本頁說明如何使用 Organization Policy Service 自訂限制,限制對下列 Trusted Cloud by S3NS 資源執行的特定作業:
cloudkms.googleapis.com/KeyHandlecloudkms.googleapis.com/AutokeyConfigcloudkms.googleapis.com/CryptoKeycloudkms.googleapis.com/CryptoKeyVersioncloudkms.googleapis.com/EkmConnectioncloudkms.googleapis.com/EkmConfigcloudkms.googleapis.com/ImportJob
如要進一步瞭解機構政策,請參閱「自訂機構政策」。
關於機構政策和限制
Trusted Cloud 機構政策服務可讓您透過程式以集中方式控管機構的資源。身為機構政策管理員,您可以定義機構政策,也就是一組稱為「限制」的限制,適用於Trusted Cloud 資源和Trusted Cloud by S3NS 資源階層中這些資源的子系。您可以在機構、資料夾或專案層級強制執行機構政策。
機構政策提供各種 Trusted Cloud 服務的內建代管限制。不過,如要更精細地自訂機構政策中受限的特定欄位,也可以建立自訂限制,並在機構政策中使用這些自訂限制。
政策繼承
根據預設,機構政策會由您強制執行政策的資源子系繼承。舉例來說,如果您對資料夾強制執行政策, Trusted Cloud 系統會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更,請參閱「階層評估規則」。
事前準備
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Install the Google Cloud CLI.
-
設定 gcloud CLI 以使用您的聯合身分。
詳情請參閱「 使用聯合身分登入 gcloud CLI」。
-
如要初始化 gcloud CLI,請執行下列指令:
gcloud init - 請確認您知道機構 ID。
ORGANIZATION_ID:您的機構 ID,例如123456789。CONSTRAINT_NAME:新自訂限制的名稱。自訂限制條件必須以custom.開頭,且只能包含大寫英文字母、小寫英文字母或數字。例如,custom.maxKeyRotationPeriod。這個欄位的長度上限為 70 個字元。RESOURCE_NAME:包含要限制物件和欄位的Trusted Cloud 資源完整名稱。例如:cloudkms.googleapis.com/CryptoKey。CONDITION:針對支援服務資源的代表項目編寫的 CEL 條件。這個欄位的長度上限為 1000 個字元。如要進一步瞭解可編寫條件的資源,請參閱「支援的資源」。例如:"resource.rotationPeriod <= duration('7776000s')"。ACTION:如果符合condition,應採取的動作。可能的值為ALLOW和DENY。DISPLAY_NAME:限制條件的易記名稱。這個欄位的長度上限為 200 個字元。DESCRIPTION:違反政策時,要以錯誤訊息形式顯示的限制說明。這個欄位的長度上限為 2000 個字元。- 前往 Trusted Cloud 控制台的「Organization policies」(組織政策) 頁面。
- 在專案選擇工具中,選取要設定機構政策的專案。
- 在「Organization policies」(機構政策) 頁面上的清單中選取限制條件,即可查看該限制條件的「Policy details」(政策詳情) 頁面。
- 如要設定這項資源的機構政策,請按一下「管理政策」。
- 在「編輯政策」頁面中,選取「覆寫上層政策」。
- 按一下「新增規則」。
- 在「Enforcement」(強制執行) 區段中,選取是否要強制執行這項機構政策。
- 選用:如要根據標記設定機構政策條件,請按一下「新增條件」。請注意,如果為組織政策新增條件式規則,您必須至少新增一項無條件規則,否則無法儲存政策。詳情請參閱「使用標記設定組織政策」。
- 按一下「測試變更」,模擬機構政策的影響。舊版受管理限制不支援政策模擬。詳情請參閱「 使用 Policy Simulator 測試組織政策變更」。
- 如要完成並套用機構政策,請按一下「設定政策」。這項政策最多需要 15 分鐘才會生效。
-
PROJECT_ID:要強制執行限制的專案。 -
CONSTRAINT_NAME:您為自訂限制定義的名稱。例如:custom.maxKeyRotationPeriod。
必要的角色
如要取得管理自訂機構政策所需的權限,請要求管理員為您授予機構資源的機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
建立自訂限制
自訂限制是在 YAML 檔案中定義,當中包含您要強制執行機構政策的服務所支援的資源、方法、條件和動作。自訂限制的條件是使用一般運算語言 (CEL) 定義。如要進一步瞭解如何使用 CEL 在自訂限制中建構條件,請參閱「建立及管理自訂限制」一文的 CEL 一節。
如要建立自訂限制,請使用下列格式建立 YAML 檔案:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
更改下列內容:
如要進一步瞭解如何建立自訂限制,請參閱「定義自訂限制」。
設定自訂限制
為新的自訂限制建立 YAML 檔案後,您必須進行設定,才能在貴機構的機構政策中使用該檔案。如要設定自訂限制,請使用gcloud org-policies set-custom-constraint 指令:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替換為自訂限制檔案的完整路徑。例如:/home/user/customconstraint.yaml。
完成後,自訂限制就會顯示在 Trusted Cloud by S3NS 機構政策清單中,做為機構政策使用。如要確認自訂限制存在,請使用 gcloud org-policies list-custom-constraints 指令:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替換為機構資源的 ID。
詳情請參閱「查看組織政策」。
強制執行自訂機構政策
如要強制執行限制,請建立參照該限制的機構政策,然後將該政策套用至 Trusted Cloud by S3NS 資源。控制台
gcloud
如要建立含有布林值規則的機構政策,請建立參照限制的政策 YAML 檔案:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
取代下列項目:
如要強制執行包含限制的機構政策,請執行下列指令:
gcloud org-policies set-policy POLICY_PATH
將 POLICY_PATH 替換為機構政策 YAML 檔案的完整路徑。這項政策最多需要 15 分鐘才會生效。
常見用途的自訂機構政策範例
下表提供一些常見用途的自訂限制語法:
| 說明 | 限制語法 |
|---|---|
| 將輪替週期設為最多 90 天 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.maxRotationPeriod resourceTypes: - cloudkms.googleapis.com/CryptoKey methodTypes: - CREATE - UPDATE condition: "resource.rotationPeriod <= duration('7776000s')" actionType: ALLOW displayName: Enforce maximum rotation period for Cloud KMS keys description: The maximum rotation period for Cloud KMS keys is 90 days. |
| 將「已安排刪除」狀態的持續時間上限設為 180 天 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.maxRotationPeriod resourceTypes: - cloudkms.googleapis.com/CryptoKey methodTypes: - CREATE condition: "resource.destroyScheduledDuration <= duration('15552000s')" actionType: ALLOW displayName: Enforce maximum scheduled for destruction duration description: The maximum length of the scheduled for destruction period is 180 days. |
要求匯入的金鑰採用 HSM 防護等級 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.importToHSM
resourceTypes:
- cloudkms.googleapis.com/ImportJob
methodTypes:
- CREATE
condition: "resource.protectionLevel == 'HSM'"
actionType: ALLOW
displayName: Import to HSM keys only
description: New ImportJob resources must use the |
Cloud Key Management Service 支援的資源
下表列出可在自訂限制中參照的 Cloud Key Management Service 資源。| 資源 | 欄位 |
|---|---|
| cloudkms.googleapis.com/AutokeyConfig |
resource.keyProject
|
resource.name
| |
| cloudkms.googleapis.com/CryptoKey |
resource.cryptoKeyBackend
|
resource.destroyScheduledDuration
| |
resource.importOnly
| |
resource.keyAccessJustificationsPolicy.allowedAccessReasons
| |
resource.nextRotationTime
| |
resource.purpose
| |
resource.rotationPeriod
| |
resource.versionTemplate.algorithm
| |
resource.versionTemplate.protectionLevel
| |
| cloudkms.googleapis.com/CryptoKeyVersion |
resource.externalProtectionLevelOptions.ekmConnectionKeyPath
|
resource.externalProtectionLevelOptions.externalKeyUri
| |
resource.state
| |
| cloudkms.googleapis.com/EkmConfig |
resource.defaultEkmConnection
|
| cloudkms.googleapis.com/EkmConnection |
resource.cryptoSpacePath
|
resource.keyManagementMode
| |
resource.serviceResolvers.endpointFilter
| |
resource.serviceResolvers.hostname
| |
resource.serviceResolvers.serverCertificates.rawDer
| |
resource.serviceResolvers.serviceDirectoryService
| |
| cloudkms.googleapis.com/ImportJob |
resource.importMethod
|
resource.protectionLevel
| |
| cloudkms.googleapis.com/KeyHandle |
resource.name
|
resource.resourceTypeSelector
|