Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית של מדיניות הארגון

שירות מדיניות הארגון מאפשר לכם לקבל שליטה מרוכזת ופרוגרמטית על משאבי Cloud de Confiance של הארגון. בתור אדמין של מדיניות הארגון, אתם יכולים להגדיר אילוצים בכל היררכיית המשאבים.

יתרונות

ריכוז השליטה כדי להגדיר הגבלות על אופן השימוש במשאבים של הארגון.
הגדרת אמצעי בקרה לצוותי הפיתוח כדי לוודא שהם פועלים בהתאם לדרישות התאימות.
לעזור לבעלי פרויקטים ולצוותים שלהם להתקדם במהירות בלי לחשוש מפגיעה בתאימות.

תרחישים נפוצים לדוגמה

מדיניות הארגון מאפשרת לכם לבצע את הפעולות הבאות:

יש עוד הרבה אילוצים שמאפשרים לכם שליטה מדויקת במשאבים של הארגון. רשימת כל האילוצים של מדיניות הארגון

ההבדלים מניהול זהויות והרשאות גישה (IAM)

מערכת ניהול הזהויות והרשאות הגישה (IAM) מתמקדת במי, ומאפשרת לאדמין להעניק הרשאה למשתמשים ולקבוצות לבצע פעולות במשאבים מסוימים, בהתאם להרשאות.

מדיניות הארגון מתמקדת במה, ומאפשרת לאדמין להגדיר הגבלות על משאבים ספציפיים כדי לקבוע איך מגדירים אותם.

איך פועלת מדיניות הארגון

מדיניות הארגון מגדירה מגבלה אחת שמגבילה שירות אחד או יותר Cloud de Confiance . מדיניות הארגון מוגדרת במשאב של ארגון, תיקייה או פרויקט כדי לאכוף את האילוץ על המשאב הזה ועל כל משאבי הצאצא.

מדיניות ארגון מכילה כלל אחד או יותר שמציינים איך לאכוף את האילוץ, או אם לאכוף אותו בכלל. לדוגמה, מדיניות ארגון יכולה להכיל כלל אחד שאוכף את ההגבלה רק על משאבים שתויגו בתג environment=development, וכלל אחר שמונע את אכיפת ההגבלה על משאבים אחרים.

משאבים צאצאים של המשאב שמצורפת אליו מדיניות הארגון יורשים את מדיניות הארגון. החלת מדיניות ארגונית על משאב הארגון מאפשרת לאדמין של המדיניות הארגונית לשלוט באכיפה של המדיניות הארגונית הזו ובהגדרת ההגבלות בארגון.

מושגים שקשורים למדיניות הארגון

מגבלות

אילוץ הוא סוג מסוים של הגבלה על שירותCloud de Confiance או על רשימה של שירותים. Cloud de Confiance אפשר לחשוב על האילוץ כעל תוכנית שמגדירה אילו התנהגויות נשלטות. לדוגמה, אפשר להגביל את הגישה של משאבי פרויקט למשאבי אחסון של Compute Engine באמצעות האילוץ compute.storageResourceUseRestrictions.

לאחר מכן, התוכנית מוגדרת במשאב בהיררכיית המשאבים כמדיניות ארגון, שמחיל את הכללים שמוגדרים באילוץ. השירות Cloud de Confiance שממופה לאילוץ הזה ומשויך למשאב הזה אוכף את ההגבלות שהוגדרו במדיניות הארגון.

מדיניות ארגונית מוגדרת בקובץ YAML או JSON לפי האילוץ שהיא אוכפת, ואופציונלית לפי התנאים שבהם האילוץ נאכף. כל מדיניות ארגונית אוכפת אילוץ אחד בלבד במצב פעיל, במצב הרצה יבשה או בשניהם.

למגבלות מנוהלות מדור קודם יש כלל אחד או יותר של רשימה או כללים בוליאניים שמבוססים על סוג המגבלה. כללי רשימה הם אוסף של ערכים מותרים או אסורים. כללים בוליאניים יכולים לאפשר את כל הערכים, לדחות את כל הערכים או לקבוע אם מגבלה נאכפת או לא נאכפת.

אילוצים מנוהלים (גרסה קודמת)

לאילוצים מנוהלים מדור קודם יש סוג אילוץ של רשימה או בוליאני, שקובע את הערכים שאפשר להשתמש בהם לבדיקת האכיפה. השירותCloud de Confiance שמחיל את המדיניות יעריך את סוג המגבלה ואת הערך שלה כדי לקבוע את ההגבלה שמוחלת.

האילוצים הקודמים האלה נקראו בעבר אילוצים מוגדרים מראש.

כללים לרשימה

אילוצים מנוהלים מדור קודם עם כללי רשימה מאפשרים או אוסרים שימוש ברשימת ערכים שמוגדרים במדיניות הארגון. האילוצים האלה מדור קודם נקראו בעבר אילוצי רשימה. רשימת הערכים המותרים או האסורים מופיעה כמחרוזת של עץ משנה היררכי. מחרוזת העץ המשני מציינת את סוג המשאב שהיא חלה עליו. לדוגמה, האילוץ המנוהל מדור קודם constraints/compute.trustedImageProjects מקבל רשימה של מזהי פרויקטים בצורה projects/PROJECT_ID.

אפשר לציין שכל הערכים מותרים, שכל הערכים אסורים או שרשימה ספציפית של ערכים מותרת או אסורה. כשמציינים רשימה של ערכים מותרים או אסורים, המערכת של Organization Policy מסיקה שרק הערכים האלה מותרים או אסורים. לדוגמה, אם יש לכם אילוץ שמאפשר רק את הערך projects/PROJECT_ID, אז כל הערכים האחרים נדחים באופן מרומז.

אפשר להוסיף לערכים קידומת בצורה prefix:value לאילוצים שתומכים בהם, וכך להוסיף משמעות לערך:

‫is: – החלת השוואה לערך המדויק. ההתנהגות הזו זהה למצב שבו לא מציינים קידומת, והיא נדרשת כשהערך כולל נקודתיים.
‫under: – מבצע השוואה בין הערך לבין כל ערכי הצאצא שלו. אם משאב מורשה או נדחה עם הקידומת הזו, גם משאבי הצאצא שלו מורשים או נדחים. הערך שצריך לספק הוא המזהה של משאב ארגון, תיקייה או פרויקט.
‫in: – משווה את כל המשאבים שכוללים את הערך הזה. לדוגמה, אפשר להוסיף את in:us-locations לרשימת המיקומים שנדחו במגבלת constraints/gcp.resourceLocations כדי לחסום את כל המיקומים שנכללים באזור us.

אם לא מספקים רשימת ערכים, או אם מדיניות הארגון מוגדרת כברירת המחדל שמנוהלת על ידי Google, ברירת המחדל של האילוץ נכנסת לתוקף, כלומר כל הערכים מותרים או כל הערכים אסורים.

מדיניות הארגון הבאה אוכפת מגבלה מנוהלת מדור קודם שמאפשרת למכונות וירטואליות ב-Compute Engine‏ vm-1 ו-vm-2 ב-organizations/1234567890123 לגשת לכתובות IP חיצוניות:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

כללים בוליאניים

אילוץ מנוהל מדור קודם עם כלל בוליאני נאכף או לא נאכף. לדוגמה, ל-constraints/compute.disableSerialPortAccess יש שני מצבים אפשריים:

נאכף – האילוץ נאכף, ולא מותרת גישה ליציאות טוריות.
לא נאכף – האילוץ disableSerialPortAccess לא נאכף או נבדק, ולכן הגישה ליציאה טורית מותרת.

אם מדיניות הארגון מוגדרת כברירת המחדל שמנוהלת על ידי Google, ההתנהגות שמוגדרת כברירת מחדל לאילוץ תיכנס לתוקף.

האילוצים הקודמים האלה נקראו בעבר אילוצים בוליאניים.

מדיניות הארגון הבאה אוכפת מגבלה מנוהלת מדור קודם שמשביתה את היצירה של חשבונות שירות חיצוניים ב-organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

מדיניות ארגון מותנית

תגים מאפשרים לאכוף אילוצים באופן מותנה, בהתאם לשאלה אם תג ספציפי מצורף למשאב. אתם יכולים להשתמש בתגים ובאכיפה מותנית של הגבלות כדי לספק בקרה מרכזית על המשאבים בהיררכיה.

מידע נוסף על תגים זמין במאמר סקירה כללית על תגים. כדי ללמוד איך להגדיר מדיניות ארגונית מותנית באמצעות תגים, אפשר לעיין במאמר הגדרת מדיניות ארגונית באמצעות תגים.

ירושה

כשמגדירים מדיניות ארגונית במשאב, כל הצאצאים של המשאב הזה יורשים את המדיניות הארגונית כברירת מחדל. אם מגדירים מדיניות ארגון במשאב הארגון, הגדרת ההגבלות שמוגדרת במדיניות הזו תועבר לכל התיקיות, הפרויקטים והמשאבים של השירותים שהם צאצאים של הארגון.

אפשר להגדיר מדיניות ארגונית במשאב צאצא שתחליף את המדיניות שעברה בירושה או שתעבור בירושה מהמדיניות הארגונית של משאב האב. כללי מדיניות הארגון שמחילים אילוצים מנוהלים מדור קודם משולבים על סמך הכללים של הערכת ההיררכיה. המערכת הזו מספקת שליטה מדויקת באופן שבו מדיניות הארגון חלה על כל הארגון, ובמקומות שבהם רוצים ליצור חריגים.

מידע נוסף זמין במאמר בנושא הערכת היררכיה.

הפרות

הפרה מתרחשת כששירות Cloud de Confiance פועל או נמצא במצב שנוגד את הגדרת ההגבלות של מדיניות הארגון במסגרת היררכיית המשאבים שלו. Cloud de Confiance שירותים יאכפו מגבלות כדי למנוע הפרות, אבל בדרך כלל יישום של מדיניות ארגון חדשה לא חל רטרואקטיבית. אם אילוץ של מדיניות הארגון נאכף באופן רטרואקטיבי, הוא יסומן ככזה בדף מגבלות שקשורות למדיניות הארגון.

אם מדיניות ארגונית חדשה מגדירה הגבלה על פעולה או על מצב ששירות כבר נמצא בו, המדיניות נחשבת להפרה, אבל השירות לא יפסיק את ההתנהגות המקורית שלו. תצטרכו לטפל בהפרה הזו באופן ידני. כך אפשר למנוע את הסיכון שמדיניות ארגונית חדשה תשבית לחלוטין את המשכיות העסקית.

השלבים הבאים

איך מגדירים מדיניות ארגונית
פתרונות שאפשר להשיג באמצעות אילוצים של מדיניות הארגון.