Pengantar Layanan Kebijakan Organisasi

Layanan Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource cloud organisasi Anda. Sebagai administrator kebijakan organisasi, Anda dapat mengonfigurasi batasan di seluruh hierarki resource Anda.

Manfaat

• Kontrol terpusat untuk mengonfigurasi batasan tentang cara penggunaan resource organisasi Anda.
• Tentukan dan tetapkan batas aman bagi tim pengembangan Anda agar tetap berada dalam batas kepatuhan.
• Membantu pemilik project dan tim mereka bergerak cepat tanpa khawatir melanggar kepatuhan.

Kasus penggunaan umum

Kebijakan organisasi memungkinkan Anda melakukan hal berikut:

• Membatasi berbagi resource berdasarkan domain.
• Batasi penggunaan akun layanan Identity and Access Management (IAM).
• Membatasi lokasi fisik resource yang baru dibuat.

Ada banyak batasan lainnya yang memberi Anda kontrol terperinci atas resource organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat daftar semua batasan Layanan Kebijakan Organisasi.

Perbedaan dari Identity and Access Management

Identity and Access Management berfokus pada siapa, dan memungkinkan administrator memberikan otorisasi kepada siapa yang dapat mengambil tindakan atas resource tertentu berdasarkan izin.

Kebijakan Organisasi berfokus pada apa, dan memungkinkan administrator menetapkan batasan pada resource tertentu untuk menentukan cara mengonfigurasinya.

Cara kerja kebijakan organisasi

Kebijakan organisasi mengonfigurasi satu batasan yang membatasi satu atau beberapa layanan. Google Cloud Kebijakan organisasi ditetapkan pada resource organisasi, folder, atau project untuk menerapkan batasan pada resource tersebut dan semua resource turunannya.

Kebijakan organisasi berisi satu atau beberapa aturan yang menentukan cara, dan apakah, batasan akan diterapkan. Misalnya, kebijakan organisasi dapat berisi satu aturan yang menerapkan batasan hanya pada resource yang diberi tag environment=development, dan aturan lain yang mencegah batasan diterapkan pada resource lain.

Turunan resource tempat kebijakan organisasi dilampirkan mewarisi kebijakan organisasi. Dengan menerapkan kebijakan organisasi ke resource organisasi, administrator kebijakan organisasi dapat mengontrol penerapan kebijakan organisasi tersebut dan konfigurasi batasan di seluruh organisasi Anda.

Batasan

Batasan adalah jenis pembatasan tertentu terhadap Google Cloud layanan atau daftar Google Cloud layanan. Anggap batasan sebagai cetak biru yang menentukan perilaku yang dikontrol. Misalnya, Anda dapat membatasi akses resource project ke resource penyimpanan Compute Engine menggunakan batasan compute.storageResourceUseRestrictions.

Kemudian, cetak biru ini ditetapkan pada resource di hierarki resource Anda sebagai kebijakan organisasi, yang menerapkan aturan yang ditentukan dalam batasan. Layanan Google Cloud yang dipetakan ke batasan tersebut dan terkait dengan resource tersebut menerapkan batasan yang dikonfigurasi dalam kebijakan organisasi.

Kebijakan organisasi ditentukan dalam file YAML atau JSON berdasarkan batasan yang diterapkan, dan secara opsional berdasarkan kondisi saat batasan diterapkan. Setiap kebijakan organisasi menerapkan tepat satu batasan dalam mode aktif, mode uji coba, atau keduanya.

Batasan terkelola memiliki parameter daftar atau boolean yang ditentukan oleh layanan Google Cloud penerapan.

Batasan kustom secara fungsional mirip dengan batasan terkelola dengan parameter boolean, dan diterapkan atau tidak diterapkan.

Batasan terkelola lama memiliki satu atau beberapa aturan daftar atau aturan boolean berdasarkan jenis batasan. Aturan daftar adalah kumpulan nilai yang diizinkan atau ditolak. Aturan boolean dapat mengizinkan semua nilai, menolak semua nilai, atau menentukan apakah batasan diterapkan atau tidak.

Batasan terkelola

Batasan terkelola dirancang untuk menggantikan batasan terkelola lama yang setara, tetapi dengan fleksibilitas tambahan dan insight yang lebih baik dari alat Policy Intelligence. Batasan ini memiliki struktur yang mirip dengan batasan kebijakan organisasi kustom, tetapi dikelola oleh Google.

Jika batasan terkelola lama yang setara memiliki jenis batasan boolean, batasan terkelola dapat diterapkan atau tidak dengan cara yang sama. Misalnya, kebijakan organisasi berikut menerapkan iam.managed.disableServiceAccountCreation, yang merupakan batasan yang setara dengan iam.disableServiceAccountCreation:

name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Jika batasan terkelola lama yang setara memiliki jenis batasan daftar, batasan terkelola mendukung penentuan parameter yang menentukan resource dan perilaku yang dibatasi oleh batasan. Misalnya, kebijakan organisasi berikut menerapkan batasan terkelola yang hanya mengizinkan domain example.com dan altostrat.com ditambahkan ke Kontak Penting untuk organizations/1234567890123:

name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
   rules:
     - enforce: true
       parameters:
          allowedDomains:
               - @example.com
               - @altostrat.com

Untuk mempelajari lebih lanjut cara menggunakan batasan terkelola, lihat Menggunakan batasan.

Batasan kustom

Seperti batasan terkelola, batasan kustom mengizinkan atau membatasi pembuatan dan pembaruan resource. Namun, batasan kustom dikelola oleh organisasi Anda, bukan oleh Google. Anda dapat menggunakan alat Policy Intelligence untuk menguji dan menganalisis kebijakan organisasi kustom Anda.

Untuk daftar resource layanan yang mendukung batasan kustom, lihat Layanan yang didukung batasan kustom.

Untuk mempelajari lebih lanjut cara menggunakan kebijakan organisasi kustom, lihat Membuat dan mengelola kebijakan organisasi kustom.

Untuk mengetahui daftar contoh batasan kustom, lihat library kebijakan organisasi kustom di GitHub.

Batasan terkelola (lama)

Batasan terkelola lama memiliki jenis batasan daftar atau boolean, yang menentukan nilai yang dapat digunakan untuk memeriksa penegakan. Layanan Google Cloud yang menerapkan akan mengevaluasi jenis dan nilai batasan untuk menentukan batasan yang diterapkan.

Batasan lama ini sebelumnya dikenal sebagai batasan yang telah ditentukan sebelumnya.

Mencantumkan aturan

Batasan terkelola lama dengan aturan daftar mengizinkan atau tidak mengizinkan daftar nilai yang ditentukan dalam kebijakan organisasi. Batasan lama ini sebelumnya dikenal sebagai batasan daftar. Daftar nilai yang diizinkan atau ditolak dinyatakan sebagai string subpohon hierarki. String subtree menentukan jenis resource yang berlaku. Misalnya, batasan terkelola lama constraints/compute.trustedImageProjects mengambil daftar project ID dalam bentuk projects/PROJECT_ID.

Nilai dapat diberi awalan dalam bentuk prefix:value untuk batasan yang mendukungnya, yang memberikan makna tambahan pada nilai:

• is: - menerapkan perbandingan terhadap nilai persis. Perilaku ini sama dengan tidak memiliki awalan, dan diperlukan jika nilai menyertakan titik dua.

• under: - menerapkan perbandingan pada nilai dan semua nilai turunannya. Jika sumber daya diizinkan atau ditolak dengan awalan ini, sumber daya turunannya juga diizinkan atau ditolak. Nilai yang diberikan harus berupa ID resource organisasi, folder, atau project.

• in: - menerapkan perbandingan ke semua resource yang menyertakan nilai ini. Misalnya, Anda dapat menambahkan in:us-locations ke daftar yang ditolak dari batasan constraints/gcp.resourceLocations untuk memblokir semua lokasi yang disertakan dalam region us.

Jika tidak ada daftar nilai yang diberikan, atau kebijakan organisasi disetel ke default yang dikelola Google, maka perilaku default batasan akan berlaku, yang mengizinkan semua nilai atau menolak semua nilai.

Kebijakan organisasi berikut menerapkan batasan terkelola lama yang memungkinkan instance VM Compute Engine vm-1 dan vm-2 di organizations/1234567890123 mengakses alamat IP eksternal:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Aturan Boolean

Batasan terkelola lama dengan aturan boolean diterapkan atau tidak diterapkan. Misalnya, constraints/compute.disableSerialPortAccess memiliki dua kemungkinan status:

• Diterapkan - batasan diterapkan, dan akses port serial tidak diizinkan.
• Tidak diterapkan - batasan disableSerialPortAccess tidak diterapkan atau diperiksa, sehingga akses port serial diizinkan.

Jika kebijakan organisasi disetel ke default yang dikelola Google, maka perilaku default untuk batasan akan berlaku.

Batasan lama ini sebelumnya dikenal sebagai batasan boolean.

Kebijakan organisasi berikut menerapkan batasan terkelola lama yang menonaktifkan pembuatan akun layanan eksternal di organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Kebijakan organisasi dalam mode uji coba

Kebijakan organisasi dalam mode uji coba dibuat dan diterapkan dengan cara yang sama seperti kebijakan organisasi lainnya, dan pelanggaran kebijakan dicatat dalam log audit, tetapi tindakan yang melanggar tidak ditolak.

Anda dapat menggunakan kebijakan organisasi dalam mode uji coba untuk memantau dampak perubahan kebijakan terhadap alur kerja Anda sebelum diterapkan. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan organisasi dalam mode uji coba.

Kebijakan organisasi bersyarat

Tag menyediakan cara untuk menerapkan batasan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda dapat menggunakan tag dan penerapan batasan bersyarat untuk memberikan kontrol terpusat atas resource dalam hierarki Anda.

Untuk mengetahui informasi selengkapnya tentang tag, lihat Ringkasan tag. Untuk mempelajari cara menetapkan kebijakan organisasi bersyarat menggunakan tag, lihat Menetapkan kebijakan organisasi dengan tag.

Pewarisan

Jika kebijakan organisasi ditetapkan pada resource, semua turunan resource tersebut akan mewarisi kebijakan organisasi secara default. Jika Anda menetapkan kebijakan organisasi pada resource organisasi, konfigurasi batasan yang ditentukan oleh kebijakan tersebut akan diteruskan ke semua folder, project, dan resource layanan turunan.

Anda dapat menetapkan kebijakan organisasi pada resource turunan yang menggantikan pewarisan, atau mewarisi kebijakan organisasi resource induk. Dalam kasus terakhir, kedua kebijakan organisasi digabungkan berdasarkan aturan evaluasi hierarki. Hal ini memberikan kontrol yang akurat tentang cara penerapan kebijakan organisasi di seluruh organisasi Anda, dan tempat Anda ingin membuat pengecualian.

Untuk mempelajari lebih lanjut, lihat Memahami evaluasi hierarki.

Pelanggaran

Pelanggaran terjadi saat layanan Google Cloud bertindak atau berada dalam status yang bertentangan dengan konfigurasi batasan kebijakan organisasi dalam cakupan hierarki resource-nya.Layanan Google Cloud akan menerapkan batasan untuk mencegah pelanggaran, tetapi penerapan kebijakan organisasi baru biasanya tidak berlaku surut. Jika batasan kebijakan organisasi diberlakukan secara retroaktif, batasan tersebut akan diberi label seperti itu di halaman batasan kebijakan organisasi.

Jika kebijakan organisasi baru menetapkan batasan pada tindakan atau status yang sudah ada di layanan, kebijakan tersebut dianggap melanggar, tetapi layanan tidak akan menghentikan perilaku aslinya. Anda harus mengatasi pelanggaran ini secara manual. Tindakan ini mencegah risiko kebijakan organisasi baru menghentikan kontinuitas bisnis Anda sepenuhnya.

Policy Intelligence

Policy Intelligence adalah serangkaian alat yang dirancang untuk membantu Anda mengelola kebijakan keamanan. Alat ini dapat membantu Anda memahami penggunaan resource, memahami dan meningkatkan kebijakan keamanan yang ada, serta mencegah kesalahan konfigurasi kebijakan.

Beberapa alat Policy Intelligence didesain khusus untuk membantu menguji dan menganalisis kebijakan Organization Policy Service. Sebaiknya Anda menguji dan melakukan uji coba semua perubahan pada kebijakan organisasi Anda. Dengan Analisis Kebijakan, Anda dapat melakukan tugas seperti berikut:

• Uji perubahan pada kebijakan dan batasan organisasi serta identifikasi resource yang tidak mematuhi kebijakan yang diusulkan (Pratinjau))
• Buat kebijakan organisasi uji coba untuk memantau pengaruh perubahan kebijakan terhadap alur kerja Anda
• Menganalisis kebijakan organisasi yang ada untuk memahami resource mana yang tercakup dalam kebijakan organisasi mana Google Cloud

Untuk mempelajari lebih lanjut alat ini dan alat Policy Intelligence lainnya, lihat Ringkasan Policy Intelligence.

Langkah berikutnya

• Baca halaman Membuat dan mengelola resource organisasi untuk mempelajari cara mendapatkan resource organisasi.
• Pelajari cara menentukan kebijakan organisasi.
• Pelajari solusi yang dapat Anda lakukan dengan batasan kebijakan organisasi.