合规与安全策略组

中心化安全策略管理允许实例管理员指定一个合规与安全策略组，从单一中心化位置在多个组和项目中应用安全策略。

当您在合规与安全策略组中创建或编辑安全策略时，可以将策略范围限定为：

• 特定组和子组：仅将策略应用于选定的组及其子组。
• 特定项目：将策略应用于单个项目。
• 实例中的所有项目：在整个 GitLab 实例中应用策略。
• 所有项目但有例外：应用于除您指定的项目之外的所有项目。

当您指定一个合规与安全策略组作为您的中心化策略管理枢纽时，您可以：

• 创建和配置自动在整个实例中应用的安全策略。
• 将策略范围限定为特定组、项目或整个实例。
• 查看全面的策略覆盖范围，了解哪些策略处于激活状态以及它们在何处激活。
• 在保持中心化控制的同时，允许团队创建自己的额外策略。

Prerequisites

• GitLab 自托管。
• GitLab 18.2 或更高版本。
• 您必须是实例管理员。
• 您必须有一个现有的顶级组作为合规与安全策略组。
• 要使用 REST API（可选），您必须拥有具有管理员访问权限的令牌。

Set up centralized security policy management

要设置中心化安全策略管理，您需要指定一个合规与安全策略组，然后在该组中创建策略。

有关更多信息，请参阅实例范围的合规与安全策略管理。

Enable global approval groups

要在整个实例中支持全局审批组，您必须：

在您的 GitLab 实例应用程序设置 中启用 security_policy_global_group_approvers_enabled。

Create security policies in the compliance and security policy group

要创建策略：

1. 转到您指定的合规与安全策略组。
2. 转到 安全 > 策略。
3. 像往常一样创建一个或多个安全策略。在保存每个策略之前：
   • 在 策略范围 部分，选择要应用策略的范围：
     • 组：将策略应用于特定组和子组。
     • 项目：将策略应用于单个项目。
     • 所有项目：应用于整个实例。
     • 所有项目但有例外：应用于所有项目但有指定的例外。
4. 保存您的策略配置。

Policy storage and configuration

合规与安全策略组中的策略存储在指定的合规与安全策略组中的 policy.yml 文件中，类似于组策略的管理方式。在合规与安全策略组中创建的策略使用与其他组和项目中的安全策略相同的配置格式。

Policy synchronization

• 根据范围内的组和项目数量，策略变更可能需要一些时间才能在整个实例中应用。
• 同步过程使用后台作业，这些作业在您指定合规与安全策略组、创建策略或更新策略时自动排队。
• 实例管理员可以在 管理区域 > 监控 > 后台作业 中监控后台作业处理。
• 要验证策略是否已成功应用于目标组或项目，请转到组或项目中的 安全 > 策略。

Troubleshooting

策略未出现在目标组或项目中

• 验证策略范围是否包含目标组或项目。
• 验证合规与安全策略组是否在管理设置中正确指定。
• 验证策略是否在合规与安全策略组中启用。
• 策略变更可能需要时间才能应用。有关更多信息，请参阅策略同步。

性能问题

• 监控策略传播时间，特别是对于大型范围配置。
• 考虑将策略范围限定为特定组或项目，而不是将策略应用于所有项目。

Feedback and support

由于这是 Beta 版本，我们积极寻求用户的反馈。通过以下方式分享您的经验、建议和任何问题：

• GitLab 问题。
• 您的常规 GitLab 支持渠道。