Google Cloud A política da organização oferece controle centralizado e programático sobre os recursos da sua organização. Como administrador de políticas da organização, é possível definir uma política da organização, que é um conjunto de limites chamado restrições que se aplicam aos recursosGoogle Cloud e aos descendentes desses recursos na hierarquia de recursosGoogle Cloud . É possível aplicar políticas da organização no nível da organização, da pasta ou para envolvidos no projeto.
A política da organização fornece restrições predefinidas para vários serviçosGoogle Cloud . No entanto, se você quiser um controle mais granular e personalizável sobre os campos específicos restritos nas suas políticas da organização, crie também restrições personalizadas e use-as em uma política da organização.
Benefícios
- Gerenciamento de custos: use políticas personalizadas da organização para restringir a instância de VM e os tamanhos e tipos de disco que podem ser usados na sua organização. Também é possível restringir a família de máquinas usada para a instância de VM
- Segurança, conformidade e governança: é possível usar políticas personalizadas
da organização para aplicar políticas da seguinte maneira:
- Para aplicar requisitos de segurança, é possível exigir regras de porta de firewall específicas nas VMs.
- Para oferecer suporte ao isolamento de hardware ou à conformidade com o licenciamento, é possível exigir que todas as VMs em um projeto ou pasta específico sejam executadas em nós de locatário individual.
- Se você quiser controlar scripts de automação, use políticas da organização personalizadas para verificar se os rótulos correspondem às expressões especificadas.
Herança de políticas
Por padrão, as políticas da organização são herdadas pelos descendentes dos recursos em que a política é aplicada. Por exemplo, se você aplicar uma política em uma pasta, Google Cloud vai aplicar a política a todos os projetos dessa pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação de hierarquia.
Preços
O Organization Policy Service, incluindo políticas predefinidas e personalizadas, é oferecido sem custos financeiros.
Limitações
- Para todos os recursos do Compute Engine, as restrições personalizadas são aplicadas nos
métodos
CREATE
. - Para alguns recursos do Compute Engine,
como recursos da política de SSL, as restrições personalizadas também são aplicadas nos
métodos
UPDATE
.
Antes de começar
-
Configure a autenticação, caso ainda não tenha feito isso.
A autenticação é
o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud .
Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no
Compute Engine selecionando uma das seguintes opções:
Select the tab for how you plan to use the samples on this page:
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
- Certifique-se de conhecer o ID da organização.
Funções exigidas
Para receber as permissões necessárias para gerenciar políticas da organização em recursos do Compute Engine, peça ao administrador para conceder a você os seguintes papéis do IAM:
-
Administrador de políticas da organização (
roles/orgpolicy.policyAdmin
) no recurso da organização -
Para testar as restrições:
Administrador da instância do Compute (v1) (
roles/compute.instanceAdmin.v1
) no projeto
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para gerenciar as políticas da organização para recursos do Compute Engine. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para gerenciar as políticas da organização para recursos do Compute Engine:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
- Para testar as restrições:
compute.instances.create
no projeto- Para usar uma imagem personalizada para criar a VM:
compute.images.useReadOnly
na imagem - Usar um snapshot para criar a VM:
compute.snapshots.useReadOnly
no snapshot - Usar um modelo de instância para criar a VM:
compute.instanceTemplates.useReadOnly
no modelo de instância - Atribuir uma rede legada à VM:
compute.networks.use
no projeto - Especificar um endereço IP estático para a VM:
compute.addresses.use
no projeto - Atribuir um endereço IP externo à VM ao usar uma rede legada:
compute.networks.useExternalIp
no projeto - Especificar uma sub-rede para a VM:
compute.subnetworks.use
no projeto ou na sub-rede escolhida - Atribuir um endereço IP externo à VM ao usar uma rede VPC:
compute.subnetworks.useExternalIp
no projeto ou na sub-rede escolhida - Definir os metadados da instância de VM para a VM:
compute.instances.setMetadata
no projeto - Definir tags para a VM:
compute.instances.setTags
na VM - Definir rótulos para a VM:
compute.instances.setLabels
na VM - Definir uma conta de serviço para a VM usar:
compute.instances.setServiceAccount
na VM - Criar um disco para a VM:
compute.disks.create
no projeto - Anexar um disco atual no modo somente leitura ou de leitura e gravação:
compute.disks.use
no disco - Anexar um disco atual no modo somente leitura:
compute.disks.useReadOnly
no disco
Também é possível conseguir essas permissões com papéis personalizados ou outros papéis predefinidos.
Recursos de escalonamento compatível com o Compute Engine
No Compute Engine, você pode definir restrições personalizadas para os recursos e campos a seguir.
- Persistent Disk:
compute.googleapis.com/Disk
- Tipo do disco permanente:
resource.type
- Tamanho do disco permanente:
resource.sizeGb
- Licenças de disco permanente:
resource.licenses
- Códigos de licença do disco permanente:
resource.licenseCodes
- Computação confidencial de disco permanente:
resource.enableConfidentialCompute
- Tipo do disco permanente:
- Imagem:
compute.googleapis.com/Image
- Origem do disco bruto:
resource.rawDisk.source
- Origem do disco bruto:
- Instância de VM:
compute.googleapis.com/Instance
- Recursos avançados da máquina:
resource.advancedMachineFeatures.enableNestedVirtualization
resource.advancedMachineFeatures.threadsPerCore
- Configurações de instâncias de VM confidenciais:
resource.confidentialInstanceConfig.enableConfidentialCompute
resource.confidentialInstanceConfig.confidentialInstanceType
- Encaminhamento de IP:
resource.canIpForward
- Proteção contra exclusão:
resource.deletionProtection
- Rótulos:
resource.labels
- Aceleradores:
resource.guestAccelerators.acceleratorType
resource.guestAccelerators.acceleratorCount
- Tipo de máquina:
resource.machineType
- Plataforma mínima de CPU:
resource.minCpuPlatform
- Interface de rede:
resource.networkInterfaces.network
resource.networkInterfaces.subnetwork
- Afinidade de nó:
resource.scheduling.nodeAffinities.key
resource.scheduling.nodeAffinities.operator
resource.scheduling.nodeAffinities.values
- Acesso privado do Google (IPv6):
resource.privateIpv6GoogleAccess
- Recursos avançados da máquina:
- Outros recursos de computação com suporte:
- Para mais informações sobre os recursos do Compute Engine usados pelo Cloud Load Balancing, como serviços de back-end, buckets de back-end, regras de encaminhamento, verificações de integridade, políticas SSL, proxies de destino e mapas de URL, consulte a página Gerenciar recursos do Cloud Load Balancing usando restrições personalizadas.
Configurar uma restrição personalizada
Uma restrição personalizada é definida pelos recursos, métodos, condições e ações compatíveis com o serviço em que a política da organização está sendo aplicada. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL). Para mais informações sobre como criar condições em restrições personalizadas usando a CEL, consulte a seção Como criar e gerenciar restrições personalizadas da CEL.
É possível criar uma restrição personalizada e configurá-la para uso nas políticas da organização usando o console do Google Cloud ou a gcloud CLI.
No console do Google Cloud, acesse a página Políticas da organização.
Selecione o Seletor de projetos na parte superior da página.
No Seletor de projetos, selecione o recurso em que você quer definir a política da organização.
Clique em
Restrição personalizada.Na caixa Nome de exibição, insira um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres. Não use PII ou dados confidenciais em nomes de restrições, porque eles podem ser expostos em mensagens de erro.
Na caixa ID da restrição, insira o nome que você quer para a nova restrição personalizada. Uma restrição personalizada precisa começar com
custom.
e só pode incluir letras maiúsculas, minúsculas ou números, por exemplo,custom.createOnlyN2DVMs
. O tamanho máximo desse campo é de 70 caracteres, sem contar o prefixo (por exemplo,organizations/123456789/customConstraints/custom.
).Na caixa Descrição, insira uma descrição legível a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2000 caracteres.
Na caixa Tipo de recurso, selecione o nome do recurso REST Google Cloud que contém o objeto e o campo que você quer restringir. Por exemplo,
compute.googleapis.com/Instance
.Em Método de aplicação, selecione se a restrição será aplicada no método REST
CREATE
.Para definir uma condição, clique em
Editar condição.No painel Adicionar condição, crie uma condição de CEL que se refira a um recurso de serviço compatível, por exemplo,
. Esse campo tem um comprimento máximo de 1.000 caracteres.resource.machineType.contains('/machineTypes/n2d')
Clique em Salvar.
Em Ação, selecione se você quer permitir ou negar o método avaliado quando a condição é atendida.
Clique em Criar restrição.
Quando você insere um valor em cada campo, a configuração YAML equivalente para essa restrição personalizada é exibida à direita.
Para criar uma restrição personalizada usando a gcloud CLI, crie um arquivo YAML para ela:
name: organizations/ORGANIZATION_ID /customConstraints/CONSTRAINT_NAME
resource_types: compute.googleapis.com/RESOURCE_NAME
method_types: CREATE
condition: CONDITION
action_type: ACTION
display_name: DISPLAY_NAME
description: DESCRIPTION
Substitua:
ORGANIZATION_ID
: o ID da organização, como123456789
.CONSTRAINT_NAME
: o nome da sua nova restrição personalizada. Uma restrição personalizada precisa começar comcustom.
e só pode incluir letras maiúsculas, minúsculas ou números. Por exemplo,custom.createOnlyN2DVMs
. Esse campo pode ter até 70 caracteres, sem contar o prefixo (por exemplo,organizations/123456789/customConstraints/custom.
).RESOURCE_NAME
: o nome (não o URI) do recurso REST da API Compute Engine que contém o objeto e o campo que você quer restringir. Por exemplo,Instance
.CONDITION
: uma condição de CEL gravada em uma representação de um recurso de serviço compatível. Esse campo tem um comprimento máximo de 1.000 caracteres. Consulte Recursos compatíveis para mais informações sobre os recursos disponíveis para gravar condições. Por exemplo,"resource.machineType.contains('/machineTypes/n2d')"
.ACTION
: a ação a ser realizada se ocondition
for atendido. Pode serALLOW
ouDENY
.DISPLAY_NAME
: um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres.DESCRIPTION
: uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2000 caracteres.
Para mais informações sobre como criar uma restrição personalizada, consulte Como criar e gerenciar políticas personalizadas da organização.
Depois de criar o arquivo YAML para uma nova restrição personalizada, configure-a para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comandogcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraintCONSTRAINT_PATH
CONSTRAINT_PATH
pelo caminho completo
do arquivo da restrição personalizada. Por exemplo, /home/user/customconstraint.yaml
.
Após a conclusão, as restrições personalizadas vão estar disponíveis como políticas da organização
na sua lista de Google Cloud políticas da organização.
Para verificar se a restrição personalizada existe, use o
comando gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
pelo ID do recurso da organização.
Para mais informações, consulte
Como visualizar as políticas da organização.Aplicar uma restrição personalizada
Para aplicar uma restrição booleana, crie uma política da organização com referência a ela e aplique essa política da organização a um recurso Google Cloud .- No console do Google Cloud, acesse a página Políticas da organização.
- No seletor de projetos, selecione o projeto em que você quer definir a política da organização.
- Na lista da página Políticas da organização, selecione a restrição para acessar a página Detalhes da política dela.
- Para personalizar a política da organização nesse recurso, clique em Gerenciar política.
- Na página Editar política, selecione Substituir a política do editor principal.
- Clique em Adicionar uma regra.
- Na seção Aplicação, selecione se a aplicação dessa política da organização está ativada ou desativada.
- Opcional: para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais informações, consulte Como configurar uma política da organização com tags.
- Se essa for uma restrição personalizada, clique em Testar alterações para simular o efeito da política da organização. Para mais informações, consulte Testar alterações na política da organização com o Simulador de política.
- Para concluir e aplicar a política da organização, clique em Definir política. A política levará até 15 minutos para entrar em vigor.
Para criar uma política da organização que aplica uma restrição booleana, crie um arquivo YAML da política com referência à restrição:
name: projects/PROJECT_ID /policies/CONSTRAINT_NAME spec: rules: - enforce: true
Substitua:
-
PROJECT_ID
: o projeto em que você quer aplicar a restrição. -
CONSTRAINT_NAME
: o nome definido para a restrição personalizada. Por exemplo,
.custom.createOnlyN2DVMs
Para aplicar a política da organização que contém a restrição, execute o seguinte comando:
gcloud org-policies set-policyPOLICY_PATH
Substitua POLICY_PATH
pelo caminho completo do arquivo YAML da política da organização. A política leva até 15 minutos para entrar em vigor.
Exemplo: criar uma restrição que impeça as VMs de usar o tipo de máquina N2D
Crie um arquivo de restrição
onlyN2DVMs.yaml
com as seguintes informações.name: organizations/
ORGANIZATION_ID /customConstraints/custom.createOnlyN2DVMs resource_types: compute.googleapis.com/Instance condition: "resource.machineType.contains('/machineTypes/n2d')" action_type: ALLOW method_types: CREATE display_name: Only N2D VMs allowed description: Restrict all VMs created to only use N2D machine types.Defina a restrição personalizada.
gcloud org-policies set-custom-constraint onlyN2DVMs.yaml
Crie um arquivo de política
onlyN2DVMs-policy.yaml
com a seguinte informação. Neste exemplo, aplicamos essa restrição a envolvidos no projeto, mas também é possível defini-la no nível da organização ou da pasta. SubstituaPROJECT_ID
pelo ID do projeto.name: projects/
PROJECT_ID /policies/custom.createOnlyN2DVMs spec: rules: – enforce: trueAplique a política.
gcloud org-policies set-policy onlyN2DVMs-policy.yaml
Teste a restrição tentando criar uma VM que use um tipo de máquina que não seja uma máquina N2D.
gcloud compute instances create my-test-instance \ --project=
PROJECT_ID \ --zone=us-central1-c \ --machine-type=e2-mediumO resultado será assim:
ERROR: (gcloud.compute.instances.create) Could not fetch resource: – Operation denied by custom org policies: [customConstraints/
custom.createOnlyN2DVMs
]: Restrict all VMs created to only use N2D machine types.
Exemplos de restrições personalizadas para casos de uso comuns
As seções a seguir fornecem a sintaxe de algumas restrições personalizadas que podem ser úteis para você:
Caso de uso | Sintaxe |
---|---|
O tipo do disco permanente precisa ser "Disco permanente extremo (pd-extreme )" |
name: organizations/ |
O tamanho do disco deve ser menor ou igual a 250 GB | name: organizations/ |
Caso de uso | Sintaxe |
---|---|
As imagens de origem só podem ser do Cloud Storage test_bucket |
name: organizations/ |
Caso de uso | Sintaxe |
---|---|
A VM precisa ter um rótulo com a chave definida como cost center |
name: organizations/ |
A VM precisa ter um rótulo com a chave definida como cost center e o valor definido como eCommerce |
name: organizations/ |
A VM precisa usar o tipo de máquina N2D | name: organizations/ |
A VM precisa usar o tipo de máquina e2-highmem-8 |
name: organizations/ |
Garante que as VMs sejam programadas no grupo de nós "foo" | name: organizations/ |
A seguir
- Consulte Introdução ao serviço Política da organização para saber mais sobre as políticas da organização.
- Saiba mais sobre como criar e gerenciar políticas da organização.
- Veja a lista completa de restrições da política da organização predefinidas.