建立及管理組織政策

本頁面說明如何使用 Google Cloud 控制台檢視、建立及管理機構政策。

身分與存取權管理角色 roles/orgpolicy.policyAdmin 可讓系統管理員管理機構政策。使用者必須是機構政策管理員才能更改或覆寫機構政策。

事前準備

• 如要設定、更改或刪除機構政策，您必須具有機構政策管理員角色。

如要使用本指南，您必須熟悉以下內容：

• 限制條件如何定義機構政策的行為。

• 如何在資源階層的不同層級評估機構政策。

檢視機構政策

如要檢視機構政策：

1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

   前往「機構政策」

2. 從專案選擇工具中，選取要查看機構政策的專案、資料夾或機構。

3. 「Organization policies」(機構政策) 頁面會顯示可用的資源機構政策限制清單。

4. 如要依限制條件名稱篩選清單，請在「篩選條件」欄位中輸入限制條件名稱。

如需更多關於使用每項限制條件的詳細資料和逐步操作說明，請參閱機構政策限制條件。

建立及編輯政策

機構政策由每項限制條件所設定的值來定義。政策可以在其資源層級設定、從父項資源繼承，也可以設定為 Google 代管的預設行為。

使用布林值規則更新政策

如要使用布林值規則更新機構政策，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

   前往「機構政策」

2. 從專案選擇工具中，選取要編輯機構政策的專案、資料夾或機構。

3. 「Organization policies」(機構政策) 頁面會顯示可篩選的機構政策限制清單。

4. 在「Organization policies」(機構政策) 頁面上的清單選取限制條件。「Policy details」(政策詳情) 頁面會描述限制條件，並說明限制條件的套用方式。

5. 如要更新資源的機構政策，請按一下「管理政策」。

6. 在「編輯政策」頁面中，選取「覆寫上層政策」。

7. 選取「新增規則」。

8. 在「Enforcement」(強制執行) 下，選取是否要強制執行這項機構政策。

9. 如要強制執行這項政策，請按一下「設定政策」。

機構政策變更最多可能需要 15 分鐘才會全面生效。

如需 Google Cloud CLI 操作說明，請參閱「在組織政策中使用布林值規則」。

使用清單規則更新政策

如要使用清單規則更新機構政策，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

   前往「機構政策」

2. 從專案選擇工具中，選取要編輯機構政策的專案、資料夾或機構。

3. 「Organization policies」(機構政策) 頁面會顯示可篩選的機構政策限制清單。

4. 在「Organization policies」(機構政策) 頁面上的清單選取限制條件。「Policy details」(政策詳情) 頁面會描述限制條件，並說明限制條件的套用方式。

5. 如要更新資源的機構政策，請按一下「管理政策」。

6. 在「編輯政策」頁面中，選取「覆寫上層政策」。

7. 在「Policy enforcement」(強制執行) 下方，選取強制執行選項：

   • 如要合併與評估機構政策，請選取「與上層合併」。如要進一步瞭解繼承和資源階層，請參閱「瞭解階層評估」。

   • 如要完全覆寫繼承的政策，請選取 [Replace] (替換)。

8. 選取「新增規則」。

9. 在「Policy values」(政策值) 下，選取機構政策要允許所有值、拒絕所有值，還是指定自訂清單。

   1. 如果您指定自訂值清單，請在「政策類型」下方，選取機構政策應接受或拒絕指定值。

   2. 在「自訂值」欄位中輸入允許或拒絕的值。如要新增其他值，請按一下「新增值」。政策可接受的特定值取決於政策適用的服務。如需限制清單和可接受的值，請參閱機構政策限制。

10. 如要強制執行這項政策，請按一下「設定政策」。

機構政策變更最多可能需要 15 分鐘才會全面生效。

受管理限制不得超過 100 個個別參數值。

舊版受管理限制最多只能有 500 個允許或拒絕的個別值。含有清單規則的機構政策不得超過 32 KB。如果建立或更新的機構政策值超過允許數量，或大小超過 32 KB，就無法順利儲存，且要求會傳回錯誤。如需 Google Cloud CLI 操作說明，請參閱「在組織政策中使用清單規則」。

繼承機構政策

您可以將機構政策設定為繼承父項機構政策或使用 Google 代管的預設行為。這兩種選項都會移除已設定的機構政策。如要更改機構政策的繼承行為：

1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

   前往「機構政策」

2. 從專案選擇工具中，選取要編輯機構政策的專案、資料夾或機構。

3. 「Organization policies」(機構政策) 頁面會顯示可篩選的機構政策限制清單。

4. 在「Organization policies」(機構政策) 頁面上的清單選取限制條件。「Policy details」(政策詳情) 頁面會描述限制條件，並說明限制條件的套用方式。

5. 如要移除資源的已設定機構政策，請按一下「管理政策」，然後選取一個選項以指定機構政策的評估方式：

   • 如要使此資源遵循與此限制的父項資源相同的規則，請選擇 [繼承父項政策]。這是資源的預設行為。

   • 如要使用 Google 針對限制條件所設定的預設行為來覆寫父項資源的組織政策，請選取 [Google-managed default] (Google 代管的預設政策)。

機構政策變更最多可能需要 15 分鐘才會全面生效。