Menggunakan batasan

Panduan ini menjelaskan cara membuat kebijakan organisasi dengan batasan tertentu. Batasan yang digunakan dalam contoh di halaman ini bukan batasan sebenarnya, tetapi contoh umum untuk tujuan pendidikan.

Untuk mengetahui informasi selengkapnya tentang batasan dan masalah yang diselesaikannya, tinjau daftar semua batasan Layanan Kebijakan Organisasi.

Sebelum memulai

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengelola kebijakan organisasi, minta administrator Anda untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mendelegasikan administrasi kebijakan organisasi

Untuk mendelegasikan administrasi kebijakan organisasi kepada akun utama lain, tambahkan kondisi ke binding peran:

"bindings": [
  {
    "role": "roles/orgpolicy.policyAdmin",
    "members": [
      "PRINCIPAL_1",
      "PRINCIPAL_2"
    ],
    "condition": {
      "title": "TITLE",
      "description": "DESCRIPTION",
      "expression": "resource.matchTag('TAG_KEY', 'TAG_VALUE')"
    }
  }
]

Ganti kode berikut:

  • PRINCIPAL_1,PRINCIPAL_2: daftar akun utama yang ingin Anda delegasikan peran administrator kebijakan Organisasi.

  • TITLE: judul ekspresi bersyarat Anda&emdash;misalnya, "Administrator kebijakan organisasi untuk lingkungan pengembangan".

  • DESCRIPTION: deskripsi opsional untuk ekspresi Anda.

  • TAG_KEY: Nama dengan namespace dari kunci tag&emdash;misalnya, 123456789012/environment.

  • TAG_VALUE: Nama nilai tag. Peran hanya diberikan pada resource yang melampirkan tag ini&emdash;misalnya, development.

Untuk mengetahui informasi selengkapnya tentang penggunaan kondisi dalam kebijakan izin, lihat Ringkasan IAM Conditions.

Menggunakan aturan daftar dalam kebijakan organisasi

Anda dapat menetapkan kebijakan organisasi pada resource organisasi yang menggunakan aturan daftar untuk menolak akses ke layanan tertentu. Proses berikut menjelaskan cara menetapkan kebijakan organisasi menggunakan Google Cloud CLI. Untuk mengetahui petunjuk tentang cara melihat dan menetapkan kebijakan organisasi menggunakan konsol Google Cloud , lihat Membuat dan Mengelola Kebijakan.

Kebijakan organisasi yang menggunakan aturan daftar tidak boleh memiliki lebih dari 500 nilai yang diizinkan atau ditolak, dan tidak boleh lebih dari 32 KB. Jika kebijakan organisasi dibuat atau diperbarui hingga memiliki lebih dari 500 nilai, atau berukuran lebih dari 32 KB, kebijakan tersebut tidak dapat disimpan dengan berhasil, dan permintaan akan menampilkan error.

Menyiapkan penerapan pada resource organisasi

Untuk menyiapkan penerapan pada organisasi menggunakan gcloud CLI, ikuti langkah-langkah berikut:

  1. Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah describe Perintah ini menampilkan kebijakan yang langsung diterapkan ke resource ini:

    gcloud org-policies describe \
  CONSTRAINT_NAME --organization=ORGANIZATION_ID

    Ganti kode berikut:

    • ORGANIZATION_ID: ID unik untuk resource organisasi. ID Organisasi diformat sebagai angka desimal, dan tidak boleh memiliki angka nol di depannya.

    • CONSTRAINT_NAME: batasan untuk layanan yang ingin Anda terapkan. Misalnya, batasan gcp.restrictNonCmekServices membatasi layanan mana yang dapat membuat resource tanpa kunci enkripsi yang dikelola pelanggan (CMEK).

    Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag --folder atau --project, serta ID folder dan project ID.

    Respons menampilkan kebijakan organisasi saat ini, jika ada. Contoh:

    name: projects/841166443394/policies/gcp.resourceLocations
spec:
  etag: BwW5P5cEOGs=
  inheritFromParent: true
  rules:
  - condition:
      expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
    values:
      allowedValues:
      - in:us-east1-locations
  - condition:
      expression: resource.matchTag("123/env", "prod")
    values:
      allowedValues:
      - in:us-west1-locations
  - values:
      deniedValues:
      - in:asia-south1-locations
  updateTime: '2021-01-19T12:00:51.095Z'

    Jika kebijakan tidak disetel, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Tetapkan kebijakan di organisasi menggunakan perintah set-policy. Tindakan ini akan menimpa kebijakan apa pun yang dilampirkan ke resource.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A

    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

  3. Lihat kebijakan yang berlaku saat ini menggunakan describe --effective. Perintah ini akan menampilkan kebijakan organisasi seperti yang dievaluasi pada tahap ini dalam hierarki resource dengan pewarisan yang disertakan.

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --organization=ORGANIZATION_ID

    Output perintahnya adalah:

    name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  etag: BwVJi0OOESU=
  rules:
  - values:
      deniedValues:
      - VALUE_A

    Karena kebijakan organisasi ini ditetapkan di tingkat organisasi, kebijakan ini akan diwarisi oleh semua resource turunan yang mengizinkan pewarisan.

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menyiapkan penegakan terhadap subpohon hierarki

Batasan dengan aturan daftar mengambil nilai yang ditentukan secara eksplisit untuk menentukan resource mana yang harus diizinkan atau ditolak. Beberapa batasan juga dapat menerima nilai yang menggunakan awalan under:, yang menentukan subpohon dengan resource tersebut sebagai root. Menggunakan awalan under: pada nilai yang diizinkan atau ditolak akan menyebabkan kebijakan organisasi bertindak pada resource tersebut dan semua turunannya. Untuk mengetahui informasi tentang batasan yang memungkinkan penggunaan awalan under:, lihat halaman Batasan kebijakan organisasi.

Nilai yang menggunakan awalan under: disebut string subpohon hierarki. String subpohon hierarki menentukan jenis resource yang berlaku. Misalnya, menggunakan string subpohon projects/PROJECT_ID saat menetapkan batasan constraints/compute.storageResourceUseRestrictions akan mengizinkan atau menolak penggunaan penyimpanan Compute Engine untuk PROJECT_ID dan semua turunannya.

  1. Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah describe 

    gcloud org-policies describe \
  CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

    Ganti kode berikut:

    • ORGANIZATION_ID adalah ID unik untuk resource organisasi.

    • CONSTRAINT_NAME adalah batasan untuk layanan yang ingin Anda terapkan.

    Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag --folder atau --project, serta ID folder dan ID project.

    Jika kebijakan tidak disetel, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Tetapkan kebijakan di project menggunakan perintah set-policy. Awalan under: menetapkan batasan untuk menolak resource bernama dan semua resource turunannya.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A

    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

    Dengan:

    • under: adalah awalan yang menandakan bahwa yang mengikuti adalah string subpohon.

    • folders/VALUE_A adalah ID folder dari resource root yang ingin Anda tolak. Resource ini dan semua turunannya dalam hierarki resource akan ditolak.

    Anda juga dapat menerapkan awalan under: ke organisasi dan project, seperti pada contoh berikut:

    • under:organizations/VALUE_X

    • under:projects/VALUE_Y

  3. Lihat kebijakan yang berlaku saat ini menggunakan describe --effective.

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --organization=ORGANIZATION_ID

    Output perintahnya adalah:

    name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A

    Kebijakan kini mengevaluasi untuk menolak folder VALUE_A dan semua resource turunannya.

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menggabungkan kebijakan organisasi pada project

Anda dapat menetapkan kebijakan organisasi pada resource, yang akan digabungkan dengan kebijakan apa pun yang diwarisi dari resource induknya. Kebijakan gabungan ini kemudian akan dievaluasi untuk membuat kebijakan efektif baru berdasarkan aturan pewarisan.

  1. Dapatkan kebijakan saat ini pada resource menggunakan perintah describe:

    gcloud org-policies describe \
  CONSTRAINT_NAME \
  --project=PROJECT_ID

    Ganti kode berikut:

    • PROJECT_ID: ID unik project Anda.

    • CONSTRAINT_NAME: batasan untuk layanan yang ingin Anda terapkan.

    Jika kebijakan tidak disetel, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Tampilkan kebijakan yang berlaku saat ini menggunakan perintah describe --effective command:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --project=PROJECT_ID

    Output perintah akan menyertakan nilai yang ditolak yang diwarisi dari resource organisasi:

    name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A

  3. Tetapkan kebijakan di project menggunakan perintah set-policy.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  inheritFromParent: true
  rules:
  - values:
      deniedValues:
      - VALUE_B
      - VALUE_C

    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

  4. Gunakan perintah describe --effective lagi untuk menampilkan kebijakan yang diperbarui:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --project=PROJECT_ID

    Output perintah akan menyertakan hasil efektif penggabungan kebijakan dari resource dan dari induk:

    name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - values:
      deniedValues:
        - VALUE_A
        - VALUE_B
        - VALUE_C

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Memulihkan perilaku batasan default

Anda dapat menggunakan perintah reset untuk mereset kebijakan agar menggunakan perilaku default batasan. Untuk mengetahui daftar semua batasan yang tersedia dan nilai defaultnya, lihat Batasan kebijakan organisasi.Contoh berikut mengasumsikan bahwa perilaku batasan default adalah mengizinkan semua nilai.

  1. Dapatkan kebijakan yang berlaku pada project untuk menampilkan kebijakan gabungan saat ini:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --project=PROJECT_ID

    Ganti PROJECT_ID dengan ID unik project Anda. Output perintahnya adalah:

    name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

  2. Reset kebijakan organisasi menggunakan perintah reset.

    gcloud org-policies reset CONSTRAINT_NAME \
    --project=PROJECT_ID

  3. Dapatkan kebijakan yang berlaku untuk memverifikasi perilaku default:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --project=PROJECT_ID

    Output perintah akan mengizinkan semua nilai:

    name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - allowAll: true

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menghapus kebijakan organisasi

Anda dapat menghapus kebijakan organisasi dari resource. Resource tanpa setelan kebijakan organisasi akan mewarisi kebijakan resource induknya. Jika Anda menghapus kebijakan organisasi di resource organisasi, kebijakan efektif akan menjadi perilaku default batasan.

Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di organisasi.

  1. Hapus kebijakan di resource organisasi menggunakan perintah delete 

    gcloud org-policies delete \
  CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

    Ganti ORGANIZATION_ID dengan ID unik untuk resource organisasi. Output perintah akan menjadi:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME].
{}

  2. Dapatkan kebijakan yang berlaku di organisasi untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --organization=ORGANIZATION_ID

    Output perintahnya adalah:

    name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - allowAll: true

Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di project:

  1. Hapus kebijakan di project menggunakan perintah delete:

    gcloud org-policies delete \
  CONSTRAINT_NAME \
  --project=PROJECT_ID

    Dengan PROJECT_ID sebagai ID unik project Anda. Output perintahnya adalah:

    Deleted policy
[projects/PROJECT_ID/policies/CONSTRAINT_NAME].
{}

  2. Dapatkan kebijakan yang berlaku di project untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --project=PROJECT_ID

    Output perintahnya adalah:

    name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - allowAll: true

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menggunakan aturan boolean dalam kebijakan organisasi

Menyiapkan penerapan pada resource organisasi

Proses berikut menjelaskan cara menetapkan kebijakan organisasi dengan aturan boolean menggunakan Google Cloud CLI. Untuk mengetahui petunjuk cara melihat dan menetapkan kebijakan organisasi menggunakan konsol Google Cloud , lihat Membuat dan Mengelola Kebijakan.

  1. Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah describe command:

    gcloud org-policies describe \
  CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

    Ganti ORGANIZATION_ID dengan ID unik untuk resource organisasi. Anda juga dapat menerapkan kebijakan organisasi ke folder atau project dengan flag --folder atau --project, serta ID folder dan project ID.

    Jika kebijakan tidak disetel, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Tetapkan kebijakan di project menggunakan perintah set-policy.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

  3. Lihat kebijakan yang berlaku saat ini menggunakan describe --effective:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --organization=ORGANIZATION_ID

    Output perintahnya adalah:

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: true

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Mengganti kebijakan organisasi untuk project

Untuk mengganti kebijakan organisasi untuk sebuah project, tetapkan kebijakan yang menonaktifkan penerapan batasan ke semua resource dalam hierarki di bawah project.

  1. Dapatkan kebijakan saat ini pada resource untuk menunjukkan bahwa kebijakan tersebut kosong.

    gcloud org-policies describe \
  CONSTRAINT_NAME \
  --project=PROJECT_ID

    Dengan PROJECT_ID sebagai ID unik project Anda.

    Jika kebijakan tidak disetel, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Dapatkan kebijakan efektif pada project, yang mengonfirmasi bahwa batasan diterapkan di project ini.

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --project=PROJECT_ID

    Output perintahnya adalah:

    name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: true

  3. Tetapkan kebijakan di project menggunakan perintah set-policy.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: false

    2. Jalankan perintah set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

  4. Dapatkan kebijakan yang berlaku untuk menunjukkan bahwa kebijakan tersebut tidak lagi diterapkan pada project.

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --project=PROJECT_ID

    Output perintahnya adalah:

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: false

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menghapus kebijakan organisasi

Anda dapat menghapus kebijakan organisasi dari resource. Resource tanpa setelan kebijakan organisasi akan mewarisi kebijakan resource induknya. Jika Anda menghapus kebijakan organisasi di resource organisasi, kebijakan efektif akan menjadi perilaku default batasan.

Langkah-langkah berikut menjelaskan cara menghapus kebijakan organisasi di organisasi dan project.

  1. Hapus kebijakan dari resource organisasi menggunakan perintah delete:

    gcloud org-policies delete \
  CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

    Ganti ORGANIZATION_ID dengan ID unik untuk resource organisasi. Output perintah akan menjadi:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME].
{}

  2. Dapatkan kebijakan yang berlaku di organisasi untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --organization=ORGANIZATION_ID

    Jika kebijakan tidak disetel, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  3. Hapus kebijakan organisasi dari project menggunakan perintah delete:

    gcloud org-policies delete \
  CONSTRAINT_NAME \
  --project=PROJECT_ID

    Output perintahnya adalah:

    Deleted policy
[organizations/ORGANIZATION_ID/policies/CONSTRAINT_NAME].
{}

  4. Dapatkan kebijakan yang berlaku di project untuk memverifikasi bahwa kebijakan tersebut tidak diterapkan:

    gcloud org-policies describe \
  CONSTRAINT_NAME --effective \
  --project=PROJECT_ID

    Ganti PROJECT_ID dengan ID unik project Anda.

    Jika kebijakan tidak disetel, error NOT_FOUND akan ditampilkan:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Menggunakan batasan terkelola dalam kebijakan organisasi

Batasan terkelola dibangun di platform kebijakan organisasi kustom. Mereka dapat menggunakan Policy Simulator untuk Layanan Kebijakan Organisasi dan kebijakan organisasi uji coba untuk men-deploy perubahan kebijakan dengan lebih aman.

Melihat dan mengidentifikasi batasan terkelola

Untuk melihat batasan terkelola yang tersedia untuk organisasi Anda, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Dari pemilih project, pilih project, folder, atau organisasi yang ingin Anda lihat kebijakan organisasinya. Halaman Kebijakan organisasi yang muncul menampilkan daftar batasan kebijakan organisasi yang tersedia untuk resource ini.

  3. Anda dapat memfilter atau mengurutkan daftar kebijakan organisasi menurut jenis batasan untuk menemukan batasan terkelola. Pilih batasan terkelola yang ingin Anda lihat detailnya dari daftar. Di halaman Detail kebijakan yang muncul, Anda dapat melihat sumber kebijakan organisasi ini, evaluasi kebijakan efektif pada resource ini, konfigurasi kebijakan organisasi saat ini pada resource ini, detail tentang batasan, dan parameter default batasan yang menggunakannya.

gcloud

Untuk mencantumkan batasan terkelola dan kustom yang diterapkan dalam kebijakan organisasi di organisasi, gunakan perintah org-policies list-custom-constraints.

gcloud org-policies list-custom-constraints \
  --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Untuk mendapatkan detail tentang batasan terkelola tertentu untuk resource, gunakan perintah org-policies describe-custom-constraint.

gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
    --organization=ORGANIZATION_ID

Ganti kode berikut:

  • CONSTRAINT_NAME: nama batasan terkelola yang detailnya ingin Anda dapatkan. Contoh, iam.managed.disableServiceAccountKeyUpload.

  • ORGANIZATION_ID: ID organisasi Anda.

REST

Untuk mencantumkan batasan terkelola dan kustom yang ditetapkan dalam kebijakan organisasi di organisasi, gunakan metode organizations.customConstraints.list.

  GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Membuat dan memperbarui batasan terkelola

Kebijakan organisasi ditentukan oleh konfigurasi batasan. Kebijakan ini dapat ditetapkan pada resource, diwarisi dari resource induk, atau direset ke perilaku default yang dikelola Google.

Untuk membuat atau memperbarui kebijakan organisasi berdasarkan batasan terkelola, lakukan tindakan berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

Buka Organization policies

  1. Dari pemilih project, pilih project, folder, atau organisasi yang ingin Anda edit kebijakan organisasinya. Halaman Kebijakan organisasi yang muncul menampilkan daftar batasan kebijakan organisasi yang dapat difilter dan tersedia untuk resource ini.

  2. Pilih batasan terkelola yang kebijakan organisasinya ingin Anda perbarui dari daftar.

  3. Untuk memperbarui kebijakan organisasi untuk resource ini, klik Manage policy.

  4. Di halaman Edit kebijakan, pilih Ganti kebijakan induk.

  5. Pilih Tambahkan aturan.

  6. Di bagian Penerapan, pilih apakah penerapan kebijakan organisasi ini harus diaktifkan atau dinonaktifkan.

  7. Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, klik Tambahkan kondisi. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

  8. Jika batasan ini mendukung parameter, parameter akan muncul di bagian Parameter dengan nilai yang dikonfigurasi ditampilkan. Jika parameter belum dikonfigurasi, nilai default yang dikelola Google akan muncul.

    Untuk mengubah parameter, pilih Edit.

    1. Di bagian Nilai, pilih Default untuk mereset batasan ini agar menggunakan dan menampilkan nilai default yang dikelola Google.

    Pilih Ditentukan pengguna untuk mengonfigurasi parameter.

    1. Untuk parameter yang menerima daftar nilai, masukkan nilai yang akan diizinkan atau ditolak ke dalam kolom. Pilih Tambahkan nilai untuk menambahkan lebih banyak kolom.

    Ekspresi Common Expression Language (CEL) yang digunakan untuk memvalidasi nilai parameter dijelaskan di bagian Ekspresi nilai yang valid. Semua nilai yang ditentukan pengguna harus memenuhi ekspresi tersebut.

    1. Untuk parameter yang berupa boolean, tentukan apakah parameter harus diterapkan atau tidak dengan memilih Benar atau Salah.

    2. Klik Simpan.

  9. Secara opsional, untuk melihat pratinjau dampak perubahan kebijakan organisasi Anda sebelum diterapkan, klik Uji perubahan. Untuk mengetahui informasi selengkapnya tentang pengujian perubahan kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.

  10. Untuk menerapkan kebijakan organisasi dalam mode uji coba, klik Set dry run policy. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan organisasi dalam mode uji coba.

  11. Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi seperti yang diinginkan, tetapkan kebijakan aktif dengan mengklik Tetapkan kebijakan.

gcloud

  1. Buat file YAML untuk menentukan kebijakan organisasi. Jika batasan ini tidak mendukung parameter, hapus blok parameters di bagian rules.

    name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
rules:
    - enforce: ENFORCEMENT_STATE
      parameters:
        LIST_PARAMETER:
           - LIST_VALUE_1
           - LIST_VALUE_2
        BOOLEAN_PARAMETER: BOOLEAN_VALUE

dryRunSpec:
  rules:
  - enforce: ENFORCEMENT_STATE
    parameters:
      LIST_PARAMETER:
         - LIST_VALUE_1
         - LIST_VALUE_2
      BOOLEAN_PARAMETER: BOOLEAN_VALUE

    Ganti kode berikut:

    • RESOURCE_TYPE dengan organizations, folders, atau projects.

    • RESOURCE_ID dengan ID organisasi, ID folder, ID project, atau nomor project Anda, bergantung pada jenis resource yang ditentukan dalam RESOURCE_TYPE.

    • CONSTRAINT_NAME dengan nama batasan yang ingin Anda tetapkan.

    • ENFORCEMENT_STATE dengan true untuk menerapkan kebijakan organisasi ini jika disetel, atau false untuk menonaktifkannya jika disetel.

    • LIST_PARAMETER dengan nama parameter daftar yang akan dikonfigurasi. Lihat deskripsi batasan untuk mengetahui daftar parameter yang tersedia.

    • LIST_VALUE_1, LIST_VALUE_2, dan nilai daftar lainnya dengan daftar nilai yang diizinkan atau ditolak, berdasarkan konfigurasi parameter ini. Lihat deskripsi batasan untuk mengetahui detail tentang nilai yang dapat diterima.

    • BOOLEAN_PARAMETER dengan nama parameter boolean yang akan dikonfigurasi. Lihat deskripsi batasan untuk mengetahui daftar parameter yang tersedia.

    • BOOLEAN_VALUE dengan True atau False.

    Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, tambahkan blok condition ke rules. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

  2. Jalankan perintah org-policies set-policy dengan flag dryRunSpec untuk menetapkan kebijakan organisasi dalam mode uji coba:

     gcloud org-policies set-policy POLICY_PATH \
   --update-mask=dryRunSpec

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda.

    Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi uji coba, lihat Membuat kebijakan organisasi dalam mode uji coba.

  3. Gunakan perintah policy-intelligence simulate orgpolicy untuk melihat pratinjau dampak perubahan kebijakan organisasi Anda sebelum diterapkan:

    gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --policies=POLICY_PATH

    Ganti kode berikut:

    • ORGANIZATION_ID dengan ID organisasi Anda, seperti 1234567890123. Simulasi perubahan di beberapa organisasi tidak didukung.

    • POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda.

    Untuk mengetahui informasi selengkapnya tentang pengujian perubahan kebijakan organisasi, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.

  4. Setelah Anda memverifikasi bahwa kebijakan organisasi dalam mode uji coba berfungsi seperti yang diharapkan, tetapkan kebijakan aktif dengan perintah org-policies set-policy dan tanda spec:

    gcloud org-policies set-policy POLICY_PATH \
  --update-mask=spec

    Ganti POLICY_PATH dengan jalur lengkap ke file YAML kebijakan organisasi Anda.

REST

Untuk menetapkan kebijakan organisasi, gunakan metode organizations.policies.create.

POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies

Isi JSON permintaan berisi definisi kebijakan organisasi. Jika batasan ini tidak mendukung parameter, hilangkan blok parameters di bawah rules.

{
  "name": "RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"],
        "parameters": {
          "LIST_PARAMETER": [
            "LIST_VALUE_1",
            "LIST_VALUE_2"
          ],
          BOOLEAN_PARAMETER: BOOLEAN_VALUE
        }
      }
    ]
  }
  "dryRunSpec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"],
        "parameters": {
          "LIST_PARAMETER": [
            "LIST_VALUE_1",
            "LIST_VALUE_2"
          ],
          BOOLEAN_PARAMETER: BOOLEAN_VALUE
        }
      }
    ]
  }
}

Ganti kode berikut:

  • RESOURCE_TYPE dengan organizations, folders, atau projects.

  • RESOURCE_ID dengan ID organisasi, ID folder, ID project, atau nomor project Anda, bergantung pada jenis resource yang ditentukan dalam RESOURCE_TYPE.

  • CONSTRAINT_NAME dengan nama batasan yang ingin Anda tetapkan.

  • ENFORCEMENT_STATE dengan true untuk menerapkan kebijakan organisasi ini jika disetel, atau false untuk menonaktifkannya jika disetel.

  • LIST_PARAMETER dengan nama parameter daftar yang akan dikonfigurasi. Lihat deskripsi batasan untuk mengetahui daftar parameter yang tersedia.

  • LIST_VALUE_1, LIST_VALUE_2, dan nilai daftar lainnya dengan daftar nilai yang diizinkan atau ditolak, berdasarkan konfigurasi parameter ini. Lihat deskripsi batasan untuk mengetahui detail tentang nilai yang dapat diterima.

  • BOOLEAN_PARAMETER dengan nama parameter boolean yang akan dikonfigurasi. Lihat deskripsi batasan untuk mengetahui daftar parameter yang tersedia.

  • BOOLEAN_VALUE dengan True atau False.

Secara opsional, untuk membuat kebijakan organisasi bersyarat pada tag, tambahkan blok condition ke rules. Jika menambahkan aturan kondisional ke kebijakan organisasi, Anda harus menambahkan setidaknya satu aturan tanpa syarat atau kebijakan tidak dapat disimpan. Untuk mengetahui detail selengkapnya, lihat Menetapkan kebijakan organisasi dengan tag.

Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi uji coba, lihat Membuat kebijakan organisasi dalam mode uji coba.

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.