Esta página foi traduzida pela API Cloud Translation.

Como usar restrições

Neste guia, veja como criar uma política da organização com uma restrição específica. As restrições usadas nos exemplos desta página não serão restrições reais, mas amostras generalizadas para fins educacionais.

Para mais informações sobre restrições e os problemas que elas resolvem, consulte a lista de todas as restrições do serviço Política da organização.

Antes de começar

Leia a página Introdução ao serviço "Política da organização" para saber como funciona a política da organização.
Leia a página Noções básicas sobre a avaliação da hierarquia para saber mais sobre a herança de políticas.

Funções exigidas

Para receber as permissões necessárias a fim de gerenciar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Usar restrições de lista com uma política da organização

É possível definir uma política da organização no recurso Organização que use uma restrição de lista para negar acesso a um serviço específico. O processo a seguir descreve como definir uma política da organização usando a Google Cloud CLI. Para instruções sobre como visualizar e definir políticas da organização usando o console do Google Cloud, consulte Criar e gerenciar políticas.

As políticas da organização que usam restrições de lista não podem ter mais de 500 valores individuais permitidos ou negados e não podem ter mais de 32 KB. Se uma política da organização for criada ou atualizada para ter mais de 500 valores ou ter mais de 32 KB de tamanho, ela não poderá ser salva e a solicitação vai retornar um erro.

Configurar a aplicação no recurso da organização

Para configurar a aplicação em uma organização usando a CLI gcloud, siga estas etapas:

Consiga a política atual no recurso da organização usando o comando describe: Este comando retorna a política aplicada diretamente a este recurso:
```
gcloud org-policies describe \
  LIST_CONSTRAINT --organization=ORGANIZATION_ID
```
Substitua:
- ORGANIZATION_ID: um identificador exclusivo do recurso da organização. O ID da organização é formatado como números decimais e não pode ter zeros à esquerda.
- LIST_CONSTRAINT: a restrição de lista do serviço que você quer aplicar. Por exemplo, a restrição constraints/gcp.restrictNonCmekServices restringe quais serviços podem criar recursos sem chaves de criptografia gerenciadas pelo cliente (CMEK).
Você também pode aplicar a política da organização a uma pasta ou um projeto com as sinalizações --folder ou --project e o ID da pasta e ID do projeto, respectivamente.

A resposta retorna a política da organização atual, se houver uma. Exemplo:
```
name: projects/841166443394/policies/gcp.resourceLocations
spec:
  etag: BwW5P5cEOGs=
  inheritFromParent: true
  rules:
  - condition:
      expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
    values:
      allowedValues:
      - in:us-east1-locations
  - condition:
      expression: resource.matchTag("123/env", "prod")
    values:
      allowedValues:
      - in:us-west1-locations
  - values:
      deniedValues:
      - in:asia-south1-locations
  updateTime: '2021-01-19T12:00:51.095Z'
```
Se uma política não for definida, isso retornará um erro NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Defina a política no projeto usando o comando set-policy. Isso substitui qualquer política anexada ao recurso.
1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
```
2. Execute o comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```
Veja a política efetiva atual usando describe --effective. Isso retorna a política da organização conforme é avaliada neste momento na hierarquia de recursos com herança incluída.
```
gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID
```
A saída do comando será:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  etag: BwVJi0OOESU=
  rules:
  - values:
      deniedValues:
      - VALUE_A
```
Como essa política da organização foi definida no nível da organização, ela será herdada por todos os recursos filhos que permitem a herança.

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Configurar a aplicação em uma subárvore de hierarquia

Restrições de lista determinam que recursos devem ser permitidos ou negados a partir de valores explicitamente definidos. Algumas restrições também podem aceitar valores que usam o prefixo under:, que especifica uma subárvore com esse recurso na raiz. Usar o prefixo under: em um valor permitido ou negado faz com que a política da organização aja nesse recurso e em todos os seus filhos. Para mais informações sobre as restrições que permitem o uso do prefixo under:, consulte a página Restrições da política da organização.

Um valor que usa o prefixo under: é chamado de uma string de subárvore de hierarquia. Uma string de subárvore de hierarquia especifica o tipo de recurso ao qual se aplica. Por exemplo, o uso de uma string de subárvore de projects/PROJECT_ID ao definir a restrição constraints/compute.storageResourceUseRestrictions permitirá ou negará o uso do armazenamento do Compute Engine para PROJECT_ID e todos os filhos.

Consiga a política atual no recurso da organização usando o comando describe:
```
gcloud org-policies describe \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Substitua:
- ORGANIZATION_ID é um identificador exclusivo do recurso organização;
- LIST_CONSTRAINT é a restrição de lista para o serviço que você quer aplicar.
Você também pode aplicar a política da organização a uma pasta ou um projeto com as sinalizações --folder ou --project e o ID da pasta e ID do projeto, respectivamente.

Se uma política não for definida, isso retornará um erro NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Defina a política no projeto usando o comando set-policy. O prefixo under: define a restrição para negar o recurso nomeado e todos os seus recursos filho.
1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A
```
2. Execute o comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```
Em que:
- under: é um prefixo que significa que o que vem a seguir é uma string de subárvore.
- folders/VALUE_A é o ID da pasta do recurso raiz que você quer negar. Este recurso será negado, bem como todos os seus filhos na hierarquia de recursos.
Você também pode aplicar o prefixo under: a organizações e projetos, como nos exemplos a seguir:
- under:organizations/VALUE_X
- under:projects/VALUE_Y

Veja a política efetiva atual usando describe --effective.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

A saída do comando será:

name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A

A política agora avalia para negar a pasta VALUE_A e todos os seus recursos filhos.

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Mesclar a política da organização em um projeto

É possível definir uma política da organização em um recurso, que se mesclará a qualquer política herdada do recurso pai. Em seguida, essa política mesclada será avaliada para criar uma nova política vigente com base nas regras de herança.

Consiga a política atual no recurso usando o comando describe:
```
gcloud org-policies describe \
  LIST_CONSTRAINT \
  --project=PROJECT_ID
```
Substitua:
- PROJECT_ID: o identificador exclusivo do projeto.
- LIST_CONSTRAINT: a restrição de lista do serviço que você quer aplicar.
Se uma política não for definida, isso retornará um erro NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

Exiba a política efetiva atual usando o comando describe --effective:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

A saída do comando incluirá um valor negado que é herdado do recurso Organização:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A

Defina a política no projeto usando o comando set-policy.

Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  inheritFromParent: true
  rules:
  - values:
      deniedValues:
      - VALUE_B
      - VALUE_C

Execute o comando set-policy:

gcloud org-policies set-policy /tmp/policy.yaml

Use o comando describe --effective novamente para exibir a política atualizada:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

A saída do comando incluirá o resultado efetivo da mesclagem da política do recurso e do pai:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
        - VALUE_A
        - VALUE_B
        - VALUE_C

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Restaurar comportamento de restrição padrão

É possível usar o comando reset para redefinir a política e usar o comportamento padrão da restrição. Para ver uma lista de todas as restrições disponíveis e os valores padrão, consulte Restrições da política da organização.O exemplo a seguir presume que o comportamento de restrição padrão é permitir todos os valores.

Encontre a política vigente no projeto para mostrar a política atual mesclada:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

Substitua PROJECT_ID pelo identificador exclusivo do seu projeto. A saída do comando será:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

Redefina a política da organização usando o comando reset.

gcloud org-policies reset LIST_CONSTRAINT \
    --project=PROJECT_ID

Encontre a política vigente para verificar o comportamento padrão:

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

A saída do comando permitirá todos os valores:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Excluir uma política da organização

Uma política da organização pode ser excluída de um recurso. Um recurso sem um conjunto de políticas da organização herdará qualquer política do respectivo recurso pai. Se você excluir a política da organização no recurso Organização, a política vigente será o comportamento padrão da restrição.

Nas etapas a seguir, descrevemos como excluir uma política de uma organização:

Exclua a política no recurso da organização usando o comando delete:
```
gcloud org-policies delete \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Substitua ORGANIZATION_ID pelo identificador exclusivo do recurso da organização. A saída do comando será:
```
Deleted policy
[organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT].
{}
```

Encontre a política vigente na organização para verificar se ela não é aplicada.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

A saída do comando será:

name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

Nas etapas a seguir, descrevemos como excluir uma política da organização em um projeto:

Exclua a política em um projeto usando o comando delete:

gcloud org-policies delete \
  LIST_CONSTRAINT \
  --project=PROJECT_ID

Em que PROJECT_ID é o identificador exclusivo do seu projeto. A saída do comando será:

Deleted policy
[projects/PROJECT_ID/policies/LIST_CONSTRAINT].
{}

Encontre a política vigente no projeto para verificar se ela não é aplicada.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

A saída do comando será:

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Como usar restrições booleanas na política da organização

Configurar a aplicação no recurso da organização

Uma política da organização pode ser definida no recurso organização, para aplicar uma restrição booleana. O processo a seguir descreve como definir uma política da organização usando a Google Cloud CLI. Para conferir instruções sobre como visualizar e definir políticas da organização usando o console do Google Cloud, consulte Criar e gerenciar políticas.

Consiga a política atual no recurso da organização usando o comando describe:
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
Substitua ORGANIZATION_ID pelo identificador exclusivo do recurso da organização. Também é possível aplicar a política da organização a uma pasta ou um projeto com as sinalizações --folder ou --project e o ID da pasta e o ID do projeto, respectivamente.

Se uma política não for definida, isso retornará um erro NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

Defina a política no projeto usando o comando set-policy.

Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: true

Execute o comando set-policy:

gcloud org-policies set-policy /tmp/policy.yaml

Veja a política efetiva atual usando describe --effective:

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

A saída do comando será:

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Modificar a política da organização de um projeto

Para substituir a política da organização de um projeto, defina uma política que desativa a aplicação da restrição booleana a todos os recursos na hierarquia abaixo do projeto.

Encontre a política atual no recurso para mostrar que está vazia.
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID
```
Em que PROJECT_ID é o identificador exclusivo do seu projeto.

Se uma política não for definida, isso retornará um erro NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

Encontre a política vigente do projeto, que confirma que a restrição está sendo aplicada nesse projeto.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

A saída do comando será:

name: projects/PROJECT_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

Defina a política no projeto usando o comando set-policy.
1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:
```
name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: false
```
2. Execute o comando set-policy:
```
gcloud org-policies set-policy /tmp/policy.yaml
```

Encontre a política vigente para mostrar que ela não é mais aplicada no projeto.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

A saída do comando será:

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: false

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Excluir uma política da organização

As etapas a seguir descrevem como excluir uma política da organização em uma organização e em um projeto:

Exclua a política do recurso da organização usando o comando delete:

gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID

Substitua ORGANIZATION_ID por um identificador exclusivo do recurso organização. A saída do comando será:

Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

Encontre a política vigente na organização para verificar se ela não é aplicada.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

Se uma política não for definida, isso retornará um erro NOT_FOUND:

ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

Exclua a política da organização do projeto usando o comando delete:

gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID

A saída do comando será:

Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

Encontre a política vigente no projeto para verificar se ela não é aplicada.
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID
```
Substitua PROJECT_ID pelo identificador exclusivo do seu projeto.

Se uma política não for definida, isso retornará um erro NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Como usar restrições gerenciadas em uma política da organização

As restrições gerenciadas são predefinidas e criadas na plataforma Política da organização personalizada. Elas podem ser usadas de maneira semelhante às restrições predefinidas, mas podem usar o Simulador de política para o serviço de política da organização e as políticas de simulação da organização para implantar as alterações de política com mais segurança.

Conferir e identificar restrições gerenciadas

Para conferir as restrições gerenciadas disponíveis para sua organização, faça o seguinte:

Console

No console do Google Cloud, acesse a página Políticas da organização.

Acessar as políticas da organização
No seletor de projetos, selecione o projeto, a pasta ou a organização em que você quer visualizar as políticas da organização. A página Políticas da organização que aparece mostra uma lista de restrições de políticas da organização disponíveis para esse recurso.
É possível filtrar ou ordenar a lista de políticas da organização por tipo de restrição para encontrar restrições gerenciadas. Selecione a restrição gerenciada que você quer consultar na lista. Na página Detalhes da política que aparece, você pode conferir a origem dessa política da organização, a avaliação de política eficaz nesse recurso e mais detalhes sobre a restrição.

gcloud

Para listar as restrições gerenciadas e personalizadas aplicadas nas políticas da organização em uma organização, use o comando org-policies list-custom-constraints.

gcloud org-policies list-custom-constraints \
  --organization=ORGANIZATION_ID

Substitua ORGANIZATION_ID pelo ID da organização.

Para conferir detalhes sobre uma restrição gerenciada específica de um recurso, use o comando org-policies describe-custom-constraint.

gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
    --organization=ORGANIZATION_ID

Substitua:

CONSTRAINT_NAME: o nome da restrição gerenciada sobre a qual você quer detalhes. Por exemplo, iam.managed.disableServiceAccountKeyUpload.
ORGANIZATION_ID: o ID da organização.

REST

Para listar as restrições gerenciadas e personalizadas definidas nas políticas da organização em uma organização, use o método organizations.customConstraints.list.

  GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints

Substitua ORGANIZATION_ID pelo ID da organização.

Como criar e atualizar restrições gerenciadas

As políticas da organização são definidas pelos valores definidos para cada restrição gerenciada. Elas podem ser configuradas para um recurso, herdadas de um recurso pai ou definidas para o comportamento padrão gerenciado pelo Google.

Para criar ou atualizar uma política com base em uma restrição gerenciada, faça o seguinte:

Console

No console do Google Cloud, acesse a página Políticas da organização.

Acessar as políticas da organização

No seletor de projetos, selecione o projeto, a pasta ou a organização em que você quer editar a política da organização. A página Políticas da organização exibe uma lista filtrável das restrições de políticas da organização disponíveis para esse recurso.
Selecione a restrição gerenciada em que você quer atualizar a política da organização na lista. Na página Detalhes da política, você pode conferir a fonte dessa política da organização, a avaliação de política efetiva nesse recurso e mais detalhes sobre a restrição gerenciada.
Para atualizar a política da organização para este recurso, clique em Gerenciar política.
Na página Editar política, selecione Substituir a política do editor principal.
Selecione Adicionar uma regra.
Em Aplicação, selecione se a aplicação dessa política da organização precisa ser ativada ou desativada.
Para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais detalhes, consulte Como definir uma política da organização com tags.
Se quiser conferir o impacto da mudança na política da organização antes de ela ser aplicada, clique em Testar alterações. Para mais informações sobre como testar mudanças na política da organização, consulte Testar mudanças na política da organização com o Simulador de política.
Para aplicar a política da organização no modo de simulação, clique em Definir política de simulação. Para mais informações, consulte Criar uma política da organização no modo de simulação.
Depois de verificar se a política da organização no modo de simulação funciona corretamente, clique em Definir política para ativar a política.

gcloud

Crie um arquivo YAML para definir a política da organização:
```
name: RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation
spec:
  rules:
  - enforce: ENFORCEMENT_STATE

dryRunSpec:
  rules:
  - enforce: ENFORCEMENT_STATE
```
Substitua:
- RESOURCE_TYPE por organizations, folders ou projects.
- RESOURCE_ID com o ID da organização, da pasta, do ID do projeto ou o número do projeto, dependendo do tipo de recurso especificado em RESOURCE_TYPE.
- ENFORCEMENT_STATE com true para aplicar essa política da organização quando definida ou false para desativá-la quando definida.
Se quiser, para tornar a política da organização condicional em uma tag, adicione um bloco condition ao rules. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais detalhes, consulte Como definir uma política da organização com tags.
Execute o comando org-policies set-policy com a flag dryRunSpec para definir a política da organização no modo de simulação:
```
 gcloud org-policies set-policy POLICY_PATH \
   --update-mask=dryRunSpec
```
Substitua POLICY_PATH pelo caminho completo do arquivo YAML da política da organização.

Para mais informações sobre políticas da organização de simulação, consulte Criar uma política da organização no modo de simulação.
Use o comando policy-intelligence simulate orgpolicy para conferir o impacto da mudança na política da organização antes que ela seja aplicada:
```
gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --policies=POLICY_PATH
```
Substitua:
- ORGANIZATION_ID pelo ID da organização, como 1234567890123. Não é possível simular mudanças em várias organizações.
- POLICY_PATH com o caminho completo do arquivo YAML da política da organização.
Para mais informações sobre como testar alterações na política da organização, consulte Testar alterações na política da organização com o Simulador de política.
Depois de verificar se a política da organização no modo de simulação funciona como esperado, defina a política ativa com o comando org-policies set-policy e a flag spec:
```
gcloud org-policies set-policy POLICY_PATH \
  --update-mask=spec
```
Substitua POLICY_PATH pelo caminho completo do arquivo YAML da política da organização.

REST

Para definir a política da organização, use o método organizations.policies.create.

POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies

Solicitar corpo JSON:

{
  "name": "RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation",
  "spec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
  "dryRunSpec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
}

Substitua:

RESOURCE_TYPE por organizations, folders ou projects.
RESOURCE_ID com o ID da organização, da pasta, do ID do projeto ou o número do projeto, dependendo do tipo de recurso especificado em RESOURCE_TYPE.
ENFORCEMENT_STATE com true para aplicar essa política da organização quando definida ou false para desativá-la quando definida.

Se quiser, para tornar a política da organização condicional em uma tag, adicione um bloco condition ao rules. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais detalhes, consulte Como definir uma política da organização com tags.

Para mais informações sobre políticas da organização de simulação, consulte Criar uma política da organização no modo de simulação.

As alterações nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.