组织政策服务简介

通过组织政策服务，您可以对组织的云端资源进行集中编程控制。作为组织政策管理员，您可以配置整个资源层次结构的限制条件。

优势

• 集中控制以配置关于如何使用组织资源的限制。
• 为开发团队界定和建立界限，以确保始终遵从法规。
• 帮助项目所有者及其团队快速行动，无需担心违反法规。

常见使用场景

组织政策可让您执行以下操作：

• 根据网域限制资源共享。
• 限制 Identity and Access Management (IAM) 服务账号的使用。
• 限制新创建的资源的实际位置。

此外，您还可以通过更多限制条件对组织的资源进行精细控制。如需了解详情，请参阅所有组织政策服务限制条件的列表。

与 Identity and Access Management 的区别

Identity and Access Management 侧重于人，可让管理员授权用户根据权限对特定资源执行操作。

组织政策侧重于什么，管理员可以对特定资源设置限制，以决定它们的配置方式。

组织政策的工作原理

组织政策可配置单个限制条件，以限制一项或多项 Google Cloud 服务。组织政策是在组织、文件夹或项目资源上设置的，用于对该资源和任何子资源强制执行限制。

组织政策包含一条或多条规则，用于指定如何以及是否强制执行限制条件。例如，组织政策可以包含一条仅对标记为 environment=development 的资源强制执行限制条件的规则，以及另一条阻止对其他资源强制执行限制条件的规则。

附加了组织政策的资源的后代会继承该组织政策。通过将组织政策应用于组织资源，组织政策管理员可以控制该组织政策的实施以及整个组织的限制配置。

限制条件

限制条件是针对Google Cloud 服务或 Google Cloud 服务列表的特定限制类型。您可以将限制条件视为定义受控行为的蓝图，例如，您可以使用 compute.storageResourceUseRestrictions 限制条件来限制项目资源访问 Compute Engine 存储资源。

然后，将该蓝图作为组织政策应用于资源层次结构中的资源，以实施限制条件中定义的规则。映射到该限制条件并与该资源关联的 Google Cloud 服务会强制执行组织政策中配置的限制。

组织政策是在 YAML 或 JSON 文件中，由其强制执行的限制条件以及（可选）强制执行限制条件的条件定义的。每项组织政策在有效模式、试运行模式或这两种模式下都只能强制执行一项限制条件。

受管理的限制条件具有由强制执行 Google Cloud 服务确定的列表或布尔值参数。

自定义限制条件在功能上与具有布尔值形参的受管理限制条件类似，要么强制执行，要么不强制执行。

旧版受管理的限制条件具有一个或多个列表规则或布尔值规则，具体取决于限制条件类型。列表规则是一组允许或拒绝的值。布尔值规则可以允许所有值、拒绝所有值，或确定是否强制执行限制。

受管限制

受管理的限制条件旨在取代等效的旧版受管理的限制条件，但可提供额外的灵活性，并借助政策智能工具提供更深入的洞见。这些限制条件的结构与自定义组织政策限制条件类似，但由 Google 管理。

如果等效的旧版受管限制条件的限制条件类型为布尔值，则受管限制条件可以以相同的方式强制执行或不强制执行。例如，以下组织政策强制执行 iam.managed.disableServiceAccountCreation（相当于 iam.disableServiceAccountCreation 限制条件）：

name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

如果等效的旧版受管限制条件的限制条件类型为列表，则受管限制条件支持定义参数，这些参数用于定义受该限制条件限制的资源和行为。例如，以下组织政策强制执行一项受管理的限制条件，该限制条件仅允许将 example.com 和 altostrat.com 网域添加到 organizations/1234567890123 的必要联系人中：

name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
   rules:
     - enforce: true
       parameters:
          allowedDomains:
               - @example.com
               - @altostrat.com

如需详细了解如何使用托管式限制，请参阅使用限制条件。

自定义限制条件

与受管限制条件类似，自定义限制条件允许或限制资源创建和更新。不过，自定义限制条件由您的组织管理，而不是由 Google 管理。您可以使用政策智能工具来测试和分析自定义组织政策。

如需查看支持自定义限制条件的服务资源列表，请参阅自定义限制条件支持的服务。

如需详细了解如何使用自定义组织政策，请参阅创建和管理自定义组织政策。

如需查看示例自定义限制条件列表，请参阅 GitHub 上的自定义组织政策库。

受管理的限制条件（旧版）

旧版受管理的限制条件具有列表或布尔值类型的限制条件类型，该类型决定了可用于检查强制执行情况的值。强制执行的Google Cloud 服务将评估限制条件类型和值，以确定强制执行的限制。

这些旧版约束之前称为预定义约束。

列出规则

具有列表规则的旧版受管理限制条件允许或禁止组织政策中定义的值列表。这些旧版限制之前称为列表限制。允许或拒绝值列表以层次结构子树字符串的形式表示。子树字符串指定了其适用的资源类型。例如，旧版受管理限制 constraints/compute.trustedImageProjects 接受项目 ID 列表，格式为 projects/PROJECT_ID。

对于支持前缀的限制条件，您可以为值添加 prefix:value 形式的前缀，以便为值赋予其他含义：

• is: - 针对确切的值应用比较。此行为与未加前缀时的行为一样；当值包含冒号时，必需使用此前缀。

• under: - 针对值及其所有子值应用比较。如果允许或拒绝使用该前缀的资源，则其子资源也会被允许或拒绝。提供的值必须是组织、文件夹或项目资源的 ID。

• in: - 对包含此值的所有资源应用比较。例如，您可以将 in:us-locations 添加到 constraints/gcp.resourceLocations 限制条件的拒绝列表中，以屏蔽 us 区域中包含的所有位置。

如果您未提供值列表，或者组织政策设置为 Google 管理的默认值，则系统会采用限制条件的默认行为，即允许所有值或拒绝所有值。

以下组织政策强制执行旧版受管理限制条件，允许 organizations/1234567890123 中的 Compute Engine 虚拟机实例 vm-1 和 vm-2 访问外部 IP 地址：

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

布尔值规则

具有布尔值规则的旧版受管理限制条件可能会强制执行，也可能不会强制执行。例如，constraints/compute.disableSerialPortAccess 有两种可能的状态：

• 强制执行 - 强制执行限制条件，不允许串行端口访问。
• 不强制执行 - 不强制执行或检查 disableSerialPortAccess 限制条件，因此允许串行端口访问。

如果组织政策设置为 Google 管理的默认值，则限制条件的默认行为会生效。

这些旧版约束之前称为布尔值约束。

以下组织政策会强制执行旧版受管理限制条件，以禁止在 organizations/1234567890123 中创建外部服务账号：

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

处于试运行模式的组织政策

试运行模式下的组织政策的创建和强制执行方式与其他组织政策类似，并且系统会记录违反政策的行为，但不会拒绝违反政策的操作。

您可以在试运行模式下使用组织政策，以监控政策变更在强制执行之前会对工作流程产生哪些影响。如需了解详情，请参阅以试运行模式创建组织政策。

有条件的组织政策

标记提供了一种根据资源是否有特定标记，有条件地强制执行限制的方法。您可以使用标记并有条件地执行限制，以便集中控制层次结构中的资源。

如需详细了解标记，请参阅标记概览。如需了解如何使用标记设置有条件的组织政策，请参阅设置带有标记的组织政策。

继承

在某个资源上设置组织政策时，默认情况下，该资源的所有后代都会继承该组织政策。如果您在组织资源上设置组织政策，则这个组织下的所有后代文件夹、项目和服务资源都将继承该政策定义的限制配置。

您可以针对后代资源设置组织政策，该政策要么覆盖继承的政策，要么继承父级资源的组织政策。在后一种情况下，系统会根据层次结构评估规则合并这两个组织政策。如此，您便能精确控制组织政策在整个组织中的应用方式，以及需要进行例外处理的地方。

如需了解详情，请参阅了解层次结构评估。

违规

如果 Google Cloud 服务的行为或状态与其资源层次结构范围内的组织政策限制配置相反，则表示存在违规行为。 Google Cloud 服务将实施限制条件来防止违规，但新组织政策的效力通常不会追溯既往。如果组织政策限制强制追溯既往，则其会在组织政策限制页面上标出。

如果新组织政策对服务所执行的操作或服务所处的状态设定限制，则该政策被视为违规，但服务不会停止其原来的行为。您将需要手动解决该违规问题。这样做可防止新组织政策完全关闭您的业务连续性。

Policy Intelligence

Policy Intelligence 是一套旨在帮助您管理安全政策的工具。这些工具可帮助您了解资源使用情况、了解和改进现有安全政策，以及防止政策配置错误。

某些 Policy Intelligence 工具专门用于帮助测试和分析组织政策服务政策。建议您测试并试运行对组织政策的所有更改。借助政策智能，您可以执行以下任务：

• 测试更改组织政策和限制条件，并确定在建议的政策下不合规的资源（预览）
• 创建试运行组织政策，以监控政策变更对工作流的影响
• 分析现有组织政策，了解哪些 Google Cloud 资源受哪些组织政策的约束

如需详细了解这些工具和其他 Policy Intelligence 工具，请参阅 Policy Intelligence 概览。

后续步骤

• 阅读创建和管理组织资源页面，了解如何获取组织资源。
• 了解如何定义组织政策。
• 探索您可以通过组织政策限制条件实现的解决方案。