このガイドでは、特定の制約を使用して組織ポリシーを作成する方法について説明します。 このページの例で使用されている制約は、実際の制約ではなく、教育目的のために一般化されたサンプルです。
制約の詳細と、制約によって解決される問題については、すべての組織ポリシー サービスの制約のリストをご覧ください。
始める前に
組織のポリシーの仕組みについては、組織のポリシー サービスの概要ページをご覧ください。
ポリシーの継承については、階層評価についてをご覧ください。
必要なロール
組織のポリシーを管理するために必要な権限を取得するには、組織に対する組織ポリシー管理者(roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
組織のポリシーでリスト制約を使用する
リスト型制約を使用する組織ポリシーを組織リソースに対して設定することにより、特定のサービスへのアクセスを拒否することができます。次のプロセスでは、Google Cloud CLI を使用して組織のポリシーを設定する方法について説明します。Google Cloud コンソールを使用して組織のポリシーを表示および設定する方法については、ポリシーの作成と管理をご覧ください。
リスト型制約を使用する組織ポリシーでは、許可または拒否する値を 500 個以下、32 KB 以下にする必要があります。組織ポリシーの作成や更新で 500 個を超える値や 32 KB を超えるサイズがある場合は、組織のポリシーが正常に保存されず、リクエストからエラーが返されます。
組織リソースに対する適用を設定する
gcloud CLI を使用して組織に対する適用を設定する手順は次のとおりです。
describeコマンドを使用して、組織リソースに関する現在のポリシーを取得します。このコマンドを実行すると、このリソースに直接適用されたポリシーが返されます。gcloud org-policies describe \ LIST_CONSTRAINT --organization=ORGANIZATION_ID以下のように置き換えます。
ORGANIZATION_ID: 組織リソースの固有識別子。組織 ID は 10 進数で表示され、先頭にゼロを付けることはできません。LIST_CONSTRAINT: 適用するサービスのリスト型制約。たとえば、constraints/gcp.restrictNonCmekServices制約は、顧客管理の暗号鍵(CMEK)なしでリソースを作成できるサービスを制限します。
さらに、
--folderフラグまたは--projectフラグ、フォルダ ID、プロジェクト ID をそれぞれ使用して、フォルダやプロジェクトに対して組織のポリシーを適用することもできます。現在の組織ポリシーがある場合は、レスポンスで返されます。次に例を示します。
name: projects/841166443394/policies/gcp.resourceLocations spec: etag: BwW5P5cEOGs= inheritFromParent: true rules: - condition: expression: resource.matchTagId("tagKeys/1111", "tagValues/2222") values: allowedValues: - in:us-east1-locations - condition: expression: resource.matchTag("123/env", "prod") values: allowedValues: - in:us-west1-locations - values: deniedValues: - in:asia-south1-locations updateTime: '2021-01-19T12:00:51.095Z'ポリシーが設定されていない場合は、次のような
NOT_FOUNDエラーが返されます。ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.set-policyコマンドを使用して、組織にポリシーを設定します。これにより、リソースに適用されているポリシーが上書きされます。ポリシーを保存する一時ファイル
/tmp/policy.yamlを作成します。name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_Aset-policyコマンドを実行します。gcloud org-policies set-policy /tmp/policy.yaml
describe --effectiveを使用して現在有効なポリシーを表示します。これにより、リソース階層において現段階で継承が可能と評価された組織のポリシーが返されます。gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_IDコマンドの出力は次のようになります。
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: etag: BwVJi0OOESU= rules: - values: deniedValues: - VALUE_Aこの組織ポリシーは組織レベルで設定されているため、継承が許可されているすべての子リソースで継承されます。
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。
階層サブツリーに対して適用を設定する
リスト制約では、明示的に定義された値を使用して、どのリソースを許可または拒否するかを決定します。一部の制約も、接頭辞 under: を使用する値を受け入れることができます。この接頭辞は、そのリソースをルートとするサブツリーを指定します。許可または拒否される値に under: 接頭辞を使用すると、そのリソースとそのすべての子に組織のポリシーが適用されます。接頭辞 under: の使用を許可する制約については、組織のポリシーの制約ページをご覧ください。
under: 接頭辞を使用する値は、階層サブツリー文字列と呼ばれます。階層サブツリー文字列は、適用先のリソースのタイプを指定します。たとえば、constraints/compute.storageResourceUseRestrictions 制約を設定するときに projects/PROJECT_ID のサブツリー文字列を使用すると、PROJECT_ID とそのすべての子に対する Compute Engine ストレージの使用が許可または拒否されます。
describeコマンドを使用して、組織リソースに関する現在のポリシーを取得します。gcloud org-policies describe \ LIST_CONSTRAINT \ --organization=ORGANIZATION_ID以下のように置き換えます。
ORGANIZATION_IDは、組織リソースの一意の識別子です。LIST_CONSTRAINTは、サービスに対して適用するリスト型制約です。
さらに、
--folderフラグまたは--projectフラグ、フォルダ ID、プロジェクト ID をそれぞれ使用して、フォルダやプロジェクトに対して組織のポリシーを適用することもできます。ポリシーが設定されていない場合は、次のような
NOT_FOUNDエラーが返されます。ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.set-policyコマンドを使用して、プロジェクトにポリシーを設定します。under:接頭辞は、指定されたリソースとそのすべての子リソースを拒否する制約を設定します。ポリシーを保存する一時ファイル
/tmp/policy.yamlを作成します。name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - under:folders/VALUE_Aset-policyコマンドを実行します。gcloud org-policies set-policy /tmp/policy.yaml
ここで
under:は、後続するものがサブツリー文字列であることを表す接頭辞です。folders/VALUE_Aは、拒否するルートリソースのフォルダ ID です。リソース階層内のこのリソースおよびそのすべての子リソースが拒否されます。
また、次の例のように、組織とプロジェクトに
under:接頭辞を適用することもできます。under:organizations/VALUE_Xunder:projects/VALUE_Y
describe --effectiveを使用して現在有効なポリシーを表示します。gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_IDコマンドの出力は次のようになります。
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - under:folders/VALUE_Aこれでポリシーは、フォルダ VALUE_A とそのすべての子リソースを拒否するように評価します。
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。
プロジェクトの組織ポリシーを結合する
リソースには組織のポリシーを設定できます。このポリシーは、親リソースから継承したポリシーと結合されます。この結合されたポリシーは、継承のルールに基づいて、新しい有効なポリシーを作成するものと評価されます。
describeコマンドで、リソースに対する現在のポリシーを取得します。gcloud org-policies describe \ LIST_CONSTRAINT \ --project=PROJECT_ID以下のように置き換えます。
PROJECT_ID: プロジェクトの固有識別子。LIST_CONSTRAINT: サービスに対して適用するリスト型制約。
ポリシーが設定されていない場合は、次のような
NOT_FOUNDエラーが返されます。ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.現在の有効なポリシーを表示するには、
describe --effectiveコマンドを使用します。gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_IDコマンドの出力には、組織リソースから継承された、拒否する値が含まれます。
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_Aset-policyコマンドを使用して、プロジェクトにポリシーを設定します。ポリシーを保存する一時ファイル
/tmp/policy.yamlを作成します。name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: inheritFromParent: true rules: - values: deniedValues: - VALUE_B - VALUE_Cset-policyコマンドを実行します。gcloud org-policies set-policy /tmp/policy.yaml
describe --effectiveコマンドをもう一度使用して、更新されたポリシーを表示します。gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_IDコマンドの出力には、リソースのポリシーと親のポリシーを結合した実際の結果が含まれます。
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A - VALUE_B - VALUE_C
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。
デフォルトの制約動作を復元する
reset コマンドを使用して、制約のデフォルトの動作が使用されるようにポリシーをリセットできます。使用可能なすべての制約とデフォルト値のリストについては、組織のポリシーの制約をご覧ください。次の例では、デフォルトの制約の動作が、すべての値を許可することであることを前提としています。
プロジェクトに実際に適用されているポリシーを取得して、現在結合されているポリシーを表示します。
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_IDPROJECT_ID は、プロジェクトの固有識別子に置き換えます。コマンドの出力は次のようになります。
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - values: deniedValues: - VALUE_A - VALUE_B - VALUE_Cresetコマンドを使用して組織のポリシーをリセットします。gcloud org-policies reset LIST_CONSTRAINT \ --project=PROJECT_ID有効なポリシーを取得して、デフォルトの動作を確認します。
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_IDコマンドの出力では、すべての値が許可されています。
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。
組織ポリシーを削除する
リソースから、組織ポリシーを削除することができます。組織ポリシーが設定されていないリソースは、親リソースのポリシーを継承します。組織リソース上の組織ポリシーを削除すると、制約のデフォルト動作が有効なポリシーとなります。
組織の組織のポリシーを削除する手順は以下のとおりです。
deleteコマンドを使用して、組織リソースに対するポリシーを削除します。gcloud org-policies delete \ LIST_CONSTRAINT \ --organization=ORGANIZATION_IDORGANIZATION_ID は、組織リソースの固有識別子に置き換えます。コマンドの出力は次のようになります。
Deleted policy [organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT]. {}組織で有効なポリシーを取得し、ポリシーが適用されていないことを確認します。
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --organization=ORGANIZATION_IDコマンドの出力は次のようになります。
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
プロジェクトの組織のポリシーを削除する手順は以下のとおりです。
deleteコマンドを使用して、プロジェクトからポリシーを削除します。gcloud org-policies delete \ LIST_CONSTRAINT \ --project=PROJECT_IDPROJECT_IDはプロジェクトの一意の識別子です。コマンドの出力は次のようになります。Deleted policy [projects/PROJECT_ID/policies/LIST_CONSTRAINT]. {}プロジェクトで有効なポリシーを取得し、ポリシーが適用されていないことを確認します。
gcloud org-policies describe \ LIST_CONSTRAINT --effective \ --project=PROJECT_IDコマンドの出力は次のようになります。
name: projects/PROJECT_ID/policies/LIST_CONSTRAINT spec: rules: - allowAll: true
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。
組織ポリシーにブール型制約を使用する
組織リソースに対する適用を設定する
組織リソースに対してブール型の制約を適用する組織ポリシーを設定することができます。次のプロセスでは、Google Cloud CLI を使用して組織のポリシーを設定する方法について説明します。Google Cloud コンソールを使用して組織のポリシーを表示および設定する方法については、ポリシーの作成と管理をご覧ください。
describeコマンドを使用して、組織リソースに関する現在のポリシーを取得します。gcloud org-policies describe \ BOOLEAN_CONSTRAINT \ --organization=ORGANIZATION_IDORGANIZATION_IDは、組織リソースの固有識別子に置き換えます。さらに、--folderフラグまたは--projectフラグ、フォルダ ID、プロジェクト ID をそれぞれ使用して、フォルダやプロジェクトに対して組織のポリシーを適用することもできます。ポリシーが設定されていない場合は、次のような
NOT_FOUNDエラーが返されます。ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.set-policyコマンドを使用して、プロジェクトにポリシーを設定します。ポリシーを保存する一時ファイル
/tmp/policy.yamlを作成します。name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT spec: rules: - enforce: trueset-policyコマンドを実行します。gcloud org-policies set-policy /tmp/policy.yaml
describe --effectiveを使用して現在の有効なポリシーを表示します。gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization=ORGANIZATION_IDコマンドの出力は次のようになります。
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: true
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。
プロジェクトの組織ポリシーをオーバーライドする
プロジェクトの組織ポリシーをオーバーライドするには、プロジェクトの下の階層にあるすべてのリソースに対してブール型制約の適用を無効にするポリシーを設定します。
リソースの現在のポリシーを取得し、このポリシーが空であることを確認します。
gcloud org-policies describe \ BOOLEAN_CONSTRAINT \ --project=PROJECT_IDここで、
PROJECT_IDはプロジェクトの固有識別子です。ポリシーが設定されていない場合は、次のような
NOT_FOUNDエラーが返されます。ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.プロジェクトで有効なポリシーを取得します。制約がこのプロジェクトに適用されていることがわかります。
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_IDコマンドの出力は次のようになります。
name: projects/PROJECT_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: trueset-policyコマンドを使用して、プロジェクトにポリシーを設定します。ポリシーを保存する一時ファイル
/tmp/policy.yamlを作成します。name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT spec: rules: - enforce: falseset-policyコマンドを実行します。gcloud org-policies set-policy /tmp/policy.yaml
有効なポリシーを取得して、ポリシーがプロジェクトに適用されていないことを確認します。
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_IDコマンドの出力は次のようになります。
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY spec: rules: - enforce: false
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。
組織ポリシーを削除する
リソースから、組織ポリシーを削除することができます。組織ポリシーが設定されていないリソースは、親リソースのポリシーを継承します。組織リソース上の組織ポリシーを削除すると、制約のデフォルト動作が有効なポリシーとなります。
組織とプロジェクトの組織のポリシーを削除する手順は以下のとおりです。
deleteコマンドを使用して、組織リソースからポリシーを削除します。gcloud org-policies delete \ BOOLEAN_CONSTRAINT \ --organization=ORGANIZATION_IDORGANIZATION_IDは、組織リソースの固有識別子に置き換えます。コマンドの出力は次のようになります。Deleted policy [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT]. {}組織で有効なポリシーを取得し、ポリシーが適用されていないことを確認します。
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --organization=ORGANIZATION_IDポリシーが設定されていない場合は、次のような
NOT_FOUNDエラーが返されます。ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.deleteコマンドを使用して、プロジェクトから組織のポリシーを削除します。gcloud org-policies delete \ BOOLEAN_CONSTRAINT \ --project=PROJECT_IDコマンドの出力は次のようになります。
Deleted policy [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT]. {}プロジェクトで有効なポリシーを取得し、ポリシーが適用されていないことを確認します。
gcloud org-policies describe \ BOOLEAN_CONSTRAINT --effective \ --project=PROJECT_IDPROJECT_IDは、組織の固有識別子に置き換えます。ポリシーが設定されていない場合は、次のような
NOT_FOUNDエラーが返されます。ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。
組織のポリシーでマネージド制約を使用する
マネージド制約は、カスタム組織のポリシー プラットフォーム上に構築された事前定義された制約です。事前定義された制約と同様に使用できますが、組織のポリシー サービス用の Policy Simulator と組織のポリシーのドライランを使用して、ポリシーの変更をより安全にデプロイできます。
マネージド制約を表示して特定する
組織で使用可能なマネージド制約を確認するには、次の操作を行います。
コンソール
Google Cloud コンソールで、[組織のポリシー] ページに移動します。
プロジェクト選択ツールから、組織のポリシーを表示するプロジェクト、フォルダ、または組織を選択します。表示された [組織のポリシー] ページに、このリソースで使用可能な組織のポリシーの制約のリストが表示されます。
制約の種類で組織のポリシーのリストをフィルタまたは並べ替えて、管理対象の制約を見つけることができます。詳細を表示するマネージド制約をリストから選択します。表示された [ポリシーの詳細] ページには、この組織のポリシーのソース、このリソースに対する有効なポリシー評価、制約の詳細が表示されます。
gcloud
組織の組織のポリシーで適用されるマネージド制約とカスタム制約を一覧表示するには、org-policies list-custom-constraints コマンドを使用します。
gcloud org-policies list-custom-constraints \
--organization=ORGANIZATION_ID
ORGANIZATION_ID は組織の ID に置き換えます。
リソースの特定の管理対象制約の詳細を取得するには、org-policies describe-custom-constraint コマンドを使用します。
gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
--organization=ORGANIZATION_ID
次のように置き換えます。
CONSTRAINT_NAME: 詳細を取得するマネージド制約の名前。例:iam.managed.disableServiceAccountKeyUploadORGANIZATION_ID: 組織の ID。
REST
組織の組織のポリシーで設定されたマネージド制約とカスタム制約を一覧表示するには、organizations.customConstraints.list メソッドを使用します。
GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints
ORGANIZATION_ID は組織の ID に置き換えます。
マネージド制約の作成と更新
組織のポリシーは、マネージド制約ごとに設定された値によって定義されます。リソースに構成することも、親リソースから継承することも、Google 管理のデフォルト動作に設定することもできます。
マネージド制約に基づいてポリシーを作成または更新する手順は次のとおりです。
コンソール
- Google Cloud コンソールで、[組織のポリシー] ページに移動します。
プロジェクト選択ツールから、組織のポリシーを編集するプロジェクト、フォルダ、または組織を選択します。表示された [組織のポリシー] ページに、このリソースで使用可能な組織のポリシー制約のフィルタ可能なリストが表示されます。
リストから、組織のポリシーを更新するマネージド制約を選択します。[ポリシーの詳細] ページには、この組織のポリシーのソース、このリソースに対する有効なポリシー評価、マネージド制約の詳細が表示されます。
このリソースの組織のポリシーを更新するには、[ポリシーを管理] をクリックします。
[ポリシーの編集] ページで、[親のポリシーをオーバーライドする] を選択します。
[ルールを追加] を選択します。
[適用] で、この組織のポリシーの適用を有効にするかどうかを選択します。
タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できません。詳細については、タグを使用した組織のポリシーの設定をご覧ください。
必要に応じて、組織のポリシーの変更が適用される前にその影響をプレビューするには、[変更内容をテスト] をクリックします。組織のポリシーの変更のテストの詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
ドライラン モードで組織のポリシーを適用するには、[ドライラン ポリシーを設定] をクリックします。詳細については、ドライラン モードで組織のポリシーを作成するをご覧ください。
ドライラン モードの組織のポリシーが想定どおりに動作していることを確認したら、[ポリシーを設定] をクリックしてライブポリシーを設定します。
gcloud
YAML ファイルを作成して組織のポリシーを定義します。
name: RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation spec: rules: - enforce: ENFORCEMENT_STATE dryRunSpec: rules: - enforce: ENFORCEMENT_STATE次のように置き換えます。
RESOURCE_TYPEはorganizations、folders、またはprojectsに置き換えます。RESOURCE_IDは、RESOURCE_TYPEで指定されたリソースのタイプに応じた、組織 ID、フォルダ ID、プロジェクト ID またはプロジェクト番号に置き換えます。ENFORCEMENT_STATEをtrueに置き換えて、この組織のポリシーが設定されている場合に適用します。falseに置き換えて、設定されている場合に無効にします。
必要に応じて、タグで組織のポリシーに条件を設定するには、
rulesにconditionブロックを追加します。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグを使用した組織のポリシーの設定をご覧ください。dryRunSpecフラグを指定してorg-policies set-policyコマンドを実行し、ドライラン モードで組織のポリシーを設定します。gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpecPOLICY_PATHは、組織のポリシーの YAML ファイルのパスに置き換えます。ドライランの組織のポリシーの詳細については、ドライラン モードで組織のポリシーを作成するをご覧ください。
policy-intelligence simulate orgpolicyコマンドを使用して、組織のポリシーの変更が適用される前に、その影響をプレビューします。gcloud policy-intelligence simulate orgpolicy \ --organization=ORGANIZATION_ID \ --policies=POLICY_PATH次のように置き換えます。
ORGANIZATION_IDは、組織 ID に置き換えます(1234567890123など)。複数の組織にわたる変更のシミュレーションはサポートされていません。POLICY_PATHは、組織のポリシーの YAML ファイルのパスに置き換えます。
組織のポリシーの変更をテストする方法については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
ドライラン モードの組織のポリシーが意図したとおりに動作していることを確認したら、
org-policies set-policyコマンドとspecフラグを使用してライブポリシーを設定します。gcloud org-policies set-policy POLICY_PATH \ --update-mask=specPOLICY_PATHは、組織のポリシーの YAML ファイルのパスに置き換えます。
REST
組織のポリシーを設定するには、organizations.policies.create メソッドを使用します。
POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies
JSON 本文のリクエスト:
{
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation",
"spec": {
"rules": [
{
"enforce": ["ENFORCEMENT_STATE"]
}
]
}
"dryRunSpec": {
"rules": [
{
"enforce": ["ENFORCEMENT_STATE"]
}
]
}
}
次のように置き換えます。
RESOURCE_TYPEはorganizations、folders、またはprojectsに置き換えます。RESOURCE_IDは、RESOURCE_TYPEで指定されたリソースのタイプに応じた、組織 ID、フォルダ ID、プロジェクト ID またはプロジェクト番号に置き換えます。ENFORCEMENT_STATEをtrueに置き換えて、この組織のポリシーが設定されている場合に適用します。falseに置き換えて、設定されている場合に無効にします。
必要に応じて、タグで組織のポリシーに条件を設定するには、rules に condition ブロックを追加します。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグを使用した組織のポリシーの設定をご覧ください。
ドライランの組織のポリシーの詳細については、ドライラン モードで組織のポリシーを作成するをご覧ください。
組織のポリシーの変更を完全に適用するには、最大 15 分ほどかかる場合があります。