本頁面說明如何使用「組織政策服務」自訂限制條件,限制對下列 Google Cloud 資源執行的特定作業:
spanner.googleapis.com/Backupspanner.googleapis.com/Databasespanner.googleapis.com/Instancespanner.googleapis.com/InstanceConfig
如要進一步瞭解組織政策,請參閱「自訂組織政策」。
關於組織政策和限制
Google Cloud 組織政策服務可讓您透過程式輔助,集中控管組織的資源。組織政策管理員可以定義組織政策,也就是一組稱為「限制」的限制條件,適用於Google Cloud 資源和這些資源在Google Cloud 資源階層中的子系。您可以在組織、資料夾或專案層級,強制執行組織政策。
組織政策提供各種 Google Cloud 服務的內建代管限制。不過,如要更精細地自訂組織政策中受限的特定欄位,您也可以建立「自訂限制」,並用於組織政策。
政策繼承
根據預設,您強制執行政策的資源子系會繼承組織政策。舉例來說,如果您對資料夾強制執行政策, Google Cloud 會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更,請參閱「階層評估規則」。
事前準備
- 登入 Google Cloud 帳戶。如果您是 Google Cloud新手,歡迎 建立帳戶,親自評估產品在實際工作環境中的成效。新客戶還能獲得價值 $300 美元的免費抵免額,可用於執行、測試及部署工作負載。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
安裝 Google Cloud CLI。
-
若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI。
-
執行下列指令,初始化 gcloud CLI:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
安裝 Google Cloud CLI。
-
若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI。
-
執行下列指令,初始化 gcloud CLI:
gcloud init - 請確認您知道組織 ID。
必要的角色
如要取得管理組織政策所需的權限,請要求管理員授予您下列 IAM 角色:
-
機構資源的機構政策管理員 (
roles/orgpolicy.policyAdmin) -
如要建立或更新 Spanner 資料庫:專案資源的 (
roles/spanner.admin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這些預先定義的角色具備管理組織政策所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
必須具備下列權限,才能管理組織政策:。
-
orgpolicy.*機構資源 -
如要建立或更新 Spanner 資料庫:
-
專案資源的
spanner.databases.create -
專案資源的
spanner.databases.get -
專案資源的
spanner.databases.list -
專案資源的
spanner.databases.update
-
專案資源的
設定自訂限制
自訂限制是在 YAML 檔案中定義,其中包含您要強制執行組織政策的服務所支援的資源、方法、條件和動作。自訂限制的條件是使用一般運算語言 (CEL) 來定義。如要進一步瞭解如何使用 CEL 在自訂限制中建構條件,請參閱「建立及管理自訂限制」的 CEL 相關章節。
控制台
如要建立自訂限制,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。
- 在專案選擇工具中,選取要設定組織政策的專案。
- 按一下「自訂限制」。
- 在「顯示名稱」方塊中,輸入容易理解的限制名稱。這個名稱會顯示在錯誤訊息中,可用於識別和偵錯。請勿在顯示名稱中使用個人識別資訊 (PII) 或私密資料,因為錯誤訊息可能會顯示這類名稱。這個欄位最多可包含 200 個半形字元。
-
在「Constraint ID」(限制 ID) 方塊中,輸入新自訂限制的 ID。自訂限制只能包含字母 (包括大寫和小寫) 或數字,例如
custom.spannerDatabase。這個欄位最多可包含 70 個字元,不含前置字元 (custom.),例如organizations/123456789/customConstraints/custom。請勿在限制 ID 中輸入 PII 或機密資料,因為錯誤訊息可能會顯示上述資訊。 - 在「說明」方塊中,輸入使用者可理解的限制說明。違反政策時,系統會顯示這項說明做為錯誤訊息。請提供違反政策的詳細原因,以及如何解決問題。請勿在說明中輸入 PII 或機密資料,因為錯誤訊息可能會顯示上述資訊。這個欄位最多可輸入 2000 個字元。
-
在「Resource type」方塊中,選取包含要限制物件和欄位的 Google Cloud REST 資源名稱,例如
container.googleapis.com/NodePool。大多數資源類型最多支援 20 項自訂限制。如果您嘗試建立更多自訂限制,作業會失敗。 -
在「強制執行方式」下方,選取要對 REST
CREATE方法強制執行限制,還是同時對CREATE和UPDATE方法強制執行限制。如果您在違反限制的資源上,使用UPDATE方法強制執行限制,除非變更可解決違規問題,否則組織政策會封鎖對該資源的變更。 - 如要定義條件,請按一下「編輯條件」。
-
在「Add condition」(新增條件) 面板中,建立參照支援服務資源的 CEL 條件,例如
resource.management.autoUpgrade == false。這個欄位最多可輸入 1000 個字元。如要進一步瞭解如何使用 CEL,請參閱「 一般運算語言」。如要進一步瞭解自訂限制中可使用的服務資源,請參閱「 自訂限制支援的服務」。 - 按一下 [儲存]。
- 在「動作」下方,選取符合條件時要允許或拒絕評估方法。
- 按一下「建立限制」。
如要查看各項服務支援的方法,請在「 支援自訂限制的服務」中找出該服務。
如果條件評估結果為 true,系統會禁止建立或更新資源。
允許動作是指只有在條件評估為 true 時,才允許建立或更新資源的作業。除了條件中明確列出的情況外,其他所有情況都會遭到封鎖。
在每個欄位中輸入值後,右側會顯示這個自訂限制的對等 YAML 設定。
gcloud
- 如要建立自訂限制,請使用下列格式建立 YAML 檔案:
-
ORGANIZATION_ID:您的機構 ID,例如123456789。 -
CONSTRAINT_NAME:新自訂限制的名稱。自訂限制只能包含字母 (包括大寫和小寫) 或數字,例如custom.spannerDatabase。這個欄位最多可包含 70 個字元,不含前置字元 (custom.),例如organizations/123456789/customConstraints/custom。請勿在限制 ID 中輸入 PII 或機密資料,因為錯誤訊息可能會顯示上述資訊。 -
RESOURCE_NAME:內含要限制的物件和欄位的 Google Cloud資源完整名稱,例如:spanner.googleapis.com/Database。大多數資源類型最多支援 20 項自訂限制。如果您嘗試建立更多自訂限制,作業會失敗。 -
methodTypes:強制執行限制的 REST 方法。可以是CREATE,也可以是CREATE和UPDATE。如果您在違反限制的資源上使用UPDATE方法強制執行限制,除非變更可解決違規問題,否則組織政策會封鎖對該資源的變更。 -
CONDITION:針對支援服務資源表示法所撰寫的 CEL 條件。這個欄位最多可輸入 1000 個半形字元。例如:"resource.name.contains('denied-database-name')"。 -
ACTION:符合condition時採取的動作。可能的值為ALLOW和DENY。 -
DISPLAY_NAME:人類可讀的限制條件名稱。這個名稱會顯示在錯誤訊息中,可用於識別和偵錯。請勿在顯示名稱中使用 PII 或機密資料,因為錯誤訊息可能會顯示這類名稱。這個欄位最多可包含 200 個半形字元。 -
DESCRIPTION:違反政策時,會以錯誤訊息形式顯示且易於理解的限制說明。這個欄位最多可輸入 2000 個字元。 -
為新的自訂限制建立 YAML 檔案後,您必須加以設定,才能用於組織的組織政策。如要設定自訂限制條件,請使用
gcloud org-policies set-custom-constraint指令: -
如要驗證是否存在自訂限制條件,請使用
gcloud org-policies list-custom-constraints指令:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resourceTypes: RESOURCE_NAME methodTypes: - CREATE
- UPDATE condition: "CONDITION" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION
請替換下列項目:
如要查看各項服務支援的方法,請在「 支援自訂限制的服務」中找出該服務。
如要進一步瞭解可編寫條件的資源,請參閱「支援的資源」。
允許動作是指如果條件評估結果為 true,系統就會允許建立或更新資源的作業。這也表示系統會封鎖條件中明確列出的情況以外的所有其他情況。
拒絕動作表示如果條件評估結果為 true,系統會封鎖建立或更新資源的作業。
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
請將 CONSTRAINT_PATH 替換成自訂限制檔案的完整路徑。例如:/home/user/customconstraint.yaml。
這項作業完成後,自訂限制會顯示在 Google Cloud 組織政策清單中,供組織政策使用。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
請將 ORGANIZATION_ID 替換成組織資源的 ID。
詳情請參閱「 查看組織政策」。
強制執行自訂組織政策
如要強制執行限制,請建立參照該限制的組織政策,然後將組織政策套用至 Google Cloud 資源。控制台
- 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。
- 在專案選擇工具中,選取要設定組織政策的專案。
- 在「Organization policies」(組織政策) 頁面的清單中選取限制,即可查看該限制的「Policy details」(政策詳細資料) 頁面。
- 如要為這項資源設定組織政策,請按一下「Manage policy」(管理政策)。
- 在「Edit policy」(編輯政策) 頁面,選取「Override parent's policy」(覆寫上層政策)。
- 按一下「Add a rule」(新增規則)。
- 在「強制執行」部分,選取是否要強制執行這項機構政策。
- 選用:如要根據標記設定組織政策的條件,請按一下「Add condition」(新增條件)。請注意,如果為組織政策新增條件式規則,您必須至少新增一項無條件規則,否則無法儲存政策。詳情請參閱「 使用標記設定組織政策範圍」。
- 按一下「Test changes」(測試變更),模擬組織政策的影響。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」。
- 如要在模擬測試模式下強制執行組織政策,請按一下「設定模擬測試政策」。詳情請參閱「 測試組織政策」。
- 確認試營運模式中的機構政策運作正常後,請按一下「設定政策」,設定正式政策。
gcloud
- 如要建立含有布林規則的組織政策,請建立參照限制的政策 YAML 檔案:
-
PROJECT_ID:要強制執行限制的專案。 -
CONSTRAINT_NAME:要為自訂限制定義的名稱,例如:custom.spannerDatabase。 -
如要以模擬測試模式強制執行組織政策,請執行下列指令並加上
dryRunSpec旗標: -
確認模擬測試模式中的機構政策能發揮預期效果後,請使用
org-policies set-policy指令和spec旗標設定正式政策:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true dryRunSpec: rules: - enforce: true
請替換下列項目:
gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec
請將 POLICY_PATH 替換為組織政策 YAML 檔案的完整路徑。政策最多需要 15 分鐘才會生效。
gcloud org-policies set-policy POLICY_PATH --update-mask=spec
請將 POLICY_PATH 替換為組織政策 YAML 檔案的完整路徑。政策最多需要 15 分鐘才會生效。
測試自訂組織政策
下列範例會建立自訂限制和政策,要求特定機構中的所有資料庫名稱不得包含「denied-database-name」字串。
開始之前,請務必瞭解下列事項:
- 組織 ID
- 專案 ID
建立限制條件
將下列檔案儲存為
databasecustomconstraint.yaml:name: organizations/ORGANIZATION_ID/customConstraints/custom.spannerDatabase resourceTypes: - spanner.googleapis.com/Database methodTypes: - CREATE condition: "resource.name.contains('denied-database-name')" actionType: DENY displayName: spannerDatabaseConstraint description: Database resource name contains "denied-database-name"這項限制定義指出,如果每個新資料庫的名稱包含「denied-database-name」,系統就會拒絕作業。
套用限制:
gcloud org-policies set-custom-constraint ~/databasecustomconstraint.yaml確認限制是否存在:
gcloud org-policies list-custom-constraints \ --organization=ORGANIZATION_ID輸出結果會與下列內容相似:
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.spannerDatabase DENY CREATE spanner.googleapis.com/Database spannerDatabaseConstraint ...建立政策
將下列檔案儲存為
databaseorgpolicy.yaml:name: projects/PROJECT_ID/policies/custom.spannerDatabase spec: rules: - enforce: true將
PROJECT_ID替換為專案 ID。套用政策:
gcloud org-policies set-policy ~/databaseorgpolicy.yaml確認政策是否存在:
gcloud org-policies list --project=PROJECT_ID輸出結果會與下列內容相似:
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.spannerDatabase - SET COCsm5QGENiXi2E=套用政策後,請等待約兩分鐘, Google Cloud 就會開始強制執行政策。
測試政策
嘗試在專案中建立 Spanner 資料庫:
gcloud spanner databases create denied-database-name100 \ --instance=INSTANCE_NAME \輸出內容如下:
PERMISSION_DENIED: Either caller is missing IAM permission spanner.databases.create on resource or the CreateDatabaseRequest.create_statement field is malformed and the database name could not be identified to verify Cloud IAM Conditions.
Google 管理的限制
除了本頁面說明的自訂限制外, Google Cloud 也提供一組 Google 管理的限制。
以 Spanner 來說,這項限制會限制可建立的 Spanner 版本。spanner.managed.restrictCloudSpannerEditions這有助於控管費用,並防止貴機構使用者使用非預期的版本。
對執行個體更新的影響
政策強制執行後,您就無法使用遭封鎖的版本建立 Spanner 執行個體。此外,系統也會禁止更新現有 Spanner 執行個體,以免使用受限版本。
系統會禁止任何客戶管理或開放原始碼的自動調度器更新違規執行個體。不過,如果執行個體違反政策,Spanner 代管自動調度資源功能仍可更新這些執行個體。
安全部署做法
為避免生產工作負載受到干擾性限制,請使用下列工具驗證機構政策變更:
- 測試政策:使用 Policy Simulator 分析新組織政策的潛在影響。
- 模擬測試模式:您可以在模擬測試模式下建立組織政策,監控限制的效果,但不會主動封鎖資源建立或更新作業。
如要進一步瞭解 Google 管理的限制,請參閱「組織政策限制」。
Spanner 支援的資源
下表列出可在自訂限制中參照的 Spanner 資源。| 資源 | 欄位 |
|---|---|
| spanner.googleapis.com/Backup |
resource.database
|
resource.expireTime
| |
resource.name
| |
resource.versionTime
| |
| spanner.googleapis.com/Database |
resource.enableDropProtection
|
resource.name
| |
| spanner.googleapis.com/Instance |
resource.autoscalingConfig.autoscalingLimits.maxNodes
|
resource.autoscalingConfig.autoscalingLimits.maxProcessingUnits
| |
resource.autoscalingConfig.autoscalingLimits.minNodes
| |
resource.autoscalingConfig.autoscalingLimits.minProcessingUnits
| |
resource.autoscalingConfig.autoscalingTargets.highPriorityCpuUtilizationPercent
| |
resource.autoscalingConfig.autoscalingTargets.storageUtilizationPercent
| |
resource.config
| |
resource.displayName
| |
resource.freeInstanceMetadata.expireBehavior
| |
resource.instanceType
| |
resource.name
| |
resource.nodeCount
| |
resource.processingUnits
| |
| spanner.googleapis.com/InstanceConfig |
resource.baseConfig
|
resource.displayName
| |
resource.leaderOptions
| |
resource.name
| |
resource.replicas.defaultLeaderLocation
| |
resource.replicas.location
| |
resource.replicas.type
|