了解层次结构评估

在某个资源上设置组织政策时，默认情况下，该资源的所有后代都会继承该组织政策。如果您在组织资源上设置组织政策，则所有子资源都会继承这些限制。

您可以在子资源上设置配置不同的相同组织政策，根据层次结构评估规则，该政策将覆盖或与继承的政策合并。

准备工作

• 请参阅了解限制条件页面，了解什么是限制条件。

• 请参阅组织政策服务概览，了解组织政策的工作原理。

示例层次结构

在下面的资源层次结构图中，每个资源都设置了组织政策，并定义了其是否继承父级资源的政策。彩色形状代表组织政策允许或拒绝的值。

限制条件定义组织政策所控制的行为。在上面的示例中，限制条件表示限制条件默认值，用于定义在没有针对相应限制条件的组织政策时的行为。此示例中的限制条件默认允许 all_inclusive 所有值。限制条件下面的节点定义了组织政策，这些政策通过允许或拒绝值来覆盖限制条件的默认行为。

每个节点上的有效政策根据继承规则进行评估。如果未设置组织政策，则资源会继承默认限制条件行为。如果您设置了组织政策，则将改用您的政策。在上面的示例中，组织节点定义的政策允许 square 红色方形和 circle 绿色圆圈。

在该层次结构中，组织节点以下的资源会按如下方式进行评估：

1. 资源 1 定义了一项政策，该政策将 inheritFromParent 设为 TRUE 并允许 square 蓝色菱形。该资源会继承组织节点中的政策并将其与资源 1 中设置的政策合并。有效政策的评估结果为允许square红色方形、circle绿色圆形和square蓝色菱形。

2. 资源 2 定义了一项政策，该政策将 inheritFromParent 设置为 TRUE 并拒绝 circle 绿色圆圈。在协调政策时，系统始终优先采用拒绝值。该资源会继承组织节点中的政策并将其与为资源 2 设置的政策合并。有效政策的评估结果为仅允许 square 红色方形。

3. 资源 3 定义了一项政策，该政策将 inheritFromParent 设置为 FALSE 并允许 hexagon 黄色六边形。该资源不会继承组织节点中的政策，因此有效政策的评估结果为仅允许 hexagon 黄色六边形。

4. 资源 4 定义了一项政策，该政策将 inheritFromParent 设置为 FALSE 并包含 restoreDefault 值。该资源不会继承组织节点中的政策，而是使用默认限制行为，因此有效政策的评估结果为允许 all_inclusive 所有值。

层次结构评估规则

下列规则管理如何在给定资源评估组织政策。您需要具备 Organization Policy Administrator 角色才能设置组织政策。

未设置组织政策

如果您未设置组织政策，则资源会从设置了政策的最小祖先实体继承。如果祖先层次结构中未设置政策，则强制执行限制条件的默认行为。

继承

默认情况下，资源设置的组织政策会取代层次结构中其父资源设置的任何政策。但是，如果资源设置了 inheritFromParent = true，则该资源的有效政策为父资源的有效政策经继承、合并和协调之后产生的结果。例如：

• 某文件夹拒绝 projects/123 值。
• 该文件夹下的项目拒绝 projects/456 值。

这两个政策会合并，因此本例中得到的有效政策为同时拒绝 projects/123 和 projects/456。

继承默认行为

默认行为永远不会合并。设置政策后，该政策始终会替换任何默认行为。例如：

• 在组织级层，constraints/iam.allowServiceAccountCredentialLifetimeExtension 默认设置为 DENY。
• 对于此限制条件，相应组织正下方的项目允许 SomeServiceAccount 值。

由于默认行为永远不会合并，而是始终被替换，因此最终的有效政策允许 SomeServiceAccount。相比之下，如果政策在组织一级明确设置为 DENY，则“DENY 值优先”规则将适用，有效政策将为 DENY。

拒绝继承

如果某资源的政策包含 inheritFromParent = false，则该资源不会继承其父资源的组织政策。相反地，除非您设置了允许或拒绝值的政策，否则该资源会继承限制条件的默认行为。

协调政策冲突

当资源继承组织政策时，继承的政策会与父级资源的组织政策合并并协调一致。在评估包含列表规则的组织政策时，系统会始终优先采用 DENY 值。例如：

• 某文件夹拒绝 projects/123 值。
• 该文件夹下的项目允许 projects/123 值。

在这种情况下，系统会合并这些政策并优先采用 DENY 值。有效政策会拒绝所有值，并以相同方式评估父资源或子资源是否拒绝值。我们建议不要在允许列表和拒绝列表中包含同一个值。否则，您的政策可能更难理解。

包含布尔值规则的组织政策不会合并及协调政策。如果在资源上指定了政策，则使用 TRUE 或 FALSE 值来确定有效政策。例如：

• 某文件夹的 constraints/iam.managed.disableServiceAccountCreation 设为 enforced: true。

• 该文件夹下项目的 constraints/iam.managed.disableServiceAccountCreation 设为 enforced: false。

系统会忽略在该文件夹上设置的 enforced: true 值，因为项目本身定义了 enforced: false。组织政策不会在该项目上强制执行。

重置为默认政策

调用 RestoreDefault 即可让组织政策针对该资源使用限制条件的默认行为。子资源也会继承此行为。