ניהול משאבים של Cloud Storage באמצעות אילוצים בהתאמה אישית

בדף הזה מוסבר איך להשתמש באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות במשאבים הבאים של Google Cloud :

  • storage.googleapis.com/Bucket

מידע נוסף על מדיניות הארגון זמין במאמר בנושא מדיניות ארגונית בהתאמה אישית.

מידע על מדיניות הארגון ואילוצים

שירות מדיניות הארגון של Google Cloud מאפשר לכם לקבל שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. בתור אדמינים של מדיניות הארגון, אתם יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים שחלות על משאבים ב-Google Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

במסגרת מדיניות הארגון מוצעים אילוצים מנוהלים מובנים עבור שירותים שונים של Google Cloud . עם זאת, אם אתם רוצים שליטה מדויקת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור אילוצים בהתאמה אישית ולהשתמש בהם במדיניות הארגון.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

מגבלות

  • לא מומלץ להשתמש בתוויות של קטגוריות בתנאים של אילוצים בהתאמה אישית. במקום זאת, אפשר להשתמש בתגים, שרק אנשים עם תפקידים נדרשים בניהול הזהויות והרשאות הגישה (IAM) יכולים להגדיר אותם, והם נתונים לבקרה הדוקה יותר מאשר תוויות.

  • אילוצים מותאמים אישית חדשים שנאכפים לא חלים על משאבים קיימים. כדי שההגבלה תחול, צריך לעדכן את המשאבים הקיימים.

    כדי למצוא משאבים קיימים שצריך לעדכן, אפשר לאכוף מדיניות ארגונית בהרצת ניסיון.

  • אי אפשר להשתמש באילוצים מותאמים אישית כדי להגביל רשימות ACL או כללי מדיניות של IAM באובייקטים או בקטגוריות.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. התקינו את ה-CLI של Google Cloud.

  5. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  6. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. התקינו את ה-CLI של Google Cloud.

  10. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  11. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init
  12. חשוב לוודא שאתם יודעים מהו מספר הארגון שלכם.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

  • Organization Policy Administrator ‏ (roles/orgpolicy.policyAdmin) בארגון
  • כדי לבדוק את מדיניות הארגון לדוגמה שמופיעה בדף הזה, צריך ליצור bucket עם ההרשאות הבאות: Storage Admin (roles/storage.admin) בפרויקט.

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לניהול מדיניות הארגון. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנהל את מדיניות הארגון, נדרשות ההרשאות הבאות:

  • orgpolicy.* בארגון
  • כדי לבדוק את מדיניות הארגון לדוגמה שמופיעה בדף הזה, יוצרים קטגוריה: storage.buckets.create בפרויקט

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

משאבים נתמכים ב-Cloud Storage

בטבלה הבאה מפורטים המשאבים של Cloud Storage שאפשר להפנות אליהם באילוצים בהתאמה אישית.

משאב שדה
storage.googleapis.com/Bucket resource.billing.requesterPays
resource.cors.maxAgeSeconds
resource.cors.method
resource.cors.origin
resource.cors.responseHeader
resource.customPlacementConfig.dataLocations
resource.defaultEventBasedHold
resource.encryption.defaultKmsKeyName
resource.iamConfiguration.publicAccessPrevention
resource.iamConfiguration.uniformBucketLevelAccess.enabled
resource.ipFilter.mode
resource.ipFilter.publicNetworkSource.allowedIpCidrRanges
resource.ipFilter.vpcNetworkSources.allowedIpCidrRanges
resource.ipFilter.vpcNetworkSources.network
resource.labels
resource.lifecycle.rule.action.storageClass
resource.lifecycle.rule.action.type
resource.lifecycle.rule.condition.age
resource.lifecycle.rule.condition.createdBefore
resource.lifecycle.rule.condition.customTimeBefore
resource.lifecycle.rule.condition.daysSinceCustomTime
resource.lifecycle.rule.condition.daysSinceNoncurrentTime
resource.lifecycle.rule.condition.isLive
resource.lifecycle.rule.condition.matchesPrefix
resource.lifecycle.rule.condition.matchesStorageClass
resource.lifecycle.rule.condition.matchesSuffix
resource.lifecycle.rule.condition.noncurrentTimeBefore
resource.lifecycle.rule.condition.numNewerVersions
resource.location
resource.locationType
resource.logging.logBucket
resource.logging.logObjectPrefix
resource.name
resource.objectRetention.mode
resource.retentionPolicy.isLocked
resource.retentionPolicy.retentionPeriod
resource.rpo
resource.softDeletePolicy.retentionDurationSeconds
resource.storageClass
resource.versioning.enabled
resource.website.mainPageSuffix
resource.website.notFoundPage

שימו לב לנקודות הבאות:

  • צריך להשתמש באותיות רישיות כדי לציין את הערכים בשדות הבאים:
    • resource.lifecycle.rule.action.storageClass
    • resource.location
    • resource.storageClass
  • צריך להשתמש באותיות קטנות כדי לציין את הערכים בשדות הבאים:
    • resource.customPlacementConfig.dataLocations
  • אפשר להשתמש בשדה resource.retentionPolicy.isLocked רק כדי לאסור את השימוש בנעילת קטגוריה, ולא כדי לאכוף את נעילת הקטגוריה.

הגדרת אילוץ בהתאמה אישית

אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

המסוף

כדי ליצור אילוץ בהתאמה אישית:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. לוחצים על Custom constraint (הגבלה מותאמת אישית).
  4. בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות לתצוגה, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
  5. בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.bucketNamingRequirement. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
  6. בתיבה Description, מזינים תיאור של האילוץ שכתוב בצורה שקריאה לאנשים. התיאור הזה משמש כהודעת שגיאה כשמתבצעת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
  7. בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
  8. בקטע שיטת אכיפה, בוחרים אם לאכוף את ההגבלה על שיטת REST‏ CREATE או על שיטות CREATE ו-UPDATE. אם אוכפים את האילוץ באמצעות השיטה UPDATE במשאב שמפר את האילוץ, מדיניות הארגון חוסמת שינויים במשאב הזה, אלא אם השינוי פותר את ההפרה.

    9. כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות בקטע שירותים שתומכים באילוצים בהתאמה אישית.

  9. כדי להגדיר תנאי, לוחצים על Edit condition.
    1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
    2. לוחצים על Save.
  10. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.

    11. הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.

    הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

  11. לוחצים על יצירת אילוץ.

    12. אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.

gcloud

  1. כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא: 
    2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
      - UPDATE     
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
    • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.bucketNamingRequirement. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
    • RESOURCE_NAME: השם מוגדר במלואו של המשאב Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה: storage.googleapis.com/Bucket. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
    • methodTypes: שיטות ה-REST שבהן האילוץ נאכף. הערך יכול להיות CREATE או גם CREATE וגם UPDATE. אם אוכפים את האילוץ באמצעות השיטה UPDATE על משאב שמפר את האילוץ, שינויים במשאב הזה נחסמים על ידי מדיניות הארגון, אלא אם השינוי פותר את ההפרה.

      • כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.

    • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה: "resource.name.matches('^[a-zA-Z]+$')".

      • מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

    • ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. הערכים האפשריים הם ALLOW ו-DENY.

      • הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, חוץ מהמקרה שמופיע במפורש בתנאי, ייחסם.

      הפעולה deny (דחייה) פירושה שאם התנאי מחזיר את הערך True, הפעולה ליצירה או לעדכון של המשאב נחסמת.

    • DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
    • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.
  2. אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint: 
    3. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

    אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.

  3. כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints: 
    4. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

    מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

אכיפה של מדיניות ארגון מותאמת אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. מכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
  4. כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
  6. לוחצים על Add a rule.
  7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
  8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
  9. לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
  10. כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
  11. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

  1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ: 
    2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
    • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.bucketNamingRequirement.
  2. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec: 
    3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

  3. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec: 
    4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

בדיקה של מדיניות הארגון המותאמת אישית

בדוגמה הבאה נוצרת מדיניות ומגבלה בהתאמה אישית שדורשות ששם של כל קטגוריה חדשה יכיל רק אותיות. אפשר לבדוק את המדיניות על ידי ניסיון לבצע פעולה שהמדיניות אמורה למנוע.

יצירת האילוץ

  1. שומרים את הקובץ הבא בשם constraint-bucket-names.yaml:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketNamingRequirement
resource_types: storage.googleapis.com/Bucket
method_types:
- CREATE
condition: "resource.name.matches('^[a-zA-Z]+$')"
action_type: ALLOW
display_name: Bucket names must match the specified regular expression
description: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name.

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  2. החלת האילוץ:

    gcloud org-policies set-custom-constraint ~/constraint-bucket-names.yaml

  3. מוודאים שהאילוץ קיים:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    הפלט אמור להיראות כך:

    CUSTOM_CONSTRAINT                 ACTION_TYPE    METHOD_TYPES    RESOURCE_TYPES                  DISPLAY_NAME
custom.bucketNamingRequirement    ALLOW          CREATE          storage.googleapis.com/Bucket   Bucket names must match the specified regular expression
...

יצירת המדיניות

  1. שומרים את הקובץ הבא בשם policy-bucket-names.yaml:

    name: projects/PROJECT_ID/policies/custom.bucketNamingRequirement
spec:
  rules:
  - enforce: true

    מחליפים את PROJECT_ID במזהה הפרויקט.

    בדוגמה הזו, האילוץ נאכף ברמת הפרויקט, אבל אפשר להגדיר אותו גם ברמת הארגון או התיקייה.

  2. החלת המדיניות:

    gcloud org-policies set-policy ~/policy-bucket-names.yaml

  3. מוודאים שהמדיניות קיימת:

    gcloud org-policies list --project=PROJECT_ID

    הפלט אמור להיראות כך:

    CONSTRAINT                        LIST_POLICY    BOOLEAN_POLICY    ETAG
custom.bucketNamingRequirement    -              SET               CIqktscGELiZn6cC-

אחרי שמחילים את המדיניות, צריך להמתין כשתי דקות עד שהמדיניות תיאכף ב- Google Cloud.

בדיקת המדיניות

  • נסו ליצור קטגוריה עם שם שמכיל תו שהוא לא אות:

    gcloud storage buckets create gs://example-bucket --location=BUCKET_LOCATION

    מחליפים את BUCKET_LOCATION במיקום של הקטגוריה. לדוגמה, US.

    הבקשה נכשלת ומוחזרת שגיאה שדומה לשגיאה הבאה:

    ERROR: (gcloud.storage.buckets.create) HTTPError 412: orgpolicy:projects/_/buckets/example-bucket violates customConstraints/custom.bucketNamingRequirement. Details: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name.

דוגמאות למדיניות הארגון מותאמת אישית לתרחישים נפוצים

בטבלה הבאה מופיעות דוגמאות לתחביר של כמה אילוצים נפוצים בהתאמה אישית. רשימה של אילוצים מוגדרים מראש שאפשר להשתמש בהם עם Cloud Storage מופיעה במאמר אילוצים של מדיניות הארגון לגבי Cloud Storage.

תיאור תחביר של אילוצים
צריך להפעיל ניהול גרסאות של אובייקטים בקטגוריות 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceBucketVersioning
  method_types:
  - CREATE
  - UPDATE
  resource_types: storage.googleapis.com/Bucket
  condition: "resource.versioning.enabled == true"
  action_type: ALLOW
  display_name: Buckets must have Object Versioning enabled
  description: Newly created buckets and newly updated buckets must have Object Versioning enabled.
השמות של הקטגוריות חייבים להיות ביטוי רגולרי ספציפי 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketNamingRequirement
  method_types:
  - CREATE
  resource_types: storage.googleapis.com/Bucket
  condition: "resource.name.matches('^[a-zA-Z]+$')"
  action_type: ALLOW
  display_name: Bucket names must match the specified regular expression
  description: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name.
אי אפשר להפעיל את נעילת הדליים בדליים 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitBucketLock
  method_types:
  - CREATE
  - UPDATE
  resource_types: storage.googleapis.com/Bucket
  condition: "resource.retentionPolicy.isLocked == true"
  action_type: DENY
  display_name: Prohibit the use of Bucket Lock
  description: Newly created buckets and newly updated buckets cannot have Bucket Lock enabled.
אי אפשר להפעיל נעילה של שמירת אובייקטים בקטגוריות 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitObjectRetentionLock
  method_types:
  - CREATE
  - UPDATE
  resource_types: storage.googleapis.com/Bucket
  condition: "resource.objectRetention.mode == 'Enabled'"
  action_type: DENY
  display_name: Objects cannot have retention configurations
  description: Newly created buckets and newly updated buckets cannot have Object Retention Lock enabled.
לקטגוריות שנמצאות במספר אזורים US או EU, תקופת השמירה חייבת להיות 86,400 שניות 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.locationRetentionPolicy
  method_types:
  - CREATE
  - UPDATE
  resource_types: storage.googleapis.com/Bucket
  condition: "(resource.location.startsWith('US') || resource.location.startsWith('EU')) && resource.retentionPolicy.retentionPeriod != 86400"
  action_type: DENY
  display_name: All buckets in US and EU must have a retention policy of 86,400 seconds
  description: Newly created buckets and newly updated buckets located in US and EU regions must have a retention policy of 86,400 seconds.
חובה להוסיף תוויות לקטגוריות1 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.labels
  method_types:
  - CREATE
  - UPDATE
  resource_types: storage.googleapis.com/Bucket
  condition: "'my_annotations.data.source' in resource.labels && resource.labels['my_annotations.data.source'] in ['SOURCE_IMAGES','SOURCE_TEXT','SOURCE_VIDEOS']"
  action_type: ALLOW
  display_name: Buckets must have a label classifying the contents of the bucket
  description: Newly created buckets and newly updated buckets must have the label my_annotations.data.source with the SOURCE_IMAGES, SOURCE_TEXT, or SOURCE_VIDEOS key.
קטגוריות חייבות להיות ממוקמות בשני אזורים 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.dualRegionUS
  method_types:
  - CREATE
  - UPDATE
  resource_types: storage.googleapis.com/Bucket
  condition: "'us-east1' in resource.customPlacementConfig.dataLocations && 'us-east4' in resource.customPlacementConfig.dataLocations"
  action_type: ALLOW
  display_name: Buckets must be located in a dual-region
  description: Newly created buckets and newly updated buckets must be located in a dual-region composed of the us-east1 and us-east4 regions.
אי אפשר להשתמש בסוגי אחסון מדור קודם בדלי אחסון 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.disableLegacyStorageClass
  method_types:
  - CREATE
  - UPDATE
  resource_types: storage.googleapis.com/Bucket
  condition: "resource.storageClass in ['STANDARD', 'NEARLINE', 'COLDLINE', 'ARCHIVE']"
  action_type: ALLOW
  display_name: Buckets cannot use legacy storage classes
  description: Newly created buckets and newly updated buckets must use Standard storage, Nearline storage, Coldline storage, or Archive storage.
סינון לפי כתובת IP של קטגוריה חייב להגביל בקשות מכל האינטרנט הציבורי 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.IpFilter
  method_types:
  - CREATE
  resource_types: storage.googleapis.com/Bucket
  condition: "!has(resource.ipFilter) || (resource.ipFilter.mode == 'Disabled' || resource.ipFilter.publicNetworkSource.allowedIpCidrRanges.size() > 0)"
  action_type: DENY
  display_name: Bucket IP filter rules must restrict all the public network
  description: Newly created buckets must have IP filtering and IP filtering rules must restrict all public network resources.
אובייקטים בקטגוריה חייבים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) 
name: organizations/ORGANIZATION_ID/customConstraints/custom.EnforceCmekOnBucket
resource_types: storage.googleapis.com/Bucket
method_types:
- CREATE
- UPDATE
condition: "resource.encryption.googleManagedEncryptionEnforcementConfig.restrictionMode != 'FullyRestricted' || resource.encryption.customerManagedEncryptionEnforcementConfig.restrictionMode != 'NotRestricted' || resource.encryption.customerSuppliedEncryptionEnforcementConfig.restrictionMode != 'FullyRestricted'"
action_type: DENY
display_name: Buckets must enforce CMEK encryption for new objects
description: Newly created buckets and newly updated buckets must allow only customer-managed encryption keys (CMEK) to encrypt new objects. Encryption using standard encryption (Google default encryption) or customer-supplied encryption keys must be prohibited for new objects.
אי אפשר להשתמש במפתחות הצפנה באספקת הלקוח (CSEK) לאובייקטים בדלי 
name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictCsekOnBucket
resource_types: storage.googleapis.com/Bucket
method_types:
- CREATE
- UPDATE
condition: "resource.encryption.customerSuppliedEncryptionEnforcementConfig.restrictionMode != 'FullyRestricted'"
action_type: DENY
display_name: Buckets must prohibit CSEK encryption for new objects
description: Newly created buckets and newly updated buckets must prohibit the use of customer-supplied encryption keys (CSEK) to encrypt new objects.

1 אם מציינים מַפתח התווית של קטגוריה שלא קיים, מוחזרת השגיאה BAD_CONDITION. השגיאה הזו מונעת את ההרצה של השיטות CREATE ו-UPDATE בדלי. כדי להימנע מהשגיאה הזו, תמיד צריך לוודא שמפתח התווית קיים באמצעות "my_annotations.data.source" in resource.labels.

מדיניות ארגון מותנית

אפשר להשתמש בתגים כדי להגדיר תנאים למדיניות ארגונית מותאמת אישית. מידע נוסף זמין במאמר הגדרת מדיניות ארגונית באמצעות תגים.

המאמרים הבאים