Gestionar recursos de Compute Engine con restricciones personalizadas

Google Cloud La política de organización te ofrece un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de restricciones llamadas "restricciones" que se aplican a losGoogle Cloud recursos y a los elementos descendientes de esos recursos en la Google Cloud jerarquía de recursos. Puedes aplicar políticas de organización a nivel de organización, carpeta o proyecto.

La política de organización proporciona restricciones predefinidas para varios servicios deGoogle Cloud . Sin embargo, si quieres tener un control más granular y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear restricciones personalizadas y usarlas en una política de organización personalizada.

Ventajas

  • Gestión de costes: usa políticas de organización personalizadas para restringir los tamaños y los tipos de instancias de VM y de discos que se pueden usar en tu organización. También puedes restringir la familia de máquinas que se usa en la instancia de VM.
  • Seguridad, cumplimiento y gobierno: puedes usar políticas de organización personalizadas para aplicar políticas de la siguiente forma:
    • Para aplicar los requisitos de seguridad, puedes requerir reglas de puertos de cortafuegos específicas en las VMs.
    • Para admitir el aislamiento de hardware o el cumplimiento de las licencias, puedes requerir que todas las VMs de un proyecto o una carpeta específicos se ejecuten en nodos de único cliente.
    • Para controlar las secuencias de comandos de automatización, puedes usar políticas de organización personalizadas para verificar que las etiquetas coincidan con las expresiones especificadas.

Herencia de políticas

De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que se aplican. Por ejemplo, si aplicas una política a una carpeta, Google Cloud se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.

Precios

El servicio de políticas de organización, incluidas las políticas de organización predefinidas y personalizadas, se ofrece sin coste económico.

Antes de empezar

  • Si aún no lo has hecho, configura la autenticación. La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    2. Set a default region and zone.

Roles obligatorios

Para obtener los permisos que necesitas para gestionar las políticas de la organización de los recursos de Compute Engine, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para gestionar las políticas de la organización de los recursos de Compute Engine. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las políticas de la organización de los recursos de Compute Engine, se necesitan los siguientes permisos:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set
  • Para probar las restricciones:
    • compute.instances.create en el proyecto
    • Para usar una imagen personalizada para crear la VM, haz clic en compute.images.useReadOnly en la imagen.
    • Para usar una captura para crear la VM, compute.snapshots.useReadOnly en la captura
    • Para usar una plantilla de instancia para crear la VM, haz clic en compute.instanceTemplates.useReadOnly en la plantilla de instancia.
    • Para asignar una red antigua a la VM, haz lo siguiente: compute.networks.use en el proyecto
    • Para especificar una dirección IP estática para la máquina virtual, compute.addresses.use en el proyecto
    • Para asignar una dirección IP externa a la VM cuando se usa una red antigua, haz lo siguiente: compute.networks.useExternalIp en el proyecto
    • Para especificar una subred para la VM, compute.subnetworks.use en el proyecto o en la subred elegida.
    • Para asignar una dirección IP externa a la VM cuando se usa una red de VPC, compute.subnetworks.useExternalIp en el proyecto o en la subred elegida.
    • Para definir los metadatos de la instancia de VM de la VM: compute.instances.setMetadata en el proyecto,
    • Para definir etiquetas en la máquina virtual, compute.instances.setTags en la máquina virtual
    • Para definir etiquetas de la VM, compute.instances.setLabels en la VM
    • Para definir una cuenta de servicio que use la VM, haz lo siguiente en la VM: compute.instances.setServiceAccount
    • Para crear un disco para la VM compute.disks.create del proyecto, sigue estos pasos:
    • Para adjuntar un disco en modo de solo lectura o de lectura y escritura, haz lo siguiente: compute.disks.use en el disco
    • Para adjuntar un disco en modo de solo lectura, compute.disks.useReadOnly en el disco.

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Recursos compatibles con Compute Engine

En Compute Engine, puede definir restricciones personalizadas en los siguientes recursos y campos.

  • Persistent Disk: compute.googleapis.com/Disk
    • Tipo de Persistent Disk: resource.type
    • Tamaño de Persistent Disk: resource.sizeGb
    • Licencias de Persistent Disk: resource.licenses
    • Códigos de licencia de Persistent Disk: resource.licenseCodes
    • Computación confidencial de Persistent Disk: resource.enableConfidentialCompute
    • Imagen de origen de Persistent Disk: resource.sourceImage
  • Imagen: compute.googleapis.com/Image
    • Fuente de disco sin formato: resource.rawDisk.source
  • Instancia de máquina virtual: compute.googleapis.com/Instance
    • Funciones avanzadas de la máquina:
      • resource.advancedMachineFeatures.enableNestedVirtualization
      • resource.advancedMachineFeatures.threadsPerCore
      • resource.advancedMachineFeatures.performanceMonitoringUnit
    • Configuraciones de instancias de VM confidenciales:
      • resource.confidentialInstanceConfig.enableConfidentialCompute
      • resource.confidentialInstanceConfig.confidentialInstanceType
    • Protección contra la eliminación: resource.deletionProtection
    • Reenvío de IP: resource.canIpForward
    • Acceso privado de Google (IPv6): resource.privateIpv6GoogleAccess
    • Etiquetas: resource.labels
    • Aceleradores:
      • resource.guestAccelerators.acceleratorType
      • resource.guestAccelerators.acceleratorCount
    • Tipo de máquina: resource.machineType
    • Plataforma de CPU mínima: resource.minCpuPlatform
    • Interfaz de red:
      • resource.networkInterfaces.network
      • resource.networkInterfaces.subnetwork
      • resource.networkInterfaces.networkAttachment
      • resource.networkInterfaces.accessConfigs.name
      • resource.networkInterfaces.accessConfigs.natIP
    • Afinidad de nodo:
      • resource.scheduling.nodeAffinities.key
      • resource.scheduling.nodeAffinities.operator
      • resource.scheduling.nodeAffinities.values
    • Afinidad de reserva:
      • resource.scheduling.reservationAffinity.key
      • resource.scheduling.reservationAffinity.values
    • Shielded Instance Config:
      • resource.shieldedInstanceConfig.enableSecureBoot
      • resource.shieldedInstanceConfig.enableVtpm
      • resource.shieldedInstanceConfig.enableIntegrityMonitoring
    • Zona: resource.zone
  • Otros recursos de computación admitidos:

Configurar una restricción personalizada

Una restricción personalizada se define mediante los recursos, los métodos, las condiciones y las acciones que admite el servicio en el que se aplica la política de la organización. Las condiciones de tus restricciones personalizadas se definen mediante el lenguaje de expresión común (CEL). Para obtener más información sobre cómo crear condiciones en restricciones personalizadas mediante CEL, consulta la sección sobre CEL del artículo Crear y gestionar políticas de organización personalizadas.

Puedes crear una restricción personalizada y configurarla para usarla en políticas de organización mediante la Google Cloud consola o la CLI de gcloud.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. Selecciona el selector de proyectos en la parte superior de la página.

  3. En el selector de proyectos, selecciona el recurso para el que quieras definir la política de la organización.

  4. Haz clic en Restricción personalizada.

  5. En el cuadro Nombre visible, introduce un nombre descriptivo para la restricción. Este campo tiene una longitud máxima de 200 caracteres. No utilices información personal identificable ni datos sensibles en los nombres de las restricciones, ya que podrían exponerse en mensajes de error.

  6. En el cuadro ID de la restricción, introduce el nombre que quieras para la nueva restricción personalizada. Una restricción personalizada debe empezar por custom. y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo, custom.createOnlyN2DVMs. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo. Por ejemplo, organizations/123456789/customConstraints/custom..

  7. En el cuadro Descripción, introduce una descripción de la restricción que sea fácil de entender para que se muestre como mensaje de error cuando se incumpla la política. Este campo tiene una longitud máxima de 2000 caracteres.

  8. En el cuadro Tipo de recurso, selecciona el nombre del recurso REST que contenga el objeto y el campo que quieras restringir. Google Cloud Por ejemplo, compute.googleapis.com/Instance.

  9. En Método de aplicación, selecciona si quieres aplicar la restricción al método REST CREATE.

  10. Para definir una condición, haz clic en Editar condición.

    1. En el panel Añadir condición, crea una condición CEL que haga referencia a un recurso de servicio compatible, por ejemplo, resource.machineType.contains('/machineTypes/n2d'). Este campo tiene una longitud máxima de 1000 caracteres.

    2. Haz clic en Guardar.

  11. En Acción, seleccione si quiere permitir o denegar el método evaluado si se cumple la condición anterior.

  12. Haz clic en Crear restricción.

Cuando haya introducido un valor en cada campo, aparecerá a la derecha la configuración YAML equivalente de esta restricción personalizada.

gcloud

Para crear una restricción personalizada con la CLI de gcloud, crea un archivo YAML para la restricción personalizada:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resource_types: compute.googleapis.com/RESOURCE_NAME
method_types: CREATE
condition: CONDITION
action_type: ACTION
display_name: DISPLAY_NAME
description: DESCRIPTION

Haz los cambios siguientes:

  • ORGANIZATION_ID: el ID de tu organización, como 123456789.

  • CONSTRAINT_NAME: el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada debe empezar por custom. y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo, custom.createOnlyN2DVMs. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo (por ejemplo, organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: nombre (no URI) del recurso REST de la API de Compute Engine que contiene el objeto y el campo que quieres restringir. Por ejemplo, Instance.

  • CONDITION: una condición CEL que se escribe en una representación de un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres. Consulta los recursos admitidos para obtener más información sobre los recursos con los que puedes escribir condiciones. Por ejemplo, "resource.machineType.contains('/machineTypes/n2d')".

  • ACTION: la acción que se debe llevar a cabo si se cumple la condición condition. Puede ser ALLOW o DENY.

  • DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.

  • DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.

Para obtener más información sobre cómo crear una restricción personalizada, consulta el artículo Crear y gestionar políticas de organización personalizadas.

Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Sustituye CONSTRAINT_PATH por la ruta completa a tu archivo de restricciones personalizadas. Por ejemplo, /home/user/customconstraint.yaml. Una vez completado el proceso, las restricciones personalizadas estarán disponibles como políticas de organización en la lista de Google Cloud políticas de organización. Para verificar que la restricción personalizada existe, usa el comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Sustituye ORGANIZATION_ID por el ID del recurso de tu organización. Para obtener más información, consulta Ver políticas de la organización.

Aplicar una restricción personalizada

Para aplicar una restricción, crea una política de organización que haga referencia a ella y, a continuación, aplica esa política de organización a un Google Cloud recurso.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el selector de proyectos, elige el proyecto para el que quieras definir la política de organización.
  3. En la lista de la página Políticas de organización, selecciona la restricción para ver la página Detalles de la política correspondiente.
  4. Para configurar la política de la organización de este recurso, haz clic en Gestionar política.
  5. En la página Editar política, selecciona Anular política del recurso superior.
  6. Haz clic en Añadir regla.
  7. En la sección Aplicación, selecciona si quieres activar o desactivar la aplicación de esta política de la organización.
  8. Opcional: Para que la política de la organización dependa de una etiqueta, haz clic en Añadir condición. Ten en cuenta que, si añades una regla condicional a una política de organización, debes añadir al menos una regla incondicional o la política no se podrá guardar. Para obtener más información, consulta Configurar una política de organización con etiquetas.
  9. Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones gestionadas antiguas. Para obtener más información, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.
  10. Para finalizar y aplicar la política de organización, haz clic en Definir política. La política tarda hasta 15 minutos en aplicarse.

gcloud

Para crear una política de organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Haz los cambios siguientes:

  • PROJECT_ID: el proyecto en el que quieras aplicar la restricción.
  • CONSTRAINT_NAME: el nombre que has definido para tu restricción personalizada. Por ejemplo, custom.createOnlyN2DVMs.

Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando: 

    gcloud org-policies set-policy POLICY_PATH

Sustituye POLICY_PATH por la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.

Ejemplo: crear una restricción que impida que las VMs usen el tipo de máquina N2D

gcloud

  1. Crea un archivo de restricciones onlyN2DVMs.yaml con la siguiente información:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyN2DVMs
resource_types: compute.googleapis.com/Instance
condition: "resource.machineType.contains('/machineTypes/n2d')"
action_type: ALLOW
method_types: CREATE
display_name: Only N2D VMs allowed
description: Restrict all VMs created to only use N2D machine types.

  2. Define la restricción personalizada.

    gcloud org-policies set-custom-constraint onlyN2DVMs.yaml

  3. Crea un archivo de política onlyN2DVMs-policy.yaml con la siguiente información. En este ejemplo, aplicamos esta restricción a nivel de proyecto, pero también puedes hacerlo a nivel de organización o de carpeta. Sustituye PROJECT_ID por el ID de tu proyecto.

    name: projects/PROJECT_ID/policies/custom.createOnlyN2DVMs
spec:
  rules:
enforce: true

  4. Aplica la política.

    gcloud org-policies set-policy onlyN2DVMs-policy.yaml

  5. Prueba la restricción intentando crear una VM que use un tipo de máquina que no sea N2D.

    gcloud compute instances create my-test-instance \
    --project=PROJECT_ID \
    --zone=us-central1-c \
    --machine-type=e2-medium

    El resultado debería ser similar al siguiente:

    ERROR: (gcloud.compute.instances.create) Could not fetch resource:
– Operation denied by custom org policies: [customConstraints/custom.createOnlyN2DVMs]: Restrict all VMs created to only use N2D machine types.

Ejemplos de restricciones personalizadas para casos prácticos habituales

En las siguientes secciones se muestra la sintaxis de algunas restricciones personalizadas que pueden resultarte útiles:

Disco

Caso práctico Sintaxis
El tipo de disco persistente debe ser "Disco persistente extremo (pd-extreme)". 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksPDExtremeOnly
  resource_types: compute.googleapis.com/Disk
  condition: "resource.type.contains('pd-extreme')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Create pd-extreme disks only
  description: Only the extreme persistent disk type is allowed to be created.
El tamaño del disco debe ser igual o inferior a 250 GB 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksLessThan250GB
  resource_types: compute.googleapis.com/Disk
  condition: "resource.sizeGb <= 250"
  action_type: ALLOW
  method_types: CREATE
  display_name: Disks size maximum is 250 GB
  description: Restrict the boot disk size to 250 GB or less for all VMs.

Imagen

Caso práctico Sintaxis
Las imágenes de origen solo pueden proceder de Cloud Storage test_bucket 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksfromStoragebucket
  resource_types: compute.googleapis.com/Image
  condition: "resource.rawDisk.source.contains('storage.googleapis.com/test_bucket/')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Source image must be from Cloud Storage test_bucket only
  description: Source images used in this project must be imported from the
  Cloud Storage test_bucket.

Instancia de VM

Caso práctico Sintaxis
La VM debe tener una etiqueta con la clave definida como cost center. 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createVMWithLabel
  resource_types: compute.googleapis.com/Instance
  condition: "'cost_center' in resource.labels"
  action_type: ALLOW
  method_types: CREATE
  display_name: 'cost_center' label required
  description: Requires that all VMs created must have the a 'cost_center' label
  that can be used for tracking and billing purposes.
La VM debe tener una etiqueta con la clave cost center y el valor eCommerce. 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createECommerceVMOnly
  resource_types: compute.googleapis.com/Instance
  condition: "'cost_center' in resource.labels and resource.labels['cost_center'] == 'eCommerce'"
  action_type: ALLOW
  method_types: CREATE
  display_name:  Label (cost_center/eCommerce) required
  description: Label required and Key/value must be cost_center/eCommerce.
La VM debe usar el tipo de máquina N2D 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyN2DVMs
  resource_types: compute.googleapis.com/Instance
  condition: "resource.machineType.contains('/machineTypes/n2d')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Only N2D VMs allowed
  description: Restrict all VMs created to only use N2D machine types.
La VM debe usar el tipo de máquina e2-highmem-8 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyE2highmem8
  resource_types: compute.googleapis.com/Instance
  condition: "resource.machineType.endsWith('-e2-highmem-8')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Only "e2-highmem-8" VMs allowed
  description: Restrict all VMs created to only use the E2 high-memory
  machine types that have 8 vCPUs.
Asegura que las VMs se programen en el grupo de nodos "foo". 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlySTVM
  resource_types: compute.googleapis.com/Instance
  condition: "resource.scheduling.nodeAffinities.exists(n, n.key == 'foo')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Only VMs scheduled on node group "foo" allowed
  description: Restrict all VMs created to use the node group "foo".

Siguientes pasos