שימוש במדיניות ארגונית בהתאמה אישית

Google Cloud מדיניות הארגון מאפשרת לכם שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. אדמינים של מדיניות הארגון יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים, שחלות על משאביGoogle Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

השירות Organization Policy מספק מגבלות מוגדרות מראש לשירותים שונים שלGoogle Cloud . עם זאת, אם אתם רוצים שליטה מפורטת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור מדיניות ארגונית בהתאמה אישית.

הטמעה של מדיניות ארגונית מותאמת אישית מאפשרת לאכוף הגדרות והגבלות עקביות. האימות הזה מוודא שאשכולות, מכונות וגיבויים של AlloyDB ל-PostgreSQL עומדים בשיטות המומלצות לאבטחה ובדרישות הרגולטוריות.

אם תנסו ליצור או לעדכן אשכול, מופע או גיבוי בזמן שהאילוץ המותאם אישית נאכף ולא עומד בדרישות האילוץ, הפעולה תיכשל. כל פרויקט שנוסף לארגון או לתיקייה שבהם מוגדרת מדיניות ארגון בהתאמה אישית, יקבל בירושה את האילוצים של המדיניות הזו.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

תמחור

שירות מדיניות הארגון, כולל מדיניות ארגון מוגדרת מראש ומותאמת אישית, מוצע ללא תשלום.

מגבלות

בדומה לכל האילוצים של מדיניות הארגון, שינויים במדיניות לא חלים רטרואקטיבית על אשכולות, מכונות וגיבויים קיימים של AlloyDB ל-PostgreSQL.

  • מדיניות חדשה לא משפיעה על הגדרות קיימות של אשכול, מופע וגיבוי.
  • תצורה קיימת של אשכול, מכונה וגיבוי נשארת תקפה, אלא אם משנים את התצורה של האשכול, המכונה או הגיבוי ממצב תאימות למצב אי-תאימות באמצעות מסוף Google Cloud , Google Cloud CLI או RPC.
  • עדכון תחזוקה מתוזמן לא גורם לאכיפת מדיניות, כי התחזוקה לא משנה את ההגדרה של האשכול, המופע או הגיבוי.
  • הגיבויים שנוצרו באמצעות התכונות 'גיבוי ושחזור רציפים' ו'גיבויים אוטומטיים' לא יוגבלו על ידי המדיניות עצמה.

לפני שמתחילים

  1. מגדירים את הפרויקט.
    1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. Enable the AlloyDB API.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the API

    5. התקינו את ה-CLI של Google Cloud.

    6. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    7. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

      gcloud init

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    9. Verify that billing is enabled for your Google Cloud project.

    10. Enable the AlloyDB API.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the API

    11. התקינו את ה-CLI של Google Cloud.

    12. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    13. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

      gcloud init
    14. בודקים שאתם יודעים מה מספר הארגון שלכם.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת אילוץ בהתאמה אישית

אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

מדיניות הארגון מוגדרת לפי הערכים שמוגדרים לכל מגבלה. אדמין של מדיניות הארגון יכול ליצור מגבלות בהתאמה אישית כדי להגביל את הגדרות ה-IP הציבורי של AlloyDB ברמת הפרויקט, התיקייה או הארגון.

אפשר ליצור אילוץ מותאם אישית – לדוגמה, customConstraints/custom.restrictPublicIP – כדי להגביל את הגישה לכתובות IP ציבוריות במכונות AlloyDB. האילוץ הבוליאני הזה מגביל את האפשרות להגדיר כתובת IP ציבורית במופעי AlloyDB שבהם האילוץ הזה מוגדר. המגבלה הזו לא חלה רטרואקטיבית. מופעי AlloyDB עם גישה קיימת של כתובת IP ציבורית ימשיכו לפעול גם אחרי שהאילוץ הזה ייאכף.

כברירת מחדל, הגישה לכתובות IP ציבוריות במכונות AlloyDB מותרת.

כדי ליצור קובץ YAML לאילוץ בהתאמה אישית:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- alloydb.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.

  • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית חייב להתחיל ב-custom., ויכול לכלול רק אותיות רישיות, אותיות קטנות או מספרים. לדוגמה, custom.restrictPublicIP. האורך המקסימלי של השדה הזה הוא 70 תווים, לא כולל הקידומת. לדוגמה, organizations/123456789/customConstraints/custom.

  • RESOURCE_NAME: השם (לא ה-URI) של משאב AlloyDB REST שמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה, Instance.

  • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. האורך המקסימלי של השדה הוא 1,000 תווים. מידע נוסף על המשאבים שזמינים לכתיבת תנאים מופיע במאמר בנושא אילוצים מותאמים אישית נתמכים. לדוגמה, "resource.networkConfig.enablePublicIp == true".

  • ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. האפשרויות הן ALLOW או DENY.

  • DISPLAY_NAME: שם קריא לאנשים של האילוץ. האורך המקסימלי של השדה הוא 200 תווים.

  • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ, שיוצג כהודעת שגיאה אם המדיניות תופר. האורך המקסימלי של השדה הוא 2,000 תווים.

מידע נוסף על יצירת אילוץ בהתאמה אישית זמין במאמר הגדרת אילוצים בהתאמה אישית.

הגדרת אילוץ בהתאמה אישית

המסוף

כדי ליצור אילוץ בהתאמה אישית:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בבורר הפרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. לוחצים על Custom constraint (הגבלה מותאמת אישית).
  4. בתיבה שם לתצוגה, מזינים שם שקל לקרוא אותו עבור האילוץ. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות לתצוגה, כי השם הזה עשוי להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
  5. בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.restrictPublicIP. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
  6. בתיבה Description, מזינים תיאור של האילוץ שכתוב בצורה שקריאה לאנשים. התיאור הזה משמש כהודעת שגיאה כשמתרחשת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
  7. בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
  8. אפשר לאכוף את ההגבלה הזו רק בשיטת REST‏ CREATE.

    9. כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.

  9. כדי להגדיר תנאי, לוחצים על Edit condition.
    1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
    2. לוחצים על Save.
  10. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.

    11. הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.

    הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

  11. לוחצים על יצירת אילוץ.

    12. אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.

gcloud

  1. כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא: 
    2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
    • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.restrictPublicIP. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
    • RESOURCE_NAME: השם מוגדר במלואו של המשאב Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה, alloydb.googleapis.com/Instance. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
    • methodTypes: שיטות REST שבהן האילוץ נאכף. הערך יכול להיות רק CREATE.

      • כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.

    • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה, "resource.networkConfig.enablePublicIp == true".

      • מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

    • ACTION: הפעולה שיש לבצע אם התנאי condition מתקיים. הערך יכול להיות רק ALLOW.

      • הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, מלבד המקרה שמופיע במפורש בתנאי, ייחסם.

    • DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
    • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.
  2. אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint: 
    3. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

    אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.

  3. כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints: 
    4. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

    מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

אכיפה של מדיניות ארגון מותאמת אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בתפריט לבחירת פרויקט, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
  4. כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
  6. לוחצים על Add a rule.
  7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
  8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
  9. לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
  10. כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
  11. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

  1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ: 
    2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
    • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.restrictPublicIP.
  2. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec: 
    3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יכולות לעבור עד 15 דקות עד שהמדיניות תיכנס לתוקף.

  3. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec: 
    4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יכולות לעבור עד 15 דקות עד שהמדיניות תיכנס לתוקף.

פעולות והגבלות מותאמות אישית נתמכות

אפשר לאכוף אילוצים בהתאמה אישית על משאבי instance,‏ cluster וגיבוי ב-AlloyDB. כל השדות בגרסה 1 במשאבי instance,‏ cluster וגיבוי ב-AlloyDB נתמכים באילוץ בהתאמה אישית. אפשר לאכוף אילוצים בהתאמה אישית במהלך הפעולות הבאות ב-AlloyDB:

  • יצירה של מכונה
  • עדכון מכונה
  • יצירת אשכול
  • עדכון אשכול
  • יצירת גיבוי

בקטע הזה מופיעות דוגמאות למגבלות מותאמות אישית נפוצות:

  • הגבלת הגישה לכתובות IP ציבוריות באמצעות מדיניות הארגון
  • הגבלת טווח ה-CIDR של רשתות מורשות
  • הגבלת מספר הרשתות המורשות
  • אכיפת תגים חובה באמצעות מדיניות הארגון
  • אכיפה של גיבויים רציפים לכל האשכולות
  • הגבלת גיבוי על פי דרישה לאשכולות ספציפיים

הגבלת הגישה לכתובות IP ציבוריות באמצעות מדיניות הארגון

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictPublicIP
    resourceTypes:
    - alloydb.googleapis.com/Instance
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.networkConfig.enablePublicIp == true"
    actionType: DENY
    displayName: Restrict public IP access on AlloyDB instances
    description: Prevent users from enabling public IP on instance creation and update.

פעולות נתמכות:

  • יצירה של מכונה
  • עדכון מכונה

הגבלת טווח ה-CIDR של רשתות מורשות

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictCidrRange
    resourceTypes:
      - alloydb.googleapis.com/Instance
    methodTypes:
      - CREATE
      - UPDATE
    condition: "resource.networkConfig.authorizedExternalNetworks.exists(net, ['/0', '/1', '/2', '/n'].exists(ending, net.cidrRange.endsWith(ending)))"
    actionType: DENY
    displayName: "Restrict large CIDR ranges for AlloyDB Authorized Networks"
    description: "Prevents AlloyDB instances from being created or updated with an authorized network CIDR range larger than /n (i.e., a prefix length less than n, e.g., 16)."

מחליפים את ORGANIZATION_ID במזהה הארגון.

פעולות נתמכות:

  • יצירה של מכונה
  • עדכון מכונה

הגבלת מספר הרשתות המורשות

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictAuthorizedNetworksCount
    resourceTypes:
      - alloydb.googleapis.com/Instance
    methodTypes:
      - CREATE
      - UPDATE
    condition: "resource.networkConfig.authorizedExternalNetworks.size() > 1"
    actionType: DENY
    displayName: "Limit the number of AlloyDB Authorized Networks"
    description: "Prevents AlloyDB instances from being created or updated with more than a specified number of Authorized Networks."

מחליפים את ORGANIZATION_ID במזהה הארגון.

פעולות נתמכות:

  • יצירה של מכונה
  • עדכון מכונה

אכיפת תגים חובה באמצעות מדיניות הארגון

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceMandatoryTags
    resourceTypes:
    - alloydb.googleapis.com/Cluster
    methodTypes:
    actionType: ALLOW
    displayName: Enforce mandatory tags on AlloyDB cluster resource.
    description: Prevent users from cluster creation if mandatory tags are not provided.

מחליפים את TAG_NAME בשם התג.

פעולות נתמכות: פעולות נתמכות:

  • יצירת אשכול
  • יצירת גיבוי

אכיפה של גיבויים רציפים לכל האשכולות

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceContBackupConfig
    resourceTypes:
    - alloydb.googleapis.com/Cluster
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.continuousBackupConfig.enabled == false"
    actionType: DENY
    displayName: Enforce continuous backup configuration on AlloyDB clusters
    description: Prevent users from disabling continuous backup configuration on cluster creation and update.

פעולות נתמכות:

  • יצירת אשכול
  • עדכון אשכול

הגבלת גיבוי על פי דרישה לאשכולות ספציפיים

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictOnDemandBackup
    resourceTypes:
    - alloydb.googleapis.com/Backup
    methodTypes:
    - CREATE
    condition: "resource.type == 'ON_DEMAND' && resource.clusterName.contains('CLUSTER_NAME')"
    actionType: DENY
    displayName: Restrict taking on-demand backup of certain clusters
    description: Prevent users from taking on-demand backups for certain clusters.

מחליפים את CLUSTER_NAME בשם האשכול.

פעולה נתמכת:

  • יצירת גיבוי

המאמרים הבאים