Halaman ini menunjukkan cara menggunakan batasan kustom Layanan Kebijakan Organisasi untuk membatasi operasi tertentu pada resource berikut: Google Cloud
storage.googleapis.com/Bucket
Untuk mempelajari lebih lanjut Kebijakan Organisasi, lihat Kebijakan organisasi kustom.
Tentang batasan dan kebijakan organisasi
Google Cloud Layanan Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource organisasi. Sebagai administrator kebijakan organisasi, Anda dapat menentukan kebijakan organisasi, yang merupakan serangkaian batasan yang disebut batasan yang berlaku untuk Google Cloud resource dan turunan dari resource tersebut dalam Google Cloud hierarki resource. Anda dapat menerapkan kebijakan organisasi di tingkat organisasi, folder, atau project.
Kebijakan Organisasi menyediakan batasan terkelola bawaan untuk berbagai layanan Google Cloud . Namun, jika menginginkan kontrol yang lebih terperinci dan dapat disesuaikan atas kolom tertentu yang dibatasi dalam kebijakan organisasi, Anda juga dapat membuat batasan kustom dan menggunakan batasan kustom tersebut dalam kebijakan organisasi.
Pewarisan kebijakan
Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada folder, Google Cloud akan menerapkan kebijakan tersebut pada semua project di folder tersebut. Untuk mempelajari lebih lanjut perilaku ini dan cara mengubahnya, lihat Aturan evaluasi hierarki.
Batasan
Label bucket tidak direkomendasikan untuk digunakan dalam kondisi batasan kustom. Sebagai gantinya, gunakan tag, yang hanya dapat ditetapkan oleh individu dengan peran Identity and Access Management (IAM) yang diperlukan dan dikontrol lebih ketat daripada label.
Batasan kustom yang baru diterapkan tidak berlaku untuk resource yang ada. Resource yang ada harus diperbarui agar batasan diterapkan.
Untuk menemukan resource yang ada yang perlu diupdate, Anda dapat menerapkan kebijakan organisasi uji coba.
Batasan kustom tidak dapat digunakan untuk membatasi ACL atau kebijakan IAM pada objek atau bucket.
Sebelum memulai
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator
), which contains theresourcemanager.projects.create
permission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator
), which contains theresourcemanager.projects.create
permission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init
- Pastikan Anda mengetahui ID organisasi Anda.
-
Administrator Kebijakan Organisasi (
roles/orgpolicy.policyAdmin
) di organisasi -
Uji kebijakan organisasi contoh di halaman ini dengan membuat bucket:
Storage Admin (
roles/storage.admin
) pada project -
orgpolicy.*
di organisasi -
Uji contoh kebijakan organisasi di halaman ini dengan membuat bucket:
storage.buckets.create
di project ORGANIZATION_ID
: ID organisasi Anda, seperti123456789
.CONSTRAINT_NAME
: nama yang Anda inginkan untuk batasan kustom baru. Batasan kustom harus diawali dengancustom.
, dan hanya boleh menyertakan huruf besar, huruf kecil, atau angka. Contohnya,custom.bucketNamingRequirement
. Panjang maksimum kolom ini adalah 70 karakter.RESOURCE_NAME
: nama Google Cloud resource yang sepenuhnya memenuhi syarat, yang berisi objek dan kolom yang ingin Anda batasi. Misalnya,storage.googleapis.com/Bucket
.CONDITION
: kondisi CEL yang ditulis berdasarkan representasi resource layanan yang didukung. Kolom ini memiliki panjang maksimal 1.000 karakter. Lihat Resource yang didukung untuk mengetahui informasi selengkapnya tentang resource yang tersedia untuk menulis kondisi. Contoh,"resource.name.matches('^[a-zA-Z]+$')"
ACTION
: tindakan yang akan diambil jikacondition
terpenuhi. Nilai yang mungkin adalahALLOW
danDENY
.DISPLAY_NAME
: nama yang mudah dibaca manusia untuk batasan. Kolom ini memiliki panjang maksimal 200 karakter.DESCRIPTION
: deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimal 2.000 karakter.- Di konsol Google Cloud , buka halaman Organization policies.
- Dari pemilih project, pilih project yang ingin Anda tetapkan kebijakan organisasinya.
- Dari daftar di halaman Organization policies, pilih batasan Anda untuk melihat halaman Policy details untuk batasan tersebut.
- Untuk mengonfigurasi kebijakan organisasi untuk resource ini, klik Manage policy.
- Di halaman Edit kebijakan, pilih Ganti kebijakan induk.
- Klik Add a rule.
- Di bagian Penerapan, pilih apakah penerapan kebijakan organisasi ini diaktifkan atau dinonaktifkan.
- Opsional: Untuk membuat kebijakan organisasi bersyarat pada tag, klik Tambahkan kondisi. Perhatikan bahwa jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui informasi selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.
- Klik Uji perubahan untuk menyimulasikan efek kebijakan organisasi. Simulasi kebijakan tidak tersedia untuk batasan terkelola lama. Untuk mengetahui informasi selengkapnya, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
- Untuk menyelesaikan dan menerapkan kebijakan organisasi, klik Set policy. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.
-
PROJECT_ID
: project tempat Anda ingin menerapkan batasan. -
CONSTRAINT_NAME
: nama yang Anda tentukan untuk batasan kustom. Contoh,custom.bucketNamingRequirement
Simpan file berikut sebagai
constraint-bucket-names.yaml
:name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketNamingRequirement resource_types: storage.googleapis.com/Bucket method_types: - CREATE condition: "resource.name.matches('^[a-zA-Z]+$')" action_type: ALLOW display_name: Bucket names must match the specified regular expression description: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name.
Ganti
ORGANIZATION_ID
dengan ID organisasi Anda.Terapkan batasan:
gcloud org-policies set-custom-constraint ~/constraint-bucket-names.yaml
Pastikan batasan ada:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Outputnya mirip dengan yang berikut ini:
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.bucketNamingRequirement ALLOW CREATE storage.googleapis.com/Bucket Bucket names must match the specified regular expression ...
Simpan file berikut sebagai
policy-bucket-names.yaml
:name: projects/PROJECT_ID/policies/custom.bucketNamingRequirement spec: rules: - enforce: true
Ganti
PROJECT_ID
dengan project ID Anda.Dalam contoh ini, Anda menerapkan batasan ini di tingkat project, tetapi Anda juga dapat menetapkannya di tingkat organisasi atau folder.
Terapkan kebijakan:
gcloud org-policies set-policy ~/policy-bucket-names.yaml
Pastikan kebijakan ada:
gcloud org-policies list --project=PROJECT_ID
Outputnya mirip dengan hal berikut ini:
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.bucketNamingRequirement - SET CIqktscGELiZn6cC-
Coba buat bucket dengan nama yang berisi karakter yang bukan huruf:
gcloud storage buckets create gs://example-bucket --location=BUCKET_LOCATION
Ganti
BUCKET_LOCATION
dengan lokasi bucket. Contoh,US
.Permintaan gagal dengan error yang mirip dengan berikut ini:
ERROR: (gcloud.storage.buckets.create) HTTPError 412: orgpolicy:projects/_/buckets/example-bucket violates customConstraints/custom.bucketNamingRequirement. Details: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name.
- Anda harus menggunakan huruf besar untuk menentukan nilai untuk kolom berikut:
resource.customPlacementConfig.dataLocations
resource.lifecycle.rule.action.storageClass
resource.location
resource.storageClass
- Kolom
resource.retentionPolicy.isLocked
hanya dapat digunakan untuk melarang penggunaan Kunci Bucket, bukan untuk menerapkan Kunci Bucket. - Pelajari lebih lanjut Layanan Kebijakan Organisasi.
- Pelajari lebih lanjut cara membuat dan mengelola kebijakan organisasi.
- Lihat daftar lengkap batasan kebijakan organisasi terkelola.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM berikut:
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, baca artikel Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk mengelola kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk mengelola kebijakan organisasi:
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Membuat batasan khusus
Batasan kustom ditentukan dalam file YAML oleh resource, metode, kondisi, dan tindakan yang didukung oleh layanan tempat Anda menerapkan kebijakan organisasi. Kondisi untuk batasan kustom Anda ditentukan menggunakan Common Expression Language (CEL). Untuk mengetahui informasi selengkapnya tentang cara membangun kondisi dalam batasan kustom menggunakan CEL, lihat bagian CEL tentang Membuat dan mengelola batasan kustom.
Untuk membuat batasan kustom, buat file YAML menggunakan format berikut:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Ganti kode berikut:
Untuk mengetahui informasi selengkapnya tentang cara membuat batasan kustom, lihat Menentukan batasan kustom.
Menyiapkan batasan kustom
Setelah membuat file YAML untuk batasan kustom baru, Anda harus menyiapkannya agar tersedia untuk kebijakan organisasi di organisasi Anda. Untuk menyiapkan batasan kustom, gunakan perintahgcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
dengan jalur lengkap ke file batasan kustom Anda. Contohnya, /home/user/customconstraint.yaml
Setelah selesai, batasan kustom Anda tersedia sebagai kebijakan organisasi dalam daftar kebijakan organisasi. Google Cloud
Untuk memverifikasi bahwa ada batasan kustom, gunakan perintah
gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
dengan ID resource organisasi Anda.
Untuk mengetahui informasi selengkapnya, lihat
Melihat kebijakan organisasi.
Menerapkan kebijakan organisasi kustom
Anda dapat menerapkan batasan dengan membuat kebijakan organisasi yang mereferensikannya, lalu menerapkan kebijakan organisasi tersebut ke resource Google Cloud .Konsol
gcloud
Untuk membuat kebijakan organisasi dengan aturan boolean, buat file YAML kebijakan yang merujuk batasan:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Ganti kode berikut:
Untuk menerapkan kebijakan organisasi yang berisi batasan, jalankan perintah berikut:
gcloud org-policies set-policy POLICY_PATH
Ganti POLICY_PATH
dengan jalur lengkap ke file YAML kebijakan organisasi Anda. Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.
Menguji kebijakan organisasi kustom
Contoh berikut membuat batasan dan kebijakan kustom yang mewajibkan semua bucket yang baru dibuat memiliki nama yang hanya berisi huruf. Anda dapat menguji kebijakan dengan mencoba melakukan tindakan yang seharusnya dicegah oleh kebijakan tersebut.
Membuat batasan
Membuat kebijakan
Setelah Anda menerapkan kebijakan, tunggu sekitar dua menit hingga Google Cloud mulai menerapkan kebijakan tersebut.
Menguji kebijakan
Contoh kebijakan organisasi kustom untuk kasus penggunaan umum
Tabel berikut memberikan contoh sintaksis untuk beberapa batasan kustom umum. Untuk mengetahui daftar batasan standar yang dapat Anda gunakan dengan Cloud Storage, lihat Batasan kebijakan organisasi untuk Cloud Storage.
Deskripsi | Sintaksis batasan |
---|---|
Bucket harus mengaktifkan Pembuatan Versi Objek | name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceBucketVersioning method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.versioning.enabled == true" action_type: ALLOW display_name: Buckets must have Object Versioning enabled description: Newly created buckets and newly updated buckets must have Object Versioning enabled. |
Bucket harus diberi nama menggunakan ekspresi reguler tertentu | name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketNamingRequirement method_types: - CREATE resource_types: storage.googleapis.com/Bucket condition: "resource.name.matches('^[a-zA-Z]+$')" action_type: ALLOW display_name: Bucket names must match the specified regular expression description: Newly created buckets must have a name that matches the specified regular expression. Only letters are allowed in the bucket name. |
Bucket tidak dapat mengaktifkan Kunci Bucket | name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitBucketLock method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.retentionPolicy.isLocked == true" action_type: DENY display_name: Prohibit the use of Bucket Lock description: Newly created buckets and newly updated buckets cannot have Bucket Lock enabled. |
Bucket tidak dapat mengaktifkan Kunci Retensi Objek | name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitObjectRetentionLock method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.objectRetention.mode == 'Enabled'" action_type: DENY display_name: Objects cannot have retention configurations description: Newly created buckets and newly updated buckets cannot have Object Retention Lock enabled. |
Bucket yang berada di multi-region US atau EU harus memiliki periode retensi 86.400 detik |
name: organizations/ORGANIZATION_ID/customConstraints/custom.locationRetentionPolicy method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "(resource.location.startsWith('US') || resource.location.startsWith('EU')) && resource.retentionPolicy.retentionPeriod != 86400" action_type: DENY display_name: All buckets in US and EU must have a retention policy of 86,400 seconds description: Newly created buckets and newly updated buckets located in US and EU regions must have a retention policy of 86,400 seconds. |
Bucket harus memiliki label1 | name: organizations/ORGANIZATION_ID/customConstraints/custom.labels method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "'my_annotations.data.source' in resource.labels && resource.labels['my_annotations.data.source'] in ['SOURCE_IMAGES','SOURCE_TEXT','SOURCE_VIDEOS']" action_type: ALLOW display_name: Buckets must have a label classifying the contents of the bucket description: Newly created buckets and newly updated buckets must have the label my_annotations.data.source with the SOURCE_IMAGES, SOURCE_TEXT, or SOURCE_VIDEOS key. |
Bucket harus berada di region ganda | name: organizations/ORGANIZATION_ID/customConstraints/custom.dualRegionUS method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "'US-EAST1' in resource.customPlacementConfig.dataLocations && 'US-EAST4' in resource.customPlacementConfig.dataLocations" action_type: ALLOW display_name: Buckets must be located in a dual-region description: Newly created buckets and newly updated buckets must be located in a dual-region composed of the us-east1 and us-east4 regions. |
Bucket tidak dapat menggunakan kelas penyimpanan lama | name: organizations/ORGANIZATION_ID/customConstraints/custom.disableLegacyStorageClass method_types: - CREATE - UPDATE resource_types: storage.googleapis.com/Bucket condition: "resource.storageClass in ['STANDARD', 'NEARLINE', 'COLDLINE', 'ARCHIVE']" action_type: ALLOW display_name: Buckets cannot use legacy storage classes description: Newly created buckets and newly updated buckets must use Standard storage, Nearline storage, Coldline storage, or Archive storage. |
Pemfilteran IP bucket harus membatasi permintaan dari semua internet publik | name: organizations/ORGANIZATION_ID/customConstraints/custom.IpFilter method_types: - CREATE resource_types: storage.googleapis.com/Bucket condition: "!has(resource.ipFilter) || (resource.ipFilter.mode == 'Disabled' || resource.ipFilter.publicNetworkSource.allowedIpCidrRanges.size() > 0)" action_type: DENY display_name: Bucket IP filter rules must restrict all the public network description: Newly created buckets must have IP filtering and IP filtering rules must restrict all public network resources. |
1 Menentukan kunci label bucket yang tidak ada akan menampilkan error
|
Kebijakan organisasi bersyarat
Anda dapat membuat kebijakan organisasi kustom bersyarat menggunakan tag. Untuk mengetahui informasi selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.
Resource yang didukung Cloud Storage
Tabel berikut mencantumkan resource Cloud Storage yang dapat Anda rujuk dalam batasan kustom.
Resource | Kolom |
---|---|
storage.googleapis.com/Bucket |
resource.billing.requesterPays
|
resource.cors.maxAgeSeconds
| |
resource.cors.method
| |
resource.cors.origin
| |
resource.cors.responseHeader
| |
resource.customPlacementConfig.dataLocations
| |
resource.defaultEventBasedHold
| |
resource.encryption.defaultKmsKeyName
| |
resource.iamConfiguration.publicAccessPrevention
| |
resource.iamConfiguration.uniformBucketLevelAccess.enabled
| |
resource.ipFilter.mode
| |
resource.ipFilter.publicNetworkSource.allowedIpCidrRanges
| |
resource.ipFilter.vpcNetworkSources.allowedIpCidrRanges
| |
resource.ipFilter.vpcNetworkSources.network
| |
resource.labels
| |
resource.lifecycle.rule.action.storageClass
| |
resource.lifecycle.rule.action.type
| |
resource.lifecycle.rule.condition.age
| |
resource.lifecycle.rule.condition.createdBefore
| |
resource.lifecycle.rule.condition.customTimeBefore
| |
resource.lifecycle.rule.condition.daysSinceCustomTime
| |
resource.lifecycle.rule.condition.daysSinceNoncurrentTime
| |
resource.lifecycle.rule.condition.isLive
| |
resource.lifecycle.rule.condition.matchesPrefix
| |
resource.lifecycle.rule.condition.matchesStorageClass
| |
resource.lifecycle.rule.condition.matchesSuffix
| |
resource.lifecycle.rule.condition.noncurrentTimeBefore
| |
resource.lifecycle.rule.condition.numNewerVersions
| |
resource.location
| |
resource.locationType
| |
resource.logging.logBucket
| |
resource.logging.logObjectPrefix
| |
resource.name
| |
resource.objectRetention.mode
| |
resource.retentionPolicy.isLocked
| |
resource.retentionPolicy.retentionPeriod
| |
resource.rpo
| |
resource.softDeletePolicy.retentionDurationSeconds
| |
resource.storageClass
| |
resource.versioning.enabled
| |
resource.website.mainPageSuffix
| |
resource.website.notFoundPage
|
Perhatikan hal berikut: