Cette page vous explique comment utiliser les contraintes personnalisées du service de règles d'administration pour restreindre des opérations spécifiques sur les ressources Google Cloud suivantes :
storage.googleapis.com/Bucket
Pour en savoir plus sur les règles d'administration, consultez Règles d'administration personnalisées.
À propos des règles et des contraintes d'administration
Le service de règles d'administration Google Cloud vous offre un contrôle centralisé et automatisé sur les ressources de votre organisation. En tant qu'administrateur des règles d'administration, vous pouvez définir des ensembles de restrictions appelées contraintes qui s'appliquent aux ressourcesGoogle Cloud et à leurs descendants dans la hiérarchie des ressourcesGoogle Cloud . Chaque ensemble de restrictions constitue une règle d'administration. Vous pouvez appliquer des règles d'administration au niveau d'une organisation, d'un dossier ou d'un projet.
Les règles d'administration fournissent des contraintes gérées intégrées pour divers services Google Cloud . Toutefois, si vous souhaitez exercer un contrôle plus précis et le personnaliser pour des champs spécifiques restreints dans vos règles d'administration, vous pouvez également créer des contraintes personnalisées et les utiliser dans une règle d'administration.
Héritage des règles
Par défaut, les règles d'administration sont héritées par les descendants des ressources sur lesquelles vous les appliquez. Par exemple, si vous appliquez une règle au niveau d'un dossier, Google Cloud l'applique à tous les projets du dossier. Pour mieux comprendre ce comportement et savoir comment le modifier, consultez Règles d'évaluation hiérarchique.
Limites
Il est déconseillé d'utiliser des libellés de bucket dans les conditions de contraintes personnalisées. Utilisez plutôt des tags, qui ne peuvent être définis que par des personnes disposant des rôles IAM (Identity and Access Management) requis et qui sont plus étroitement contrôlés que les libellés.
Les nouvelles contraintes personnalisées mises en place ne s'appliquent pas aux ressources existantes. Les ressources existantes doivent être mises à jour pour que la contrainte s'applique.
Pour trouver les ressources existantes qui devront être mises à jour, vous pouvez appliquer une règle d'administration en mode Dry Run.
Les contraintes personnalisées ne peuvent pas être utilisées pour limiter les LCA ni les règles IAM sur les objets ou les buckets.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator
), which contains theresourcemanager.projects.create
permission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
-
Pour initialiser la gcloud CLI, exécutez la commande suivante :
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator
), which contains theresourcemanager.projects.create
permission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
-
Pour initialiser la gcloud CLI, exécutez la commande suivante :
gcloud init
- Assurez-vous de connaître votre ID d'organisation.
-
Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin
) sur l'organisation -
Testez l'exemple de règle d'administration de l'organisation sur cette page en créant un bucket :
Administrateur de l'espace de stockage (
roles/storage.admin
) sur le projet -
orgpolicy.*
sur l'organisation -
Testez l'exemple de règle d'administration sur cette page en créant un bucket :
storage.buckets.create
sur le projet ORGANIZATION_ID
: ID de votre organisation (par exemple,123456789
).CONSTRAINT_NAME
: nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer parcustom.
et ne peut inclure que des lettres majuscules, minuscules ou des chiffres. Exemple :custom.bucketNamingRequirement
. La longueur maximale de ce champ est de 70 caractères.RESOURCE_NAME
: nom complet de la ressourceGoogle Cloud contenant l'objet et le champ que vous souhaitez restreindre. Par exemple,storage.googleapis.com/Bucket
.CONDITION
: condition CEL écrite pour une représentation d'une ressource de service compatible. Ce champ ne doit pas comporter plus de 1 000 caractères. Consultez la section Ressources compatibles pour en savoir plus sur les ressources disponibles pour l'écriture de conditions. Par exemple,"resource.name.matches('^[a-zA-Z]+$')"
.ACTION
: action à effectuer si lacondition
est remplie. Les valeurs possibles sontALLOW
etDENY
.DISPLAY_NAME
: nom convivial de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.DESCRIPTION
: description conviviale de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.- Dans la console Google Cloud , accédez à la page Règles d'administration.
- Dans le sélecteur de projets, choisissez le projet pour lequel vous souhaitez définir la règle d'administration.
- Dans la liste de la page Règles d'administration, sélectionnez votre contrainte pour afficher la page Détails de la règle de cette contrainte.
- Pour personnaliser la règle d'administration pour cette ressource, cliquez sur Gérer la règle.
- Sur la page Modifier la stratégie, sélectionnez Ignorer la règle parente.
- Cliquez sur Ajouter une règle.
- Dans la section Application, indiquez si l'application de cette règle d'administration est activée ou désactivée.
- Facultatif : pour rendre la règle d'administration conditionnelle à un tag, cliquez sur Ajouter une condition. Notez que si vous ajoutez une règle conditionnelle à une règle d'administration, vous devez ajouter au moins une règle non conditionnelle, sinon la règle ne pourra pas être enregistrée. Pour en savoir plus, consultez Définir une règle d'administration avec des tags.
- Cliquez sur Tester les modifications pour simuler l'effet de la règle d'administration. La simulation de règles n'est pas disponible pour les anciennes contraintes gérées. Pour en savoir plus, consultez Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.
- Pour terminer et appliquer la règle d'administration, cliquez sur Définir des règles. L'application de la règle peut prendre jusqu'à 15 minutes.
-
PROJECT_ID
: projet sur lequel vous souhaitez appliquer votre contrainte. -
CONSTRAINT_NAME
: nom que vous avez défini pour la contrainte personnalisée. Exemple :custom.bucketNamingRequirement
. Enregistrez le fichier suivant sous le nom
constraint-bucket-names.yaml
:name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketNamingRequirement resource_types: storage.googleapis.com/Bucket method_types: - CREATE condition: "resource.name.matches('^[a-zA-Z]+$')" action_type: ALLOW display_name: Bucket names must match the specified regular expression description: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name.
Remplacez
ORGANIZATION_ID
par votre ID d'organisation.Appliquez la contrainte :
gcloud org-policies set-custom-constraint ~/constraint-bucket-names.yaml
Vérifiez que la contrainte existe :
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Le résultat ressemble à ce qui suit :
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.bucketNamingRequirement ALLOW CREATE storage.googleapis.com/Bucket Bucket names must match the specified regular expression ...
Enregistrez le fichier suivant sous le nom
policy-bucket-names.yaml
:name: projects/PROJECT_ID/policies/custom.bucketNamingRequirement spec: rules: - enforce: true
Remplacez
PROJECT_ID
par l'ID du projet.Dans cet exemple, vous appliquez cette contrainte au niveau du projet, mais vous pouvez également la définir au niveau de l'organisation ou d'un dossier.
Appliquez la règle :
gcloud org-policies set-policy ~/policy-bucket-names.yaml
Vérifiez que la règle existe :
gcloud org-policies list --project=PROJECT_ID
Le résultat ressemble à ce qui suit :
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.bucketNamingRequirement - SET CIqktscGELiZn6cC-
Essayez de créer un bucket dont le nom contient un caractère autre qu'une lettre :
gcloud storage buckets create gs://example-bucket --location=BUCKET_LOCATION
Remplacez
BUCKET_LOCATION
par l'emplacement du bucket. Exemple :US
La requête échoue et renvoie une erreur semblable à celle-ci :
ERROR: (gcloud.storage.buckets.create) HTTPError 412: orgpolicy:projects/_/buckets/example-bucket violates customConstraints/custom.bucketNamingRequirement. Details: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name.
- Vous devez utiliser des majuscules pour spécifier les valeurs des champs suivants :
resource.customPlacementConfig.dataLocations
resource.lifecycle.rule.action.storageClass
resource.location
resource.storageClass
- Le champ
resource.retentionPolicy.isLocked
ne peut être utilisé que pour interdire l'utilisation du verrou de bucket, et non pour l'appliquer. - Découvrez-en plus sur le service de règles d'administration.
- Découvrez comment créer et gérer des règles d'administration.
- Consultez la liste complète des contraintes liées aux règles d'administration gérées.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer les règles d'administration, demandez à votre administrateur de vous accorder les rôles IAM suivants :
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour gérer les règles d'administration :
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créer une contrainte personnalisée
Une contrainte personnalisée est définie dans un fichier YAML, qui spécifie les ressources, méthodes, conditions et actions compatibles avec le service auquel vous appliquez la règle d'administration. Les conditions de vos contraintes personnalisées sont définies à l'aide du langage CEL (Common Expression Language). Pour en savoir plus sur la création de conditions dans des contraintes personnalisées à l'aide du CEL, consultez la section CEL de la page Créer et gérer des contraintes personnalisées.
Pour créer une contrainte personnalisée, créez un fichier YAML au format suivant :
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Remplacez les éléments suivants :
Pour en savoir plus sur la création d'une contrainte personnalisée, consultez Définir des contraintes personnalisées.
Configurer une contrainte personnalisée
Après avoir créé le fichier YAML pour une nouvelle contrainte personnalisée, vous devez le configurer de sorte qu'il soit disponible pour les règles d'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commandegcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
par le chemin d'accès complet à votre fichier de contrainte personnalisée. Exemple : /home/user/customconstraint.yaml
.
Une fois l'opération terminée, vos contraintes personnalisées sont disponibles en tant que règles d'administration dans votre liste de règles d'administration Google Cloud .
Pour vérifier que la contrainte personnalisée existe, utilisez la commande gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
par l'ID de votre ressource d'organisation.
Pour en savoir plus, consultez Afficher les règles d'administration.
Appliquer une règle d'administration personnalisée
Vous pouvez appliquer une contrainte en créant une règle d'administration qui y fait référence, puis en appliquant cette règle à une ressource Google Cloud .Console
gcloud
Pour créer une règle d'administration avec des règles booléennes, créez un fichier YAML de règle qui fait référence à la contrainte :
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Remplacez les éléments suivants :
Pour appliquer la règle d'administration contenant la contrainte, exécutez la commande suivante :
gcloud org-policies set-policy POLICY_PATH
Remplacez POLICY_PATH
par le chemin d'accès complet au fichier YAML de votre règle d'administration. L'application de la règle peut prendre jusqu'à 15 minutes.
Tester la règle d'administration personnalisée
L'exemple suivant crée une contrainte et une règle personnalisées qui exigent que tous les buckets nouvellement créés aient un nom ne contenant que des lettres. Vous pouvez tester la règle en essayant d'effectuer une action qu'elle devrait empêcher.
Créer la contrainte
Créer la règle
Une fois la règle appliquée, attendez environ deux minutes que Google Cloudcommence à l'appliquer.
Tester la stratégie
Exemples de règles d'administration personnalisées pour des cas d'utilisation courants
Le tableau suivant fournit des exemples de syntaxe pour certaines contraintes personnalisées courantes. Pour obtenir la liste des contraintes prédéfinies que vous pouvez utiliser avec Cloud Storage, consultez Contraintes de règle d'administration pour Cloud Storage.
Description | Syntaxe de la contrainte |
---|---|
La gestion des versions d'objets doit être activée sur les buckets. | name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceBucketVersioning method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.versioning.enabled == true" action_type: ALLOW display_name: Buckets must have Object Versioning enabled description: Newly created buckets and newly updated buckets must have Object Versioning enabled. |
Les buckets doivent être nommés à l'aide d'une expression régulière spécifique | name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketNamingRequirement method_types: - CREATE resource_types: storage.googleapis.com/Bucket condition: "resource.name.matches('^[a-zA-Z]+$')" action_type: ALLOW display_name: Bucket names must match the specified regular expression description: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name. |
Le verrou de bucket ne peut pas être activé sur les buckets | name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitBucketLock method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.retentionPolicy.isLocked == true" action_type: DENY display_name: Prohibit the use of Bucket Lock description: Newly created buckets and newly updated buckets cannot have Bucket Lock enabled. |
Le verrou de conservation des objets ne peut pas être activé sur les buckets | name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitObjectRetentionLock method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.objectRetention.mode == 'Enabled'" action_type: DENY display_name: Objects cannot have retention configurations description: Newly created buckets and newly updated buckets cannot have Object Retention Lock enabled. |
Les buckets situés dans les multirégions US ou EU doivent avoir une période de conservation de 86 400 secondes. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.locationRetentionPolicy method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "(resource.location.startsWith('US') || resource.location.startsWith('EU')) && resource.retentionPolicy.retentionPeriod != 86400" action_type: DENY display_name: All buckets in US and EU must have a retention policy of 86,400 seconds description: Newly created buckets and newly updated buckets located in US and EU regions must have a retention policy of 86,400 seconds. |
Les buckets doivent comporter des libellés1 | name: organizations/ORGANIZATION_ID/customConstraints/custom.labels method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "'my_annotations.data.source' in resource.labels && resource.labels['my_annotations.data.source'] in ['SOURCE_IMAGES','SOURCE_TEXT','SOURCE_VIDEOS']" action_type: ALLOW display_name: Buckets must have a label classifying the contents of the bucket description: Newly created buckets and newly updated buckets must have the label my_annotations.data.source with the SOURCE_IMAGES, SOURCE_TEXT, or SOURCE_VIDEOS key. |
Les buckets doivent se trouver dans une région double | name: organizations/ORGANIZATION_ID/customConstraints/custom.dualRegionUS method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "'US-EAST1' in resource.customPlacementConfig.dataLocations && 'US-EAST4' in resource.customPlacementConfig.dataLocations" action_type: ALLOW display_name: Buckets must be located in a dual-region description: Newly created buckets and newly updated buckets must be located in a dual-region composed of the us-east1 and us-east4 regions. |
Les buckets ne peuvent pas utiliser les anciennes classes de stockage | name: organizations/ORGANIZATION_ID/customConstraints/custom.disableLegacyStorageClass method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.storageClass in ['STANDARD', 'NEARLINE', 'COLDLINE', 'ARCHIVE']" action_type: ALLOW display_name: Buckets cannot use legacy storage classes description: Newly created buckets and newly updated buckets must use Standard storage, Nearline storage, Coldline storage, or Archive storage. |
Le filtrage des adresses IP du bucket doit restreindre les requêtes provenant de l'ensemble de l'Internet public. | name: organizations/ORGANIZATION_ID/customConstraints/custom.IpFilter method_types: - CREATE resource_types: storage.googleapis.com/Bucket condition: "!has(resource.ipFilter) || (resource.ipFilter.mode == 'Disabled' || resource.ipFilter.publicNetworkSource.allowedIpCidrRanges.size() > 0)" action_type: DENY display_name: Bucket IP filter rules must restrict all the public network description: Newly created buckets must have IP filtering and IP filtering rules must restrict all public network resources. |
1 Si vous spécifiez une clé de libellé de bucket qui n'existe pas, une erreur |
Règles d'administration conditionnelles
Vous pouvez rendre une règle d'administration personnalisée conditionnelle à l'aide de tags. Pour en savoir plus, consultez Définir une règle d'administration avec des tags.
Ressources compatibles avec Cloud Storage
Le tableau suivant répertorie les ressources Cloud Storage que vous pouvez référencer dans les contraintes personnalisées.
Ressource | Champ |
---|---|
storage.googleapis.com/Bucket |
resource.billing.requesterPays
|
resource.cors.maxAgeSeconds
| |
resource.cors.method
| |
resource.cors.origin
| |
resource.cors.responseHeader
| |
resource.customPlacementConfig.dataLocations
| |
resource.defaultEventBasedHold
| |
resource.encryption.defaultKmsKeyName
| |
resource.iamConfiguration.publicAccessPrevention
| |
resource.iamConfiguration.uniformBucketLevelAccess.enabled
| |
resource.ipFilter.mode
| |
resource.ipFilter.publicNetworkSource.allowedIpCidrRanges
| |
resource.ipFilter.vpcNetworkSources.allowedIpCidrRanges
| |
resource.ipFilter.vpcNetworkSources.network
| |
resource.labels
| |
resource.lifecycle.rule.action.storageClass
| |
resource.lifecycle.rule.action.type
| |
resource.lifecycle.rule.condition.age
| |
resource.lifecycle.rule.condition.createdBefore
| |
resource.lifecycle.rule.condition.customTimeBefore
| |
resource.lifecycle.rule.condition.daysSinceCustomTime
| |
resource.lifecycle.rule.condition.daysSinceNoncurrentTime
| |
resource.lifecycle.rule.condition.isLive
| |
resource.lifecycle.rule.condition.matchesPrefix
| |
resource.lifecycle.rule.condition.matchesStorageClass
| |
resource.lifecycle.rule.condition.matchesSuffix
| |
resource.lifecycle.rule.condition.noncurrentTimeBefore
| |
resource.lifecycle.rule.condition.numNewerVersions
| |
resource.location
| |
resource.locationType
| |
resource.logging.logBucket
| |
resource.logging.logObjectPrefix
| |
resource.name
| |
resource.objectRetention.mode
| |
resource.retentionPolicy.isLocked
| |
resource.retentionPolicy.retentionPeriod
| |
resource.rpo
| |
resource.softDeletePolicy.retentionDurationSeconds
| |
resource.storageClass
| |
resource.versioning.enabled
| |
resource.website.mainPageSuffix
| |
resource.website.notFoundPage
|
Veuillez noter les points suivants :