Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan Kebijakan Organisasi

Layanan Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas Cloud de Confiance resource organisasi Anda. Sebagai administrator kebijakan organisasi, Anda dapat mengonfigurasi batasan di seluruh hierarki resource Anda.

Manfaat

Kontrol terpusat untuk mengonfigurasi batasan tentang cara penggunaan resource organisasi Anda.
Tentukan dan tetapkan batas aman bagi tim pengembangan Anda agar tetap berada dalam batas kepatuhan.
Membantu pemilik project dan tim mereka bergerak cepat tanpa takut melanggar kepatuhan.

Kasus penggunaan umum

Kebijakan organisasi memungkinkan Anda melakukan hal berikut:

Ada banyak batasan lainnya yang memberi Anda kontrol terperinci atas resource organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat daftar semua batasan Kebijakan Organisasi.

Perbedaan dari Identity and Access Management

Identity and Access Management berfokus pada siapa, dan memungkinkan administrator memberikan otorisasi kepada siapa yang dapat mengambil tindakan atas resource tertentu berdasarkan izin.

Kebijakan Organisasi berfokus pada apa, dan memungkinkan administrator menetapkan batasan pada resource tertentu untuk menentukan cara mengonfigurasinya.

Cara kerja kebijakan organisasi

Kebijakan organisasi mengonfigurasi satu batasan yang membatasi satu atau beberapa layanan Cloud de Confiance . Kebijakan organisasi ditetapkan pada resource organisasi, folder, atau project untuk menerapkan batasan pada resource tersebut dan resource turunannya.

Kebijakan organisasi berisi satu atau beberapa aturan yang menentukan cara, dan apakah, batasan akan diterapkan. Misalnya, kebijakan organisasi dapat berisi satu aturan yang menerapkan batasan hanya pada resource yang diberi tag environment=development, dan aturan lain yang mencegah batasan diterapkan pada resource lain.

Turunan resource yang menjadi tempat kebijakan organisasi dilampirkan akan mewarisi kebijakan organisasi tersebut. Dengan menerapkan kebijakan organisasi ke resource organisasi, administrator kebijakan organisasi dapat mengontrol penerapan kebijakan organisasi tersebut dan konfigurasi batasan di seluruh organisasi Anda.

Konsep kebijakan organisasi

Batasan

Batasan adalah jenis pembatasan tertentu terhadap Cloud de Confiance layanan atau daftar Cloud de Confiance layanan. Anggap batasan sebagai panduan dasar yang mendefinisikan perilaku yang dikontrol. Misalnya, Anda dapat membatasi akses resource project ke resource penyimpanan Compute Engine menggunakan batasan compute.storageResourceUseRestrictions.

Panduan dasar ini kemudian ditetapkan pada resource di hierarki resource sebagai kebijakan organisasi, yang menerapkan aturan yang ditentukan dalam batasan. Layanan Cloud de Confiance yang dipetakan ke batasan tersebut dan terkait dengan resource tersebut akan menerapkan batasan yang dikonfigurasi dalam kebijakan organisasi.

Kebijakan organisasi ditentukan dalam file YAML atau JSON berdasarkan batasan yang diterapkan dan secara opsional berdasarkan kondisi saat batasan diterapkan. Setiap kebijakan organisasi menerapkan tepat satu batasan dalam mode aktif, mode uji coba, atau keduanya.

Batasan terkelola lama memiliki satu atau beberapa aturan daftar atau aturan Boolean berdasarkan jenis batasan. Aturan daftar adalah kumpulan nilai yang diizinkan atau ditolak. Aturan boolean dapat mengizinkan semua nilai, menolak semua nilai, atau menentukan apakah batasan diterapkan atau tidak.

Batasan terkelola (lama)

Batasan terkelola lama memiliki jenis batasan daftar atau boolean, yang menentukan nilai yang dapat digunakan untuk memeriksa penegakan. Layanan Cloud de Confiance yang menerapkan akan mengevaluasi jenis dan nilai batasan untuk menentukan batasan yang diterapkan.

Batasan lama ini sebelumnya dikenal sebagai batasan yang telah ditentukan sebelumnya.

Mencantumkan aturan

Batasan terkelola lama dengan aturan daftar mengizinkan atau melarang daftar nilai yang ditentukan dalam kebijakan organisasi. Batasan lama ini sebelumnya dikenal sebagai batasan daftar. Daftar nilai yang diizinkan atau ditolak dinyatakan sebagai string subpohon hierarki. String subtree menentukan jenis resource yang berlaku. Misalnya, batasan terkelola lama constraints/compute.trustedImageProjects mengambil daftar project ID dalam bentuk projects/PROJECT_ID.

Anda dapat menentukan bahwa semua nilai diizinkan, semua nilai ditolak, atau daftar nilai tertentu diizinkan atau ditolak. Saat Anda menentukan daftar nilai yang diizinkan atau ditolak, Kebijakan Organisasi secara implisit mengevaluasi bahwa hanya nilai tersebut yang diizinkan atau ditolak. Misalnya, jika Anda memiliki batasan yang hanya mengizinkan projects/PROJECT_ID, maka semua nilai lainnya ditolak secara implisit.

Nilai dapat diberi awalan dalam bentuk prefix:value untuk batasan yang mendukungnya, yang memberikan makna tambahan pada nilai:

is: - menerapkan perbandingan terhadap nilai persis. Perilaku ini sama dengan tidak memiliki awalan, dan diperlukan jika nilai menyertakan titik dua.
under: - menerapkan perbandingan pada nilai dan semua nilai turunannya. Jika resource diizinkan atau ditolak dengan awalan ini, resource turunannya juga diizinkan atau ditolak. Nilai yang diberikan harus berupa ID resource organisasi, folder, atau project.
in: - menerapkan perbandingan ke semua resource yang menyertakan nilai ini. Misalnya, Anda dapat menambahkan in:us-locations ke daftar yang ditolak dari batasan constraints/gcp.resourceLocations untuk memblokir semua lokasi yang disertakan dalam region us.

Jika tidak ada daftar nilai yang diberikan, atau kebijakan organisasi disetel ke default yang dikelola Google, maka perilaku default batasan akan berlaku, yang mengizinkan semua nilai atau menolak semua nilai.

Kebijakan organisasi berikut menerapkan batasan terkelola lama yang memungkinkan instance VM Compute Engine vm-1 dan vm-2 di organizations/1234567890123 mengakses alamat IP eksternal:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Aturan Boolean

Batasan terkelola lama dengan aturan boolean diterapkan atau tidak diterapkan. Misalnya, constraints/compute.disableSerialPortAccess memiliki dua kemungkinan status:

Diterapkan - batasan diterapkan, dan akses port serial tidak diizinkan.
Tidak diterapkan - batasan disableSerialPortAccess tidak diterapkan atau diperiksa, sehingga akses port serial diizinkan.

Jika kebijakan organisasi disetel ke default yang dikelola Google, maka perilaku default untuk batasan akan berlaku.

Batasan lama ini sebelumnya dikenal sebagai batasan boolean.

Kebijakan organisasi berikut menerapkan batasan terkelola lama yang menonaktifkan pembuatan akun layanan eksternal di organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Kebijakan organisasi bersyarat

Tag memberikan cara untuk menerapkan batasan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Anda dapat menggunakan tag dan penerapan batasan bersyarat untuk memberikan kontrol terpusat atas resource dalam hierarki Anda.

Untuk mengetahui informasi selengkapnya tentang tag, lihat Ringkasan tag. Untuk mempelajari cara menetapkan kebijakan organisasi bersyarat menggunakan tag, lihat Mencakup kebijakan organisasi dengan tag.

Pewarisan

Saat kebijakan organisasi ditetapkan pada resource, semua turunan resource tersebut akan mewarisi kebijakan organisasi secara default. Jika Anda menetapkan kebijakan organisasi pada resource organisasi, konfigurasi batasan yang ditentukan oleh kebijakan tersebut akan diteruskan ke semua folder, project, dan resource layanan turunan.

Anda dapat menetapkan kebijakan organisasi pada resource turunan yang mengganti pewarisan atau mewarisi kebijakan organisasi dari resource induk. Kebijakan organisasi yang menerapkan batasan terkelola lama digabungkan berdasarkan aturan evaluasi hierarki. Sistem ini memberikan kontrol yang akurat tentang cara kebijakan organisasi Anda diterapkan di seluruh organisasi dan tempat Anda ingin membuat pengecualian.

Untuk mempelajari lebih lanjut, lihat Evaluasi hierarki.

Pelanggaran

Pelanggaran terjadi saat layanan Cloud de Confiance bertindak atau berada dalam status yang bertentangan dengan konfigurasi batasan kebijakan organisasi dalam cakupan hierarki resource-nya.Layanan Cloud de Confiance akan memberlakukan batasan untuk mencegah pelanggaran, tetapi penerapan kebijakan organisasi baru biasanya tidak berlaku surut. Jika batasan kebijakan organisasi diberlakukan secara retroaktif, batasan tersebut akan diberi label seperti itu di halaman batasan kebijakan organisasi.

Jika kebijakan organisasi baru menetapkan batasan pada tindakan atau status yang sudah ada di layanan, kebijakan tersebut dianggap melanggar, tetapi layanan tidak akan menghentikan perilaku aslinya. Anda harus mengatasi pelanggaran ini secara manual. Tindakan ini mencegah risiko kebijakan organisasi baru menghentikan kontinuitas bisnis Anda sepenuhnya.

Langkah berikutnya

Pelajari cara menentukan kebijakan organisasi.
Pelajari solusi yang dapat Anda lakukan dengan batasan kebijakan organisasi.