Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Evaluierung der Hierarchie

Wenn Sie für eine Ressource eine Organisationsrichtlinie festlegen, wird diese von allen untergeordneten Objekten der Ressource standardmäßig übernommen. Wenn Sie eine Organisationsrichtlinie für Ihre Organisationsressource festlegen, werden diese Einschränkungen von allen untergeordneten Ressourcen übernommen.

Sie können für untergeordnete Ressourcen dieselbe Organisationsrichtlinie mit einer anderen Konfiguration festlegen. In diesem Fall wird die übernommene Richtlinie abhängig von den Regeln zur Evaluierung der Hierarchie und dem in der Organisationsrichtlinie definierten Einschränkungstyp von der benutzerdefinierten Organisationsrichtlinie überschrieben oder mit ihr zusammengeführt.

Hinweis

Lesen Sie die Seite Informationen zu Einschränkungen, um zu erfahren, was eine Einschränkung ist.
Lesen Sie die Übersicht über den Organisationsrichtliniendienst, um zu erfahren, wie Organisationsrichtlinien verwendet werden.

Beispielhierarchie

Im folgenden Diagramm zur Ressourcenhierarchie wird für jede Ressource eine Organisationsrichtlinie festgelegt, die eine verwaltete Legacy-Einschränkung erzwingt und definiert, ob die Richtlinie die Richtlinie der übergeordneten Ressource übernimmt. Die farbigen Formen stellen die Werte dar, die von der Organisationsrichtlinie zugelassen oder abgelehnt werden.

Übernahmediagramm

Eine Einschränkung ist eine bestimmte Art von Einschränkung, die für einen Cloud de Confiance Dienst oder eine Liste von Cloud de Confiance Diensten erzwungen wird. Im vorigen Beispiel stellt die Einschränkung die Standardeinschränkung dar, die das Verhalten definiert, wenn die Einschränkung nicht in einer Organisationsrichtlinie definiert ist. Die Standardeinschränkung in diesem Beispiel lässt alle Werte zu. In den untergeordneten Knoten sind Organisationsrichtlinien definiert, von denen die Standardeinschränkung überschrieben wird, indem Werte zugelassen oder abgelehnt werden.

Die geltende Richtlinie der einzelnen Knoten wird anhand der Regeln für die Übernahme evaluiert. Wenn keine Organisationsrichtlinie festgelegt wurde, übernimmt die Ressource das Standardverhalten der Einschränkung. Wenn Sie eine Organisationsrichtlinie festlegen, wird stattdessen Ihre Richtlinie verwendet. Im vorigen Beispiel wird im Organisationsknoten eine Richtlinie definiert, die rote Quadrate und grüne Kreise zulässt.

Die Ressourcen, die sich in der Hierarchie unter dem Organisationsknoten befinden, werden folgendermaßen evaluiert:

Ressource 1 definiert eine Richtlinie, nach der inheritFromParent auf TRUE festgelegt wird und blaue Rauten zulässig sind. Die Richtlinie des Organisationsknotens wird übernommen und mit der für Ressource 1 festgelegten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch, nach der rote Quadrate, grüne Kreise und blaue Rauten zulässig sind.
Ressource 2 definiert eine Richtlinie, nach der inheritFromParent auf TRUE festgelegt wird und grüne Kreise nicht zulässig sind. Abgelehnte Werte haben beim Richtlinienabgleich immer Vorrang. Die Richtlinie des Organisationsknotens wird übernommen und mit der für Ressource 2 festgelegten Richtlinie zusammengeführt. Die geltende Richtlinie führt eine Evaluierung durch , nach der nur rote Quadrate zulässig sind.
Ressource 3 definiert eine Richtlinie, nach der inheritFromParent auf FALSE festgelegt wird und gelbe Sechsecke zulässig sind. Die Richtlinie des Organisationsknotens wird nicht übernommen, deshalb führt die effektive Richtlinie die Evaluierung durch, nach der nur gelbe Sechsecke zulässig sind.
Ressource 4 definiert eine Richtlinie, nach der inheritFromParent auf FALSE festgelegt wird und der Wert restoreDefault enthalten ist. Die Richtlinie des Organisationsknotens wird nicht übernommen und das Standardverhalten der Einschränkung wird verwendet, sodass die effektive Richtlinie eine Evaluierung durchführt, nach der alle Werte zulässig sind.

Regeln für die Evaluierung der Hierarchie

Die folgenden Regeln bestimmen, wie eine Organisationsrichtlinie für eine bestimmte Ressource evaluiert wird. Sie benötigen die Rolle „Organisationsrichtlinienadministrator“ , um eine Organisationsrichtlinie festlegen zu können.

Automatisch erzwungene Einschränkungen

Wenn eine Organisationsrichtlinie nicht erzwungen wird, wird sie vom niedrigsten Ancestor übernommen, bei dem eine Organisationsrichtlinie erzwungen wird. Wenn in der Ancestor-Hierarchie keine Organisationsrichtlinie erzwungen wird, wird das von Google verwaltete Standardverhalten der Einschränkung erzwungen.

Wenn das von Google verwaltete Standardverhalten einer Einschränkung für Organisationsrichtlinien einen Vorgang einschränkt, wird dieser Vorgang auch dann eingeschränkt, wenn Sie nie explizit eine Organisationsrichtlinie definiert haben. Wenn Sie diese Vorgänge zulassen möchten, müssen Sie Organisationsrichtlinien erstellen, die die übergeordnete Richtlinie überschreiben.

Eine Liste der Einschränkungen für Organisationsrichtlinien, die ein von Google verwaltetes Standard verhalten haben, das Vorgänge einschränkt, finden Sie unter Einschränkungen für Organisationsrichtlinien.

Übernahme

Eine Ressource, für die standardmäßig eine Organisationsrichtlinie festgelegt wurde, ersetzt alle Richtlinien, die von ihren übergeordneten Ressourcen in der Hierarchie festgelegt wurden. Wenn jedoch für eine Ressource inheritFromParent = true festgelegt wurde, wird die effektive Richtlinie der übergeordneten Ressource übernommen, zusammengeführt und abgeglichen, um die resultierende effektive Richtlinie auszuwerten. Beispiel:

Für einen Ordner wird der Wert projects/123 abgelehnt.
In einem Projekt, das diesem Ordner untergeordnet ist, wird der Wert projects/456 abgelehnt.

Die beiden Richtlinien werden in diesem Fall zu einer effektiven Richtlinie zusammengeführt, die sowohl projects/123 als auch projects/456 ablehnt.

Standardverhalten übernehmen

Das Standardverhalten wird nie zusammengeführt. Wenn eine Richtlinie festgelegt wird, ersetzt sie immer das Standardverhalten. Beispiel:

Die Einschränkung constraints/iam.allowServiceAccountCredentialLifetimeExtension ist standardmäßig auf Organisationsebene auf DENY festgelegt.
Für diese Einschränkung lässt ein Projekt direkt unter dieser Organisation den Wert SomeServiceAccount zu.

Da das Standardverhalten nie zusammengeführt und immer ersetzt wird, ergibt sich eine effektive Richtlinie, die SomeServiceAccount zulässt. Wenn die Richtlinie dagegen auf Organisationsebene explizit auf DENY festgelegt wurde, gilt die Regel „Der Wert DENY hat Vorrang“ und die effektive Richtlinie ist DENY.

Übernahme nicht zulässig

Wenn für eine Ressource eine Richtlinie festgelegt ist, die inheritFromParent = false enthält, übernimmt diese nicht die Organisationsrichtlinie von ihrem übergeordneten Element. Stattdessen übernimmt die Ressource das Standardverhalten der Einschränkung, es sei denn, Sie legen eine Richtlinie mit zulässigen oder nicht zulässigen Werten fest.

Richtlinienkonflikte abgleichen

Wenn eine Ressource Organisationsrichtlinien übernimmt, werden die übernommenen Richtlinien mit der Organisationsrichtlinie der übergeordneten Ressource zusammengeführt und abgeglichen. Bei der Evaluierung von Organisationsrichtlinien mit Listenregeln haben DENY-Werte immer Vorrang. Beispiel:

Für einen Ordner wird der Wert projects/123 abgelehnt.
In einem diesem Ordner untergeordneten Projekt ist der Wert projects/123 zulässig.

Die Richtlinien werden zusammengeführt und der Wert DENY hat Vorrang. Die geltende Richtlinie lässt keine Werte zu. Bei der Evaluierung spielt es dabei keine Rolle, ob die übergeordnete oder untergeordnete Ressource den Wert nicht zulässt. Vermeiden Sie es möglichst, einen Wert sowohl in die Liste der zugelassenen Werte als auch in die Liste der abgelehnten Werte aufzunehmen. Die Richtlinien lassen sich sonst nur schwer nachvollziehen.

Organisationsrichtlinien mit booleschen Regeln führen Richtlinien nicht zusammen und gleichen sie nicht miteinander ab. Wenn für eine Ressource eine Richtlinie festgelegt wurde, wird der Wert TRUE oder FALSE verwendet, um die effektive Richtlinie zu ermitteln. Beispiel:

In einem Ordner wird für constraints/iam.managed.disableServiceAccountCreation enforced: true festgelegt.
In einem Projekt, das diesem Ordner untergeordnet ist, wird für constraints/iam.managed.disableServiceAccountCreation enforced: false festgelegt.

Der für den Ordner festgelegte Wert enforced: true wird ignoriert, da projektspezifisch enforced: false definiert ist. Die Organisationsrichtlinie wird für dieses Projekt nicht erzwungen.

Auf Standardrichtlinie zurücksetzen

Wenn RestoreDefault aufgerufen wird, verwendet die Organisationsrichtlinie das Standardverhalten der Einschränkung für diese Ressource. Auch untergeordnete Ressourcen übernehmen dieses Verhalten.