Diese Seite wurde von der Cloud Translation API übersetzt.

Einführung in den Organisationsrichtliniendienst

Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator von Organisationsrichtlinien können Sie Einschränkungen für die gesamte Ressourcenhierarchie konfigurieren.

Vorteile

Sie zentralisieren die Kontrolle, um Einschränkungen für die Nutzung der Organisationsressourcen zu konfigurieren.
Sie definieren und richten Leitlinien für die Entwicklungsteams ein, damit alle geltenden gesetzlichen Bestimmungen eingehalten werden.
Sie unterstützen Projektinhaber und ihre Teams dabei, schnell zu agieren, ohne sich um Verstöße gegen geltende gesetzliche Bestimmungen sorgen zu müssen.

Gängige Anwendungsfälle

Organisationsrichtlinien bieten Ihnen folgende Möglichkeiten:

Es gibt viele weitere Einschränkungen, die Ihnen eine detaillierte Kontrolle über die Ressourcen Ihrer Organisation ermöglichen. Weitere Informationen finden Sie in der Liste aller Einschränkungen für Organisationsrichtliniendienste.

Unterschiede zur Identitäts- und Zugriffsverwaltung

Das Identitäts- und Zugriffsmanagement erfolgt auf Nutzerebene. Administratoren können Nutzer autorisieren, auf der Grundlage ihrer Berechtigungen Aktionen an bestimmten Ressourcen auszuführen.

Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und lässt den Administrator Einschränkungen für bestimmte Ressourcen festlegen, um zu bestimmen, wie diese konfiguriert werden können.

Funktionsweise von Organisationsrichtlinien

Mit einer Organisationsrichtlinie wird eine einzelne Einschränkung konfiguriert, die einen oder mehrere Google Cloud Dienste einschränkt. Die Organisationsrichtlinie wird für eine Organisations-, Ordner- oder Projektressource festgelegt, um die Einschränkung für diese Ressource und alle untergeordneten Ressourcen zu erzwingen.

Eine Organisationsrichtlinie enthält eine oder mehrere Regeln, die festlegen, wie und ob die Einschränkung erzwungen werden soll. Eine Organisationsrichtlinie könnte beispielsweise eine Regel enthalten, die die Einschränkung nur für Ressourcen mit dem Tag environment=development erzwingt, und eine andere Regel, die verhindert, dass die Einschränkung für andere Ressourcen erzwungen wird.

Untergeordnete Objekte der Ressource, an die die Organisationsrichtlinie angehängt ist, übernehmen die Organisationsrichtlinie. Wenn Sie eine Organisationsrichtlinie auf die Organisationsressource anwenden, kann der Administrator für Organisationsrichtlinien die Durchsetzung dieser Organisationsrichtlinie und die Konfiguration von Einschränkungen für die gesamte Organisation steuern.

Organisationsrichtlinienkonzepte

Einschränkungen

Eine Einschränkung wird spezifisch für einen Google Cloud -Dienst oder eine Liste von Google Cloud -Diensten festgelegt. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Mit der Einschränkung compute.storageResourceUseRestrictions können Sie beispielsweise verhindern, dass auf Compute Engine-Speicherressourcen über Projektressourcen zugegriffen wird.

Diese Vorlage wird dann als Organisationsrichtlinie für eine Ressource in Ihrer Ressourcenhierarchie festgelegt, wodurch die in der Einschränkung definierten Regeln angewendet werden. Der Google Cloud -Dienst, der dieser Einschränkung zugeordnet und mit der entsprechenden Ressource verknüpft ist, erzwingt dann die Einschränkungen, die in der Organisationsrichtlinie konfiguriert wurden.

Eine Organisationsrichtlinie wird in einer YAML- oder JSON-Datei durch die Einschränkung definiert, die sie erzwingt, und optional durch die Bedingungen, unter denen die Einschränkung erzwungen wird. Mit jeder Organisationsrichtlinie wird genau eine Einschränkung im aktiven Modus, im Probelaufmodus oder in beiden erzwungen.

Verwaltete Einschränkungen haben Listen- oder boolesche Parameter, die vom Google Cloud -Dienst bestimmt werden.

Benutzerdefinierte Einschränkungen sind funktional ähnlich wie verwaltete Einschränkungen mit booleschen Parametern und werden entweder erzwungen oder nicht erzwungen.

Für Legacy-Einschränkungen für verwaltete Geräte gibt es je nach Einschränkungstyp eine oder mehrere Listenregeln oder boolesche Regeln. Listenregeln sind eine Sammlung zulässiger oder abgelehnter Werte. Mit booleschen Regeln können alle Werte zugelassen oder abgelehnt werden. Außerdem kann damit festgelegt werden, ob eine Einschränkung erzwungen wird oder nicht.

Verwaltete Einschränkungen

Verwaltete Einschränkungen sollen die entsprechenden alten verwalteten Einschränkungen ersetzen, bieten aber zusätzliche Flexibilität und mehr Einblicke durch Policy Intelligence-Tools. Diese Einschränkungen haben eine ähnliche Struktur wie benutzerdefinierte Einschränkungen für Organisationsrichtlinien, werden aber von Google verwaltet.

Wenn die entsprechende verwaltete Legacy-Beschränkung den Beschränkungstyp „boolean“ hat, kann die verwaltete Beschränkung auf dieselbe Weise erzwungen werden oder nicht. Beispiel: Die folgende Organisationsrichtlinie erzwingt iam.managed.disableServiceAccountCreation, die der Einschränkung iam.disableServiceAccountCreation entspricht:

name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Wenn die entsprechende alte verwaltete Einschränkung den Einschränkungstyp „Liste“ hat, können für die verwaltete Einschränkung Parameter definiert werden, die die Ressourcen und Verhaltensweisen festlegen, die durch die Einschränkung eingeschränkt werden. Die folgende Organisationsrichtlinie erzwingt beispielsweise eine verwaltete Einschränkung, die nur die Domains example.com und altostrat.com für das Hinzufügen zu wichtigen Kontakten für organizations/1234567890123 zulässt:

name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
   rules:
     - enforce: true
       parameters:
          allowedDomains:
               - @example.com
               - @altostrat.com

Weitere Informationen zur Verwendung verwalteter Einschränkungen finden Sie unter Einschränkungen verwenden.

Benutzerdefinierte Einschränkungen

Wie verwaltete Einschränkungen erlauben oder beschränken benutzerdefinierte Einschränkungen das Erstellen und Aktualisieren von Ressourcen. Benutzerdefinierte Einschränkungen werden jedoch von Ihrer Organisation und nicht von Google verwaltet. Mit den Policy Intelligence-Tools können Sie Ihre benutzerdefinierten Organisationsrichtlinien testen und analysieren.

Eine Liste der Dienstressourcen, die benutzerdefinierte Einschränkungen unterstützen, finden Sie unter Von benutzerdefinierten Einschränkungen unterstützte Dienste.

Weitere Informationen zur Verwendung benutzerdefinierter Organisationsrichtlinien finden Sie unter Benutzerdefinierte Organisationsrichtlinien erstellen und verwalten.

Eine Liste mit benutzerdefinierten Beispielbeschränkungen finden Sie in der benutzerdefinierten Organisationsrichtlinienbibliothek auf GitHub.

Verwaltete Beschränkungen (Legacy)

Alte verwaltete Einschränkungen haben einen Einschränkungstyp vom Typ „Liste“ oder „Boolesch“, der die Werte bestimmt, die für die Überprüfung der Erzwingung verwendet werden können. Der die Einschränkung durchsetzendeGoogle Cloud -Dienst wertet den Typ und Wert der Einschränkung aus, um ihren Umfang zu ermitteln.

Diese Legacy-Einschränkungen wurden zuvor als vordefinierte Einschränkungen bezeichnet.

Regeln für Listen

Mit Legacy-Beschränkungen mit Listenregeln kann eine Liste von Werten, die in einer Organisationsrichtlinie definiert ist, zugelassen oder nicht zugelassen werden. Diese alten Einschränkungen wurden zuvor als Listeneinschränkungen bezeichnet. Die Liste der zulässigen oder abgelehnten Werte wird in Form eines Strings für die Hierarchieunterstruktur angegeben. Der Unterstrukturstring gibt die Art von Ressource an, für die er gilt. Für die alte verwaltete Einschränkung constraints/compute.trustedImageProjects ist beispielsweise eine Liste von Projekt-IDs im Format projects/PROJECT_ID erforderlich.

Werten kann für Einschränkungen, die sie unterstützen, ein Präfix in der Form prefix:value vorangestellt werden, das den Wert weiter spezifiziert:

is:: Führt einen Vergleich mit dem genauen Wert durch. Dieses Verhalten ist mit dem Verhalten ohne Präfix identisch und erforderlich, wenn der Wert einen Doppelpunkt enthält.
under:: Führt einen Vergleich mit dem Wert und allen zugehörigen untergeordneten Werten durch Wenn eine Ressource mit diesem Präfix zugelassen oder abgelehnt wird, werden ihre untergeordneten Ressourcen ebenfalls zugelassen oder abgelehnt. Der angegebene Wert muss die ID einer Organisations-, Ordner- oder Projektressource sein.
in:: Führt einen Vergleich mit allen Ressourcen durch, die diesen Wert enthalten. Sie können beispielsweise in:us-locations der Liste der abgelehnten Standorte der Einschränkung constraints/gcp.resourceLocations hinzufügen, um alle Standorte zu blockieren, die in der Region us enthalten sind.

Wenn keine Liste mit Werten bereitgestellt wird oder die Organisationsrichtlinie auf den von Google verwalteten Standardwert festgelegt ist, tritt das Standardverhalten der Einschränkung in Kraft, das entweder alle Werte zulässt oder alle Werte ablehnt.

Die folgende Organisationsrichtlinie erzwingt eine alte verwaltete Einschränkung, die den Compute Engine-VM-Instanzen vm-1 und vm-2 in organizations/1234567890123 den Zugriff auf externe IP-Adressen ermöglicht:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Boolesche Regeln

Eine alte verwaltete Einschränkung mit einer booleschen Regel wird entweder erzwungen oder nicht erzwungen. Beispiel: constraints/compute.disableSerialPortAccess hat zwei mögliche Status:

Enforced: Die Einschränkung wird durchgesetzt und der Zugriff auf den seriellen Port ist nicht zulässig.
Nicht erzwungen: Die Einschränkung disableSerialPortAccess wird nicht erzwungen oder geprüft, daher ist der Zugriff auf den seriellen Port zulässig.

Wenn die Organisationsrichtlinie auf den von Google verwalteten Standardwert festgelegt ist, gilt das Standardverhalten für die Einschränkung.

Diese Legacy-Einschränkungen wurden früher als boolesche Einschränkungen bezeichnet.

Die folgende Organisationsrichtlinie erzwingt eine alte verwaltete Einschränkung, die das Erstellen externer Dienstkonten in organizations/1234567890123 deaktiviert:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Organisationsrichtlinien im Probelaufmodus

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden im Audit-Log protokolliert, die entsprechenden Aktionen werden jedoch nicht abgelehnt.

Sie können Organisationsrichtlinien im Probelaufmodus verwenden, um zu beobachten, wie sich Richtlinienänderungen auf Ihre Arbeitsabläufe auswirken, bevor sie erzwungen werden. Weitere Informationen finden Sie unter Organisationsrichtlinie im Probelaufmodus erstellen.

Bedingte Organisationsrichtlinien

Mit Tags können Sie Einschränkungen bedingt erzwingen, je nachdem, ob eine Ressource ein bestimmtes Tag hat. Mit Tags und der bedingten Erzwingung von Einschränkungen können Sie die Ressourcen in Ihrer Hierarchie zentral steuern.

Weitere Informationen zu Tags finden Sie unter Tags – Übersicht. Informationen zum Festlegen einer bedingten Organisationsrichtlinie mit Tags finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Übernahme

Wenn eine Organisationsrichtlinie für eine Ressource festgelegt ist, wird sie von allen untergeordneten Elementen dieser Ressource standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für die Organisationsressource festlegen, wird die Konfiguration der Einschränkungen, die von dieser Richtlinie definiert werden, über alle untergeordneten Ordner, Projekte und Dienstressourcen weitergegeben.

Sie können eine Organisationsrichtlinie für eine untergeordnete Ressource festlegen, mit der die Übernahme überschrieben oder die Organisationsrichtlinie der übergeordneten Ressource übernommen wird. Im letzteren Fall werden die beiden Organisationsrichtlinien gemäß den Regeln der Evaluierung der Hierarchie zusammengeführt. Auf diese Weise können Sie genau steuern, wie die Organisationsrichtlinien in der Organisation angewendet werden und wo Ausnahmen gelten sollen.

Weitere Informationen finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Verstöße

Ein Verstoß liegt vor, wenn ein Google Cloud -Dienst im Rahmen seiner Ressourcenhierarchie in einem Modus agiert oder sich in einem Status befindet, der mit der konfigurierten Organisationsrichtlinieneinschränkung im Konflikt steht. Google Cloud -Dienste erzwingen Einschränkungen, um Verstöße zu verhindern. Neue Organisationsrichtlinien werden jedoch in der Regel nicht rückwirkend angewendet. Wenn die Einschränkung einer Organisationsrichtlinie rückwirkend erzwungen wird, wird sie auf der Seite Einschränkungen für Organisationsrichtlinien entsprechend gekennzeichnet.

Wenn eine neue Organisationsrichtlinie eine Einschränkung für eine Aktion oder einen Status festlegt, die bereits einen Dienst beinhaltet, wird davon ausgegangen, dass die Richtlinie einen Verstoß darstellt. Der Dienst wird jedoch wie gewohnt weitergeführt. Dieser Verstoß muss manuell von Ihnen behoben werden. Dies verhindert das Risiko, dass eine neue Organisationsrichtlinie Ihre Geschäftskontinuität vollständig zum Erliegen bringt.

Policy Intelligence

Policy Intelligence ist eine Suite von Tools zur Verwaltung von Sicherheitsrichtlinien. Mit diesen Tools können Sie die Ressourcennutzung nachvollziehen, vorhandene Sicherheitsrichtlinien verstehen und verbessern und Fehlkonfigurationen bei Richtlinien verhindern.

Einige Policy Intelligence-Tools wurden speziell zum Testen und Analysieren von Richtlinien des Organization Policy Service entwickelt. Wir empfehlen, alle Änderungen an den Organisationsrichtlinien zu testen und durchzuspielen. Mit Policy Intelligence können Sie beispielsweise die folgenden Aufgaben ausführen:

Änderungen an Organisationsrichtlinien und Einschränkungen testen und Ressourcen ermitteln, die gemäß der vorgeschlagenen Richtlinie nicht konform sind (Vorschau)
Probelauf-Organisationsrichtlinie erstellen, um zu beobachten, wie sich eine Richtlinienänderung auf Ihre Arbeitsabläufe auswirken würde
Vorhandene Organisationsrichtlinien analysieren, um zu ermitteln, welche Google Cloud -Ressourcen von welcher Organisationsrichtlinie abgedeckt werden

Weitere Informationen zu diesen Tools und anderen Policy Intelligence-Tools finden Sie unter Policy Intelligence – Übersicht.

Nächste Schritte

Seite Organisationsressourcen erstellen und verwalten mit Informationen dazu, wie Sie eine Organisationsressource erhalten
Organisationsrichtlinien definieren
Lösungen, die mit Einschränkungen in Organisationsrichtlinien erreicht werden können

Einführung in den Organisationsrichtliniendienst Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.