Informationen zur Bewertung der Hierarchie

Wenn Sie für eine Ressource eine Organisationsrichtlinie festlegen, wird diese von allen untergeordneten Objekten der Ressource standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für Ihre Organisationsressource festlegen, werden diese Einschränkungen von allen untergeordneten Ressourcen übernommen.

Sie können dieselbe Organisationsrichtlinie mit einer anderen Konfiguration für untergeordnete Ressourcen festlegen. In diesem Fall wird die übernommene Richtlinie abhängig von den Regeln zur Evaluierung der Hierarchie von der benutzerdefinierten Organisationsrichtlinie überschrieben oder mit ihr zusammengeführt.

Hinweise

Beispielhierarchie

Im folgenden Diagramm zur Ressourcenhierarchie wird für jede Ressource eine Organisationsrichtlinie festgelegt und definiert, ob die Richtlinie der übergeordneten Ressource übernommen wird. Die farbigen Formen stellen die Werte dar, die von der Organisationsrichtlinie zugelassen oder abgelehnt werden.

Übernahmediagramm

Eine Einschränkung ist eine Definition des Verhaltens, das von einer Organisationsrichtlinie kontrolliert wird. Im vorherigen Beispiel stellt die Einschränkung die Standardeinstellung für Einschränkungen dar, die das Verhalten definiert, wenn keine Organisationsrichtlinie für die Einschränkung vorhanden ist. Im Standardverhalten der Einschränkung in diesem Beispiel werden alle Werte für zugelassen. In den untergeordneten Knoten sind Organisationsrichtlinien definiert, von denen die Standardeinstellung der Einschränkung überschrieben wird, indem Werte zugelassen oder abgelehnt werden.

Die geltende Richtlinie der einzelnen Knoten wird anhand der Regeln für die Übernahme evaluiert. Wenn keine Organisationsrichtlinie festgelegt ist, übernimmt die Ressource das Standardverhalten der Einschränkung. Wenn Sie eine Organisationsrichtlinie festlegen, wird stattdessen Ihre Richtlinie verwendet. Im vorstehenden Beispiel wird im Organisationsknoten eine Richtlinie definiert, die rote Quadrate und grüne Kreise zulässt.

Die Ressourcen, die sich in der Hierarchie unter dem Organisationsknoten befinden, werden folgendermaßen evaluiert:

  1. Ressource 1 definiert eine Richtlinie, nach der inheritFromParent auf TRUE festgelegt wird und blaue Rauten mit zulässig sind. Die Richtlinie des Organisationsknotens wird übernommen und mit der für Ressource 1 festgelegten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der rote Quadrate, grüne Kreise und blaue Rauten zulässig sind.

  2. Ressource 2 definiert eine Richtlinie, nach der inheritFromParent auf TRUE festgelegt wird und grüne Kreise nicht zulässig sind. Abgelehnte Werte haben beim Richtlinienabgleich immer Vorrang. Die Richtlinie des Organisationsknotens wird übernommen und mit der für Ressource 2 festgelegten Richtlinie zusammengeführt. Die effektive Richtlinie führt eine Evaluierung durch, nach der nur rote Quadrate zulässig sind.

  3. Ressource 3 definiert eine Richtlinie, nach der inheritFromParent auf FALSE festgelegt wird und gelbe Sechsecke zulässig sind. Die Richtlinie des Organisationsknotens wird nicht übernommen, deshalb führt die effektive Richtlinie die Evaluierung durch, nach der nur gelbe Sechsecke zulässig sind.

  4. Ressource 4 definiert eine Richtlinie, nach der inheritFromParent auf FALSE festgelegt wird und der Wert restoreDefault enthalten ist. Die Richtlinie des Organisationsknotens wird nicht übernommen und das Standardverhalten der Einschränkung wird verwendet, sodass die effektive Richtlinie eine Evaluierung durchführt, nach der alle Werte zulässig sind.

Regeln für die Evaluierung der Hierarchie

Die folgenden Regeln bestimmen, wie eine Organisationsrichtlinie für eine bestimmte Ressource evaluiert wird. Sie benötigen die Rolle Administrator für Unternehmensrichtlinien, um eine Organisationsrichtlinie festlegen zu können.

Keine Organisationsrichtlinie festgelegt

Wenn Sie keine Organisationsrichtlinie festlegen, übernimmt eine Ressource die Richtlinie vom niedrigsten Ancestor mit einem Richtliniensatz. Wenn in der Ancestor-Hierarchie keine Richtlinie festgelegt ist, wird das Standardverhalten der Einschränkung erzwungen.

Übernahme

Eine Ressource, für die standardmäßig eine Organisationsrichtlinie festgelegt wurde, ersetzt alle Richtlinien, die von ihren übergeordneten Ressourcen in der Hierarchie festgelegt wurden. Wenn jedoch für eine Ressource inheritFromParent = true festgelegt ist, wird die effektive Richtlinie der übergeordneten Ressource übernommen, zusammengeführt und abgeglichen, um die resultierende effektive Richtlinie auszuwerten. Beispiel:

  • Für einen Ordner wird der Wert projects/123 abgelehnt.
  • In einem Projekt, das diesem Ordner untergeordnet ist, wird der Wert projects/456 abgelehnt.

Die beiden Richtlinien werden in diesem Fall zu einer effektiven Richtlinie zusammengeführt, die sowohl projects/123 als auch projects/456 ablehnt.

Standardverhalten übernehmen

Das Standardverhalten wird nie zusammengeführt. Wenn eine Richtlinie festgelegt ist, wird das Standardverhalten immer ersetzt. Beispiel:

  • constraints/iam.allowServiceAccountCredentialLifetimeExtension ist standardmäßig auf Organisationsebene auf DENY festgelegt.
  • Bei dieser Einschränkung ist in einem Projekt, das dieser Organisation direkt untergeordnet ist, der Wert SomeServiceAccount zulässig.

Da das Standardverhalten nie zusammengeführt, sondern immer ersetzt wird, ergibt sich eine effektive Richtlinie, die SomeServiceAccount zulässt. Wenn die Richtlinie auf Organisationsebene explizit auf DENY festgelegt wäre, würde die Regel „Der Wert DENY hat Vorrang“ gelten und die effektive Richtlinie wäre DENY.

Übernahme nicht zulässig

Wenn für eine Ressource eine Richtlinie festgelegt ist, die inheritFromParent = false enthält, übernimmt diese nicht die Organisationsrichtlinie von ihrem übergeordneten Element. Stattdessen übernimmt die Ressource das Standardverhalten der Einschränkung, es sei denn, Sie legen eine Richtlinie mit zulässigen oder nicht zulässigen Werten fest.

Richtlinienkonflikte abgleichen

Wenn eine Ressource Organisationsrichtlinien übernimmt, werden die übernommenen Richtlinien zusammengeführt und mit der Organisationsrichtlinie der übergeordneten Ressource abgeglichen. Bei der Auswertung von Organisationsrichtlinien mit Listenregeln haben DENY-Werte immer Vorrang. Beispiel:

  • Für einen Ordner wird der Wert projects/123 abgelehnt.
  • In einem diesem Ordner untergeordneten Projekt ist der Wert projects/123 zulässig.

Die Richtlinien werden zusammengeführt und der Wert DENY hat Vorrang. Die geltende Richtlinie lässt keine Werte zu. Bei der Evaluierung spielt es dabei keine Rolle, ob die übergeordnete oder untergeordnete Ressource den Wert nicht zulässt. Wir empfehlen, einen Wert nicht sowohl in die Liste der zugelassenen Werte als auch in die Liste der abgelehnten Werte aufzunehmen. Die Richtlinien lassen sich sonst nur schwer nachvollziehen.

Organisationsrichtlinien mit booleschen Regeln führen Richtlinien nicht zusammen und gleichen sie nicht miteinander ab. Wenn für eine Ressource eine Richtlinie festgelegt wurde, wird der Wert TRUE oder FALSE verwendet, um die effektive Richtlinie zu ermitteln. Beispiel:

  • In einem Ordner wird für constraints/iam.managed.disableServiceAccountCreation enforced: true festgelegt.

  • In einem Projekt, das diesem Ordner untergeordnet ist, wird für constraints/iam.managed.disableServiceAccountCreation enforced: false festgelegt.

Der für den Ordner festgelegte Wert enforced: true wird ignoriert, da enforced: false projektspezifisch definiert ist. Die Organisationsrichtlinie wird für dieses Projekt nicht erzwungen.

Auf Standardrichtlinie zurücksetzen

Wenn RestoreDefault aufgerufen wird, verwendet die Organisationsrichtlinie das Standardverhalten der Einschränkung für diese Ressource. Untergeordnete Ressourcen übernehmen dieses Verhalten ebenfalls.