使用自定义组织政策

Google Cloud 组织政策可让您以编程方式集中控制组织的资源。作为组织政策管理员,您可以定义组织政策,这是一组称为限制条件的限制,会应用于Google Cloud 资源层次结构中的Google Cloud 资源及其后代。您可以在组织、文件夹或项目级强制执行组织政策。

组织政策为各种Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义组织政策。

通过实现自定义组织政策,您可以强制实施统一的配置及限制条件。这可确保您的 AlloyDB for PostgreSQL 实例遵循安全最佳实践及相关监管要求。

如果您在强制实施了自定义限制条件的情况下尝试创建或更新实例,则相应操作会失败。添加到使用自定义组织政策的组织或文件夹中的所有项目都会继承相应政策的限制条件。

政策继承

如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策, Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则

价格

组织政策服务(包括预定义组织政策和自定义组织政策)可免费使用。

限制

与所有组织政策限制条件一样,政策更改不会以追溯方式应用于现有实例。

  • 新政策不会影响现有实例配置。
  • 现有实例配置仍然有效,除非您通过Google Cloud 控制台、Google Cloud CLI 或 RPC 将实例配置从合规状态更改为不合规状态。
  • 由于维护不会更改实例的配置,因此计划的维护更新不会导致政策强制执行。

准备工作

  1. 设置项目。
    1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. Enable the AlloyDB API.

      Enable the API

    5. Install the Google Cloud CLI.

    6. 如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI

    7. 如需初始化 gcloud CLI,请运行以下命令: 

      gcloud init

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Verify that billing is enabled for your Google Cloud project.

    10. Enable the AlloyDB API.

      Enable the API

    11. Install the Google Cloud CLI.

    12. 如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI

    13. 如需初始化 gcloud CLI,请运行以下命令: 

      gcloud init
    14. 请确保您知道您的组织 ID

      15. 所需的角色

      如需获得管理组织政策所需的权限,请让您的管理员为您授予以下 IAM 角色:

      如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

      您也可以通过自定义角色或其他预定义角色来获取所需的权限。

      创建自定义限制条件

      自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。

      组织政策由为每个限制条件设置的值定义。组织政策管理员可以创建自定义限制条件,以在项目、文件夹或组织级层限制 AlloyDB 的公共 IP 配置。

      您可以创建自定义限制条件(例如 customConstraints/custom.restrictPublicIP),限制对 AlloyDB 实例的公共 IP 访问。此布尔值限制条件会限制在设置了该限制条件的 AlloyDB 实例上配置公共 IP。此限制条件不具有追溯性。实施此限制条件后,之前已配置了公共 IP 访问的 AlloyDB 实例仍然可以正常运作。

      默认情况下,系统允许通过公共 IP 地址访问 AlloyDB 实例。

      按如下方式为自定义限制条件创建 YAML 文件:

      name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- alloydb.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

      替换以下内容:

      • ORGANIZATION_ID:您的组织 ID,例如 123456789

      • CONSTRAINT_NAME:新的自定义限制条件的名称。 自定义限制条件必须以 custom. 开头,只能包含大写字母、小写字母或数字,例如 custom.restrictPublicIP。该字段的长度上限为 70 个字符,不计算前缀,例如 organizations/123456789/customConstraints/custom

      • RESOURCE_NAME:包含要限制的对象和字段的 AlloyDB REST 资源的名称(而非 URI)。例如 Instance

      • CONDITION:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可为其编写条件的资源,请参阅支持的自定义限制条件。例如 "resource.networkConfig.enablePublicIp == true"

      • ACTION:满足 condition 时要执行的操作。可以是 ALLOWDENY

      • DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。

      • DESCRIPTION:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的长度上限为 2,000 个字符。

      如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件

      设置自定义限制条件

      为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用 gcloud org-policies set-custom-constraint 命令: 
      gcloud org-policies set-custom-constraint CONSTRAINT_PATH
      CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:
      gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
      ORGANIZATION_ID 替换为您的组织资源的 ID。 如需了解详情,请参阅查看组织政策

      强制执行自定义组织政策

      如需强制执行限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。

      控制台

      1. 在 Google Cloud 控制台中,前往组织政策页面。

        转到组织政策

      2. 在项目选择器中,选择要设置组织政策的项目。
      3. 组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
      4. 如需为该资源配置组织政策,请点击管理政策
      5. 修改政策页面,选择覆盖父级政策
      6. 点击添加规则
      7. 强制执行部分中,选择开启还是关闭此组织政策的强制执行。
      8. (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策
      9. 点击测试更改以模拟组织政策的效果。政策模拟不适用于旧版托管式限制。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改
      10. 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。

      gcloud

      如需创建包含布尔值规则的组织政策,请创建引用该限制条件的 YAML 政策文件: 

            name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

      请替换以下内容:

      • PROJECT_ID:要对其实施限制条件的项目。
      • CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.restrictPublicIP

      如需强制执行包含限制条件的组织政策,请运行以下命令: 

          gcloud org-policies set-policy POLICY_PATH

      POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。

      支持的自定义限制条件及操作

      您可以强制执行以下自定义限制条件,系统会在相应的 AlloyDB 操作期间强制执行这些限制条件。

      说明 限制条件语法示例 支持的操作
      使用组织政策限制公共 IP 访问 
          name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictPublicIP
    resourceTypes:
    - alloydb.googleapis.com/Instance
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.networkConfig.enablePublicIp == true"
    actionType: DENY
    displayName: Restrict public IP access on AlloyDB instances
    description: Prevent users from enabling public IP on instance creation and update.
      • 创建实例
      • 更新实例
      使用组织政策强制实施强制性标记。 
          name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceMandatoryTags
    resourceTypes:
    - alloydb.googleapis.com/Cluster
    methodTypes:
    - GOVERN_TAGS
    condition: "resource.hasDirectTagKey(TAG_NAME")"
    actionType: ALLOW
    displayName: Enforce mandatory tags on AlloyDB cluster resource.
    description: Prevent users from cluster creation if mandatory tags are not provided.

      TAG_NAME 替换为标记名称。
      • 创建集群
      • 创建备份

      后续步骤