Menguji perubahan kebijakan organisasi dengan Policy Simulator

Policy Simulator untuk Kebijakan Organisasi memungkinkan Anda melihat pratinjau dampak batasan kustom atau kebijakan organisasi baru yang menerapkan batasan kustom atau terkelola sebelum diterapkan di lingkungan produksi Anda. Policy Simulator memberikan daftar resource yang melanggar kebijakan yang diusulkan sebelum kebijakan tersebut diterapkan, sehingga Anda dapat mengonfigurasi ulang resource tersebut, meminta pengecualian, atau mengubah cakupan kebijakan organisasi Anda, semuanya tanpa mengganggu developer atau menghentikan lingkungan Anda.

Halaman ini menjelaskan cara menguji perubahan pada kebijakan organisasi menggunakan Policy Simulator. Bagian ini juga menjelaskan cara menafsirkan hasil simulasi dan cara menerapkan kebijakan organisasi yang telah diuji jika Anda memilih untuk melakukannya.

Sebelum memulai

  • Jika Anda menggunakan Google Cloud CLI, tetapkan project yang ingin Anda gunakan untuk melakukan panggilan API:

    gcloud config set project PROJECT_ID

    Ganti PROJECT_ID dengan nama atau ID project.

  • Enable the Policy Simulator and Resource Manager APIs.

    Enable the APIs

  • Opsional: Dapatkan pengantar Layanan Kebijakan Organisasi.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna menjalankan dan mengakses simulasi, minta administrator untuk memberi Anda peran IAM Admin Simulator OrgPolicy (roles/policysimulator.orgPolicyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menjalankan dan mengakses simulasi. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menjalankan dan mengakses simulasi:

  • orgpolicy.constraints.list
  • orgpolicy.customConstraints.get
  • orgpolicy.policies.list
  • cloudasset.assets.searchAllResources
  • cloudasset.assets.listResource
  • cloudasset.assets.listOrgPolicy
  • policysimulator.orgPolicyViolationsPreviews.list
  • policysimulator.orgPolicyViolationsPreviews.get
  • policysimulator.orgPolicyViolationsPreviews.create
  • policysimulator.orgPolicyViolations.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Menguji perubahan kebijakan

Anda dapat menguji perubahan pada batasan kustom, kebijakan organisasi yang menerapkan batasan kustom atau terkelola, atau keduanya secara bersamaan.

Menguji perubahan pada batasan kustom

Konsol

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Dari pemilih organisasi, pilih resource organisasi Anda.

  3. Lakukan salah satu hal berikut:

    • Untuk menguji batasan kustom baru, klik Custom constraint.

    • Untuk membuat perubahan pada batasan kustom yang ada, pilih batasan tersebut dari daftar di halaman Kebijakan organisasi, lalu klik Edit batasan.

  4. Buat atau perbarui batasan kustom yang ingin Anda uji.

    1. Di kotak Display name, masukkan nama yang mudah dipahami manusia untuk batasan. Kolom ini memiliki panjang maksimal 200 karakter. Jangan menggunakan PII atau data sensitif dalam nama tampilan, karena dapat terekspos dalam pesan error.

    2. Di kotak Constraint ID, masukkan nama yang diinginkan untuk batasan kustom baru. Batasan kustom harus dimulai dengan custom., dan hanya boleh menyertakan huruf besar, huruf kecil, atau angka, misalnya, custom.disableGkeAutoUpgrade. Panjang maksimum kolom ini adalah 70 karakter, tidak menghitung awalan, misalnya, organizations/123456789/customConstraints/custom.. Jangan sertakan PII atau data sensitif dalam ID batasan Anda, karena dapat terekspos dalam pesan error.

      ID batasan tidak dapat diubah setelah batasan kustom dibuat.

    3. Di kotak Description, masukkan deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimal 2000 karakter. Jangan sertakan PII atau data sensitif dalam deskripsi Anda, karena dapat terekspos dalam pesan error.

    4. Di kotak Resource type, pilih nama resource REST Google Cloudyang berisi objek dan kolom yang ingin Anda batasi—misalnya, container.googleapis.com/NodePool. Sebagian besar jenis resource dapat memiliki maksimum 20 batasan kustom per resource. Jika Anda mencoba membuat batasan kustom untuk resource yang sudah memiliki jumlah maksimum batasan kustom, operasi akan gagal.

    5. Di bagian Enforcement method, pilih apakah akan menerapkan batasan pada metode CREATE REST, atau pada metode CREATE dan UPDATE. Tidak semua Google Cloud layanan mendukung kedua metode tersebut. Untuk melihat metode yang didukung untuk setiap layanan, temukan layanan di Layanan yang didukung.

    6. Untuk menentukan kondisi, klik Edit condition.

    7. Di panel Add condition, buat kondisi CEL yang mengacu pada resource layanan yang didukung, misalnya resource.management.autoUpgrade == false. Kolom ini memiliki panjang maksimal 1000 karakter. Untuk mengetahui detail tentang penggunaan CEL, lihat Common Expression Language. Untuk mengetahui informasi selengkapnya tentang resource layanan yang dapat Anda gunakan dalam batasan kustom, lihat Layanan yang didukung batasan kustom.

    8. Klik Simpan.

    9. Di bagian Tindakan, pilih apakah akan mengizinkan atau menolak metode yang dievaluasi jika kondisi yang Anda tulis terpenuhi.

      Tindakan penolakan berarti bahwa operasi untuk membuat atau mengupdate resource diblokir jika kondisi bernilai benar.

      Tindakan izinkan berarti operasi untuk membuat atau memperbarui resource hanya diizinkan jika kondisi bernilai benar. Setiap kasus lainnya, kecuali yang tercantum secara eksplisit dalam kondisi, akan diblokir.

  5. Klik Test constraint.

  6. Jika ini adalah batasan baru, panel Konfigurasi kebijakan organisasi akan muncul. Untuk menentukan kebijakan organisasi yang menerapkan batasan kustom, lakukan hal berikut:

    1. Di kotak Select scope, pilih resource yang ingin Anda uji batasan kustomnya.

    2. Klik Ganti kebijakan orang tua.

    3. Klik Add a rule.

    4. Di bagian Penegakan, pilih Aktif.

    5. Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, klik Tambahkan kondisi. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

    6. Klik Selesai, lalu klik Lanjutkan.

Halaman Histori simulasi akan muncul, dengan daftar simulasi yang dilakukan oleh Anda dalam 14 hari terakhir. Lihat hasil Policy Simulator di halaman ini untuk mengetahui informasi selengkapnya.

gcloud

  1. Untuk menguji penerapan batasan khusus baru atau yang diperbarui, buat file JSON atau YAML yang menentukan batasan khusus yang ingin Anda uji.

    Jika ingin menguji perubahan pada batasan khusus yang ada, Anda dapat menggunakan perintah gcloud CLI organizations.customConstraints.get untuk mengambil representasi JSON atau YAML saat ini dari batasan khusus, lalu mengedit file tersebut.

    File YAML yang menentukan batasan kustom akan terlihat mirip dengan berikut ini:

    name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Anda, seperti 123456789.

    • CONSTRAINT_NAME: nama yang Anda inginkan untuk batasan kustom baru. Batasan kustom harus dimulai dengan custom., dan hanya boleh menyertakan huruf besar, huruf kecil, atau angka, misalnya, custom.disableGkeAutoUpgrade. Panjang maksimum kolom ini adalah 70 karakter, tidak menghitung awalan, misalnya, organizations/123456789/customConstraints/custom..

    • RESOURCE_NAME: nama lengkap yang memenuhi syarat dari Google Cloud REST resource yang berisi objek dan kolom yang ingin Anda batasi. Misalnya, container.googleapis.com/NodePool. Sebagian besar jenis resource dapat memiliki maksimal 20 batasan kustom per resource. Jika Anda mencoba membuat batasan kustom untuk resource yang sudah memiliki jumlah maksimum batasan kustom, operasi akan gagal. Untuk mengetahui informasi selengkapnya tentang resource layanan yang dapat Anda gunakan dalam batasan kustom, lihat Layanan yang didukung batasan kustom.

    • METHOD1,METHOD2: daftar metode RESTful yang akan menerapkan batasan. Dapat berupa CREATE atau CREATE dan UPDATE. Tidak semua Google Cloud layanan mendukung kedua metode tersebut. Untuk melihat metode yang didukung untuk setiap layanan, temukan layanan di Layanan yang didukung.

    • CONDITION: kondisi CEL yang mengacu pada resource layanan yang didukung, misalnya "resource.management.autoUpgrade == false". Kolom ini memiliki panjang maksimal 1000 karakter. Untuk mengetahui detail tentang penggunaan CEL, lihat Common Expression Language.

    • ACTION: tindakan yang akan diambil jika condition terpenuhi. Ini dapat berupa ALLOW atau DENY.

      • Tindakan penolakan berarti bahwa jika kondisi dievaluasi ke benar, operasi untuk membuat atau memperbarui resource akan diblokir.

      • Tindakan izinkan berarti bahwa jika kondisi bernilai benar, operasi untuk membuat atau memperbarui resource diizinkan. Artinya, setiap kasus lain kecuali yang tercantum secara eksplisit dalam kondisi diblokir.

    • DISPLAY_NAME: nama yang mudah dibaca manusia untuk batasan. Kolom ini memiliki panjang maksimal 200 karakter.

    • DESCRIPTION: deskripsi batasan yang mudah dipahami untuk ditampilkan sebagai pesan error saat kebijakan dilanggar. Kolom ini memiliki panjang maksimum 2.000 karakter. Untuk mengetahui informasi selengkapnya tentang cara membuat batasan kustom, lihat Membuat dan mengelola batasan kustom.

  2. Buat atau ubah kebijakan organisasi yang menerapkan batasan kustom.

    • Untuk menguji penerapan batasan khusus baru atau yang diperbarui, buat file JSON atau YAML yang menentukan kebijakan organisasi yang ingin Anda uji:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

      Ganti kode berikut:

      • ORGANIZATION_ID dengan ID organisasi Anda, seperti 1234567890123.

      • CONSTRAINT_NAME dengan nama batasan kustom yang ingin Anda uji. Contoh, custom.EnforceGKEBinaryAuthz.

    • Untuk menguji penerapan batasan kustom secara bersyarat berdasarkan keberadaan tag tertentu, buat file JSON atau YAML yang menentukan kebijakan organisasi:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - condition:
      expression: CONDITION
    enforce: false
  - enforce: true

      Ganti kode berikut:

      • ORGANIZATION_ID dengan ID organisasi Anda, seperti 1234567890123.

      • CONSTRAINT_NAME dengan nama batasan kustom yang ingin Anda uji. Contoh, custom.EnforceGKEBinaryAuthz.

      • CONDITION dengan kondisi CEL yang mengacu pada resource layanan yang didukung, misalnya "resource.matchTag('env', 'dev')".

      Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi bersyarat, lihat Menetapkan kebijakan organisasi dengan tag.

    • Untuk menguji penghapusan kebijakan organisasi yang menerapkan batasan kustom, buat file JSON atau YAML yang menentukan kebijakan organisasi tanpa aturan yang ditetapkan, kecuali untuk mewarisi kebijakan dari resource induknya:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  inheritFromParent: true

      Ganti kode berikut:

      • ORGANIZATION_ID dengan ID organisasi Anda, seperti 1234567890123.

      • CONSTRAINT_NAME dengan nama batasan kustom yang ingin Anda uji. Contoh, custom.EnforceGKEBinaryAuthz.

  3. Untuk menyimulasikan perubahan pada batasan khusus, kebijakan organisasi, atau keduanya, jalankan perintah policy-intelligence simulate orgpolicy:

    gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --custom-constraints=CONSTRAINT_PATH \
  --policies=POLICY_PATH

    Ganti kode berikut:

    • ORGANIZATION_ID: ID organisasi Anda, seperti 1234567890123. Simulasi perubahan di beberapa organisasi tidak didukung.

    • CONSTRAINT_PATH: jalur lengkap ke batasan kustom yang telah Anda buat atau perbarui. Contoh, tmp/constraint.yaml. Jika Anda menetapkan flag --policies, Anda tidak perlu menetapkan flag --custom-constraints.

    • POLICY_PATH: jalur lengkap ke kebijakan organisasi yang telah Anda buat atau perbarui. Misalnya, tmp/policy.yaml Jika Anda menetapkan flag --custom-constraints, Anda tidak perlu menetapkan flag --policies.

Setelah beberapa menit, perintah akan mencetak daftar resource yang akan melanggar perubahan pada batasan khusus, kebijakan organisasi, atau keduanya.

Hasil juga dapat dilihat di halaman Histori simulasi di konsol Google Cloud . Lihat hasil Policy Simulator di halaman ini untuk mempelajari cara membaca hasilnya.

Berikut adalah contoh respons untuk simulasi kebijakan organisasi. Simulasi ini melibatkan batasan kustom yang membatasi pembuatan resource cluster Google Kubernetes Engine jika Otorisasi Biner tidak diaktifkan. Dalam kasus ini, jika perubahan yang diusulkan diterapkan, dua resource cluster akan melanggar kebijakan: orgpolicy-test-cluster di project simulator-test-project, dan autopilot-cluster-1 di project orgpolicy-test-0.

Waiting for operation [organizations/012345678901/locations/global/orgPolic
yViolationsPreviews/85be9a2d-8c49-470d-a65a-d0cb9ffa8f83/operations/1883a83
c-c448-42e5-a7c5-10a850928f06] to complete...done.
---
customConstraint:
  actionType: ALLOW
  condition: resource.binaryAuthorization.enabled == true
  methodTypes:
  - CREATE
  name: organizations/012345678901/customConstraints/custom.EnforceGKEBinaryAuthz
  resourceTypes:
  - container.googleapis.com/Cluster
name: organizations/012345678901/locations/global/orgPolicyViolationsPreviews/3dd47fd3-6df1-4156-8f10-413a3fc0ed83/orgPolicyViolations/b9fd23a5-7163-46de-9fec-7b9aa6af1113
resource:
  ancestors:
  - organizations/012345678901
  - projects/456789012345
  assetType: container.googleapis.com/Cluster
  resource: //container.googleapis.com/projects/simulator-test-project/locations/us-central1/clusters/orgpolicy-test-cluster
---
customConstraint:
  actionType: ALLOW
  condition: resource.binaryAuthorization.enabled == true
  methodTypes:
  - CREATE
  name: organizations/012345678901/customConstraints/custom.EnforceGKEBinaryAuthz
  resourceTypes:
  - container.googleapis.com/Cluster
name: organizations/012345678901/locations/global/orgPolicyViolationsPreviews/3dd47fd3-6df1-4156-8f10-413a3fc0ed83/orgPolicyViolations/e73896e6-7613-4a8d-8436-5df7a6455121
resource:
  ancestors:
  - organizations/012345678901
  - folders/789012345678
  - projects/456789012345
  assetType: container.googleapis.com/Cluster
  resource: //container.googleapis.com/projects/orgpolicy-test-0/locations/us-central1/clusters/autopilot-cluster-1

Menguji perubahan pada batasan terkelola

Konsol

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Klik **Pilih project, lalu pilih resource organisasi, folder, atau project yang ingin Anda edit kebijakan organisasinya.

  3. Dari daftar, pilih batasan terkelola yang ingin Anda perbarui kebijakan organisasinya. Di halaman Detail kebijakan, Anda dapat melihat sumber kebijakan organisasi ini, evaluasi kebijakan yang berlaku pada resource ini, dan detail selengkapnya tentang batasan terkelola.

  4. Untuk memperbarui kebijakan organisasi untuk resource ini, klik Manage policy.

  5. Di halaman Edit kebijakan, pilih Ganti kebijakan induk.

  6. Klik Add a rule.

  7. Di bagian Penerapan, pilih apakah penerapan kebijakan organisasi ini harus diaktifkan atau dinonaktifkan.

  8. Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, klik Tambahkan kondisi. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

  9. Klik Uji perubahan.

Halaman Histori simulasi akan muncul, dengan daftar simulasi yang dilakukan oleh Anda dalam 14 hari terakhir. Lihat Hasil Policy Simulator di halaman ini untuk mengetahui informasi selengkapnya.

gcloud

  1. Buat atau ubah kebijakan organisasi yang menerapkan batasan terkelola.

    • Untuk menguji pembuatan atau pembaruan kebijakan organisasi yang menerapkan batasan terkelola, buat file JSON atau YAML yang menentukan kebijakan organisasi.

      name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: ENFORCEMENT_STATE

      Ganti kode berikut:

      • RESOURCE_TYPE dengan organizations, folders, atau projects.

      • RESOURCE_ID dengan ID organisasi, ID folder, ID project, atau nomor project Anda, bergantung pada jenis resource yang ditentukan dalam RESOURCE_TYPE.

      • CONSTRAINT_NAME dengan nama batasan terkelola yang ingin Anda uji. Contoh, iam.managed.disableServiceAccountKeyCreation.

      • ENFORCEMENT_STATE dengan true untuk menerapkan kebijakan organisasi ini jika disetel, atau false untuk menonaktifkannya jika disetel.

      Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, tambahkan blok condition ke rules. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

    • Untuk menguji penghapusan kebijakan organisasi yang menerapkan batasan terkelola, buat file JSON atau YAML yang menentukan kebijakan organisasi tanpa aturan yang ditetapkan, kecuali untuk mewarisi kebijakan dari resource induknya:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  inheritFromParent: true

    Ganti kode berikut:

    • ORGANIZATION_ID dengan ID organisasi Anda.

    • CONSTRAINT_NAME dengan nama batasan terkelola yang ingin Anda hapus. Contoh, iam.managed.disableServiceAccountKeyCreation.

  2. Jalankan perintah policy-intelligence simulate orgpolicy :

    gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --policies=POLICY_PATH

    Ganti kode berikut:

    • ORGANIZATION_ID dengan ID organisasi Anda, seperti 1234567890123. Simulasi perubahan di beberapa organisasi tidak didukung.

    • POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda.

    Setelah beberapa menit, perintah akan mencetak daftar resource yang akan melanggar perubahan pada batasan khusus, kebijakan organisasi, atau keduanya.

    Hasil juga dapat dilihat di halaman Histori simulasi di konsol Google Cloud . Lihat hasil Policy Simulator di halaman ini untuk mempelajari cara membaca hasilnya.

Hasil Policy Simulator

Policy Simulator melaporkan hasil perubahan pada batasan kustom atau kebijakan organisasi sebagai daftar pelanggaran kebijakan yang disimulasikan. Konsol Google Cloud menyimpan hasil simulasi yang Anda buat dalam 14 hari terakhir.

Untuk melihat hasil simulasi, buka halaman Histori simulasi.

Buka Histori simulasi

Pilih simulasi untuk melihat detailnya. Di halaman Laporan simulasi, Anda dapat melihat pratinjau pelanggaran, yang mencantumkan jumlah total pelanggaran yang disebabkan oleh kebijakan organisasi atau batasan kustom baru, jumlah resource yang diperiksa dalam cakupan simulasi, dan waktu selesainya simulasi.

Jika Anda menyimulasikan batasan kustom, Anda dapat mengklik Detail batasan untuk melihat konfigurasi spesifik yang disimulasikan. Jika Anda menyimulasikan kebijakan organisasi, tab Detail kebijakan akan menampilkan konfigurasi yang disimulasikan.

Semua pelanggaran dicantumkan dalam tabel resource. Setiap resource yang melanggar batasan kustom atau kebijakan organisasi baru dicantumkan dengan link ke entri resource di Inventaris Aset Cloud. Resource project, folder, dan organisasi ditampilkan dengan jumlah total resource di bawahnya dalam hierarki yang melanggar batasan kustom atau kebijakan organisasi baru.

Menerapkan perubahan kebijakan yang telah diuji

Setelah menguji batasan khusus, kebijakan organisasi, atau keduanya, Anda dapat menyiapkan batasan khusus dan menerapkan kebijakan organisasi. Anda dapat melihat semua hasil Policy Simulator di konsol Google Cloud , terlepas dari cara hasil tersebut dibuat. Jika laporan simulasi Anda mencakup perubahan pada tidak lebih dari satu kebijakan organisasi, Anda dapat menerapkan kebijakan organisasi langsung melalui hasil simulasi. Untuk menerapkan perubahan pengujian di beberapa kebijakan organisasi, gunakan Google Cloud CLI.

Konsol

  1. Untuk menerapkan hasil Simulator Kebijakan batasan kustom, buka halaman Histori simulasi.

    Buka Histori simulasi

  2. Pilih laporan simulasi untuk batasan kustom atau kebijakan organisasi yang ingin Anda terapkan.

  3. Jika laporan simulasi ini menyertakan batasan kustom, klik Simpan batasan.

  4. Jika laporan simulasi ini mencakup perubahan pada tidak lebih dari satu kebijakan organisasi, Anda dapat menerapkan kebijakan organisasi tersebut sebagai kebijakan uji coba untuk memantau perilaku dalam produksi tanpa menimbulkan risiko dengan mengklik Tetapkan kebijakan uji coba. Halaman Policy details untuk halaman kebijakan organisasi baru akan muncul.

    Anda dapat menerapkan kebijakan organisasi secara langsung dengan mengklik , lalu mengklik Tetapkan kebijakan.

gcloud

  1. Untuk menerapkan batasan kustom, Anda harus menyiapkannya agar tersedia untuk kebijakan organisasi di organisasi Anda. Untuk menyiapkan batasan kustom, gunakan perintah gcloud org-policies set-custom-constraint:

    gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    Ganti CONSTRAINT_PATH dengan jalur lengkap ke file batasan kustom Anda. Contoh, /home/user/customconstraint.yaml.

    Setelah selesai, batasan khusus Anda akan tersedia dalam daftar kebijakan organisasi Google Cloud .

  2. Untuk menetapkan kebijakan organisasi, gunakan perintah gcloud org-policies set-policy:

    gcloud org-policies set-policy POLICY_PATH

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda.

    Kebijakan ini memerlukan waktu hingga 15 menit untuk diterapkan.

Menyimpan hasil simulasi

Konsol

Jika menggunakan konsol Google Cloud , Anda dapat menyimpan hasil Simulator Kebijakan sebagai file CSV.

  1. Untuk menyimpan hasil Policy Simulator, buka halaman Histori simulasi.

    Buka Histori simulasi

  2. Pilih laporan simulasi yang ingin Anda simpan.

  3. Klik Ekspor hasil lengkap.

gcloud

Jika menggunakan gcloud CLI, Anda dapat menyimpan hasil Policy Simulator sebagai file JSON atau YAML.

Secara default, hasil pengujian di Google Cloud CLI ditampilkan dalam format YAML. Untuk menyimpan hasil pengujian sebagai file YAML, alihkan output perintah simulate orgpolicy saat menjalankan simulasi:

> FILENAME

Ganti FILENAME dengan nama untuk file output.

Untuk menyimpan hasil pengujian sebagai file JSON, tambahkan tanda berikut ke perintah simulate orgpolicy saat menjalankan simulasi:

--format=json > FILENAME

Ganti FILENAME dengan nama untuk file output.

Langkah berikutnya