Políticas no escopo

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

As políticas com escopo são as políticas de acesso com escopo para pastas ou projetos específicos, além de uma política de acesso que pode ser aplicada a toda a organização. É possível usar políticas com escopo para delegar a administração de perímetros do VPC Service Controls e níveis de acesso a administradores no nível da pasta e do projeto.

As organizações só podem ter uma política de acesso no nível organizacional, e você pode aplicar a política a qualquer pasta ou projeto na organização.

Em alguns casos, quando você quer delegar o gerenciamento de uma política a um subconjunto de recursos de uma organização, como uma pasta, a um administrador delegado. É possível criar políticas de acesso com escopo para pastas ou projetos específicos junto com uma política de acesso que possa ser aplicada a toda a organização. Para delegar a administração de perímetros e níveis de acesso do VPC Service Controls a administradores no nível da pasta e do projeto, é possível usar políticas com escopo.

Quando você delega a administração de uma política com escopo, os administradores delegados podem modificar ou ler essa política específica, e não a política do Access Context Manager da organização. As políticas com escopo limitam os recursos que podem ser restritos em um perímetro do VPC Service Controls e a visibilidade de qualquer nível de acesso.

Gerenciamento de políticas com escopo

Como administrador do Access Context Manager no nível da organização, você pode criar, modificar e excluir políticas com escopo. É possível especificar as vinculações do Identity and Access Management (IAM) diretamente na política do Access Context Manager e permitir a delegação da administração do Access Context Manager para outros usuários da organização. Um administrador de política com escopo pode configurar perímetros de serviço e níveis de acesso em políticas. No entanto, um administrador de política com escopo não pode criar uma nova política ou alterar o escopo da política para aplicar a outra pasta ou projeto.

Veja a seguir como os administradores gerenciam as políticas com escopo:

  1. O administrador no nível da organização cria uma nova política de acesso com um campo de escopo fazendo referência a uma pasta ou projeto específico.

  2. O administrador no nível da organização atribui permissões de IAM ao administrador delegado diretamente no recurso da política de acesso. O administrador delegado agora tem permissões na política com escopo, mas não tem permissões em nenhuma outra política, a menos que o administrador no nível da organização o atribua explicitamente ao administrador delegado.

  3. O administrador delegado agora pode editar a política para configurar os níveis de acesso e os perímetros de serviço. O administrador delegado também pode conceder permissões do IAM sobre essa política a qualquer outro usuário.

Quando você exclui uma pasta ou um projeto, a política que tem a pasta ou o projeto excluído como escopo também é excluída. Além disso, se você mover um projeto para outro nó na hierarquia da organização, a política com escopo para o projeto não será modificada automaticamente. Exclua a política associada ao projeto, recrie-a e especifique o escopo.

Hierarquia de políticas com escopo

O recurso da organização é o nó raiz da hierarquia de recursos do Google Cloud e todos os recursos que pertencem a uma organização existem como filhos do nó da organização. As pastas são um mecanismo de agrupamento além dos projetos. As pastas e os projetos existem como nós filhos do recurso Organização.

O diagrama a seguir mostra um exemplo de organização que contém pastas para cada Departamento, e as pastas contêm projetos de desenvolvimento, teste e produção.

Arquitetura de implantação

Na organização de exemplo, as seguintes restrições se aplicam a um perímetro de serviço ou a um nível de acesso em uma política com escopo:

  • Os perímetros de serviço em uma política com escopo só podem restringir recursos existentes no escopo dessa política. Por exemplo, um perímetro de serviço em uma política com escopo para a pasta de engenharia pode proteger os projetos example-dev, example-prod e example-test, porque os projetos estão na pasta de engenharia.

    Se a política com escopo se aplicar à pasta de vendas, os perímetros de serviço nessa política não poderão proteger nenhum dos projetos example-dev, example-prod e example-test. No entanto, o perímetro de serviço na política com escopo pode permitir o acesso a projetos em outras pastas usando regras de entrada e saída.

  • Os níveis de acesso em uma política com escopo são visíveis apenas no escopo da política. Se você criar um nível de acesso na política com escopo para a pasta de engenharia, somente os perímetros de serviço e os níveis de acesso na pasta de engenharia poderão usá-lo. Os perímetros de serviço e os níveis de acesso em outras pastas não podem usar o nível de acesso definido na pasta de engenharia.

Um local, como uma pasta, na hierarquia de recursos da organização example.com pode ter várias políticas que contêm um nível de acesso ou um perímetro de serviço. Quando existem várias políticas, uma solicitação de recursos na organização example.com é avaliada com base nas seguintes regras:

  • Uma política pode conter apenas um escopo, como uma pasta, mas você pode criar uma política para cada nível de uma organização. Por exemplo, se o escopo da política 1 for a pasta de engenharia, não será possível defini-la como o escopo de nenhuma outra política. É possível definir outra política com o escopo definido como o filho da pasta de engenharia, como example-prod.

  • Se o escopo de uma política se aplica a um projeto ou a um pai do projeto, é possível adicionar o projeto à política. No entanto, um projeto pode ser membro de apenas um perímetro de serviço em todas as políticas. Por exemplo, uma política com escopo definido para a organização example.com pode definir um perímetro de serviço com example-dev. Uma política com escopo definido para a pasta de engenharia ou escopo definida para o projeto example-dev também pode adicionar o projeto example-dev a um perímetro definido em qualquer um deles. No entanto, somente uma delas pode conter esse projeto.

A seguir