細操作說明,請參閱「使用 Policy Simulator 測試組織政策變更」一文。

瞭解目前的效果後,您可以在模擬執行模式下建立機構政策,瞭解政策在未來 30 天內的影響和潛在違規情形。模擬測試模式下的機構政策是一種機構政策,違反政策的行為會記錄在稽核記錄中,但不會遭到拒絕。您可以使用 Google Cloud 控制台或 Google Cloud CLI,透過自訂限制在模擬執行模式下建立機構政策。如需詳細操作說明,請參閱「以模擬測試模式建立組織政策」。

強制執行自訂組織政策

設定自訂限制後,其運作方式與預先定義的布林限制完全相同。 Google Cloud 在評估是否允許使用者要求時,系統會先檢查自訂限制。如果任何自訂機構政策拒絕要求,系統就會拒絕要求。然後 Google Cloud 檢查該資源是否強制執行預先定義的機構政策。

如要強制執行限制,請建立參照該限制的組織政策,然後將組織政策套用至 Google Cloud 資源。

控制台

  1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

    前往組織政策

  2. 在專案選擇工具中,選取要設定組織政策的專案。
  3. 在「Organization policies」(組織政策) 頁面上的清單中選取限制,即可查看該限制的「Policy details」(政策詳細資料) 頁面。
  4. 如要為這項資源設定組織政策,請按一下「Manage policy」(管理政策)
  5. 在「Edit policy」(編輯政策) 頁面中,選取「Override parent's policy」(覆寫上層政策)
  6. 按一下「Add a rule」(新增規則)
  7. 在「強制執行」部分中,選取是否要強制執行這項機構政策。
  8. 選用:如要根據標記設定組織政策條件,請按一下「Add condition」(新增條件)。請注意,如果為組織政策新增條件式規則,您必須至少新增一項無條件規則,否則無法儲存政策。詳情請參閱「 使用標記設定組織政策」一文。
  9. 按一下「Test changes」(測試變更),模擬組織政策的影響。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」一文。
  10. 如要在模擬測試模式下強制執行組織政策,請按一下「設定模擬測試政策」。詳情請參閱「 以模擬測試模式建立組織政策」。
  11. 確認機構政策在模擬執行模式下運作正常後,請按一下「設定政策」,設定正式政策。

gcloud

  1. 如要建立含有布林值規則的組織政策,請建立參照限制的政策 YAML 檔案:
    2.         name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
        spec:
          rules:
          - enforce: true
        
        dryRunSpec:
          rules:
          - enforce: true

    取代下列項目:

    • PROJECT_ID:您要強制執行限制的專案。
    • CONSTRAINT_NAME:您為自訂限制定義的名稱,例如 custom.disableGkeAutoUpgrade
  2. 如要以模擬測試模式強制執行組織政策,請執行下列指令並加上 dryRunSpec 旗標:
    3.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=dryRunSpec

    POLICY_PATH 替換成組織政策 YAML 檔案的完整路徑。政策最多需要 15 分鐘才會生效。

  3. 確認模擬測試模式中的機構政策運作正常後,請使用 org-policies set-policy 指令和 spec 旗標設定正式政策:
    4.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=spec

    POLICY_PATH 替換成組織政策 YAML 檔案的完整路徑。政策最多需要 15 分鐘才會生效。

限制範例

您可以定義自訂限制,類似於 Google 提供的預先定義限制。典型的自訂限制 YAML 檔案如下所示:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if
AutoUpgrade is not enabled where this custom constraint is enforced.

一般運算語言

機構政策服務會使用一般運算語言 (CEL) 評估自訂限制的條件。CEL 是一種開放原始碼的非圖靈完備語言,可實作運算式評估的常見語意。

支援自訂限制的每項服務,都會提供特定資源集和這些資源的欄位。可用欄位是強型別,可由自訂限制直接參照。

您可以根據欄位類型,建構參照服務資源欄位的 CEL 條件。機構政策服務支援部分 CEL 資料類型、運算式和巨集。以下各節列出可用的資料類型,以及適用於這些類型的常見運算式和巨集。

如要瞭解各項服務可用的運算式和巨集,請參閱「自訂限制支援的服務」。

下列 JSON 範例顯示您可使用自訂限制條件參照的每個潛在欄位類型:

{
  "integerValue": 1,
  "stringValue": "A text string",
  "booleanValue": true,
  "nestedValue": {
    "nestedStringValue": "Another text string"
  },
  "listValue": ["foo", "bar"],
  "mapValue": {
    "costCenter": "123"
  }
}

對於每個 CEL 運算式,當條件評估結果為 true 時,系統會強制執行自訂限制。您可以使用 and (&&) 和 or (||) 結合運算式,建立複雜的查詢。為自訂限制建立 YAML 或 JSON 檔案時,請將完整查詢內容放在雙引號 (") 內。

整數

整數字段 (例如上例中的 integerValue) 允許在條件中使用比較運算子。例如:

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

字串

字串欄位 (例如上例中的 stringValue) 可以使用字串常值、規則運算式或 CEL 運算式進行評估。例如:

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

巢狀欄位 (例如上一個範例中的 nestedStringValue) 必須使用完整路徑參照。例如:

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

布林值

布林值欄位 (例如上例中的 booleanValue) 包含布林值,也就是 truefalse

清單

清單欄位 (例如上一個範例中的 listValue) 可根據清單大小、清單內容,以及清單中是否含有特定元素進行評估。

例如:

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

地圖

對應欄位 (例如上例中的 mapValue) 是鍵/值組合,可根據特定元素的有無和值進行評估。

例如:

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

排解自訂限制問題

下列各節說明建立自訂限制的常見問題,並介紹這些問題的解決方法。

方法類型錯誤

自訂限制條件是使用強制執行的方法清單建立,通常是 CREATECREATEUPDATE。如果您指定的資源不支援某種方法類型 (例如 Compute Engine 映像檔資源的 UPDATE 方法),就無法儲存自訂限制。

未評估的代碼

機構、資料夾或專案資源上的標記支援自訂限制。如要進一步瞭解哪些服務支援標記,請參閱服務專屬說明文件

跨服務限制

部分服務 (例如 Compute Engine) 涉及大量相關資源。發生違規情形時,系統會顯示自訂機構政策的錯誤訊息,即使自訂限制適用於其他服務也一樣。

舉例來說,Compute Engine 資源的自訂限制可能會封鎖 Dataproc 動作。

排解 CEL 錯誤

機構政策服務會編譯及驗證您建立的條件,如果條件語法不正確,就會傳回錯誤。如果無法建立或儲存自訂限制,可能是發生無效的 CEL 語法錯誤,請務必先解決這個問題。

在 Google Cloud 控制台中,系統會以「錯誤」圖示標示無效的 CEL 語法錯誤。醒目顯示這個圖示會顯示工具提示,其中包含語法錯誤的詳細資訊。

某些條件可能會編譯,但嘗試強制執行限制時會發生錯誤。 Google Cloud舉例來說,如果您設定的限制條件嘗試存取不存在的清單索引或對應鍵,限制條件就會在強制執行時失敗並傳回錯誤,並封鎖任何建立資源的嘗試

以下各節說明常見的 CEL 錯誤,以及這些錯誤的可能解決方法。

運算式無效或類型不符

如果建立條件時使用無效的運算式或類型不符,嘗試設定自訂限制時會傳回錯誤。舉例來說,假設有下列無效的自訂限制,會比較字串和整數:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

如果您嘗試使用 Google Cloud CLI 設定這項限制,系統會產生錯誤:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

在 Google Cloud 控制台中,系統會以「錯誤」圖示標示無效的 CEL 語法錯誤。醒目顯示這個圖示會顯示工具提示,其中包含語法錯誤的詳細資訊。

機構政策服務會編譯及驗證您建立的條件,如果條件語法不正確,就會傳回錯誤。不過,某些條件可能會編譯,但在 Google Cloud 嘗試 Google Cloud 強制執行限制時傳回錯誤。舉例來說,如果您設定的限制條件嘗試存取不存在的清單索引或對應鍵,限制條件就會在強制執行時失敗並傳回錯誤,並封鎖任何建立資源的嘗試

建立取決於清單或對應元素的條件時,建議先檢查條件是否在所有情況下都有效,舉例來說,請先檢查 list.size(),再參照特定清單元素,或先使用 has(),再參照地圖元素。

支援的服務

各項服務會定義一組自訂限制欄位,可用於對服務資源強制執行機構政策。如需支援自訂限制的服務清單,請參閱「支援自訂限制的服務」。

如要進一步瞭解如何設定機構政策掃描器,請參閱「機構政策安全漏洞發現結果」。

對資源強制執行必要標記

您可以透過自訂機構政策,在資源上強制執行標記。強制執行必要標記後,您只能建立符合機構標記政策的資源,也就是資源會繫結至政策中指定必要標記鍵的標記值。詳情請參閱「設定自訂限制來強制執行標記」。

後續步驟