分层服务启用概览
分层服务启用是 Service Usage 的一项功能,可让您更好地控制组织资源层次结构中公共服务和私有服务的启用和停用。分层服务激活支持声明式政策模型,可帮助您高效管理服务依赖项和众多服务。
本文档简要介绍了分层服务激活。如需了解如何使用此功能,请参阅管理服务启用状态。
继承服务启用政策
通过分层服务启用,您可以在 Google Cloud 资源层次结构的不同层级上设置服务启用政策。在更高级别设置的政策会被所有子资源继承。您只需在最高共同级别启用服务即可。
这简化了跨大量项目的服务管理,并支持一致的政策执行。例如,您可以确保文件夹或组织下的所有项目都遵循一组已启用的基准服务,从而减少项目级配置的需求。
您可以在以下级别设置服务启用政策:
- 在组织级层设置的政策适用于组织内的所有文件夹和项目。
- 在文件夹级别设置的政策适用于相应文件夹内的所有子文件夹和项目。
- 在项目级层设置的政策会继承自父文件夹和组织。
组织政策
虽然分层服务启用功能可让您启用或停用服务,但组织政策服务可提供集中式控制,让您能够控制服务的使用方式,从而对分层服务启用功能起到补充作用。 启用服务后,您可以使用组织政策对其配置强制执行限制条件,例如限制新创建资源的物理位置或限制可使用的服务账号。这样一来,您就可以建立合规性保护措施,确保即使在启用服务后,其使用情况也符合贵组织的治理要求。
主要概念
如需管理服务启用,您应了解分层服务激活声明性政策模型的以下关键概念。
使用方政策
ConsumerPolicy 是 Service Usage API 资源,位于 Google Cloud资源层次结构的每个级别。此资源始终命名为 default,包含用于定义已启用哪些服务的 enableRules。您可以修改 ConsumerPolicy 资源,而不是启用或停用特定服务。如果服务名称位于该列表中,则表示该服务已在该层次级别启用。这种声明式方法可简化服务状态的管理。
有效政策
EffectivePolicy 是在 Google Cloud 资源层次结构的每个级别中找到的 Service Usage API 资源。有效政策会显示为资源启用了哪些服务。它将资源的 ConsumerPolicy 与其所有祖先的政策相结合。这样一来,您就可以全面了解所有已启用的服务以及这些服务的启用来源。
服务依赖项
许多 Google Cloud 服务都需要其他服务才能正常运行。使用分层服务激活功能启用服务时,系统会自动将该服务所需的相关依赖项添加到 ConsumerPolicy 中。服务依赖关系组包含这些依赖的服务,您可以检查这些服务,以便更好地了解和管理它们。
从之前的 Service Usage 版本过渡
分层服务激活功能适用于之前的 Service Usage 版本。您可以使用分层服务激活功能(例如在文件夹或组织级层启用服务),而无需更改现有的项目级层设置。在项目级层启用的服务将继续正常运行。分层模型会添加这些设置。项目的有效政策是项目级层设置的政策与从文件夹和组织继承的政策相结合的结果。
例如,如果之前使用某个 Service Usage 版本在项目级层启用了 compute.googleapis.com,则该服务会保持启用状态。它不受使用分层服务激活在文件夹或组织级层进行的任何后续启用操作的影响。反之,如果您在文件夹级层启用 compute.googleapis.com,则该服务实际上已针对相应文件夹中的所有项目启用。