Cuando configuras una política de la organización en un nodo de la jerarquía de recursos, todos los descendientes de ese nodo de la jerarquía de recursos heredan la política de la organización de forma predeterminada. Si configuras una política de la organización en el nodo de la organización raíz, todas las carpetas, proyectos y recursos secundarios heredan esas restricciones.
Puedes establecer la misma política de la organización con una configuración diferente en la cuenta secundaria que reemplazarán o se combinarán con la política heredada según el reglas de evaluación de jerarquías.
Antes de comenzar
Lee la documentación sobre las restricciones para obtener una descripción de la restricciones.
Lee la descripción general del servicio de políticas de la organización para obtener información sobre cómo funciona la política de la organización.
Ejemplo de una jerarquía
En el siguiente diagrama de la jerarquía de recursos, cada nodo configura una política de la organización y define si esta hereda la política del nodo superior. Las formas coloreadas representan los valores que la política de la organización admite o rechaza.
Una Restricción es una definición de los comportamientos que controla una política de la organización. En el ejemplo anterior, Constraint representa el valor predeterminado de la restricción, que define el comportamiento cuando no hay una política de la organización para la restricción. La configuración predeterminada de la restricción en este ejemplo te permite todas de salida. Los nodos que están debajo definen políticas de la organización que anulan la restricción predeterminada permitiendo o rechazando valores.
La política vigente en cada nodo se evalúa en función de las reglas de herencia. Si no se establece una política de la organización, el nodo heredará el comportamiento predeterminado de la restricción. En cambio, si configuras una política de la organización, se usa tu política. En el ejemplo anterior, el Nodo de la organización define una política que permite el uso de cuadrado y verde círculo.
Los nodos de los recursos que están debajo del Nodo de la organización en la jerarquía se evalúan de la siguiente manera:
El Recurso 1 define una política que configura
inheritFromParentcomoTRUEy permite diamante azul. La política del Nodo de la organización es se hereda y combinó con la política establecida en el Recurso 1. La política vigente admite el cuadrado rojo , el círculo verde y el diamante azul .El Recurso 2 define una política que configura
inheritFromParentcomoTRUEy rechaza círculo. Los valores de rechazo siempre prevalecen durante la conciliación de las políticas. La política del Nodo de la organización se hereda y se combina con la política establecida en el Recurso 2. La política vigente evalúa para permitir solo rojo cuadrado.El Recurso 3 define una política que configura
inheritFromParentcomoFALSEy permite el color amarillo hexágono. La política del Nodo de organización no se hereda, por lo que la política vigente solo admite el hexágono amarillo .El Recurso 4 define una política que configura
inheritFromParentcomoFALSEy incluye el valorrestoreDefault. La política del Nodo de la organización no se hereda, y se usa el comportamiento de la restricción predeterminado, por lo que la política vigente admite todos los valores de .
Reglas de evaluación de la jerarquía
Las siguientes reglas rigen cómo se evalúa la política de la organización en un recurso determinado. Necesitas la función de administrador de políticas de la organización para configurar la política de la organización.
No se configuró una política de la organización
Si no configuras una política de la organización, el nodo de un recurso heredará una de su superior. Si no hay ninguna política establecida en la jerarquía principal, se aplicará de forma forzosa el comportamiento de la restricción predeterminado.
Herencia
El nodo de un recurso que tiene configurada una política de la organización de forma predeterminada reemplaza cualquier política que hayan configurado los nodos superiores en la jerarquía. Sin embargo, si en el nodo de un recurso se configuró inheritFromParent = true, la política vigente del recurso superior se hereda, se combina y se concilia para evaluar la política resultante vigente. Por ejemplo:
- Una carpeta rechaza el valor
projects/123. - Un proyecto dentro de esa carpeta rechaza el valor
projects/456.
Las dos políticas se combinan y, en este caso, dan como resultado una política vigente que rechaza projects/123 y projects/456.
Inhabilita la herencia
Si un nodo de la jerarquía de recursos tiene una política que incluye inheritFromParent = false, no hereda la política de la organización de su superior. En su lugar, el nodo hereda el comportamiento de la restricción predeterminado, a menos que configures una política con valores admitidos o rechazados.
Concilia conflictos de políticas
Cuando un nodo secundario hereda políticas de la organización basadas en restricciones de listas, las políticas heredadas se combinan y se concilian con la política de la organización del nodo. En la evaluación de las políticas de listas, los valores DENY siempre prevalecen. Por ejemplo:
- Una carpeta rechaza el valor
projects/123. - Un proyecto dentro de esa carpeta admite el valor
projects/123.
Las políticas se combinan y el valor DENY prevalece. La política vigente rechaza todos los valores y evaluará, de la misma forma, si el nodo superior o secundario rechaza el valor. Es mejor no incluir un mismo valor en las listas de los recursos admitidos y rechazados. Esto puede hacer que la comprensión de tus políticas se torne dificultosa.
Las políticas de la organización que derivan de restricciones booleanas no combinan ni concilian políticas. Si se especifica una política en el nodo de un recurso, ese valor TRUE o FALSE se usa para determinar la política vigente. Por ejemplo:
Una carpeta configura
enforced: trueenconstraints/compute.disableSerialPortAccess.Un proyecto dentro de esa carpeta configura
enforced: falseenconstraints/compute.disableSerialPortAccess.
Se ignora el valor enforced: true configurado en la carpeta, ya que enforced: false se configura en el proyecto mismo. La política de la organización no aplicará la restricción de forma forzosa en ese proyecto.
Restablece la política predeterminada
Cuando invocas RestoreDefault, la política de la organización usará el comportamiento de la restricción predeterminado en el nodo de esta jerarquía de recursos. Los nodos secundarios también heredarán este comportamiento.