A política da organização do Google Cloud oferece controle centralizado e programático sobre os recursos da sua organização. Como administrador de políticas da organização, é possível definir uma política da organização, que é um conjunto de limites chamado restrições que se aplicam aos recursos do Google Cloud e aos descendentes desses recursos na Hierarquia de recursos do Google Cloud. É possível aplicar políticas da organização no nível da organização, da pasta ou para envolvidos no projeto.
A política da organização fornece restrições predefinidas para vários serviços do Google Cloud. No entanto, se você quiser um controle mais granular e personalizável sobre os campos específicos restritos nas suas políticas da organização, crie também restrições personalizadas e use-as em uma política da organização.
Benefícios
- Gerenciamento de custos: use políticas personalizadas da organização para restringir a instância de VM e os tamanhos e tipos de disco que podem ser usados na sua organização. Também é possível restringir a família de máquinas usada para a instância de VM
- Segurança, conformidade e governança: é possível usar políticas personalizadas
da organização para aplicar políticas da seguinte maneira:
- Para aplicar requisitos de segurança, é possível exigir regras de porta de firewall específicas nas VMs.
- Para oferecer suporte ao isolamento de hardware ou à conformidade com o licenciamento, é possível exigir que todas as VMs em um projeto ou pasta específico sejam executadas em nós de locatário individual.
- Se você quiser controlar scripts de automação, use políticas da organização personalizadas para verificar se os rótulos correspondem às expressões especificadas.
Herança de políticas
Por padrão, as políticas da organização são herdadas pelos descendentes dos recursos em que a política é aplicada. Por exemplo, se você aplicar uma política em uma pasta, o Google Cloud aplicará a política a todos os projetos da pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação de hierarquia.
Preços
O Organization Policy Service, incluindo políticas predefinidas e personalizadas, é oferecido sem custos financeiros.
Limitações
- Para todos os recursos do Compute Engine, as restrições personalizadas são aplicadas nos
métodos
CREATE
. - Para alguns recursos do Compute Engine,
como recursos da política de SSL, as restrições personalizadas também são aplicadas nos
métodos
UPDATE
.
Antes de começar
-
Configure a autenticação, caso ainda não tenha feito isso.
A autenticação é
o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud.
Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no
Compute Engine da seguinte maneira.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- Certifique-se de conhecer o ID da organização.
-
Administrador de políticas da organização (
roles/orgpolicy.policyAdmin
) no recurso da organização -
Para testar as restrições:
Administrador da instância do Compute (v1) (
roles/compute.instanceAdmin.v1
) no projeto -
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
- Para testar as restrições:
compute.instances.create
no projeto- Para usar uma imagem personalizada para criar a VM:
compute.images.useReadOnly
na imagem - Usar um snapshot para criar a VM:
compute.snapshots.useReadOnly
no snapshot - Usar um modelo de instância para criar a VM:
compute.instanceTemplates.useReadOnly
no modelo de instância - Atribuir uma rede legada à VM:
compute.networks.use
no projeto - Especificar um endereço IP estático para a VM:
compute.addresses.use
no projeto - Atribuir um endereço IP externo à VM ao usar uma rede legada:
compute.networks.useExternalIp
no projeto - Especificar uma sub-rede para a VM:
compute.subnetworks.use
no projeto ou na sub-rede escolhida - Atribuir um endereço IP externo à VM ao usar uma rede VPC:
compute.subnetworks.useExternalIp
no projeto ou na sub-rede escolhida - Definir os metadados da instância de VM para a VM:
compute.instances.setMetadata
no projeto - Definir tags para a VM:
compute.instances.setTags
na VM - Definir rótulos para a VM:
compute.instances.setLabels
na VM - Definir uma conta de serviço para a VM usar:
compute.instances.setServiceAccount
na VM - Criar um disco para a VM:
compute.disks.create
no projeto - Anexar um disco atual no modo somente leitura ou de leitura e gravação:
compute.disks.use
no disco - Anexar um disco atual no modo somente leitura:
compute.disks.useReadOnly
no disco
- Persistent Disk:
compute.googleapis.com/Disk
- Tipo do disco permanente:
resource.type
- Tamanho do disco permanente:
resource.sizeGb
- Tipo do disco permanente:
- Imagem:
compute.googleapis.com/Image
- Origem do disco bruto:
resource.rawDisk.source
- Origem do disco bruto:
- Instância de VM:
compute.googleapis.com/Instance
- Recursos avançados da máquina:
resource.advancedMachineFeatures.enableNestedVirtualization
resource.advancedMachineFeatures.threadsPerCore
- Encaminhamento de IP:
resource.canIpForward
- Proteção contra exclusão:
resource.deletionProtection
- Rótulos:
resource.labels
- Tipo de máquina:
resource.machineType
- Plataforma mínima de CPU:
resource.minCpuPlatform
- Interface de rede:
resource.networkInterfaces.network
resource.networkInterfaces.subnetwork
- Afinidade de nó:
resource.scheduling.nodeAffinities.key
resource.scheduling.nodeAffinities.operator
resource.scheduling.nodeAffinities.values
- Acesso privado do Google (IPv6):
resource.privateIpv6GoogleAccess
- Recursos avançados da máquina:
- Políticas de SSL:
compute.googleapis.com/SslPolicy
resource.profile
resource.minTlsVersion
resource.customFeatures
- Outros recursos de computação com suporte:
- HealthCheck:
compute.googleapis.com/HealthCheck
Para mais informações, consulte a página Restrições personalizadas do Cloud Load Balancing.
- HealthCheck:
No console do Google Cloud, acesse a página Políticas da organização.
Selecione o Seletor de projetos na parte superior da página.
No Seletor de projetos, selecione o recurso em que você quer definir a política da organização.
Clique em
Restrição personalizada.Na caixa Nome de exibição, insira um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres. Não use PII ou dados confidenciais em nomes de restrições, porque eles podem ser expostos em mensagens de erro.
Na caixa ID da restrição, insira o nome que você quer para a nova restrição personalizada. Uma restrição personalizada precisa começar com
custom.
e só pode incluir letras maiúsculas, minúsculas ou números, por exemplo,custom.createOnlyN2DVMs
. O tamanho máximo desse campo é de 70 caracteres, sem contar o prefixo (por exemplo,organizations/123456789/customConstraints/custom.
).Na caixa Descrição, insira uma descrição legível a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2000 caracteres.
Na caixa Tipo de recurso, selecione o nome do recurso REST do Google Cloud que contém o objeto e o campo que você quer restringir. Por exemplo,
compute.googleapis.com/Instance
.Em Método de aplicação, selecione se a restrição será aplicada no método REST
CREATE
.Para definir uma condição, clique em
Editar condição.No painel Adicionar condição, crie uma condição de CEL que se refira a um recurso de serviço compatível, por exemplo,
. Esse campo tem um comprimento máximo de 1.000 caracteres.resource.machineType.contains('/machineTypes/n2d')
Clique em Salvar.
Em Ação, selecione se você quer permitir ou negar o método avaliado quando a condição é atendida.
Clique em Criar restrição.
ORGANIZATION_ID
: o ID da organização, como123456789
.CONSTRAINT_NAME
: o nome da sua nova restrição personalizada. Uma restrição personalizada precisa começar comcustom.
e só pode incluir letras maiúsculas, minúsculas ou números. Por exemplo,custom.createOnlyN2DVMs
. Esse campo pode ter até 70 caracteres, sem contar o prefixo (por exemplo,organizations/123456789/customConstraints/custom.
).RESOURCE_NAME
: o nome (não o URI) do recurso REST da API Compute Engine que contém o objeto e o campo que você quer restringir. Por exemplo,Instance
.CONDITION
: uma condição de CEL gravada em uma representação de um recurso de serviço compatível. Esse campo tem um comprimento máximo de 1.000 caracteres. Consulte Recursos compatíveis para mais informações sobre os recursos disponíveis para gravar condições. Por exemplo,"resource.machineType.contains('/machineTypes/n2d')"
.ACTION
: a ação a ser realizada se ocondition
for atendido. Pode serALLOW
ouDENY
.DISPLAY_NAME
: um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres.DESCRIPTION
: uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2000 caracteres.- No console do Google Cloud, acesse a página Políticas da organização.
- Selecione o seletor de projetos na parte superior da página.
- No seletor de projetos, selecione o projeto em que você quer definir a política da organização.
- Selecione a restrição na lista da página Políticas da organização. A página Detalhes da política dessa restrição será exibida.
- Para personalizar a política da organização nesse recurso, clique em Gerenciar política.
- Na página Editar política, selecione Substituir a política do editor principal.
- Clique em Adicionar uma regra.
- Em Aplicação, selecione se a aplicação dessa política da organização precisa ser ativada ou desativada.
- Para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais detalhes, consulte Como definir uma política da organização com tags.
- Se essa for uma restrição personalizada, clique em Testar alterações para simular o efeito da política da organização. Para mais informações, consulte Testar alterações na política da organização com o Simulador de política.
- Para concluir e aplicar a política da organização, clique em Definir política. A política levará até 15 minutos para entrar em vigor.
-
PROJECT_ID
: o projeto em que você quer aplicar a restrição. -
CONSTRAINT_NAME
: o nome definido para a restrição personalizada. Por exemplo,
.custom.createOnlyN2DVMs
Crie um arquivo de restrição
onlyN2DVMs.yaml
com as seguintes informações.name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyN2DVMs resource_types: compute.googleapis.com/Instance condition: "resource.machineType.contains('/machineTypes/n2d')" action_type: ALLOW method_types: CREATE display_name: Only N2D VMs allowed description: Restrict all VMs created to only use N2D machine types.
Defina a restrição personalizada.
gcloud org-policies set-custom-constraint onlyN2DVMs.yaml
Crie um arquivo de política
onlyN2DVMs-policy.yaml
com a seguinte informação. Neste exemplo, aplicamos essa restrição a envolvidos no projeto, mas também é possível defini-la no nível da organização ou da pasta. SubstituaPROJECT_ID
pelo ID do projeto.name: projects/PROJECT_ID/policies/custom.createOnlyN2DVMs spec: rules: – enforce: true
Aplique a política.
gcloud org-policies set-policy onlyN2DVMs-policy.yaml
Teste a restrição tentando criar uma VM que use um tipo de máquina que não seja uma máquina N2D.
gcloud compute instances create my-test-instance \ --project=PROJECT_ID \ --zone=us-central1-c \ --machine-type=e2-medium
O resultado será assim:
ERROR: (gcloud.compute.instances.create) Could not fetch resource: – Operation denied by custom org policies: [customConstraints/
custom.createOnlyN2DVMs
]: Restrict all VMs created to only use N2D machine types.Crie um arquivo YAML para a restrição personalizada.
name: organizations/ORGANIZATION_ID/customConstraints/custom.CONSTRAINT_NAME resource_types: compute.googleapis.com/SslPolicy methodTypes: - CREATE - UPDATE condition: resource.FIELD_NAME == VALUE action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTION
Este exemplo restringe a versão mínima de TLS à 1.2:
name: organizations/012345678901/customConstraints/custom.restrictLbTlsVersion resource_types: compute.googleapis.com/SslPolicy methodTypes: - CREATE - UPDATE condition: resource.minTlsVersion == "TLS_1_2" action_type: ALLOW display_name: Restrict Load Balancing TLS version to 1.2 description: Only allow SSL policies to be created or updated if the minimum TLS version is 1.2 where this custom constraint is enforced.
Adicione a restrição personalizada à sua organização.
gcloud org-policies set-custom-constraint PATH_TO_FILE
Verifique se a restrição personalizada existe na organização.
gcloud org-policies list-custom-constraints \ --organization=ORGANIZATION_ID
Crie um arquivo de política para a restrição.
name: projects/PROJECT_ID/policies/custom.CONSTRAINT_NAME spec: rules: – enforce: true
Substitua:
PROJECT_ID
: o ID do projeto do Google CloudCONSTRAINT_NAME
: o nome da restrição
Aplique a política.
gcloud org-policies set-policy PATH_TO_POLICY_FILE
Substitua
PATH_TO_POLICY_FILE
pelo caminho totalmente qualificado para o arquivo de política.Supondo que você tenha criado o arquivo YAML para restringir a versão mínima de TLS à 1.2, teste a restrição criando uma política de SSL com
minTlsVersion
definido comoTLS_1_0
:gcloud compute ssl-policies create SSL_POLICY_NAME \ --min-tls-version=1.0 \ --project=PROJECT_ID
O resultado será assim:
ERROR: (gcloud.compute.ssl-policies.update) HTTPError 412: Operation denied by custom org policy: [customConstraints/custom. restrictLbTlsVersion] : Only allow SSL policy resources to be created or updated if the minimum TLS version is 1.2 where this custom constraint is enforced.
- Consulte Introdução ao serviço Política da organização para saber mais sobre as políticas da organização.
- Saiba mais sobre como criar e gerenciar políticas da organização.
- Veja a lista completa de restrições da política da organização predefinidas.
Funções exigidas
Para receber as permissões necessárias para gerenciar políticas da organização em recursos do Compute Engine, peça ao administrador para conceder a você os seguintes papéis do IAM:
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para gerenciar as políticas da organização para recursos do Compute Engine. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para gerenciar as políticas da organização para recursos do Compute Engine:
Também é possível conseguir essas permissões com papéis personalizados ou outros papéis predefinidos.
Recursos de escalonamento compatível com o Compute Engine
No Compute Engine, você pode definir restrições personalizadas para os recursos e campos a seguir.
Configurar uma restrição personalizada
Uma restrição personalizada é definida pelos recursos, métodos, condições e ações compatíveis com o serviço em que a política da organização está sendo aplicada. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL). Para mais informações sobre como criar condições em restrições personalizadas usando a CEL, consulte a seção Como criar e gerenciar restrições personalizadas da CEL.
É possível criar uma restrição personalizada e configurá-la para uso nas políticas da organização usando o console do Google Cloud ou a gcloud CLI.
Console
Quando você insere um valor em cada campo, a configuração YAML equivalente para essa restrição personalizada é exibida à direita.
gcloud
Para criar uma restrição personalizada usando a gcloud CLI, crie um arquivo YAML para ela:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resource_types: compute.googleapis.com/RESOURCE_NAME method_types: CREATE condition: CONDITION action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTION
Substitua:
Para mais informações sobre como criar uma restrição personalizada, consulte Como criar e gerenciar políticas personalizadas da organização.
Depois de criar uma nova restrição personalizada usando a Google Cloud CLI, configure-a para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comandogcloud org-policies set-custom-constraint
: Substituagcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
pelo caminho completo do arquivo da restrição personalizada. Por exemplo,/home/user/customconstraint.yaml
. Após a conclusão, as restrições personalizadas vão estar disponíveis na sua lista de políticas da organização do Google Cloud. Para verificar se a restrição personalizada existe, use o comandogcloud org-policies list-custom-constraints
: Substituagcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
pelo ID do recurso da organização. Para mais informações, consulte Como visualizar as políticas da organização.Aplicar uma restrição personalizada
Para aplicar uma restrição booleana, crie uma política da organização com referência a ela e aplique essa política da organização a um recurso do Google Cloud.Console
Para aplicar uma restrição booleana:
gcloud
Para criar uma política da organização que aplica uma restrição booleana, crie um arquivo YAML da política com referência à restrição:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Substitua:
Para aplicar a política da organização que contém a restrição, execute o seguinte comando:
gcloud org-policies set-policy POLICY_PATH
Substitua
POLICY_PATH
pelo caminho completo do arquivo YAML da política da organização. A política levará até 15 minutos para entrar em vigor.Exemplo: criar uma restrição que impeça as VMs de usar o tipo de máquina N2D
gcloud
Exemplo: usar restrições personalizadas para restringir recursos de TLS
Para restringir os recursos de TLS para os balanceadores de carga compatíveis usando restrições personalizadas, defina uma política que use a restrição predefinida
constraints/compute.requireSslPolicy
na sua organização. Depois de definir a política, siga as etapas a seguir para configurar as restrições personalizadas e usá-las.Exemplos de restrições personalizadas para casos de uso comuns
As seções a seguir fornecem a sintaxe de algumas restrições personalizadas que podem ser úteis para você:
Disco
Caso de uso Sintaxe O tipo do disco permanente precisa ser "Disco permanente extremo ( pd-extreme
)"name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksPDExtremeOnly resource_types: compute.googleapis.com/Disk condition: "resource.type.contains('pd-extreme')" action_type: ALLOW method_types: CREATE display_name: Create pd-extreme disks only description: Only the extreme persistent disk type is allowed to be created.
O tamanho do disco deve ser menor ou igual a 250 GB name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksLessThan250GB resource_types: compute.googleapis.com/Disk condition: "resource.sizeGb <= 250" action_type: ALLOW method_types: CREATE display_name: Disks size maximum is 250 GB description: Restrict the boot disk size to 250 GB or less for all VMs.
Imagem
Caso de uso Sintaxe As imagens de origem só podem ser do Cloud Storage test_bucket
name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksfromStoragebucket resource_types: compute.googleapis.com/Image condition: "resource.rawDisk.source.contains('storage.googleapis.com/test_bucket/')" action_type: ALLOW method_types: CREATE display_name: Source image must be from Cloud Storage test_bucket only description: Source images used in this project must be imported from the Cloud Storage test_bucket.
Instância de VM
Caso de uso Sintaxe A VM precisa ter um rótulo com a chave definida como cost center
name: organizations/ORGANIZATION_ID/customConstraints/custom.createVMWithLabel resource_types: compute.googleapis.com/Instance condition: "'cost_center' in resource.labels" action_type: ALLOW method_types: CREATE display_name: 'cost_center' label required description: Requires that all VMs created must have the a 'cost_center' label that can be used for tracking and billing purposes.
A VM precisa ter um rótulo com a chave definida como cost center
e o valor definido comoeCommerce
name: organizations/ORGANIZATION_ID/customConstraints/custom.createECommerceVMOnly resource_types: compute.googleapis.com/Instance condition: "'cost_center' in resource.labels and resource.labels['cost_center'] == 'eCommerce'" action_type: ALLOW method_types: CREATE display_name: Label (cost_center/eCommerce) required description: Label required and Key/value must be cost_center/eCommerce.
A VM precisa usar o tipo de máquina N2D name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyN2DVMs resource_types: compute.googleapis.com/Instance condition: "resource.machineType.contains('/machineTypes/n2d')" action_type: ALLOW method_types: CREATE display_name: Only N2D VMs allowed description: Restrict all VMs created to only use N2D machine types.
A VM precisa usar o tipo de máquina e2-highmem-8
name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyE2highmem8 resource_types: compute.googleapis.com/Instance condition: "resource.machineType.endsWith('-e2-highmem-8')" action_type: ALLOW method_types: CREATE display_name: Only "e2-highmem-8" VMs allowed description: Restrict all VMs created to only use the E2 high-memory machine types that have 8 vCPUs.
Garante que as VMs sejam programadas no grupo de nós "foo" name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlySTVM resource_types: compute.googleapis.com/Instance condition: "resource.scheduling.nodeAffinities.exists(n, n.key == 'foo')" action_type: ALLOW method_types: CREATE display_name: Only VMs scheduled on node group "foo" allowed description: Restrict all VMs created to use the node group "foo".
A seguir
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2024-11-23 UTC.
-