Benutzerdefinierte Einschränkungen für Projekte verwalten

Auf dieser Seite wird beschrieben, wie Sie benutzerdefinierte Einschränkungen für Cloud Run-Dienste und -Jobs erstellen und auf Projektebene erzwingen. Informationen zu benutzerdefinierten Organisationsrichtlinien finden Sie unter Benutzerdefinierte Organisationsrichtlinien erstellen und verwalten.

Wenn Sie Cloud Run-Funktionen mit gcloud functions-Befehlen oder den Cloud Functions v2 APIs erstellt oder bereitgestellt haben, lesen Sie den Abschnitt Funktionsressourcen mit benutzerdefinierten Einschränkungen verwalten.

Mit der Organisationsrichtlinie vonGoogle Cloud können Sie die Ressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator für Organisationsrichtlinien können Sie eine Organisationsrichtlinie definieren, also eine Reihe von Einschränkungen, die für Ressourcen vonGoogle Cloud und untergeordnete Elemente dieser Ressourcen in der Google Cloud Ressourcenhierarchie gelten. Sie können Organisationsrichtlinien auf Organisations-, Ordner- oder Projektebene erzwingen.

Die Organisationsrichtlinie bietet vordefinierte Einschränkungen für verschiedeneGoogle Cloud -Dienste. Wenn Sie jedoch eine detailliertere, anpassbare Steuerung der spezifischen Felder wünschen, die in Ihren Organisationsrichtlinien eingeschränkt werden, können Sie auch benutzerdefinierte Organisationsrichtlinien erstellen.

Vorteile

  • Kostenverwaltung: Verwenden Sie Organisationsrichtlinien, um die VM-Instanz und Laufwerkgrößen und -typen zu beschränken, die in Ihrer Organisation verwendet werden können. Sie können auch die Maschinenfamilie einschränken, die für die VM-Instanz verwendet wird
  • Sicherheit, Compliance und Governance :
    • Zur Durchsetzung von Sicherheitsanforderungen können Sie bestimmte Firewallregeln für VMs auf VMs festlegen.
    • Zur Unterstützung der Hardware-Isolation oder der Lizenzcompliance kann die Ausführung aller VMs in einem bestimmten Projekt oder Ordner auf Knoten für einzelne Mandanten erforderlich sein.
    • Zur Steuerung von Automatisierungsskripts können Sie benutzerdefinierte Organisationsrichtlinien verwenden, um zu prüfen, ob die Labels den erforderlichen Ausdrücken entsprechen.

Mit Cloud Run können Sie eine beliebige Anzahl benutzerdefinierter Einschränkungen mit den meisten nutzerkonfigurierten Feldern in der Cloud Run Admin API schreiben. Sie können beispielsweise eine benutzerdefinierte Einschränkung erstellen, die festlegt, dass ein Dienst auf „Intern“ gesetzt werden muss, oder die nicht allgemein verfügbare Launch-Phasen verhindert.

Nach der Anwendung zeigen Anfragen, die gegen eine Richtlinie verstoßen, die eine benutzerdefinierte Einschränkung erzwingt, eine Fehlermeldung in der gcloud CLI und in Cloud Run-Logs. Die Fehlermeldung enthält die Constraint-ID und eine Beschreibung der verletzten benutzerdefinierten Einschränkung.

Übernahme von Richtlinien

Standardmäßig werden Organisationsrichtlinien von den Nachfolgerelementen der Ressourcen übernommen, für die Sie die Richtlinie erzwingen. Wenn Sie beispielsweise eine Richtlinie für einen Ordner erzwingen, erzwingt Google Cloud die Richtlinie für alle Projekte in dem Ordner. Weitere Informationen zu diesem Verhalten und zu dessen Änderung finden Sie unter Regeln für die Bewertung der Hierarchie.

Preise

Der Organisationsrichtliniendienst, einschließlich vordefinierter und benutzerdefinierter Organisationsrichtlinien, wird kostenlos angeboten.

Beschränkungen

Hinweise

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisationsressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Benutzerdefinierte Einschränkung erstellen

Eine benutzerdefinierte Einschränkung wird in einer YAML-Datei durch die Ressourcen, Methoden, Bedingungen und Aktionen definiert, die von dem Dienst unterstützt werden, für den Sie die Organisationsrichtlinie erzwingen. Bedingungen für Ihre benutzerdefinierten Einschränkungen werden mithilfe der Common Expression Language (CEL) definiert. Weitere Informationen zum Erstellen von Bedingungen in benutzerdefinierten Einschränkungen mit CEL finden Sie im Abschnitt CEL unter Benutzerdefinierte Einschränkungen erstellen und verwalten.

Ein Beispiel für eine YAML-Datei für eine benutzerdefinierte Cloud Run-Einschränkung finden Sie unten:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- run.googleapis.com/Service
methodTypes: 
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Ihre Organisations-ID, z. B. 123456789.

  • CONSTRAINT_NAME: Name, den Sie für Ihre neue benutzerdefinierte Einschränkung verwenden möchten. Eine benutzerdefinierte Einschränkung muss mit custom. beginnen und darf nur Großbuchstaben, Kleinbuchstaben oder Ziffern enthalten, zum Beipiel custom.ingressInternal. Die maximale Länge dieses Feldes beträgt 70 Zeichen, das Präfix wird nicht gezählt (zum Beispiel organizations/123456789/customConstraints/custom).

  • CONDITION: eine CEL-Bedingung, die für eine Darstellung einer unterstützten Dienstressource geschrieben wird. Dieses Feld hat eine maximale Länge von 1000 Zeichen. Beispiel: condition: "'run.googleapis.com/ingress' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/ingress'] == 'internal'".

  • ACTION: Aktion, die ausgeführt werden soll, wenn condition erfüllt ist. Dies kann entweder ALLOW oder DENY sein.

  • DISPLAY_NAME: Ein nutzerfreundlicher Name für die Einschränkung. Dieses Feld hat eine maximale Länge von 200 Zeichen.

  • DESCRIPTION: Eine nutzerfreundliche Beschreibung der Einschränkung, die als Fehlermeldung angezeigt werden soll, wenn die Richtlinie verletzt wird, z. B. „Eingang muss auf ‚intern‘ festgelegt sein“. Dieses Feld hat eine maximale Länge von 2.000 Zeichen.

Weitere Informationen zum Erstellen einer benutzerdefinierten Einschränkung finden Sie unter Benutzerdefinierte Einschränkungen definieren.

Benutzerdefinierte Beschränkung einrichten

Nachdem Sie die YAML-Datei für eine neue benutzerdefinierte Beschränkung erstellt haben, müssen Sie sie einrichten, um sie für Organisationsrichtlinien in Ihrer Organisation verfügbar zu machen. Verwenden Sie zum Einrichten einer benutzerdefinierten Beschränkung den Befehl gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Ersetzen Sie CONSTRAINT_PATH durch den vollständigen Pfad zu Ihrer benutzerdefinierten Beschränkungsdatei. Beispiel: /home/user/customconstraint.yaml Nach Abschluss des Vorgangs sind Ihre benutzerdefinierten Beschränkungen als Organisationsrichtlinien in der Liste der Organisationsrichtlinien von Google Cloud verfügbar. Prüfen Sie mit dem Befehl gcloud org-policies list-custom-constraints, ob die benutzerdefinierte Beschränkung vorhanden ist: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisationsressource. Weitere Informationen finden Sie unter Organisationsrichtlinien aufrufen.

Benutzerdefinierte Einschränkung erzwingen

Sie können eine Beschränkung erzwingen, indem Sie eine Organisationsrichtlinie erstellen, die darauf verweist, und diese Organisationsrichtlinie dann auf eine Ressource von Google Cloud anwenden.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.
  3. Wählen Sie auf der Seite Organisationsrichtlinien die gewünschte Beschränkung aus, um die Seite Richtliniendetails aufzurufen.
  4. Zum Konfigurieren der Organisationsrichtlinie für diese Ressource klicken Sie auf Richtlinie verwalten.
  5. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
  6. Klicken Sie auf Regel hinzufügen.
  7. Wählen Sie im Abschnitt Erzwingung aus, ob die Erzwingung dieser Organisationsrichtlinie aktiviert oder deaktiviert werden soll.
  8. Klicken Sie optional auf Bedingung hinzufügen, um die Organisationsrichtlinie von einem Tag abhängig zu machen. Wenn Sie einer Organisationsrichtlinie eine bedingte Regel hinzufügen, müssen Sie mindestens eine unbedingte Regel hinzufügen, da die Richtlinie sonst nicht gespeichert werden kann. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
  9. Klicken Sie auf Änderungen testen, um die Auswirkungen der Organisationsrichtlinie zu simulieren. Die Richtliniensimulation ist für veraltete verwaltete Beschränkungen nicht verfügbar. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Policy Simulator testen.
  10. Klicken Sie auf Richtlinie festlegen, um den Vorgang abzuschließen und die Organisationsrichtlinie anzuwenden. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

gcloud

Wenn Sie eine Organisationsrichtlinie mit booleschen Regeln erstellen möchten, erstellen Sie eine YAML-Richtliniendatei, die auf die Beschränkung verweist: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Ersetzen Sie Folgendes:

  • PROJECT_ID: das Projekt, für das Sie die Beschränkung erzwingen möchten.
  • CONSTRAINT_NAME: der Name, den Sie für Ihre benutzerdefinierte Beschränkung definiert haben. Beispiel: custom.ingressInternal.

Führen Sie den folgenden Befehl aus, um die Organisationsrichtlinie mit der Beschränkung zu erzwingen: 

    gcloud org-policies set-policy POLICY_PATH

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie. Es kann bis zu 15 Minuten dauern, bis die Richtlinie wirksam wird.

Benutzerdefinierte Einschränkung testen

Um das Beispiel zu testen, bei dem die Einstellungen für den eingehenden Traffic eingeschränkt werden, können Sie einen Cloud Run-Dienst im Projekt bereitstellen, für den all als Wert für den eingehenden Traffic festgelegt ist:

gcloud run deploy org-policy-test \
    --project=PROJECT_ID \
    --region=REGION_ID \
    --ingress=all

Die Ausgabe sieht so aus:

Operation denied by custom org policies: ["customConstraints/custom.ingressConstraint": "Require ingress to be set to internal."]

Beispiele für benutzerdefinierte Organisationsrichtlinien für häufige Anwendungsfälle

Die folgende Tabelle enthält Beispiele für benutzerdefinierte Einschränkungen, die für Cloud Run-Dienste und -Jobs nützlich sein können:

Beschreibung Einschränkungssyntax
Cloud Run-Dienste müssen auf „intern“ festgelegt sein. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.ingressInternal
    resourceTypes:
    - run.googleapis.com/Service
    methodTypes:
    - CREATE
    - UPDATE
    condition: "'run.googleapis.com/ingress' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/ingress'] == 'internal'"
    actionType: ALLOW
    displayName: IngressInternal
    description: Require ingress to be set to internal.
Beschreibung Einschränkungssyntax
Ein benutzerdefiniertes Arbeitsspeicherlimit für alle Container eines Cloud Run-Dienstes ist erforderlich. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.memoryLimit
    resourceTypes:
    - run.googleapis.com/Service
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.spec.template.spec.containers.all(container, 'memory' in container.resources.limits && container.resources.limits['memory'] <= 'MEMORY_LIMIT')"
    actionType: ALLOW
    displayName: memoryLimitCap
    description: Require the container memory limit to be set to <= MEMORY_LIMIT.
Beschreibung Einschränkungssyntax
Verhindern Sie, dass die Einführungsphase von Cloud Run vom Standard „GA“ in eine Einführungsphase geändert wird, die nicht GA entspricht. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.launchStage
    resourceTypes:
    - run.googleapis.com/Service
    methodTypes:
    - CREATE
    - UPDATE
    condition: "!('run.googleapis.com/launch-stage' in resource.metadata.annotations) || resource.metadata.annotations['run.googleapis.com/launch-stage'] == 'GA'"
    actionType: ALLOW
    displayName: launchStage
    description: Only allow users to create and update Cloud Run services with either an unset launch stage (default is GA) or a launch stage explicitly set to GA.
Beschreibung Einschränkungssyntax
Binärautorisierung muss auf den Standardwert festgelegt sein. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.binaryAuthorization
    resourceTypes:
    - run.googleapis.com/Service
    methodTypes:
    - CREATE
    - UPDATE
    condition: "'run.googleapis.com/binary-authorization' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/binary-authorization'] == 'default'"
    actionType: ALLOW
    displayName: binaryAuthorization
    description: Require binaryAuthorization to be set to default.
Beschreibung Einschränkungssyntax
Machen Sie erforderlich, dass Dienste für jeden Container eine Aktivitätsprüfung haben. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.livenessProbe
    resourceTypes:
    - run.googleapis.com/Service
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.spec.template.spec.containers.all(container, has(container.livenessProbe.initialDelaySeconds))"
    actionType: ALLOW
    displayName: livenessProbe
    description: Require all containers to have a liveness probe configured with initialDelaySeconds.
Beschreibung Einschränkungssyntax
Machen Sie erforderlich, dass ein Dienst mindestens einen Sidecar-Container hat, der ein Image verwendet, das mit einem bestimmten Präfix beginnt und einen Port hat, der einer bestimmten Zahl entspricht. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.requireSidecar
    resourceTypes:
    - run.googleapis.com/Service
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.spec.template.spec.containers.exists(container, container.image.startsWith('us-docker.pkg.dev/cloud-ops-agents-artifacts/cloud-run-gmp-sidecar/') && container.ports.exists(port, port.containerPort == 8081))"
    actionType: ALLOW
    displayName: requireSidecar
    description: Require at least one container with an image that starts with "us-docker.pkg.dev/cloud-ops-agents-artifacts/cloud-run-gmp-sidecar/" and uses port 8081.
Beschreibung Beschränkungssyntax
Ermöglicht nur das Erstellen und Bearbeiten von Funktionen. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowcrf
    resource_types: run.googleapis.com/Service
    method_types:
    - CREATE
    - UPDATE
    condition: "resource.spec.template.spec.containers.exists(container, container.image.startsWith('gcr.io/cloudrun/placeholder')) || (has(resource.metadata.annotations) && 'run.googleapis.com/build-function-target' in resource.metadata.annotations)"
    action_type: ALLOW
    display_name: runFunctionsOnly
    description: Only allow the creation and editing of Cloud Run functions
Beschreibung Beschränkungssyntax
Die Standard-URL run.app muss für Cloud Run-Dienste deaktiviert sein. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.disableRunApp
    resourceTypes:
    - run.googleapis.com/Service
    methodTypes:
    - CREATE
    - UPDATE
    condition: "'run.googleapis.com/default-url-disabled' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/default-url-disabled'] == 'true'"
    actionType: ALLOW
    displayName: disableRunApp
    description: Require services to disable run.app URL.

Nächste Schritte