Testa le modifiche ai criteri dell'organizzazione con Policy Simulator

Policy Simulator per le policy dell'organizzazione ti consente di visualizzare l'anteprima dell'impatto di un nuovo vincolo personalizzato o di una nuova policy dell'organizzazione che applica un vincolo personalizzato o gestito prima che venga applicato al tuo ambiente di produzione. Policy Simulator fornisce un elenco di risorse che violano la policy proposta prima dell'applicazione, consentendoti di riconfigurare queste risorse, richiedere eccezioni o modificare l'ambito della policy dell'organizzazione, il tutto senza interrompere il lavoro degli sviluppatori o disattivare l'ambiente.

Questa pagina descrive come testare una modifica a una policy dell'organizzazione utilizzando Policy Simulator. Spiega inoltre come interpretare i risultati della simulazione e come applicare la policy dell'organizzazione testata, se lo desideri.

Prima di iniziare

  • Se utilizzi Google Cloud CLI, imposta il progetto che vuoi utilizzare per effettuare chiamate API:

    gcloud config set project PROJECT_ID

    Sostituisci PROJECT_ID con il nome o l'ID del progetto.

  • Enable the Policy Simulator and Resource Manager APIs.

    Enable the APIs

  • (Facoltativo) Scopri di più sul servizio Policy dell'organizzazione.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per eseguire e accedere alle simulazioni, chiedi all'amministratore di concederti il ruolo IAM OrgPolicy Simulator Admin (roles/policysimulator.orgPolicyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per eseguire e accedere alle simulazioni. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per eseguire e accedere alle simulazioni sono necessarie le seguenti autorizzazioni:

  • orgpolicy.constraints.list
  • orgpolicy.customConstraints.get
  • orgpolicy.policies.list
  • cloudasset.assets.searchAllResources
  • cloudasset.assets.listResource
  • cloudasset.assets.listOrgPolicy
  • policysimulator.orgPolicyViolationsPreviews.list
  • policysimulator.orgPolicyViolationsPreviews.get
  • policysimulator.orgPolicyViolationsPreviews.create
  • policysimulator.orgPolicyViolations.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Testare una modifica dei criteri

Puoi testare una modifica a un vincolo personalizzato, a una norma dell'organizzazione che applica un vincolo personalizzato o gestito oppure a entrambi contemporaneamente.

Testare una modifica a un vincolo personalizzato

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore dell'organizzazione, seleziona la risorsa dell'organizzazione.

  3. Esegui una di queste operazioni:

    • Per testare un nuovo vincolo personalizzato, fai clic su Vincolo personalizzato.

    • Per apportare modifiche a un vincolo personalizzato esistente, selezionalo dall'elenco nella pagina Criteri dell'organizzazione e poi fai clic su Modifica vincolo.

  4. Crea o aggiorna il vincolo personalizzato che vuoi testare.

    1. Nella casella Nome visualizzato, inserisci un nome comprensibile per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri. Non utilizzare PII o dati sensibili nei nomi visualizzati, perché potrebbero essere esposti nei messaggi di errore.

    2. Nella casella ID vincolo, inserisci il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, minuscole o numeri, ad esempio custom.disableGkeAutoUpgrade. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio, organizations/123456789/customConstraints/custom.. Non includere PII o dati sensibili nell'ID vincolo, perché potrebbero essere esposti nei messaggi di errore.

      L'ID vincolo non può essere modificato dopo la creazione di un vincolo personalizzato.

    3. Nella casella Descrizione, inserisci una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione della policy. Questo campo ha una lunghezza massima di 2000 caratteri. Non includere PII o dati sensibili nella descrizione, perché potrebbero essere esposti nei messaggi di errore.

    4. Nella casella Tipo di risorsa, seleziona il nome della risorsa REST Google Cloud contenente l'oggetto e il campo che vuoi limitare, ad esempio container.googleapis.com/NodePool. La maggior parte dei tipi di risorse può avere un massimo di 20 vincoli personalizzati per risorsa. Se provi a creare un vincolo personalizzato per una risorsa che ha già il numero massimo di vincoli personalizzati, l'operazione non va a buon fine.

    5. Nella sezione Metodo di applicazione, seleziona se applicare il vincolo a un metodo REST CREATE o a entrambi i metodi CREATE e UPDATE. Non tutti i servizi Google Cloud supportano entrambi i metodi. Per visualizzare i metodi supportati per ogni servizio, trova il servizio in Servizi supportati.

    6. Per definire una condizione, fai clic su Modifica condizione.

    7. Nel riquadro Aggiungi condizione, crea una condizione CEL che faccia riferimento a una risorsa di servizio supportata, ad esempio resource.management.autoUpgrade == false. Questo campo ha una lunghezza massima di 1000 caratteri. Per informazioni dettagliate sull'utilizzo di CEL, vedi Common Expression Language. Per saperne di più sulle risorse di servizio che puoi utilizzare nei tuoi vincoli personalizzati, consulta Servizi supportati dai vincoli personalizzati.

    8. Fai clic su Salva.

    9. Nella sezione Azione, seleziona se consentire o negare il metodo valutato se la condizione che hai scritto viene soddisfatta.

      L'azione deny indica che l'operazione di creazione o aggiornamento della risorsa viene bloccata se la condizione restituisce true.

      L'azione Consenti indica che l'operazione di creazione o aggiornamento della risorsa è consentita solo se la condizione restituisce il valore true. Tutti gli altri casi, tranne quelli elencati esplicitamente nella condizione, sono bloccati.

  5. Fai clic su Testa vincolo.

  6. Se si tratta di un nuovo vincolo, viene visualizzato il riquadro Configura criterio dell'organizzazione. Per definire un criterio dell'organizzazione che applichi il vincolo personalizzato, segui questi passaggi:

    1. Nella casella Seleziona ambito, seleziona la risorsa per cui vuoi testare il vincolo personalizzato.

    2. Fai clic su Esegui override della policy dei genitori.

    3. Fai clic su Aggiungi una regola.

    4. Nella sezione Applicazione forzata, seleziona On.

    5. (Facoltativo) Per rendere la policy dell'organizzazione condizionale in base a un tag, fai clic su Aggiungi condizione. Se aggiungi una regola condizionale a una policy dell'organizzazione, devi aggiungere almeno una regola incondizionata o la policy non può essere salvata. Per maggiori dettagli, vedi Impostazione di un criterio dell'organizzazione con tag.

    6. Fai clic su Fine, poi su Continua.

Viene visualizzata la pagina Cronologia simulazioni, con un elenco delle simulazioni eseguite negli ultimi 14 giorni. Per saperne di più, consulta la sezione Risultati del simulatore di norme in questa pagina.

gcloud

  1. Per testare l'applicazione di un vincolo personalizzato nuovo o aggiornato, crea un file JSON o YAML che definisce il vincolo personalizzato che vuoi testare.

    Se vuoi testare le modifiche a un vincolo personalizzato esistente, puoi utilizzare il comando organizations.customConstraints.get gcloud CLI per recuperare la rappresentazione JSON o YAML corrente del vincolo personalizzato e poi apportare modifiche a quel file.

    Un file YAML che definisce un vincolo personalizzato è simile al seguente:

    name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID organizzazione, ad esempio 123456789.

    • CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, minuscole o numeri, ad esempio custom.disableGkeAutoUpgrade. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio, organizations/123456789/customConstraints/custom..

    • RESOURCE_NAME: il nome completo della risorsa RESTGoogle Cloud contenente l'oggetto e il campo che vuoi limitare. Ad esempio: container.googleapis.com/NodePool. La maggior parte dei tipi di risorse può avere un massimo di 20 vincoli personalizzati per risorsa. Se provi a creare un vincolo personalizzato per una risorsa che ha già il numero massimo di vincoli personalizzati, l'operazione non va a buon fine. Per saperne di più sulle risorse di servizio che puoi utilizzare nei vincoli personalizzati, consulta Servizi supportati dai vincoli personalizzati.

    • METHOD1,METHOD2: un elenco di metodi RESTful per i quali applicare il vincolo. Può essere CREATE o CREATE e UPDATE. Non tutti i servizi Google Cloud supportano entrambi i metodi. Per visualizzare i metodi supportati per ogni servizio, trova il servizio in Servizi supportati.

    • CONDITION: una condizione CEL che fa riferimento a una risorsa di servizio supportata, ad esempio "resource.management.autoUpgrade == false". Questo campo ha una lunghezza massima di 1000 caratteri. Per informazioni dettagliate sull'utilizzo di CEL, vedi Common Expression Language.

    • ACTION: l'azione da intraprendere se la condizione condition è soddisfatta. Può essere ALLOW o DENY.

      • L'azione deny indica che se la condizione restituisce true, l'operazione per creare o aggiornare la risorsa viene bloccata.

      • L'azione allow indica che se la condizione restituisce true, l'operazione per creare o aggiornare la risorsa è consentita. Ciò significa anche che tutti gli altri casi, ad eccezione di quello elencato esplicitamente nella condizione, vengono bloccati.

    • DISPLAY_NAME: un nome facile da ricordare per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.

    • DESCRIPTION: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione della policy. Questo campo ha una lunghezza massima di 2000 caratteri. Per saperne di più su come creare vincoli personalizzati, vedi Creazione e gestione di vincoli personalizzati.

  2. Crea o modifica una policy dell'organizzazione che applichi il vincolo personalizzato.

    • Per testare l'applicazione di un vincolo personalizzato nuovo o aggiornato, crea un file JSON o YAML che definisca il criterio dell'organizzazione che vuoi testare:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

      Sostituisci quanto segue:

      • ORGANIZATION_ID con l'ID della tua organizzazione, ad esempio 1234567890123.

      • CONSTRAINT_NAME con il nome del vincolo personalizzato che vuoi testare. Ad esempio, custom.EnforceGKEBinaryAuthz.

    • Per testare l'applicazione di un vincolo personalizzato in modo condizionale in base all'esistenza di un tag specifico, crea un file JSON o YAML che definisca la policy dell'organizzazione:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - condition:
      expression: CONDITION
    enforce: false
  - enforce: true

      Sostituisci quanto segue:

      • ORGANIZATION_ID con l'ID della tua organizzazione, ad esempio 1234567890123.

      • CONSTRAINT_NAME con il nome del vincolo personalizzato che vuoi testare. Ad esempio, custom.EnforceGKEBinaryAuthz.

      • CONDITION con una condizione CEL che fa riferimento a una risorsa di servizio supportata, ad esempio "resource.matchTag('env', 'dev')".

      Per saperne di più sulle policy dell'organizzazione condizionali, consulta la pagina Impostazione di un criterio dell'organizzazione con tag.

    • Per testare l'eliminazione di una policy dell'organizzazione che applica un vincolo personalizzato, crea un file JSON o YAML che definisca la policy dell'organizzazione senza regole impostate, ad eccezione dell'ereditarietà della policy dalla risorsa padre:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  inheritFromParent: true

      Sostituisci quanto segue:

      • ORGANIZATION_ID con l'ID della tua organizzazione, ad esempio 1234567890123.

      • CONSTRAINT_NAME con il nome del vincolo personalizzato che vuoi testare. Ad esempio, custom.EnforceGKEBinaryAuthz.

  3. Per simulare la modifica a un vincolo personalizzato, a una policy dell'organizzazione o a entrambi, esegui il comando policy-intelligence simulate orgpolicy:

    gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --custom-constraints=CONSTRAINT_PATH \
  --policies=POLICY_PATH

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID organizzazione, ad esempio 1234567890123. La simulazione delle modifiche in più organizzazioni non è supportata.

    • CONSTRAINT_PATH: il percorso completo del vincolo personalizzato che hai creato o aggiornato. Ad esempio, tmp/constraint.yaml. Se imposti il flag --policies, non devi impostare il flag --custom-constraints.

    • POLICY_PATH: il percorso completo della policy dell'organizzazione che hai creato o aggiornato. Ad esempio, tmp/policy.yaml Se imposti il flag --custom-constraints, non devi impostare il flag --policies.

Dopo alcuni minuti, il comando stampa un elenco di risorse che violerebbero le modifiche al vincolo personalizzato, alla policy dell'organizzazione o a entrambi.

I risultati sono visibili anche nella pagina Cronologia delle simulazioni della console Google Cloud . Consulta la sezione Risultati del simulatore di policy in questa pagina per scoprire come leggere i risultati.

Di seguito è riportato un esempio di risposta per una simulazione della policy dell'organizzazione. Questa simulazione prevede un vincolo personalizzato che limita la creazione di risorse del cluster Google Kubernetes Engine in cui Autorizzazione binaria non è abilitata. In questo caso, se la modifica proposta venisse applicata, due risorse cluster violerebbero le norme: orgpolicy-test-cluster nel progetto simulator-test-project e autopilot-cluster-1 nel progetto orgpolicy-test-0.

Waiting for operation [organizations/012345678901/locations/global/orgPolic
yViolationsPreviews/85be9a2d-8c49-470d-a65a-d0cb9ffa8f83/operations/1883a83
c-c448-42e5-a7c5-10a850928f06] to complete...done.
---
customConstraint:
  actionType: ALLOW
  condition: resource.binaryAuthorization.enabled == true
  methodTypes:
  - CREATE
  name: organizations/012345678901/customConstraints/custom.EnforceGKEBinaryAuthz
  resourceTypes:
  - container.googleapis.com/Cluster
name: organizations/012345678901/locations/global/orgPolicyViolationsPreviews/3dd47fd3-6df1-4156-8f10-413a3fc0ed83/orgPolicyViolations/b9fd23a5-7163-46de-9fec-7b9aa6af1113
resource:
  ancestors:
  - organizations/012345678901
  - projects/456789012345
  assetType: container.googleapis.com/Cluster
  resource: //container.googleapis.com/projects/simulator-test-project/locations/us-central1/clusters/orgpolicy-test-cluster
---
customConstraint:
  actionType: ALLOW
  condition: resource.binaryAuthorization.enabled == true
  methodTypes:
  - CREATE
  name: organizations/012345678901/customConstraints/custom.EnforceGKEBinaryAuthz
  resourceTypes:
  - container.googleapis.com/Cluster
name: organizations/012345678901/locations/global/orgPolicyViolationsPreviews/3dd47fd3-6df1-4156-8f10-413a3fc0ed83/orgPolicyViolations/e73896e6-7613-4a8d-8436-5df7a6455121
resource:
  ancestors:
  - organizations/012345678901
  - folders/789012345678
  - projects/456789012345
  assetType: container.googleapis.com/Cluster
  resource: //container.googleapis.com/projects/orgpolicy-test-0/locations/us-central1/clusters/autopilot-cluster-1

Testare una modifica a un vincolo gestito

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Fai clic su **Seleziona progetto**, quindi seleziona la risorsa organizzazione, cartella o progetto per cui vuoi modificare il criterio dell'organizzazione.

  3. Dall'elenco, seleziona il vincolo gestito per cui vuoi aggiornare il criterio dell'organizzazione. Nella pagina Dettagli dei criteri, puoi visualizzare l'origine di questi criteri dell'organizzazione, la valutazione dei criteri effettivi su questa risorsa e ulteriori dettagli sul vincolo gestito.

  4. Per aggiornare la policy dell'organizzazione per questa risorsa, fai clic su Gestisci policy.

  5. Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.

  6. Fai clic su Aggiungi una regola.

  7. Nella sezione Applicazione, seleziona se l'applicazione di questo criterio dell'organizzazione deve essere attivata o disattivata.

  8. (Facoltativo) Per rendere la policy dell'organizzazione condizionale in base a un tag, fai clic su Aggiungi condizione. Se aggiungi una regola condizionale a una policy dell'organizzazione, devi aggiungere almeno una regola incondizionata o la policy non può essere salvata. Per maggiori dettagli, vedi Impostazione di un criterio dell'organizzazione con tag.

  9. Fai clic su Testa modifiche.

Viene visualizzata la pagina Cronologia simulazioni, con un elenco delle simulazioni eseguite negli ultimi 14 giorni. Per saperne di più, consulta la sezione Risultati del simulatore di norme in questa pagina.

gcloud

  1. Crea o modifica una policy dell'organizzazione che applica un vincolo gestito.

    • Per testare la creazione o l'aggiornamento di una policy dell'organizzazione che applica un vincolo gestito, crea un file JSON o YAML che definisca la policy dell'organizzazione.

      name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: ENFORCEMENT_STATE

      Sostituisci quanto segue:

      • RESOURCE_TYPE con organizations, folders o projects.

      • RESOURCE_ID con l'ID organizzazione, l'ID cartella, l'ID progetto o il numero di progetto, a seconda del tipo di risorsa specificato in RESOURCE_TYPE.

      • CONSTRAINT_NAME con il nome del vincolo gestito che vuoi testare. Ad esempio, iam.managed.disableServiceAccountKeyCreation.

      • ENFORCEMENT_STATE con true per applicare questo criterio dell'organizzazione quando è impostato oppure false per disattivarlo quando è impostato.

      (Facoltativo) Per rendere il criterio dell'organizzazione condizionale in base a un tag, aggiungi un blocco condition a rules. Se aggiungi una regola condizionale a una policy dell'organizzazione, devi aggiungere almeno una regola incondizionata o la policy non può essere salvata. Per maggiori dettagli, vedi Impostazione di un criterio dell'organizzazione con tag.

    • Per testare l'eliminazione di una policy dell'organizzazione che applica un vincolo gestito, crea un file JSON o YAML che definisca la policy dell'organizzazione senza regole impostate, ad eccezione dell'ereditarietà della policy dalla risorsa padre:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  inheritFromParent: true

    Sostituisci quanto segue:

    • ORGANIZATION_ID con l'ID organizzazione.

    • CONSTRAINT_NAME con il nome del vincolo gestito che vuoi eliminare. Ad esempio, iam.managed.disableServiceAccountKeyCreation.

  2. Esegui il comando policy-intelligence simulate orgpolicy:

    gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --policies=POLICY_PATH

    Sostituisci quanto segue:

    • ORGANIZATION_ID con l'ID organizzazione, ad esempio 1234567890123. La simulazione delle modifiche in più organizzazioni non è supportata.

    • POLICY_PATH con il percorso completo del file YAML del criterio dell'organizzazione.

    Dopo alcuni minuti, il comando stampa un elenco di risorse che violerebbero le modifiche al vincolo personalizzato, alla policy dell'organizzazione o a entrambi.

    I risultati sono visibili anche nella pagina Cronologia delle simulazioni della console Google Cloud . Consulta la sezione Risultati del simulatore di policy in questa pagina per scoprire come leggere i risultati.

Risultati di Policy Simulator

Policy Simulator riporta i risultati di una modifica a un vincolo personalizzato o a una policy dell'organizzazione come un elenco di violazioni della policy simulata. La consoleGoogle Cloud memorizza i risultati delle simulazioni generate negli ultimi 14 giorni.

Per visualizzare i risultati della simulazione, vai alla pagina Cronologia delle simulazioni.

Vai alla cronologia delle simulazioni

Seleziona una simulazione per visualizzarne i dettagli. Nella pagina Report di simulazione puoi visualizzare l'anteprima delle violazioni, che elenca il numero totale di violazioni causate dal nuovo vincolo personalizzato o dalla nuova norma dell'organizzazione, il numero di risorse controllate nell'ambito della simulazione e l'ora in cui la simulazione è stata completata.

Se hai simulato un vincolo personalizzato, puoi fare clic su Dettagli vincolo per visualizzare la configurazione specifica che è stata simulata. Se hai simulato una policy dell'organizzazione, la scheda Dettagli policy mostra la configurazione simulata.

Tutte le violazioni sono elencate nella tabella delle risorse. Ogni risorsa che viola il nuovo vincolo personalizzato o criterio dell'organizzazione è elencata con un link alla voce della risorsa in Cloud Asset Inventory. Le risorse di progetto, cartella e organizzazione vengono visualizzate con il totale delle risorse sottostanti nella gerarchia che violano il nuovo vincolo personalizzato o criterio dell'organizzazione.

Applicare una modifica ai criteri testata

Dopo aver testato il vincolo personalizzato, il criterio dell'organizzazione o entrambi, puoi configurare il vincolo personalizzato e applicare il criterio dell'organizzazione. Puoi visualizzare tutti i risultati di Policy Simulator nella console Google Cloud , indipendentemente da come sono stati generati. Se il report sulla simulazione include modifiche a non più di una policy dell'organizzazione, puoi applicare la policy dell'organizzazione direttamente tramite i risultati della simulazione. Per applicare le modifiche di test a più criteri dell'organizzazione, utilizza Google Cloud CLI.

Console

  1. Per applicare i risultati di Policy Simulator per un vincolo personalizzato, vai alla pagina Cronologia delle simulazioni.

    Vai alla cronologia delle simulazioni

  2. Seleziona il report di simulazione per il vincolo personalizzato o il criterio dell'organizzazione che vuoi applicare.

  3. Se questo report di simulazione include un vincolo personalizzato, fai clic su Salva vincolo.

  4. Se questo report di simulazione include modifiche a non più di una policy dell'organizzazione, puoi applicare questa policy dell'organizzazione come policy dry run per monitorare il comportamento in produzione senza introdurre rischi facendo clic su Imposta policy dry run. Viene visualizzata la pagina Dettagli norma per la nuova pagina delle norme dell'organizzazione.

    Puoi applicare immediatamente la policy dell'organizzazione facendo clic su e poi su Imposta policy.

gcloud

  1. Per applicare un vincolo personalizzato, devi configurarlo in modo che sia disponibile per i criteri dell'organizzazione nella tua organizzazione. Per configurare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint:

    gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    Sostituisci CONSTRAINT_PATH con il percorso completo del file di vincoli personalizzati. Ad esempio, /home/user/customconstraint.yaml.

    Al termine, il vincolo personalizzato sarà disponibile nell'elenco delle norme dell'organizzazione. Google Cloud

  2. Per impostare la policy dell'organizzazione, utilizza il comando gcloud org-policies set-policy:

    gcloud org-policies set-policy POLICY_PATH

    Sostituisci POLICY_PATH con il percorso completo del file YAML del criterio dell'organizzazione.

    L'applicazione del criterio richiede fino a 15 minuti.

Salvare i risultati della simulazione

Console

Se utilizzi la Google Cloud console, puoi salvare i risultati di Policy Simulator come file CSV.

  1. Per salvare i risultati di Policy Simulator, vai alla pagina Cronologia simulazioni.

    Vai alla cronologia delle simulazioni

  2. Seleziona il report di simulazione che vuoi salvare.

  3. Fai clic su Esporta risultati completi.

gcloud

Se utilizzi gcloud CLI, puoi salvare i risultati di Policy Simulator come file JSON o YAML.

Per impostazione predefinita, i risultati dei test in Google Cloud CLI vengono restituiti in formato YAML. Per salvare un risultato del test come file YAML, reindirizza l'output del comando simulate orgpolicy durante l'esecuzione della simulazione:

> FILENAME

Sostituisci FILENAME con un nome per il file di output.

Per salvare un risultato del test come file JSON, aggiungi il seguente flag al comando simulate orgpolicy durante l'esecuzione della simulazione:

--format=json > FILENAME

Sostituisci FILENAME con un nome per il file di output.

Passaggi successivi