组织政策为各种Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义组织政策。
优势
您可以使用自定义组织政策,根据支持的资源属性(例如流程名称、来源类型和来源)设置条件,允许或拒绝创建数据沿袭流程。
政策继承
如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策, Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则。
价格
组织政策服务(包括预定义组织政策和自定义组织政策)可免费使用。
限制
只能对数据沿袭
Process资源强制执行自定义限制条件。不支持其他资源,例如Runs和Events。新强制执行的自定义限制条件不会自动应用于现有资源。
准备工作
- 请确保您知道您的组织 ID。
-
如果您要测试引用数据沿袭资源的自定义组织政策,请创建一个新项目。在现有项目中测试这些组织政策可能会中断安全工作流程。
-
In the Google Cloud console, go to the project selector page.
-
Click Create project.
-
Name your project. Make a note of your generated project ID.
-
Edit the other fields as needed.
-
Click Create.
-
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色可提供管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理组织政策需要以下权限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
创建自定义限制条件
自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。
如需为自定义限制条件创建 YAML 文件,请运行以下命令:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- datalineage.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
替换以下内容:
ORGANIZATION_ID:您的组织 ID,例如123456789。CONSTRAINT_NAME:新的自定义限制条件的名称。自定义限制条件必须以custom.开头,只能包含大写字母、小写字母或数字,例如custom.denyLineageProcess。该字段的长度上限为 70 个字符,不计算前缀,例如organizations/123456789/customConstraints/custom。RESOURCE_TYPE:包含要限制的对象和字段的 Data Lineage API REST 资源的名称(而非 URI)。对于数据沿袭,只有Process可用。CONDITION:针对受支持的服务资源的表示法编写的 CEL 条件。此字段的长度上限为 1,000 个字符。 如需详细了解可用于针对其编写条件的资源,请参阅支持的资源。 例如"resource.name.contains('invalid_name')"。ACTION:满足condition时要执行的操作。可以是ALLOW或DENY。DISPLAY_NAME:限制条件的直观易记名称。 此字段的最大长度为 200 个字符。DESCRIPTION:直观易懂的限制条件说明,在违反政策时显示为错误消息。 此字段的长度上限为 2,000 个字符。
如需详细了解如何创建自定义限制条件,请参阅定义自定义限制条件。
设置自定义限制条件
为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用gcloud org-policies set-custom-constraint 命令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替换为您的组织资源的 ID。
如需了解详情,请参阅查看组织政策。
强制执行自定义组织政策
如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。控制台
- 在 Google Cloud 控制台中,前往组织政策页面。
- 在项目选择器中,选择要设置组织政策的项目。
- 从组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
- 如需为该资源配置组织政策,请点击管理政策。
- 在修改政策页面,选择覆盖父级政策。
- 点击添加规则。
- 在强制执行部分中,选择开启还是关闭此组织政策的强制执行。
- (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策。
- 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改。
- 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。
gcloud
如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
请替换以下内容:
-
PROJECT_ID:要对其实施限制条件的项目。 -
CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.denyLineageProcess。
如需强制执行包含限制条件的组织政策,请运行以下命令:
gcloud org-policies set-policy POLICY_PATH
将 POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。
测试自定义组织政策
本部分介绍了如何测试组织政策限制条件,以限制用户创建名称包含文本 invalid_name 的数据沿袭流程。
如果您想测试此自定义限制条件,请执行以下操作:
按照准备工作部分中的说明创建新项目。
将以下限制条件复制到 YAML 文件中:
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcess resourceTypes: datalineage.googleapis.com/Process methodTypes: - CREATE - UPDATE condition: "resource.name.contains('invalid_name')" actionType: DENY displayName: Do not allow data lineage process with 'invalid_name' to be created.将
ORGANIZATION_ID替换为您的Google Cloud 组织的数字 ID。使用您在自定义限制条件中添加的名称创建流程。
curl -s -X POST -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application.json" \ "https://datalineage.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/processes" \ -d '{"name":"projects/PROJECT_ID/locations/LOCATION/processes/invalid_name"}'
替换以下内容:
PROJECT_ID:在其中创建流程的项目的 ID。它必须与定义限制条件的组织位于同一组织中。LOCATION:创建流程的 Google Cloud 区域。
输出如下所示:
Operation denied by org policy on resource 'projects/PROJECT_ID/locations/LOCATION': ["customConstraints/custom.denyLineageProcess"]
数据沿袭支持的资源和操作
在创建或更新数据沿袭流程时,您可以使用以下自定义限制条件字段:
resource.nameresource.displayNameresource.origin.nameresource.origin.sourceType
系统会针对以下方法检查自定义限制条件:
常见用例的自定义组织政策示例
下表列出了一些常见用例的自定义限制条件的语法:
如需详细了解可在自定义限制条件中使用的 CEL 宏,请参阅通用表达式语言。
| 使用场景 | 限制条件语法 |
|---|---|
| 禁止创建数据沿袭流程 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE condition: "True" actionType: DENY displayName: Deny creation of all data lineage processes. |
| 禁止 BigQuery 或 Dataproc 创建数据沿袭流程 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE condition: "resource.origin.sourceType == 'BIGQUERY' || resource.origin.sourceType == 'DATAPROC'" actionType: DENY displayName: Deny data lineage processes created by BigQuery or Dataproc. |
| 停用具有指定名称的数据沿袭流程 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation resourceTypes: - datalineage.googleapis.com/Process methodTypes: - CREATE - UPDATE condition: "resource.name.contains('RESTRICTED_NAME')" actionType: DENY displayName: Deny data lineage processes whose name contains RESTRICTED_NAME. |