在管道中使用自訂限制

本頁面說明如何使用組織政策服務自訂限制，限制對下列 Google Cloud 資源執行的特定作業：

• aiplatform.googleapis.com/PipelineJob

如要進一步瞭解組織政策，請參閱「自訂組織政策」。

關於組織政策和限制

Google Cloud 組織政策服務可讓您透過程式輔助，集中控管組織的資源。組織政策管理員可以定義組織政策，也就是一組稱為「限制」的限制，適用於Google Cloud 資源和這些資源在Google Cloud 資源階層中的子系。您可以在組織、資料夾或專案層級強制執行組織政策。

組織政策提供各種 Google Cloud 服務的內建代管限制。不過，如要更精細地自訂組織政策中受限的特定欄位，您也可以建立「自訂限制」，並用於組織政策。

政策繼承

根據預設，您強制執行政策的資源子系會繼承組織政策。例如，如果您對資料夾強制執行政策， Google Cloud 會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更，請參閱「階層評估規則」。

優點

您可以透過自訂機構政策，允許或拒絕對 Vertex AI Pipelines 資源執行特定作業。舉例來說，如果指定用來建立 PipelineJob 資源的範本 URI 無法滿足貴機構政策設定的自訂限制驗證，要求就會失敗，並向呼叫端傳回錯誤。

限制

系統不會對使用排程器 API 排定的管道執行作業強制執行自訂機構政策。

事前準備

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

若您採用的是外部識別資訊提供者 (IdP)，請先使用聯合身分登入 gcloud CLI。

執行下列指令，初始化 gcloud CLI：

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

若您採用的是外部識別資訊提供者 (IdP)，請先使用聯合身分登入 gcloud CLI。

執行下列指令，初始化 gcloud CLI：

gcloud init

1. 取得機構資源 ID。
2. 定義及編譯管道，可用於測試自訂限制。

必要的角色

如要取得管理組織政策所需的權限，請要求管理員授予您下列 IAM 角色：

• 如要管理機構政策，請在機構資源上取得機構政策管理員 (roles/orgpolicy.policyAdmin) 角色。
• 建立或更新機器學習 pipeline： 專案資源的 Vertex AI 管理員 (roles/aiplatform.admin) 或 Vertex AI 使用者 (roles/aiplatform.user)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

設定自訂限制

自訂限制是在 YAML 檔案中定義，其中包含您要強制執行組織政策的服務所支援的資源、方法、條件和動作。自訂限制的條件是使用一般運算語言 (CEL) 所定義。如要進一步瞭解如何使用 CEL 在自訂限制中建構條件，請參閱「建立及管理自訂限制」的 CEL 一節。

控制台

如要建立自訂限制，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

   前往組織政策

2. 在專案選擇工具中，選取要設定組織政策的專案。
3. 按一下「自訂限制」add。
4. 在「顯示名稱」方塊中，輸入容易理解的限制名稱。這個名稱會顯示在錯誤訊息中，可用於識別和偵錯。請勿在顯示名稱中使用 PII 或機密資料，因為錯誤訊息可能會顯示這類名稱。這個欄位最多可包含 200 個半形字元。
5. 在「Constraint ID」(限制 ID) 方塊中，輸入新自訂限制的名稱。自訂限制只能包含字母 (包括大寫和小寫) 或數字，例如 custom.disableGkeAutoUpgrade。這個欄位最多可包含 70 個字元，前置字元 (custom.) 不計入，例如 organizations/123456789/customConstraints/custom。請勿在限制 ID 中輸入 PII 或機密資料，因為錯誤訊息可能會顯示上述資訊。
6. 在「說明」方塊中，輸入使用者可理解的限制說明。違反政策時，系統會顯示這項說明做為錯誤訊息。請提供違反政策的詳細原因，以及如何解決問題。請勿在說明中輸入 PII 或機密資料，因為錯誤訊息可能會顯示上述資訊。這個欄位最多可輸入 2000 個字元。
7. 在「Resource type」方塊中，選取包含要限制物件和欄位的 Google Cloud REST 資源名稱，例如 container.googleapis.com/NodePool。大多數資源類型最多支援 20 個自訂限制。如果嘗試建立更多自訂限制，作業會失敗。
8. 在「強制執行方法」下方，選取要對 REST 「CREATE」方法強制執行限制，還是對「CREATE」和「UPDATE」方法都強制執行限制。如果您對違反限制的資源使用 UPDATE 方法強制執行限制，除非變更可解決違規問題，否則機構政策會封鎖對該資源的變更。

並非所有 Google Cloud 服務都支援這兩種方法。如要查看各項服務支援的方法，請在「 支援的服務」中找出該服務。

9. 如要定義條件，請按一下「編輯條件」edit。
1. 在「新增條件」面板中，建立參照支援服務資源的 CEL 條件，例如 resource.management.autoUpgrade == false。這個欄位最多可輸入 1,000 個半形字元。如要瞭解如何使用 CEL，請參閱「 一般運算語言」。如要進一步瞭解可在自訂限制中使用的服務資源，請參閱「 自訂限制支援的服務」。
2. 按一下 [儲存]。
10. 在「動作」下方，選取符合條件時要允許或拒絕評估方法。

如果條件評估結果為 true，系統就會拒絕動作，也就是禁止建立或更新資源。

允許動作表示只有在條件評估為 true 時，才能建立或更新資源。除了條件中明確列出的情況外，所有其他情況都會遭到封鎖。

11. 按一下「建立限制」。

在每個欄位中輸入值後，右側會顯示這個自訂限制的對等 YAML 設定。

gcloud

1. 如要建立自訂限制，請使用下列格式建立 YAML 檔案：

      name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
      resourceTypes:
      - RESOURCE_NAME
      methodTypes:
      - CREATE
      condition: "CONDITION"
      actionType: ACTION
      displayName: DISPLAY_NAME
      description: DESCRIPTION
      

取代下列項目：

• ORGANIZATION_ID：您的機構 ID，例如 123456789。
• CONSTRAINT_NAME：新自訂限制的名稱。自訂限制只能包含字母 (包括大寫和小寫) 或數字，例如 custom.denyPipelineTemplate。這個欄位最多可包含 70 個字元。
• RESOURCE_NAME：內含您要限制的物件或欄位的 Google Cloud資源完整名稱，例如： aiplatform.googleapis.com/PipelineJob/resource.templateUri。
• CONDITION：針對支援服務資源表示法所撰寫的 CEL 條件。這個欄位最多可輸入 1,000 個半形字元。例如： "resource.templateUri.contains("test")"。

如要進一步瞭解可編寫條件的資源，請參閱「支援的資源」。

• ACTION：符合 condition 時採取的動作。 可能的值為 ALLOW 和 DENY。

如果條件評估結果為 true，表示允許執行建立或更新資源的作業。這也表示系統會封鎖條件中明確列出的情況以外的所有其他情況。

如果條件評估結果為 true，系統會封鎖建立或更新資源的作業。

• DISPLAY_NAME：限制的易記名稱。這個欄位最多可包含 200 個半形字元。
• DESCRIPTION：違反政策時，要以錯誤訊息形式顯示的限制說明。這個欄位最多可輸入 2000 個字元。
2. 為新的自訂限制建立 YAML 檔案後，您必須加以設定，才能用於貴機構的組織政策。如要設定自訂限制，請使用 gcloud org-policies set-custom-constraint 指令：

        gcloud org-policies set-custom-constraint CONSTRAINT_PATH
      

將 CONSTRAINT_PATH 替換成自訂限制檔案的完整路徑，例如：/home/user/customconstraint.yaml。

完成後，自訂限制就會顯示在 Google Cloud 組織政策清單中，供組織政策使用。

3. 如要確認是否存在自訂限制，請使用 gcloud org-policies list-custom-constraints 指令：

      gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
      

請將 ORGANIZATION_ID 替換成組織資源的 ID。

詳情請參閱「 查看組織政策」。

強制執行自訂組織政策

如要強制執行限制，請建立參照該限制的組織政策，然後將組織政策套用至 Google Cloud 資源。

控制台

1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

   前往組織政策

2. 在專案選擇工具中，選取要設定組織政策的專案。
3. 在「Organization policies」(組織政策) 頁面上的清單中選取限制，即可查看該限制的「Policy details」(政策詳細資料) 頁面。
4. 如要為這項資源設定組織政策，請按一下「Manage policy」(管理政策)。
5. 在「Edit policy」(編輯政策) 頁面中，選取「Override parent's policy」(覆寫上層政策)。
6. 按一下「Add a rule」(新增規則)。
7. 在「強制執行」部分中，選取是否要強制執行這項機構政策。
8. 選用：如要根據標記設定組織政策條件，請按一下「Add condition」(新增條件)。請注意，如果為組織政策新增條件式規則，您必須至少新增一項無條件規則，否則無法儲存政策。詳情請參閱「 使用標記設定組織政策」一文。
9. 按一下「Test changes」(測試變更)，模擬組織政策的影響。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」一文。
10. 如要在模擬測試模式下強制執行組織政策，請按一下「設定模擬測試政策」。詳情請參閱「 以模擬測試模式建立組織政策」。
11. 確認機構政策在模擬執行模式下運作正常後，請按一下「設定政策」，設定正式政策。

gcloud

1. 如要建立含有布林值規則的組織政策，請建立參照限制的政策 YAML 檔案：

        name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
        spec:
          rules:
          - enforce: true
        
        dryRunSpec:
          rules:
          - enforce: true
        
      

取代下列項目：

• PROJECT_ID：您要強制執行限制的專案。
• CONSTRAINT_NAME：您為自訂限制定義的名稱，例如 custom.denyPipelineTemplate。
2. 如要以模擬測試模式強制執行組織政策，請執行下列指令並加上 dryRunSpec 旗標：

        gcloud org-policies set-policy POLICY_PATH \
          --update-mask=dryRunSpec
      

將 POLICY_PATH 替換成組織政策 YAML 檔案的完整路徑。政策最多需要 15 分鐘才會生效。

3. 確認模擬測試模式中的機構政策運作正常後，請使用 org-policies set-policy 指令和 spec 旗標設定正式政策：

        gcloud org-policies set-policy POLICY_PATH \
          --update-mask=spec
      

將 POLICY_PATH 替換成組織政策 YAML 檔案的完整路徑。政策最多需要 15 分鐘才會生效。

測試自訂組織政策

下列範例會建立自訂限制和政策，禁止指定含有「test」的範本 URI 來建立管道執行作業。

開始之前，請務必瞭解下列事項：

• 組織 ID
• 專案 ID

建立限制

1. 將下列檔案儲存為 constraint-validate-pipeline-template-uri.yaml：

   name: organizations/ORGANIZATION_ID/customConstraints/custom.denyPipelineTemplate
   resourceTypes:
   - resource.templateUri
   methodTypes:
     - CREATE
     condition: "resource.templateUri.contains("test")"
     actionType: DENY
     displayName: Deny pipeline runs if the template URI contains 'test'
     description: Deny the creation of a new pipeline run if it's based on a template URI containing 'test'
   

   這會定義限制，管道範本 URI 不得包含 test。

   1. 套用限制：

      gcloud org-policies set-custom-constraint ~/constraint-validate-pipeline-template-uri.yaml
      

   2. 確認限制是否存在：

      gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
      

      輸出結果會與下列內容相似：

      CUSTOM_CONSTRAINT                          ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES          DISPLAY_NAME
      custom.denyPipelineTemplate                DENY         CREATE         resource.templateUri    Deny pipeline runs if the template URI contains 'test'
      ...
      

建立政策

1. 將下列檔案儲存為 policy-validate-pipeline-template-uri.yaml：

     name: projects/PROJECT_ID/policies/custom.denyPipelineTemplate
     spec:
       rules:
       - enforce: true
   

   將 PROJECT_ID 替換為專案 ID。

2. 套用政策：

     gcloud org-policies set-policy ~/policy-validate-pipeline-template-uri.yaml
   

3. 確認政策是否存在：

     gcloud org-policies list --project=PROJECT_ID
   

   輸出結果會與下列內容相似：

     CONSTRAINT                    LIST_POLICY    BOOLEAN_POLICY    ETAG
     custom.denyPipelineTemplate   -              SET               COCsm5QGENiXi2E=
   

   套用政策後，請等待約兩分鐘， Google Cloud 就會開始強制執行政策。

測試政策

嘗試使用含有 test 的範本 URI 建立機器學習管道。

REST

如要建立 PipelineJob 資源，請使用 pipelineJobs/create 方法傳送 POST 要求。

使用任何要求資料之前，請先替換以下項目：

• LOCATION：要建立管道執行的區域。如要進一步瞭解 Vertex AI Pipelines 的可用區域，請參閱 Vertex AI Pipelines 服務地區指南。
• PROJECT_ID：您要在其中建立管道執行的 Google Cloud 專案。
• DISPLAY_NAME：管道執行的名稱。這項資訊會顯示在 Google Cloud 管理中心。

HTTP 方法和網址：

POST https://LOCATION-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/pipelineJobs

JSON 要求內文：

{
  "displayName":"DISPLAY_NAME",
  "templateUri":"test_pipeline_template.json"
}

如要傳送要求，請選擇以下其中一個選項：

curl

將要求內文儲存在名為 request.json 的檔案中，然後執行下列指令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://LOCATION-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/pipelineJobs"

PowerShell

將要求主體儲存在名為 request.json 的檔案中，然後執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://LOCATION-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/pipelineJobs" | Select-Object -Expand Content

您應該會收到如下的 JSON 回覆：

{
  "error": {
    "code": 400,
    "message": "Operation denied by org policy on resource 'projects/PROJECT_ID/locations/LOCATION': [\"customConstraints/custom.denyPipelineTemplate\": \"Deny the creation of a new pipeline run if it's based on a template URI containing 'test'\"]",
    "status": "FAILED_PRECONDITION",
    "details": [
      {
        "@type": "type.googleapis.com/google.rpc.ErrorInfo",
        "reason": "CUSTOM_ORG_POLICY_VIOLATION",
        "domain": "googleapis.com",
        "metadata": {
          "service": "aiplatform.googleapis.com",
          "customConstraints": "customConstraints/custom.denyPipelineTemplate"
        }
      }
    ]
  }
}

Vertex AI Pipelines 支援的資源

下表列出可在自訂限制中參照的 Vertex AI Pipelines 資源。

資源	欄位
aiplatform.googleapis.com/PipelineJob	resource.displayName
	resource.encryptionSpec.kmsKeyName
	resource.network
	resource.pipelineSpec
	resource.preflightValidations
	resource.pscInterfaceConfig.networkAttachment
	resource.reservedIpRanges
	resource.runtimeConfig.failurePolicy
	resource.runtimeConfig.gcsOutputDirectory
	resource.runtimeConfig.inputArtifacts[*].artifactId
	resource.runtimeConfig.parameterValues[*].boolValue
	resource.runtimeConfig.parameterValues[*].listValue.values
	resource.runtimeConfig.parameterValues[*].nullValue
	resource.runtimeConfig.parameterValues[*].numberValue
	resource.runtimeConfig.parameterValues[*].stringValue
	resource.runtimeConfig.parameterValues[*].structValue
	resource.serviceAccount
	resource.templateUri

後續步驟

• 進一步瞭解組織政策服務。
• 進一步瞭解如何建立及管理組織政策。
• 查看受管理組織政策限制的完整清單。