תנאים מותאמים אישית

בדף הזה מוסבר איך להשתמש באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות במשאבים הבאים של Cloud de Confiance by S3NS :

  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/InstanceGroup

מידע נוסף על מדיניות הארגון זמין במאמר בנושא מדיניות ארגונית בהתאמה אישית.

מידע על מדיניות הארגון ואילוצים

שירות מדיניות הארגון של Cloud de Confiance מאפשר לכם לקבל שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. בתור אדמינים של מדיניות הארגון, אתם יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים שחלות על משאבים ב-Cloud de Confiance ועל משאבים שנגזרים מהם בCloud de Confiance by S3NS היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

במסגרת Organization Policy מוצעות מגבלות מנוהלות מובנות עבור שירותים שונים של Cloud de Confiance . עם זאת, אם אתם רוצים שליטה מדויקת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור אילוצים בהתאמה אישית ולהשתמש בהם במדיניות הארגון.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Cloud de Confiance המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

יתרונות

  • ניהול עלויות: אפשר להשתמש במדיניות ארגונית מותאמת אישית כדי להגביל את הגדלים והסוגים של מכונות וירטואליות (VM) ודיסקים שאפשר להשתמש בהם בארגון. אפשר גם להגביל את סוג המכונה שמשמשת את מופע ה-VM.
  • אבטחה, תאימות וניהול: אתם יכולים להשתמש במדיניות ארגונית בהתאמה אישית כדי לאכוף מדיניות באופן הבא:
    • כדי לאכוף דרישות אבטחה, אתם יכולים לדרוש כללים ספציפיים של יציאות חומת אש במכונות וירטואליות.
    • כדי לתמוך בבידוד חומרה או בתאימות לרישוי, אתם יכולים לדרוש שכל מכונות ה-VM בפרויקט או בתיקייה מסוימים יפעלו בצמתים עם דייר יחיד.
    • כדי לשלוט בסקריפטים לאוטומציה, אפשר להשתמש במדיניות ארגונית מותאמת אישית כדי לוודא שהתוויות תואמות לביטויים שצוינו.

לפני שמתחילים

  1. In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Verify that billing is enabled for your Cloud de Confiance project.

  3. התקינו את ה-CLI של Google Cloud.

  4. הגדירו שה-CLI של gcloud ישתמש בזהות המאוחדת שלכם.

    איך נכנסים ל-CLI של gcloud באמצעות הזהות המאוחדת?

  5. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:

    gcloud init
  6. חשוב לוודא שאתם יודעים מהו מספר הארגון שלכם.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון עבור משאבי Compute Engine, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לניהול כללי מדיניות של הארגון למשאבי Compute Engine. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנהל את מדיניות הארגון למשאבי Compute Engine, נדרשות ההרשאות הבאות:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set
  • כדי לבדוק את האילוצים:
    • compute.instances.create בפרויקט
    • כדי להשתמש באימג' בהתאמה אישית ליצירת המכונה הווירטואלית (VM): compute.images.useReadOnly בקובץ אימג'
    • כדי להשתמש ב-snapshot ליצירת המכונה הווירטואלית: compute.snapshots.useReadOnly בקובץ ה-snapshot
    • כדי להשתמש בתבנית של מכונה ליצירת המכונה הווירטואלית: compute.instanceTemplates.useReadOnly בתבנית של המכונה
    • כדי להקצות רשת מדור קודם למכונה הווירטואלית: compute.networks.use בפרויקט
    • כדי לציין כתובת IP סטטית למכונה הווירטואלית: compute.addresses.use בפרויקט
    • כדי להקצות כתובת IP חיצונית למכונה הווירטואלית כשמשתמשים ברשת מדור קודם: compute.networks.useExternalIp בפרויקט
    • כדי לציין רשת משנה למכונה הווירטואלית: compute.subnetworks.use בפרויקט או ברשת המשנה שנבחרה
    • כדי להקצות כתובת IP חיצונית למכונה הווירטואלית כשמשתמשים ברשת VPC: compute.subnetworks.useExternalIp בפרויקט או ברשת המשנה שנבחרה
    • כדי להגדיר מטא-נתונים של המכונה הווירטואלית למכונה הווירטואלית: compute.instances.setMetadata בפרויקט
    • כדי להגדיר תגים למכונה הווירטואלית: compute.instances.setTags במכונה הווירטואלית
    • כדי להגדיר תוויות למכונה הווירטואלית: compute.instances.setLabels במכונה הווירטואלית
    • כדי להגדיר חשבון שירות לשימוש של המכונה הווירטואלית: compute.instances.setServiceAccount במכונה הווירטואלית
    • כדי ליצור דיסק חדש למכונה הווירטואלית: compute.disks.create בפרויקט
    • כדי לצרף דיסק קיים במצב קריאה-בלבד או במצב קריאה וכתיבה: compute.disks.use בדיסק
    • כדי לצרף דיסק קיים במצב קריאה-בלבד: compute.disks.useReadOnly בדיסק

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

משאבים נתמכים ב-Compute Engine

ב-Compute Engine, אפשר להגדיר אילוצים מותאמים אישית במשאבים ובשדות הבאים.

משאב שדה
compute.googleapis.com/Disk resource.enableConfidentialCompute
resource.licenseCodes
resource.licenses
resource.sizeGb
resource.sourceImage
resource.type
compute.googleapis.com/Image resource.rawDisk.source
compute.googleapis.com/Instance resource.advancedMachineFeatures.enableNestedVirtualization
resource.advancedMachineFeatures.performanceMonitoringUnit
resource.advancedMachineFeatures.threadsPerCore
resource.canIpForward
resource.confidentialInstanceConfig.confidentialInstanceType
resource.confidentialInstanceConfig.enableConfidentialCompute
resource.deletionProtection
resource.guestAccelerators.acceleratorCount
resource.guestAccelerators.acceleratorType
resource.labels
resource.machineType
resource.minCpuPlatform
resource.networkInterfaces.accessConfigs.name
resource.networkInterfaces.accessConfigs.natIP
resource.networkInterfaces.network
resource.networkInterfaces.networkAttachment
resource.networkInterfaces.subnetwork
resource.privateIpv6GoogleAccess
resource.resourceStatus.effectiveInstanceMetadata.blockProjectSshKeysMetadataValue
resource.resourceStatus.effectiveInstanceMetadata.enableGuestAttributesMetadataValue
resource.resourceStatus.effectiveInstanceMetadata.enableOsconfigMetadataValue
resource.resourceStatus.effectiveInstanceMetadata.enableOsInventoryMetadataValue
resource.resourceStatus.effectiveInstanceMetadata.enableOsloginMetadataValue
resource.resourceStatus.effectiveInstanceMetadata.serialPortEnableMetadataValue
resource.resourceStatus.effectiveInstanceMetadata.serialPortLoggingEnableMetadataValue
resource.resourceStatus.effectiveInstanceMetadata.vmDnsSettingMetadataValue
resource.scheduling.nodeAffinities.key
resource.scheduling.nodeAffinities.operator
resource.scheduling.nodeAffinities.values
resource.selfLink
resource.shieldedInstanceConfig.enableIntegrityMonitoring
resource.shieldedInstanceConfig.enableSecureBoot
resource.shieldedInstanceConfig.enableVtpm
resource.zone
compute.googleapis.com/InstanceGroup resource.description
resource.name
resource.namedPorts.name
resource.namedPorts.port

הגדרת אילוץ בהתאמה אישית

אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

המסוף

כדי ליצור אילוץ בהתאמה אישית:

  1. נכנסים לדף Organization policies במסוף Cloud de Confiance .

    מעבר למדיניות הארגון

  2. בבורר הפרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. לוחצים על Custom constraint (הגבלה מותאמת אישית).
  4. בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות לתצוגה, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
  5. בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.createOnlyN2DVMs. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
  6. בתיבה Description, מזינים תיאור של האילוץ שקל לאנשים לקרוא. התיאור הזה משמש כהודעת שגיאה כשמתרחשת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
  7. בתיבה Resource type, בוחרים את השם של Cloud de Confiance משאב REST שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
  8. בקטע שיטת אכיפה, בוחרים אם לאכוף את ההגבלה על שיטת REST‏ CREATE או על שיטות CREATE ו-UPDATE. אם אוכפים את האילוץ באמצעות השיטה UPDATE במשאב שמפר את האילוץ, מדיניות הארגון חוסמת שינויים במשאב הזה, אלא אם השינוי פותר את ההפרה.
  9. כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות בקטע שירותים שתומכים באילוצים בהתאמה אישית.

  10. כדי להגדיר תנאי, לוחצים על Edit condition.
    1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
    2. לוחצים על Save.
  11. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.
  12. הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.

    הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

  13. לוחצים על יצירת אילוץ.
  14. אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.

gcloud

  1. כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא:
  2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
    resourceTypes: RESOURCE_NAME
    methodTypes:
      - CREATE
    - UPDATE
    condition: "CONDITION" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
    • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.createOnlyN2DVMs. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
    • RESOURCE_NAME: השם המלא של המשאב Cloud de Confianceשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה: compute.googleapis.com/Instance. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
    • methodTypes: שיטות ה-REST שבהן האילוץ נאכף. הערך יכול להיות CREATE או גם CREATE וגם UPDATE. אם אוכפים את האילוץ באמצעות השיטה UPDATE על משאב שמפר את האילוץ, שינויים במשאב הזה נחסמים על ידי מדיניות הארגון, אלא אם השינוי פותר את ההפרה.
    • כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.

    • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה: "resource.machineType.contains('/machineTypes/n2d')".
    • מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

    • ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. הערכים האפשריים הם ALLOW ו-DENY.
    • הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, חוץ מהמקרה שמופיע במפורש בתנאי, ייחסם.

      הפעולה deny (דחייה) פירושה שאם התנאי מחזיר את הערך True, הפעולה ליצירה או לעדכון של המשאב נחסמת.

    • DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או בנתונים רגישים בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
    • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.
  3. אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון שלכם. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint:
  4. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

    אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Cloud de Confiance by S3NS מדיניות הארגון.

  5. כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints:
  6. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

    מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

אכיפה של מדיניות ארגון מותאמת אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Cloud de Confiance by S3NS .

המסוף

  1. נכנסים לדף Organization policies במסוף Cloud de Confiance .

    מעבר למדיניות הארגון

  2. בתפריט לבחירת פרויקט, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
  4. כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
  6. לוחצים על Add a rule.
  7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
  8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
  9. לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
  10. כדי לאכוף את המדיניות של הארגון במצב הרצת בדיקה, לוחצים על הגדרת מדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
  11. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

  1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ:
  2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
    spec:
      rules:
      - enforce: true
    
    dryRunSpec:
      rules:
      - enforce: true

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
    • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.createOnlyN2DVMs.
  3. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec:
  4. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

  5. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec:
  6. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

בדיקה של מדיניות הארגון המותאמת אישית

בדוגמה הבאה נוצר אילוץ מותאם אישית שמגביל את השימוש במכונות וירטואליות לסוג המכונה N2D.

יצירת האילוץ המותאם אישית

  1. כדי להגדיר אילוץ מותאם אישית, יוצרים קובץ בשם onlyN2DVMs.yaml.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyN2DVMs
    resourceTypes: compute.googleapis.com/Instance
    condition: "resource.machineType.contains('/machineTypes/n2d')"
    actionType: ALLOW
    methodTypes: CREATE
    displayName: Only N2D VMs allowed
    description: Restrict all VMs created to only use N2D machine types.

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  2. החלת האילוץ המותאם אישית.

    gcloud org-policies set-custom-constraint onlyN2DVMs.yaml
    

יצירת מדיניות הארגון

  1. כדי להגדיר מדיניות ארגונית, יוצרים קובץ בשם onlyN2DVMs-policy.yaml. בדוגמה הזו אנחנו אוכפים את האילוץ הזה ברמת הפרויקט, אבל אפשר גם להגדיר אותו ברמת הארגון או התיקייה.

    name: projects/PROJECT_ID/policies/custom.createOnlyN2DVMs
    spec:
      rules:
    enforce: true

    מחליפים את PROJECT_ID במזהה הפרויקט.

  2. אוכפים את מדיניות הארגון.

    gcloud org-policies set-policy onlyN2DVMs-policy.yaml
    

בדיקת המדיניות

  1. כדי לבדוק את האילוץ, מנסים ליצור מכונה וירטואלית שמשתמשת בסוג מכונה שאינו מכונת N2D.

    gcloud compute instances create my-test-instance \
        --project=PROJECT_ID \
        --zone=us-central1-c \
        --machine-type=e2-medium
    

    הפעולה אסורה והפלט אמור להיראות כך:

    ERROR: (gcloud.compute.instances.create) Could not fetch resource:
    – Operation denied by custom org policies: [customConstraints/custom.createOnlyN2DVMs]: Restrict all VMs created to only use N2D machine types.
    

דוגמאות למדיניות מותאמת אישית של הארגון לתרחישים נפוצים

בטבלה הזו מפורטות דוגמאות לתחביר של כמה אילוצים נפוצים בהתאמה אישית.

תיאור תחביר של מגבלות
סוג הדיסק המתמיד (persistent disk) חייב להיות 'אחסון מתמיד (persistent disk) קיצוני (pd-extreme)'
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksPDExtremeOnly
  resourceTypes: compute.googleapis.com/Disk
  condition: "resource.type.contains('pd-extreme')"
  actionType: ALLOW
  methodTypes: CREATE
  displayName: Create pd-extreme disks only
  description: Only the extreme persistent disk type is allowed to be created.
גודל הדיסק צריך להיות קטן מ-250GB או שווה לו
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksLessThan250GB
  resourceTypes: compute.googleapis.com/Disk
  condition: "resource.sizeGb <= 250"
  actionType: ALLOW
  methodTypes: CREATE
  displayName: Disks size maximum is 250 GB
  description: Restrict the boot disk size to 250 GB or less for all VMs.
תמונות המקור חייבות להיות רק מ-Cloud Storage test_bucket
name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksfromStoragebucket
resourceTypes: compute.googleapis.com/Image
condition: "resource.rawDisk.source.contains('storage.googleapis.com/test_bucket/')"
actionType: ALLOW
methodTypes: CREATE
displayName: Source image must be from Cloud Storage test_bucket only
description: Source images used in this project must be imported from the
Cloud Storage test_bucket.
למכונה הווירטואלית צריכה להיות תווית עם המפתח cost center
name: organizations/ORGANIZATION_ID/customConstraints/custom.createVMWithLabel
resourceTypes: compute.googleapis.com/Instance
condition: "'cost_center' in resource.labels"
actionType: ALLOW
methodTypes: CREATE
displayName: 'cost_center' label required
description: Requires that all VMs created must have a 'cost_center' label
that can be used for tracking and billing purposes.
למכונה הווירטואלית צריכה להיות תווית עם המפתח cost center והערך eCommerce
name: organizations/ORGANIZATION_ID/customConstraints/custom.createECommerceVMOnly
resourceTypes: compute.googleapis.com/Instance
condition: "'cost_center' in resource.labels and resource.labels['cost_center'] == 'eCommerce'"
actionType: ALLOW
methodTypes: CREATE
displayName:  Label (cost_center/eCommerce) required
description: Label required and Key/value must be cost_center/eCommerce.
המכונה הווירטואלית חייבת להשתמש בסוג המכונה N2D
name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyN2DVMs
resourceTypes: compute.googleapis.com/Instance
condition: "resource.machineType.contains('/machineTypes/n2d')"
actionType: ALLOW
methodTypes: CREATE
displayName: Only N2D VMs allowed
description: Restrict all VMs created to only use N2D machine types.
המכונה הווירטואלית חייבת להשתמש בסוג המכונה e2-highmem-8
name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyE2highmem8
resourceTypes: compute.googleapis.com/Instance
condition: "resource.machineType.endsWith('-e2-highmem-8')"
actionType: ALLOW
methodTypes: CREATE
displayName: Only "e2-highmem-8" VMs allowed
description: Restrict all VMs created to only use the E2 high-memory
machine types that have 8 vCPUs.
הפקודה מוודאת שהמכונות הווירטואליות מתוזמנות בקבוצת הצמתים foo
name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlySTVM
resourceTypes: compute.googleapis.com/Instance
condition: "resource.scheduling.nodeAffinities.exists(n, n.key == 'foo')"
actionType: ALLOW
methodTypes: CREATE
displayName: Only VMs scheduled on node group "foo" allowed
description: Restrict all VMs created to use the node group "foo".

אכיפה של תגי חובה ב-Resource Manager

חלק מהמשאבים של Compute Engine תומכים גם באילוץ מסוג GOVERN_TAGS כדי לאכוף תגי Resource Manager חובה במשאב של Compute Engine. מידע נוסף זמין במאמר בנושא אכיפה של תגים חובה באמצעות מדיניות הארגון.

תמחור

שירות מדיניות הארגון, כולל מדיניות ארגון מוגדרת מראש ומותאמת אישית, מוצע ללא תשלום.

המאמרים הבאים