このページでは、組織のポリシー サービスのカスタム制約を使用して、次の Google Cloud リソースに対する特定のオペレーションを制限する方法について説明します。
accesscontextmanager.googleapis.com/AccessPolicyaccesscontextmanager.googleapis.com/AccessLevelaccesscontextmanager.googleapis.com/AuthorizedOrgsDescaccesscontextmanager.googleapis.com/ServicePerimeter
組織のポリシーの詳細については、カスタムの組織のポリシーをご覧ください。
組織のポリシーと制約について
Google Cloud 組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソース階層内のGoogle Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。
組織のポリシーは、さまざまな Google Cloud サービスに事前に定義された制約を提供します。ただし、組織のポリシーで制限されている特定のフィールドをカスタマイズ可能な方法でよりきめ細かく制御する必要がある場合は、カスタム制約を作成して、組織のポリシーでそれらのカスタム制約を使用することもできます。
ポリシーの継承
デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - 組織 ID を確実に把握します。
必要なロール
カスタムの組織のポリシーを管理するために必要な権限を取得するには、組織のリソースに対する組織のポリシー管理者(roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
カスタム制約を作成する
カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language(CEL)を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。
カスタム制約を作成するには、次の形式で YAML ファイルを作成します。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
次のように置き換えます。
ORGANIZATION_ID: 組織 ID(123456789など)。CONSTRAINT_NAME: 新しいカスタム制約に付ける名前。カスタム制約はcustom.で始まる必要があり、大文字、小文字、数字のみを含めることができます。例:custom.disableCustomAccessLevels。このフィールドの最大長は 70 文字です。RESOURCE_NAME: 制限するオブジェクトとフィールドを含むGoogle Cloud リソースの完全修飾名。例:accesscontextmanager.googleapis.com/AccessLevelCONDITION: サポート対象のサービス リソースの表現に対して書き込まれる CEL 条件。このフィールドの最大長は 1,000 文字です。条件の書き込み先として使用できるリソースの詳細については、サポート対象のリソースをご覧ください。例:"resource.basic.conditions.exists(c, has(c.devicePolicy))"ACTION:conditionが満たされている場合に実行するアクション。有効な値はALLOWとDENYです。DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。このフィールドの最大長は 200 文字です。DESCRIPTION: ポリシー違反時にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドの最大長は 2,000 文字です。
カスタム制約の作成方法については、カスタム制約の定義をご覧ください。
カスタム制約を設定する
新しいカスタム制約の YAML ファイルを作成したら、組織内の組織のポリシーで使用できるように設定する必要があります。カスタム制約を設定するには、gcloud org-policies set-custom-constraint コマンドを使用します。gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH は、カスタム制約ファイルのフルパスに置き換えます。たとえば、/home/user/customconstraint.yaml です。完了すると、カスタム制約が組織のポリシーとして Google Cloud 組織のポリシーのリストに表示されます。カスタム制約が存在することを確認するには、gcloud org-policies list-custom-constraints コマンドを使用します。gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID は、組織リソースの ID に置き換えます。詳細については、組織のポリシーの表示をご覧ください。カスタムの組織のポリシーを適用する
ブール型制約を適用するには、それを参照する組織のポリシーを作成し、その組織のポリシーを Google Cloud リソースに適用します。Console
- Google Cloud コンソールで、[組織のポリシー] ページに移動します。
- プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
- [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
- このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
- [ポリシーの編集] ページで、[Override parent's policy] を選択します。
- [ルールを追加] をクリックします。
- [適用] セクションで、この組織のポリシーの適用を有効にするかどうかを選択します。
- 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグ付きの組織のポリシーの設定をご覧ください。
- カスタム制約の場合は、[変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートできます。詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
- 組織のポリシーを完成させて適用するには、[ポリシーを設定] をクリックします。ポリシーが有効になるまでに最大 15 分かかります。
gcloud
ブール型制約を適用する組織のポリシーを作成するには、制約を参照するポリシー YAML ファイルを作成します。
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
次のように置き換えます。
-
PROJECT_ID: 制約を適用するプロジェクト。 -
CONSTRAINT_NAME: カスタム制約に定義した名前。たとえば、custom.disableCustomAccessLevelsのようにします。
制約を含む組織のポリシーを適用するには、次のコマンドを実行します。
gcloud org-policies set-policy POLICY_PATH
POLICY_PATH は、組織のポリシーの YAML ファイルのパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。
カスタム組織のポリシーをテストする
次の例では、devicePolicy 属性を使用する特定の組織内のすべての基本アクセス レベルを拒否するカスタムの制約とポリシーを作成します。
始める前に、次のことを理解しておく必要があります。
- 組織の ID
- プロジェクト ID
カスタム制約を作成する
次のファイルに
constraint-disable_custom_access_level.yamlという名前を付けて保存します。name: organizations/ORGANIZATION_ID/customConstraints/custom.disableCustomAccessLevels resourceTypes: - accesscontextmanager.googleapis.com/AccessLevel methodTypes: - CREATE - UPDATE condition: "resource.basic.conditions.exists(c, has(c.devicePolicy))" actionType: DENY displayName: Deny basic access levels using `devicePolicy` description: Basic access levels must not use the `devicePolicy` attribute.ORGANIZATION_IDは、実際の組織 ID に置き換えます。これにより、ベーシック アクセスレベルの作成のみを許可し、カスタム アクセスレベルの作成を拒否する制約が定義されます。
制約を適用します。
gcloud org-policies set-custom-constraint ~/constraint-disable_custom_access_level.yaml制約が存在することを確認します。
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID出力は次のようになります。
CUSTOM_CONSTRAINT ACTION_TYPE METHOD_TYPES RESOURCE_TYPES DISPLAY_NAME custom.disableCustomAccessLevels DENY CREATE accesscontextmanager.googleapis.com/AccessLevel Deny basic access levels using `devicePolicy` ...
ポリシーを作成する
次のファイルに
policy-disable_custom_access_level.yamlという名前を付けて保存します。name: organizations/ORGANIZATION_ID/policies/custom.disableCustomAccessLevels spec: rules: - enforce: trueORGANIZATION_IDは、実際の組織 ID に置き換えます。ポリシーを適用します。
gcloud org-policies set-policy ~/policy-disable_custom_access_level.yamlポリシーが存在することを確認します。
gcloud org-policies list --organization=ORGANIZATION_ID出力は次のようになります。
CONSTRAINT LIST_POLICY BOOLEAN_POLICY ETAG custom.disableCustomAccessLevels - SET COCsm5QGENiXi2E=
ポリシーを適用したら、 Google Cloud がポリシーの適用を開始するまで 2 分ほど待ちます。
ポリシーのテスト
次のアクセスレベル仕様ファイルを
example_access_level.yamlとして保存します。- devicePolicy: requireScreenlock: trueアクセスレベルを作成します。
gcloud access-context-manager levels create ACCESS_LEVEL_NAME --policy=ACCESS_POLICY_ID --title=ACCESS_LEVEL_TITLE --basic-level-spec=example_access_level.yaml次のように置き換えます。
ACCESS_LEVEL_NAME: アクセスレベルの一意の名前。ACCESS_POLICY_ID: 組織のアクセス ポリシーの ID。ACCESS_LEVEL_TITLE: アクセスレベルの短いタイトル。
ベーシック アクセスレベルの作成の詳細については、ベーシック アクセスレベルを作成するをご覧ください。
出力は次のようになります。
ERROR: (gcloud.access-context-manager.levels.create) [USER] does not have permission to access accessPolicies instance [ACCESS_POLICY_ID] (or it may not exist): The caller does not have permission. This command is authenticated as USER which is the active account specified by the [core/account] property '@type': type.googleapis.com/google.rpc.DebugInfo detail: '[ORIGINAL ERROR] generic::permission_denied: com.google.apps.framework.request.ForbiddenException: The user is not authorized!'一般的なユースケースのカスタム組織ポリシーの例
次の表に、一般的なユースケースのカスタム制約の構文を示します。
説明 制約の構文 スコープ ポリシーを無効にする name: organizations/ORGANIZATION_ID/customConstraints/custom.disableScopedPolicies resourceTypes: - accesscontextmanager.googleapis.com/AccessPolicy methodTypes: - CREATE - UPDATE condition: "size(resource.scopes) == 0" actionType: DENY displayName: Disable scoped policies description: Disables the creation of scoped policies.
カスタム アクセスレベルを無効にする name: organizations/ORGANIZATION_ID/customConstraints/custom.denyBasicAccessLevels resourceTypes: - accesscontextmanager.googleapis.com/AccessLevel methodTypes: - CREATE - UPDATE condition: "has(resource.custom)" actionType: ALLOW displayName: Disable custom access levels description: Disables the creation of custom access levels. Allows only basic access levels.
カスタム アクセスレベルで region_codeを無効にするname: organizations/ORGANIZATION_ID/customConstraints/custom.denyRegionCode resourceTypes: - accesscontextmanager.googleapis.com/AccessLevel methodTypes: - CREATE - UPDATE condition: "resource.custom.expr.expression.contains('region_code')" actionType: DENY displayName: Disable
region_codein custom access levels description: Disables the use ofregion_codeattribute in custom access levels.アクセスレベルの詳細な説明を適用する name: organizations/ORGANIZATION_ID/customConstraints/custom.enforseVerboseDescriptioninAccessLevels resourceTypes: - accesscontextmanager.googleapis.com/AccessLevel methodTypes: - CREATE - UPDATE condition: "size(resource.description) < 50" actionType: DENY displayName: Enforce access level descriptions to have at least 50 characters description: Denies access levels with a short description. The access level description must be at least 50 characters long.
境界ブリッジを無効にする name: organizations/ORGANIZATION_ID/customConstraints/custom.denyBridgePerimeters resourceTypes: - accesscontextmanager.googleapis.com/ServicePerimeter methodTypes: - CREATE - UPDATE condition: "resource.perimeterType == 'PERIMETER_TYPE_BRIDGE'" actionType: DENY displayName: Disable perimeter bridges description: Disables the use of perimeter bridges. Instead, use ingress and egress rules.
Access Context Manager でサポートされているリソース
次の表に、カスタム制約で参照できる Access Context Manager リソースを示します。リソース フィールド accesscontextmanager.googleapis.com/AccessLevel resource.basic.combiningFunctionresource.basic.conditions.devicePolicy.allowedDeviceManagementLevelsresource.basic.conditions.devicePolicy.allowedEncryptionStatusesresource.basic.conditions.devicePolicy.osConstraints.minimumVersionresource.basic.conditions.devicePolicy.osConstraints.osTyperesource.basic.conditions.devicePolicy.osConstraints.requireVerifiedChromeOsresource.basic.conditions.devicePolicy.requireAdminApprovalresource.basic.conditions.devicePolicy.requireCorpOwnedresource.basic.conditions.devicePolicy.requireScreenlockresource.basic.conditions.ipSubnetworksresource.basic.conditions.membersresource.basic.conditions.negateresource.basic.conditions.regionsresource.basic.conditions.requiredAccessLevelsresource.custom.expr.descriptionresource.custom.expr.expressionresource.custom.expr.locationresource.custom.expr.titleresource.descriptionresource.titleaccesscontextmanager.googleapis.com/AccessPolicy resource.parentresource.scopesresource.titleaccesscontextmanager.googleapis.com/AuthorizedOrgsDesc resource.assetTyperesource.authorizationDirectionresource.authorizationTyperesource.orgsaccesscontextmanager.googleapis.com/ServicePerimeter resource.descriptionresource.perimeterTyperesource.spec.accessLevelsresource.spec.egressPolicies.egressFrom.identitiesresource.spec.egressPolicies.egressFrom.identityTyperesource.spec.egressPolicies.egressFrom.sourceRestrictionresource.spec.egressPolicies.egressTo.externalResourcesresource.spec.egressPolicies.egressTo.operations.methodSelectors.methodresource.spec.egressPolicies.egressTo.operations.methodSelectors.permissionresource.spec.egressPolicies.egressTo.operations.serviceNameresource.spec.egressPolicies.egressTo.resourcesresource.spec.ingressPolicies.ingressFrom.identitiesresource.spec.ingressPolicies.ingressFrom.identityTyperesource.spec.ingressPolicies.ingressFrom.sources.accessLevelresource.spec.ingressPolicies.ingressFrom.sources.resourceresource.spec.ingressPolicies.ingressTo.operations.methodSelectors.methodresource.spec.ingressPolicies.ingressTo.operations.methodSelectors.permissionresource.spec.ingressPolicies.ingressTo.operations.serviceNameresource.spec.ingressPolicies.ingressTo.resourcesresource.spec.resourcesresource.spec.restrictedServicesresource.spec.vpcAccessibleServices.allowedServicesresource.spec.vpcAccessibleServices.enableRestrictionresource.status.accessLevelsresource.status.egressPolicies.egressFrom.identitiesresource.status.egressPolicies.egressFrom.identityTyperesource.status.egressPolicies.egressFrom.sourceRestrictionresource.status.egressPolicies.egressTo.externalResourcesresource.status.egressPolicies.egressTo.operations.methodSelectors.methodresource.status.egressPolicies.egressTo.operations.methodSelectors.permissionresource.status.egressPolicies.egressTo.operations.serviceNameresource.status.egressPolicies.egressTo.resourcesresource.status.ingressPolicies.ingressFrom.identitiesresource.status.ingressPolicies.ingressFrom.identityTyperesource.status.ingressPolicies.ingressFrom.sources.accessLevelresource.status.ingressPolicies.ingressFrom.sources.resourceresource.status.ingressPolicies.ingressTo.operations.methodSelectors.methodresource.status.ingressPolicies.ingressTo.operations.methodSelectors.permissionresource.status.ingressPolicies.ingressTo.operations.serviceNameresource.status.ingressPolicies.ingressTo.resourcesresource.status.resourcesresource.status.restrictedServicesresource.status.vpcAccessibleServices.allowedServicesresource.status.vpcAccessibleServices.enableRestrictionresource.titleresource.useExplicitDryRunSpec次のステップ
- 組織のポリシー サービスについて詳細を学習する。
- 組織のポリシーの作成と管理の方法について学習する。
- 事前定義された組織のポリシーの制約の完全なリストを確認する。