カスタム制約を使用してリソースを管理する

このページでは、組織のポリシー サービスのカスタム制約を使用して、次の Google Cloud リソースに対する特定のオペレーションを制限する方法について説明します。

  • networkservices.googleapis.com/LbRouteExtension
  • networkservices.googleapis.com/LbTrafficExtension

組織のポリシーの詳細については、カスタムの組織のポリシーをご覧ください。

組織のポリシーと制約について

Google Cloud 組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソース階層内のGoogle Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。

組織のポリシーを利用することで、あらかじめ用意されたマネージド制約をさまざまな Google Cloud サービスに適用できます。ただし、組織のポリシーで制限されている特定の項目をより細かくカスタマイズして制御したい場合は、カスタム制約を作成して、それを組織のポリシーで使うこともできます。

ポリシーの継承

デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。

利点

サービス拡張機能でカスタムの組織のポリシーを使用すると、次のことが可能になります。

  • ロード バランシング スキームを 1 つのタイプのみ許可する
  • サポートされている特定のイベントタイプを禁止する
  • 拡張機能チェーンと拡張機能の数を制限する

始める前に

  • 組織 ID を確実に把握します。
  • Google Cloud CLI をインストールして初期化します。

    1. Google Cloud CLI をインストールします。

    2. 外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

    3. gcloud CLI を初期化するには、次のコマンドを実行します。

      gcloud init

    • 必要なロール

    カスタムの組織のポリシーを管理するために必要な権限を取得するには、組織のリソースに対する組織のポリシー管理者roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

    必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

    カスタム制約を設定する

    カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language(CEL)を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。

    コンソール

    カスタム制約を作成する手順は次のとおりです。

    1. Google Cloud コンソールで [組織のポリシー] ページに移動します。

      [組織のポリシー] に移動

    2. プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
    3. [ カスタム制約] をクリックします。
    4. [表示名] ボックスに、人が読める形式で制約の名前を入力します。この名前はエラー メッセージで使用されるほか、識別やデバッグにも使用できます。エラー メッセージで公開される可能性があるため、表示名に個人情報(PII)や機密データを使用しないでください。このフィールドには、最大 200 文字まで入力できます。
    5. [制約 ID] ボックスに、新しいカスタム制約の名前を入力します。カスタム制約の名前に使用できるのは、英字(大文字と小文字)と数字のみです(例: custom.disableGkeAutoUpgrade)。このフィールドには、接頭辞(custom.)を除き、最大 70 文字まで入力できます(例: organizations/123456789/customConstraints/custom)。エラー メッセージで公開される可能性があるため、制約 ID に個人情報(PII)や機密データを含めないでください。
    6. [説明] ボックスに、人が読める形式で制約の説明を入力します。この説明は、ポリシー違反の際にエラー メッセージとして使用されます。ポリシー違反が発生した理由と、ポリシー違反を解決する方法に関する詳細を含めてください。エラー メッセージで公開される可能性があるため、説明に個人情報(PII)や機密データを含めないでください。 このフィールドには、最大 2,000 文字まで入力できます。
    7. [リソースの種類] ボックスで、制限するオブジェクトとフィールドを含む Google Cloud REST リソースの名前を選択します(例: container.googleapis.com/NodePool)。ほとんどの種類のリソースは、最大 20 個のカスタム制約をサポートしています。これより多くのカスタム制約を作成しようとすると、オペレーションは失敗します。
    8. [適用方法] で、REST の CREATE メソッドに制約を適用するか、CREATE メソッドと UPDATE メソッドの両方に制約を適用するかを選択します。制約に違反するリソースに対する UPDATE メソッドに制約を適用した場合、そのリソースへの変更は、違反を解決するものでない限り、組織のポリシーによってブロックされます。

      9. すべての Google Cloud サービスで両方のメソッドがサポートされているわけではありません。各サービスでサポートされているメソッドを確認するには、 カスタム制約をサポートするサービスをご覧ください。

    9. 条件を定義するには、[ 条件を編集] をクリックします。
      1. [条件を追加] パネルで、サポートされているサービス リソースを参照する CEL 条件を作成します(例: resource.management.autoUpgrade == false)。このフィールドには、最大 1,000 文字まで入力できます。CEL の使用方法の詳細については、Common Expression Language をご覧ください。 カスタム制約で使用できるサービス リソースの詳細については、カスタム制約のサポート サービスをご覧ください。
      2. [保存] をクリックします。
    10. [アクション] で、条件が満たされた場合に評価対象のメソッドを許可するか拒否するかを選択します。

      11. 拒否アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションがブロックされることを意味します。

      許可アクションは、条件が true と評価された場合にのみ、リソースを作成または更新するオペレーションが許可されることを意味します。条件に明記されているケースを除き、他のケースはすべてブロックされます。

    11. [制約を作成] をクリックします。

      12. 各フィールドに値を入力すると、このカスタム制約に対応する YAML 構成が右側に表示されます。

    gcloud

    1. カスタム制約を作成するには、次の形式で YAML ファイルを作成します。 
      2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
      - UPDATE       
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

      次のように置き換えます。

      • ORGANIZATION_ID: 組織 ID(例: 123456789)。
      • CONSTRAINT_NAME: 新しいカスタム制約の名前。カスタム制約の名前に使用できるのは、英字(大文字と小文字)と数字のみです(例: custom.LbTrafficExtensionDenyBodyEvents)。このフィールドには、最大 70 文字まで入力できます。
      • RESOURCE_NAME: 制限するオブジェクトとフィールドを含む Google Cloudリソースの完全修飾名。例: networkservices.googleapis.com/LbTrafficExtension
      • CONDITION: サポート対象のサービス リソースの表現に対して記述する CEL 条件。このフィールドには、最大 1,000 文字まで入力できます。例: "resource.extensionChains.exists(chain, chain.extensions.exists(extension, extension.supportedEvents.exists(event, event.contains("BODY"))))"

        • 条件を記述できるリソースの詳細については、サポートされているリソースをご覧ください。

      • ACTION: condition が満たされた場合に実行するアクション。 有効な値は ALLOWDENY です。

        • 許可アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションが許可されることを意味します。つまり、条件に明記されているケース以外はすべてブロックされます。

        拒否アクションは、条件が true と評価された場合に、リソースを作成または更新するオペレーションがブロックされることを意味します。

      • DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。このフィールドには、最大 200 文字まで入力できます。
      • DESCRIPTION: ポリシー違反の際にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドには、最大 2,000 文字まで入力できます。
    2. 新しいカスタム制約の YAML ファイルを作成したら、組織内で組織のポリシーとして使用できるように設定する必要があります。カスタム制約を設定するには、gcloud org-policies set-custom-constraint コマンドを使用します。 
      3. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

      CONSTRAINT_PATH は、カスタム制約ファイルのフルパスに置き換えます。例: /home/user/customconstraint.yaml

      この操作が完了すると、カスタム制約が Google Cloud の組織ポリシーのリストに表示され、組織のポリシーとして使用できるようになります。

    3. カスタム制約が存在することを確認するには、gcloud org-policies list-custom-constraints コマンドを使用します。 
      4. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

      ORGANIZATION_ID は組織リソースの ID に置き換えます。

      詳細については、組織のポリシーの表示をご覧ください。

    カスタムの組織のポリシーを適用する

    制約を適用するには、それを参照する組織のポリシーを作成し、その組織のポリシーを Google Cloud リソースに適用します。

    コンソール

    1. Google Cloud コンソールで [組織のポリシー] ページに移動します。

      [組織のポリシー] に移動

    2. プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
    3. [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
    4. このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
    5. [ポリシーの編集] ページで、[Override parent's policy] を選択します。
    6. [ルールを追加] をクリックします。
    7. [適用] セクションで、この組織のポリシーを適用するかどうかを選択します。
    8. 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、 タグを使用して組織のポリシーのスコープを設定するをご覧ください。
    9. [変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートします。詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
    10. ドライラン モードで組織のポリシーを適用するには、[ドライラン ポリシーを設定] をクリックします。詳細については、 組織のポリシーをテストするをご覧ください。
    11. ドライラン モードで組織のポリシーが想定どおりに動作することを確認したら、[ポリシーを設定] をクリックして有効なポリシーを設定します。

    gcloud

    1. ブール値のルールを含む組織のポリシーを作成するには、制約を参照するポリシーの YAML ファイルを作成します。
      2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

      次のように置き換えます。

      • PROJECT_ID: 制約を適用するプロジェクト。
      • CONSTRAINT_NAME: カスタム制約に定義した名前。例: custom.LbTrafficExtensionDenyBodyEvents
    2. ドライラン モードで組織のポリシーを適用するには、dryRunSpec フラグを指定して次のコマンドを実行します。 
      3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

      POLICY_PATH は、組織のポリシーの YAML ファイルのフルパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。

    3. ドライラン モードで組織のポリシーが想定どおりに動作することを確認したら、org-policies set-policy コマンドと spec フラグを使用して有効なポリシーを設定します。 
      4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

      POLICY_PATH は、組織のポリシーの YAML ファイルのフルパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。

    カスタム組織のポリシーをテストする

    次の例では、Cloud Load Balancing トラフィック拡張機能がリクエスト本文またはレスポンス本文を変更できないようにするカスタム制約を作成します。

    制約を作成する

    1. 制約を定義するには、次のコンテンツを含むファイルを constraint-deny-body-events.yaml という名前で作成します。

      name: organizations/ORGANIZATION_ID/customConstraints/custom.LbTrafficExtensionDenyBodyEvents
resourceTypes:
- networkservices.googleapis.com/LbTrafficExtension
methodTypes:
- CREATE
- UPDATE
condition: resource.extensionChains.exists(chain, chain.extensions.exists(extension, extension.supportedEvents.exists(event, event.contains("BODY"))))
actionType: DENY
displayName: Deny body modifications by traffic extensions.
description: Deny traffic extensions that are called for REQUEST_BODY or RESPONSE_BODY.

      ORGANIZATION_ID は、実際の組織 ID に置き換えます。

    2. 制約を適用します。

      gcloud org-policies set-custom-constraint ~/constraint-deny-body-events.yaml

    3. 制約が存在することを確認します。

      gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

      出力は次のようになります。

      CUSTOM_CONSTRAINT                        ACTION_TYPE  METHOD_TYPES     RESOURCE_TYPES                                      DISPLAY_NAME
custom.LbTrafficExtensionDenyBodyEvents  DENY         CREATE,UPDATE    networkservices.googleapis.com/LbTrafficExtension   Deny body modifications by traffic extensions.
...

    ポリシーを作成する

    1. 次のポリシーを含む policy-deny-body-events.yaml という名前のファイルを作成します。

      name: projects/PROJECT_ID/policies/custom.LbTrafficExtensionDenyBodyEvents
spec:
  rules:
  - enforce: true

      PROJECT_ID は、実際のプロジェクト ID に置き換えます。

    2. ポリシーを適用します。

      gcloud org-policies set-policy ~/policy-deny-body-events.yaml

    3. ポリシーが存在することを確認します。

      gcloud org-policies list --project=PROJECT_ID

      出力は次のようになります。

      CONSTRAINT                               LIST_POLICY    BOOLEAN_POLICY    ETAG
custom.LbTrafficExtensionDenyBodyEvents  -              SET               COCsm5QGENiXi2E=

    ポリシーを適用したら、 Google Cloud がポリシーの適用を開始するまで 2 分ほど待ちます。

    ポリシーのテスト

    supportedEvents フィールドが REQUEST_BODY に設定された Cloud Load Balancing トラフィック拡張機能を作成して、ポリシーをテストします。

    gcloud service-extensions lb-traffic-extensions import TRAFFIC_EXTENSION_NAME \
    --source=PATH_TO_EXTENSION_FILE \
    --location=LOCATION_ID

    次のように置き換えます。

    • TRAFFIC_EXTENSION_NAME: トラフィック拡張機能の一意の名前
    • PATH_TO_EXTENSION_FILE: 拡張機能ファイルのパス
    • LOCATION_ID: プロジェクトのロケーション

    出力は次のようになります。

    ERROR: (gcloud.service-extensions.lb-traffic-extensions.import)
FAILED_PRECONDITION: Operation denied by org policy on resource
'projects/123456/locations/global/lbTrafficExtensions/trafficExtension1':
["customConstraints/custom.prohibitBodyModifyingEvents":
"Deny traffic extensions that are called for REQUEST_BODY or RESPONSE_BODY."].

    一般的なユースケースでのカスタムの組織のポリシー例

    次の表では一般的なカスタム制約の構文例をまとめています。

    説明 制約の構文
    すべての Cloud Load Balancing ルート拡張機能に INTERNAL_MANAGED 負荷分散スキームが必要 
        name: organizations/ORGANIZATION_ID/customConstraints/custom.lbRouteExtensionInternalManaged
    resourceTypes:
    - networkservices.googleapis.com/LbRouteExtension
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.loadBalancingScheme == INTERNAL_MANAGED"
    actionType: ALLOW
    displayName: Require all Cloud Load Balancing route extensions to
    have the INTERNAL_MANAGED load balancing scheme
    description: All Cloud Load Balancing route extensions must have the
    INTERNAL_MANAGED load balancing scheme.

    Service Extensions でサポートされているリソース

    次の表に、カスタム制約で参照できる Service Extensions リソースを示します。

    リソース フィールド
    networkservices.googleapis.com/LbRouteExtension resource.description
    resource.extensionChains.extensions.authority
    resource.extensionChains.extensions.failOpen
    resource.extensionChains.extensions.forwardHeaders
    resource.extensionChains.extensions.metadata
    resource.extensionChains.extensions.name
    resource.extensionChains.extensions.supportedEvents
    resource.extensionChains.extensions.timeout
    resource.extensionChains.name
    resource.loadBalancingScheme
    resource.metadata
    resource.name
    networkservices.googleapis.com/LbTrafficExtension resource.description
    resource.extensionChains.extensions.authority
    resource.extensionChains.extensions.failOpen
    resource.extensionChains.extensions.forwardHeaders
    resource.extensionChains.extensions.metadata
    resource.extensionChains.extensions.name
    resource.extensionChains.extensions.supportedEvents
    resource.extensionChains.extensions.timeout
    resource.extensionChains.name
    resource.loadBalancingScheme
    resource.metadata
    resource.name

    次のステップ