停用 Eventarc Advanced 资源

本指南介绍了如何使用自定义组织政策停用 Eventarc 高级资源。

Eventarc Advanced 不符合 Eventarc Standard 支持的认证和标准。如果您的组织要求符合这些标准,您可以禁止创建或更新 Eventarc 高级资源。

准备工作

在停用 Eventarc 高级资源之前,请确保满足以下前提条件:

  • 您知道自己的 Google Cloud 组织 ID
  • 如需获得管理自定义组织政策所需的权限,请让您的管理员为您授予组织资源的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。

创建自定义限制条件

您可以创建自定义限制条件,并在组织政策中使用此自定义限制条件来防止创建和更新新的 Eventarc 高级资源。

  1. 如需创建自定义限制条件,请使用以下格式创建 YAML 文件:

    name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
-eventarc.googleapis.com/Enrollment
-eventarc.googleapis.com/GoogleApiSource
-eventarc.googleapis.com/MessageBus
-eventarc.googleapis.com/Pipeline
methodTypes:
- CREATE
- UPDATE
condition: "true"
actionType: DENY
description: "Disable Eventarc Advanced resources"

    替换以下内容:

    • ORGANIZATION_ID:您的组织 ID,例如 123456789

    • CONSTRAINT_NAME:新的自定义限制条件的名称。 自定义限制条件必须以 custom. 开头,只能包含大写字母、小写字母或数字。例如 custom.disableEventarcAdvancedResources。该字段的最大长度为 70 个字符。

    自定义限制适用于以下 Eventarc Advanced 资源类型:

    • Enrollment
    • GoogleApiSource
    • MessageBus
    • Pipeline

设置自定义限制条件

为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用 gcloud org-policies set-custom-constraint 命令: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替换为您的组织资源的 ID。 如需了解详情,请参阅查看组织政策

强制执行自定义组织政策

如需强制执行限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。

控制台

  1. 在 Google Cloud 控制台中,前往组织政策页面。

    转到组织政策

  2. 在项目选择器中,选择要设置组织政策的项目。
  3. 组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
  4. 如需为该资源配置组织政策,请点击管理政策
  5. 修改政策页面,选择覆盖父级政策
  6. 点击添加规则
  7. 强制执行部分中,选择开启还是关闭此组织政策的强制执行。
  8. (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策
  9. 点击测试更改以模拟组织政策的效果。政策模拟不适用于旧版托管式限制。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改
  10. 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。

gcloud

如需创建包含布尔值规则的组织政策,请创建引用该限制条件的 YAML 政策文件: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

请替换以下内容:

  • PROJECT_ID:要对其实施限制条件的项目。
  • CONSTRAINT_NAME:您要强制执行的限制条件的名称。例如,compute.disableAllIpv6

如需强制执行包含限制条件的组织政策,请运行以下命令: 

    gcloud org-policies set-policy POLICY_PATH

POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。

后续步骤