Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo dei vincoli

Questa guida spiega come creare un criterio dell'organizzazione con un criterio di blocco. I vincoli utilizzati negli esempi in questa pagina non saranno vincoli, ma campioni generalizzati a scopo didattico.

Per ulteriori informazioni sui vincoli e sui problemi che possono risolvere, esamina il elenco di tutti i vincoli del Servizio Criteri dell'organizzazione.

Prima di iniziare

Leggi la pagina Introduzione al servizio Criteri dell'organizzazione per scoprire come fare. dei criteri dell'organizzazione.
Leggi la pagina Informazioni sui vincoli per ulteriori informazioni il modo in cui vengono costruiti i vincoli.
Leggi la pagina Informazioni sulla valutazione della gerarchia per scopri di più sull'ereditarietà dei criteri.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione, chiedi all'amministratore di concederti Ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire i criteri dell'organizzazione. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire i criteri dell'organizzazione sono necessarie le seguenti autorizzazioni:

orgpolicy.constraints.list
orgpolicy.policies.create
orgpolicy.policies.delete
orgpolicy.policies.list
orgpolicy.policies.update
orgpolicy.policy.get
orgpolicy.policy.set

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati e altri ruoli predefiniti.

Utilizzo di vincoli degli elenchi con un criterio dell'organizzazione

Configura l'applicazione forzata per la risorsa dell'organizzazione

Puoi impostare un criterio dell'organizzazione sulla risorsa organizzazione che utilizza un dell'elenco per negare l'accesso a un particolare servizio. La seguente procedura descrive come impostare un criterio dell'organizzazione utilizzando Google Cloud CLI. Per istruzioni su come visualizzare e impostare i criteri dell'organizzazione utilizzando per la console Google Cloud, consulta Creazione e gestione dei criteri.

I criteri dell'organizzazione che utilizzano vincoli di elenco non possono avere più di 500 singoli valori consentiti o negati e non possono superare i 32 kB. Se il criterio dell'organizzazione viene creato o aggiornato in modo da avere più di 500 valori. di dimensioni superiori a 32 kB, non potrà essere salvato correttamente e la richiesta verrà restituiscono un errore.

API v2

Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando describe . Questo comando restituisce il criterio applicato direttamente a questa risorsa:
```
gcloud org-policies describe \
  LIST_CONSTRAINT --organization=ORGANIZATION_ID
```
Sostituisci quanto segue:
- ORGANIZATION_ID: un identificatore univoco per il risorsa dell'organizzazione. Organization ID (ID organizzazione) è formattato come numeri decimali e non può avere zeri iniziali.
- LIST_CONSTRAINT: il vincolo dell'elenco per che vuoi applicare in modo forzato.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con --folder o --project e i flag ID cartella e ID progetto, rispettivamente.

La risposta restituirà il criterio dell'organizzazione attuale, se esistente. Ad esempio:
```
name: projects/841166443394/policies/gcp.resourceLocations
spec:
  etag: BwW5P5cEOGs=
  inheritFromParent: true
  rules:
  - condition:
      expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
    values:
      allowedValues:
      - in:us-east1-locations
  - condition:
      expression: resource.matchTag("123/env", "prod")
    values:
      allowedValues:
      - in:us-west1-locations
  - values:
      deniedValues:
      - in:asia-south1-locations
  updateTime: '2021-01-19T12:00:51.095Z'
```
Se un criterio non viene configurato, viene restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Imposta il criterio sull'organizzazione utilizzando il comando set-policy. In questo modo sovrascriverà qualsiasi criterio attualmente collegato alla risorsa.
1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
```
2. Esegui il comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```
Visualizza il criterio attualmente in vigore utilizzando describe --effective. Questo restituisce il criterio dell'organizzazione così come viene valutato a questo punto gerarchia con ereditarietà inclusa.
```
gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID
```
L'output del comando sarà:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  etag: BwVJi0OOESU=
  rules:
  - values:
      deniedValues:
      - VALUE_A
```
Poiché questo criterio dell'organizzazione è stato impostato a livello di organizzazione, essere ereditati da tutte le risorse figlio che consentono ereditarietà.

API v1

Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando describe :
```
gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --organization ORGANIZATION_ID
```
Dove:
- ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione. Organization ID (ID organizzazione) sia formattato come numeri decimali e non può avere zeri iniziali.
- LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che che vuoi applicare.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con --folder o --project e i flag ID cartella e ID progetto, rispettivamente.

Poiché una norma non è impostata, ne viene restituita una non completa, ad esempio la nell'esempio seguente:
```
constraint: "constraints/LIST_CONSTRAINT"
etag: BwVJi0OOESU=
```

Utilizza il comando deny per aggiungere il valore negato per il servizio a cui se vogliamo limitare l'accesso.

gcloud resource-manager org-policies deny \
  LIST_CONSTRAINT VALUE_A \
  --organization ORGANIZATION_ID

L'output del comando sarà:

constraint: constraints/LIST_CONSTRAINT
etag: BwVJi0OOESU=
listPolicy:
  deniedValues:
    - VALUE_A
updateTime: CURRENT_TIME

Visualizza il criterio attualmente in vigore utilizzando describe --effective.
```
gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization ORGANIZATION_ID
```
L'output del comando sarà:
```
constraint: constraints/LIST_CONSTRAINT
listPolicy:
  deniedValues:
    - VALUE_A
```
Poiché questo criterio dell'organizzazione è stato impostato a livello di organizzazione, essere ereditati da tutte le risorse figlio che consentono ereditarietà.

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Configura l'applicazione in base a un sottoalbero della gerarchia

I vincoli di elenco assumono valori definiti esplicitamente per determinare quali risorse deve essere consentito o negato. Alcuni vincoli possono accettare anche valori che utilizzano il prefisso under:, che specifica un sottoalbero con questa risorsa come radice. L'utilizzo del prefisso under: su un valore consentito o negato fa sì che l'organizzazione per agire su quella risorsa e su tutti i relativi figli. Per informazioni su i vincoli che consentono di utilizzare il prefisso under:, consulta Vincoli dei criteri dell'organizzazione .

Un valore che utilizza il prefisso under: è chiamato stringa del sottoalbero della gerarchia. R la stringa del sottoalbero della gerarchia specifica il tipo e le risorse a cui si applica. Ad esempio, utilizzando una stringa sottoalbero di projects/PROJECT_ID quando imposti il valore Il vincolo constraints/compute.storageResourceUseRestrictions consentirà o negare l'uso dello spazio di archiviazione di Compute Engine per PROJECT_ID e tutti i relativi figli.

API v2

Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando describe :
```
gcloud org-policies describe \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Sostituisci quanto segue:
- ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione.
- LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che che vuoi applicare.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con --folder o --project e i flag ID cartella e ID progetto, rispettivamente.

Se un criterio non viene configurato, viene restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Imposta il criterio sul progetto utilizzando il comando set-policy. under: imposta il vincolo che rifiuta la risorsa denominata e tutti i relativi figli Google Cloud.
1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A
```
2. Esegui il comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```
Dove:
- under: è un prefisso che indica che quello che segue è un sottoalbero stringa.
- folders/VALUE_A è il ID cartella della risorsa radice che vuoi negare. Questa risorsa e tutti i suoi di risorse figlio nella gerarchia di risorse.
Puoi anche applicare il prefisso under: a organizzazioni e progetti, come in i seguenti esempi:
- under:organizations/VALUE_X
- under:projects/VALUE_Y

Visualizza il criterio attualmente in vigore utilizzando describe --effective.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

L'output del comando sarà:

name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A

Il criterio ora valuta di negare la cartella VALUE_A e di tutte le sue risorse figlio.

API v1

Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando describe :
```
gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --organization ORGANIZATION_ID
```
Dove:
- ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione.
- LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che che vuoi applicare.
Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con --folder o --project e i flag ID cartella e ID progetto, rispettivamente.

Poiché una norma non è impostata, ne viene restituita una non completa, ad esempio la nell'esempio seguente:
```
constraint: "constraints/LIST_CONSTRAINT"
etag: BwVJi0OOESU=
```
Utilizza il comando deny per aggiungere il valore negato per il servizio a cui se vogliamo limitare l'accesso. Il prefisso under: imposta il vincolo che nega il risorsa denominata e tutte le relative risorse figlio.
```
gcloud resource-manager org-policies deny \
  LIST_CONSTRAINT under:folders/VALUE_A \
  --organization ORGANIZATION_ID
```
Dove:
- under: è un prefisso che indica che quello che segue è un sottoalbero stringa.
- folders/VALUE_A è l'ID cartella della risorsa principale che vuoi negare. Questa risorsa e tutti i relativi figlio nella gerarchia di risorse verranno negata.
- VALUE_B e VALUE_C sono progetti esistenti in gerarchia con VALUE_A come padre.
L'output del comando deny sarà:
```
constraint: constraints/LIST_CONSTRAINT
etag: BwVJi0OOESU=
listPolicy:
  deniedValues:
    - under:folders/VALUE_A
updateTime: CURRENT_TIME
```
Puoi anche applicare il prefisso under: a organizzazioni e progetti, come in i seguenti esempi:
- under:organizations/VALUE_X
- under:projects/VALUE_Y

Visualizza il criterio attualmente in vigore utilizzando describe --effective.

gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization ORGANIZATION_ID

L'output del comando sarà:

constraint: constraints/LIST_CONSTRAINT
listPolicy:
  deniedValues:
    - under:folders/VALUE_A

Il criterio ora valuta di negare la cartella VALUE_A e tutte le risorse figlio, in questo caso VALUE_B VALUE_C.

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Unisci il criterio dell'organizzazione su un progetto

Puoi impostare su una risorsa un criterio dell'organizzazione, che verrà unito qualsiasi criterio ereditato dalla risorsa padre. Questo criterio unito verrà poi valutato per creare un nuovo criterio efficace basato sulle regole ereditarietà.

API v2

Ottieni il criterio attuale per la risorsa utilizzando il comando describe:
```
gcloud org-policies describe \
  LIST_CONSTRAINT \
  --project=PROJECT_ID
```
Sostituisci quanto segue:
- PROJECT_ID: il valore identificatore univoco del tuo progetto.
- LIST_CONSTRAINT: il vincolo dell'elenco per che vuoi applicare in modo forzato.
Se un criterio non viene configurato, viene restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

Visualizza il criterio attualmente in vigore utilizzando describe --effective :

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando includerà un valore negato da cui eredita risorsa dell'organizzazione:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A

Imposta il criterio sul progetto utilizzando il comando set-policy.

Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  inheritFromParent: true
  rules:
  - values:
      deniedValues:
      - VALUE_B
      - VALUE_C

Esegui il comando set-policy:

gcloud org-policies set-policy /tmp/policy.yaml

Utilizza di nuovo il comando describe --effective per visualizzare il criterio aggiornato:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando includerà il risultato effettivo dell'unione della risorsa e di quella padre:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
        - VALUE_A
        - VALUE_B
        - VALUE_C

API v1

Ottieni il criterio attuale per la risorsa utilizzando il comando describe:
```
gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --project PROJECT_ID
```
Dove:
- PROJECT_ID è il identificatore univoco del tuo progetto.
- LIST_CONSTRAINT è il vincolo dell'elenco per il servizio che che vuoi applicare.
Poiché una norma non è impostata, ne viene restituita una non completa, ad esempio la nell'esempio seguente:
```
constraint: "constraints/LIST_CONSTRAINT"
etag: BwVJi0OOESU=
```

Visualizza il criterio attualmente in vigore utilizzando describe --effective :

gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --project PROJECT_ID

L'output del comando includerà un valore negato da cui eredita risorsa dell'organizzazione:

constraint: constraints/LIST_CONSTRAINT
listPolicy:
  deniedValues:
    - VALUE_A

Imposta il criterio sul progetto utilizzando il comando set-policy.

Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

constraint: constraints/LIST_CONSTRAINT
listPolicy:
  deniedValues:
    - VALUE_B
    - VALUE_C
  inheritFromParent: true

Esegui il comando set-policy:

gcloud resource-manager org-policies set-policy \
  --project PROJECT_ID /tmp/policy.yaml

L'output del comando sarà:

constraint: constraints/LIST_CONSTRAINT
etag: BwVLO2timxY=
listPolicy:
  deniedValues:
    - VALUE_B
    - VALUE_C
  inheritFromParent: true

Utilizza di nuovo il comando describe --effective per visualizzare il criterio aggiornato:

gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --project PROJECT_ID

L'output del comando includerà il risultato effettivo dell'unione della risorsa e di quella padre:

constraint: constraints/LIST_CONSTRAINT
  listPolicy:
    deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Ripristina il comportamento predefinito del vincolo

Puoi utilizzare il comando reset per reimpostare il criterio in modo che utilizzi il valore comportamento predefinito. Per un elenco di tutti i vincoli disponibili e dei loro valori predefiniti consulta Vincoli dei criteri dell'organizzazione. nell'esempio seguente presuppone che il comportamento predefinito del vincolo consenta tutti e i relativi valori.

API v2

Scarica il criterio effettivo sul progetto per mostrare il criterio unito attuale:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

Sostituisci PROJECT_ID con identificatore univoco del tuo progetto. L'output del comando sarà:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

Reimposta il criterio dell'organizzazione utilizzando il comando reset.

gcloud org-policies reset LIST_CONSTRAINT \
    --project=PROJECT_ID

Scarica il criterio effettivo per verificare il comportamento predefinito:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando consentirà tutti i valori:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

API v1

Scarica il criterio effettivo sul progetto per mostrare il criterio unito attuale:

gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --project PROJECT_ID

Sostituisci PROJECT_ID con identificatore univoco del tuo progetto. L'output del comando sarà:

constraint: constraints/LIST_CONSTRAINT
  listPolicy:
    deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

Imposta il criterio sul progetto utilizzando il comando set-policy.

Crea un file temporaneo /tmp/restore-policy.yaml per archiviare il criterio:
```
restoreDefault: {}
constraint: constraints/LIST_CONSTRAINT
```

Esegui il comando set-policy:

gcloud resource-manager org-policies set-policy \
  --project PROJECT_ID /tmp/restore-policy.yaml

L'output del comando sarà:

constraint: constraints/LIST_CONSTRAINT
etag: BwVJi9D3VLY=
restoreDefault: {}

Scarica il criterio effettivo per verificare il comportamento predefinito:

gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --project PROJECT_ID

L'output del comando consentirà tutti i valori:

Constraint: constraints/LIST_CONSTRAINT
listPolicy:
  allValues: ALLOW

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Elimina un criterio dell'organizzazione

Puoi eliminare un criterio dell'organizzazione da una risorsa. Una risorsa senza un il set di criteri dell'organizzazione erediterà tutti i criteri della relativa risorsa padre. Se il criterio dell'organizzazione sulla risorsa organizzazione, sarà il comportamento predefinito del vincolo.

I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un dell'organizzazione.

API v2

Elimina il criterio nella risorsa dell'organizzazione utilizzando delete :
```
gcloud org-policies delete \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Sostituisci ORGANIZATION_ID con l'identificatore univoco della risorsa dell'organizzazione. L'output di il comando sarà:
```
Deleted policy
[organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT].
{}
```

Recupera il criterio in vigore nell'organizzazione per verificare che non sia applicato in modo forzato:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

L'output del comando sarà:

name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un progetto:

Elimina il criterio su un progetto utilizzando il comando delete:
```
gcloud org-policies delete \
  LIST_CONSTRAINT \
  --project=PROJECT_ID
```
Dove PROJECT_ID è il identificatore univoco del tuo progetto. L'output del comando sarà:
```
Deleted policy
[projects/PROJECT_ID/policies/LIST_CONSTRAINT].
{}
```

Scarica il criterio effettivo sul progetto per verificare che non sia applicato in modo forzato:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando sarà:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

API v1

Elimina il criterio nella risorsa dell'organizzazione utilizzando il comando delete:
```
gcloud resource-manager org-policies delete \
  LIST_CONSTRAINT --organization ORGANIZATION_ID
```
Dove ORGANIZATION_ID è l'identificatore univoco della risorsa dell'organizzazione. L'output del sarà:
```
Deleted [<Empty>].
```

Recupera il criterio in vigore nell'organizzazione per verificare che non sia applicato in modo forzato:

gcloud resource-manager org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization ORGANIZATION_ID

L'output del comando sarà:

constraint: constraints/LIST_CONSTRAINT
listPolicy:
  allValues: ALLOW

I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un progetto:

Elimina il criterio su un progetto utilizzando il comando delete:
```
gcloud resource-manager org-policies delete \
  LIST_CONSTRAINT --project PROJECT_ID
```
Dove PROJECT_ID è il identificatore univoco del tuo progetto. L'output del comando sarà:
```
Deleted [<Empty>].
```

Scarica il criterio effettivo sul progetto per verificare che non sia applicato in modo forzato:

gcloud resource-manager org-policies describe \
  --effective \
  LIST_CONSTRAINT --project PROJECT_ID

L'output del comando sarà:

constraint: constraints/LIST_CONSTRAINT
listPolicy:
  allValues: ALLOW

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Utilizzo di vincoli booleani nei criteri dell'organizzazione

Configura l'applicazione forzata per la risorsa dell'organizzazione

Puoi impostare un criterio dell'organizzazione sulla tua risorsa organizzazione per applicare un vincolo booleano. La procedura seguente descrive come impostare un'organizzazione utilizzando Google Cloud CLI. Per istruzioni su come visualizzare e impostare i criteri dell'organizzazione utilizzando la console Google Cloud, consulta Creazione e gestione dei criteri.

API v2

Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando describe :
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Sostituisci ORGANIZATION_ID con l'identificatore univoco della risorsa dell'organizzazione. Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con --folder o --project e i flag ID cartella e ID progetto, rispettivamente.

Se un criterio non viene configurato, viene restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Imposta il criterio sul progetto utilizzando il comando set-policy.
1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:
```
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: true
```
2. Esegui il comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```

Visualizza il criterio attualmente in vigore utilizzando describe --effective:

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

L'output del comando sarà:

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

API v1

Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando describe :
```
gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
```
Dove ORGANIZATION_ID è l'identificatore univoco della risorsa dell'organizzazione. Puoi anche applicare il criterio dell'organizzazione a una cartella o a un progetto con --folder o --project e i ID cartella e ID progetto, rispettivamente.

Poiché una norma non è impostata, ne viene restituita una non completa, ad esempio la nell'esempio seguente:
```
booleanPolicy: {}
constraint: "constraints/BOOLEAN_CONSTRAINT"
```

Configura il criterio da applicare all'organizzazione utilizzando enable-enforce :

gcloud resource-manager org-policies enable-enforce \
  BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID

L'output del comando sarà:

booleanPolicy:
  enforced: true
constraint: constraints/BOOLEAN_CONSTRAINT
etag: BwVJitxdiwY=

Visualizza il criterio attualmente in vigore utilizzando describe --effective:

gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization ORGANIZATION_ID

L'output del comando sarà:

booleanPolicy:
  enforced: true
constraint: constraints/BOOLEAN_CONSTRAINT

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Esegui l'override del criterio dell'organizzazione per un progetto

Per eseguire l'override del criterio dell'organizzazione per un progetto, imposta un criterio che disattivi Applicazione del vincolo booleano a tutte le risorse nella gerarchia seguente del progetto.

API v2

Scarica il criterio attuale per la risorsa per indicare che è vuota.
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID
```
Dove PROJECT_ID è il identificatore univoco del tuo progetto.

Se un criterio non viene configurato, viene restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

Ottenere il criterio efficace sul progetto, per confermare che il vincolo in modo forzato in questo progetto.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando sarà:

name: projects/PROJECT_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

Imposta il criterio sul progetto utilizzando il comando set-policy.
1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:
```
name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: false
```
2. Esegui il comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```

Fai in modo che la norma sia efficace per dimostrare che non è più applicata in progetto.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

L'output del comando sarà:

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: false

API v1

Scarica il criterio attuale per la risorsa per indicare che è vuota.

gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --project PROJECT_ID

Dove PROJECT_ID è il identificatore univoco del tuo progetto. L'output del comando sarà:

booleanPolicy: {}
constraint: "constraints/BOOLEAN_CONSTRAINT"

Ottenere il criterio efficace sul progetto, per confermare che il vincolo in modo forzato in questo progetto.

gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project PROJECT_ID

L'output del comando sarà:

booleanPolicy:
  enforced: true
constraint: constraints/BOOLEAN_CONSTRAINT

Imposta il criterio sul progetto in modo da non applicare il vincolo, utilizzando il metodo Comando disable-enforce:

gcloud resource-manager org-policies disable-enforce \
  BOOLEAN_CONSTRAINT --project PROJECT_ID

L'output del comando sarà:

booleanPolicy: {}
constraint: constraints/BOOLEAN_CONSTRAINT
etag: BwVJivdnXvM=

Fai in modo che la norma sia efficace per dimostrare che non è più applicata in progetto.

gcloud resource-manager org-policies describe \
  --effective \
  BOOLEAN_CONSTRAINT --project PROJECT_ID

L'output del comando sarà:

booleanPolicy: {}
constraint: constraints/BOOLEAN_CONSTRAINT

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.

Elimina un criterio dell'organizzazione

I passaggi seguenti spiegano come eliminare un criterio dell'organizzazione su un un'organizzazione e un progetto.

API v2

Elimina il criterio dalla risorsa dell'organizzazione utilizzando il comando delete:
```
gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Sostituisci ORGANIZATION_ID con un identificatore univoco per la risorsa dell'organizzazione. L'output di il comando sarà:
```
Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}
```

Recupera il criterio in vigore nell'organizzazione per verificare che non sia applicato in modo forzato:

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

Se un criterio non viene configurato, viene restituito un errore NOT_FOUND:

ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

Elimina il criterio dell'organizzazione dal progetto utilizzando il comando delete:

gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID

L'output del comando sarà:

Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

Scarica il criterio effettivo sul progetto per verificare che non sia applicato in modo forzato:
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID
```
Sostituisci PROJECT_ID con l'identificatore univoco del progetto.

Se un criterio non viene configurato, viene restituito un errore NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

API v1

Elimina il criterio dalla risorsa dell'organizzazione utilizzando il comando delete:
```
gcloud resource-manager org-policies delete \
  BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
```
Dove ORGANIZATION_ID è un identificatore univoco della risorsa dell'organizzazione. L'output del sarà:
```
Deleted [<Empty>].
```

Recupera il criterio in vigore nell'organizzazione per verificare che non sia applicato in modo forzato:

gcloud resource-manager org-policies describe \
  --effective \
  BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID

L'output del comando sarà:

booleanPolicy: {}
constraint: constraints/BOOLEAN_CONSTRAINT

Elimina il criterio dell'organizzazione dal progetto utilizzando il comando delete:

gcloud resource-manager org-policies delete \
  BOOLEAN_CONSTRAINT --project PROJECT_ID

L'output del comando sarà:

Deleted [<Empty>].

Scarica il criterio effettivo sul progetto per verificare che non sia applicato in modo forzato:
```
gcloud resource-manager org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project PROJECT_ID
```
Dove la PROJECT_ID è l'identificatore univoco del progetto. L'output del comando sarà:
```
booleanPolicy: {}
constraint: constraints/BOOLEAN_CONSTRAINT
```

L'applicazione completa delle modifiche ai criteri dell'organizzazione può richiedere fino a 15 minuti.