Gestire le risorse della cronologia dei dati utilizzando vincoli personalizzati

Google Cloud Criteri dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di restrizioni chiamate vincoli che si applicano alle Google Cloud risorse e ai discendenti di queste risorse nella Google Cloud gerarchia delle risorse. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.

Il criterio dell'organizzazione fornisce limitazioni predefinite per vari Google Cloud servizi. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nelle norme dell'organizzazione, puoi anche creare norme dell'organizzazione personalizzate.

Vantaggi

Puoi utilizzare un criterio dell'organizzazione personalizzato per consentire o negare la creazione di processi di organizzazione dei dati con condizioni basate su attributi delle risorse supportati, come il nome del processo, il tipo di origine e l'origine.

Ereditarietà delle norme

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Google Cloud il criterio viene applicato a tutti i progetti contenuti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Prezzi

Il servizio relativo ai criteri dell'organizzazione, inclusi i criteri dell'organizzazione predefiniti e personalizzati, viene fornito senza costi.

Limitazioni

  • I vincoli personalizzati possono essere applicati solo alle risorse Process della struttura di dati. Altre risorse, come Runs e Events, non sono supportate.

  • I vincoli personalizzati appena applicati non si applicano alle risorse esistenti.

Prima di iniziare

  • Assicurati di conoscere l'ID dell'organizzazione.

  • Se vuoi testare i criteri dell'organizzazione personalizzati che fanno riferimento alle risorse della cronologia dei dati, crea un nuovo progetto. Il test di questi criteri dell'organizzazione in un progetto esistente potrebbe interrompere i flussi di lavoro di sicurezza.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Click Create project.

    3. Name your project. Make a note of your generated project ID.

    4. Edit the other fields as needed.

    5. Click Create.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire le norme dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore delle norme dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire i criteri dell'organizzazione. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per gestire le norme dell'organizzazione sono necessarie le seguenti autorizzazioni:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Creare un vincolo personalizzato

Un vincolo personalizzato viene definito in un file YAML dalle risorse, dai metodi, dalle condizioni e dalle azioni supportate dal servizio su cui stai applicando il criterio dell'organizzazione. Le condizioni per i vincoli personalizzati vengono definite utilizzando Common Expression Language (CEL). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando CEL, consulta la sezione CEL di Creare e gestire vincoli personalizzati.

Per creare un file YAML per un vincolo personalizzato:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- datalineage.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.

  • CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.denyLineageProcess. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom.

  • RESOURCE_TYPE: il nome (non l'URI) della risorsa REST dell'API Data Lineage contenente l'oggetto e il campo che vuoi limitare. Per la definizione della struttura dei dati è disponibile solo Process.

  • CONDITION: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Consulta la sezione Risorse supportate per ulteriori informazioni sulle risorse disponibili per la scrittura delle condizioni. Ad esempio, "resource.name.contains('invalid_name')".

  • ACTION: l'azione da intraprendere se viene soddisfatto il criterio condition. Può essere ALLOW o DENY.

  • DISPLAY_NAME: un nome facile da ricordare per la limitazione. Questo campo ha una lunghezza massima di 200 caratteri.

  • DESCRIPTION: una descrizione chiara del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri.

Per saperne di più su come creare un vincolo personalizzato, consulta Definire vincoli personalizzati.

Configurare un vincolo personalizzato

Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per i criteri dell'organizzazione. Per impostare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Sostituisci CONSTRAINT_PATH con il percorso completo del file delle limitazioni personalizzate. Ad esempio: /home/user/customconstraint.yaml. Al termine, i vincoli personalizzati sono disponibili come criteri dell'organizzazione nel tuo elenco di Google Cloud criteri dell'organizzazione. Per verificare che la limitazione personalizzata esista, utilizza il comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Sostituisci ORGANIZATION_ID con l'ID della risorsa della tua organizzazione. Per ulteriori informazioni, consulta Visualizzare i criteri dell'organizzazione.

Applicare un criterio dell'organizzazione personalizzato

Puoi applicare un vincolo creando un criterio dell'organizzazione che lo richiami e poi applicando questo criterio dell'organizzazione a una Google Cloud risorsa.

Console

  1. Nella console Google Cloud , vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nel selettore di progetti, seleziona il progetto per cui vuoi impostare il criterio dell'organizzazione.
  3. Nell'elenco della pagina Criteri organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli criteri relativa al vincolo in questione.
  4. Per configurare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
  5. Nella pagina Modifica criterio, seleziona Ignora criterio della risorsa padre.
  6. Fai clic su Aggiungi una regola.
  7. Nella sezione Applicazione, seleziona se l'applicazione di questo criterio dell'organizzazione è attivata o disattivata.
  8. (Facoltativo) Per rendere il criterio dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti il criterio non può essere salvato. Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con tag.
  9. Fai clic su Testa modifiche per simulare l'effetto delle norme dell'organizzazione. La simulazione delle norme non è disponibile per i vincoli gestiti legacy. Per ulteriori informazioni, consulta Testa le modifiche ai criteri dell'organizzazione con Policy Simulator.
  10. Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio. L'applicazione del criterio può richiedere fino a 15 minuti.

gcloud

Per creare un criterio dell'organizzazione con regole booleane, crea un file YAML del criterio che fa riferimento al vincolo: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Sostituisci quanto segue:

  • PROJECT_ID: il progetto su cui vuoi applicare il vincolo.
  • CONSTRAINT_NAME: il nome definito per il vincolo personalizzato. Ad esempio custom.denyLineageProcess.

Per applicare il criterio dell'organizzazione contenente la limitazione, esegui il seguente comando: 

    gcloud org-policies set-policy POLICY_PATH

Sostituisci POLICY_PATH con il percorso completo del file YAML del criterio dell'organizzazione. L'applicazione del criterio può richiedere fino a 15 minuti.

Testa il criterio dell'organizzazione personalizzato

Questa sezione descrive come testare un vincolo dei criteri dell'organizzazione che impedisce agli utenti di creare una procedura di creazione della cronologia dei dati con un nome contenente il testo invalid_name.

Se vuoi testare questo vincolo personalizzato:

  1. Crea un nuovo progetto, come descritto nella sezione Prima di iniziare.

  2. Copia il seguente vincolo in un file YAML:

      name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcess
  resourceTypes: datalineage.googleapis.com/Process
  methodTypes:
    - CREATE
    - UPDATE
  condition:
    "resource.name.contains('invalid_name')"
  actionType: DENY
  displayName: Do not allow data lineage process with 'invalid_name' to be created.

    Sostituisci ORGANIZATION_ID con l'ID numerico della tua Google Cloud organizzazione.

  3. Configura il vincolo personalizzato e applicalo al progetto che hai creato per testare il vincolo del criterio dell'organizzazione personalizzato.

  4. Crea un processo con il nome incluso nel vincolo personalizzato. 

    curl -s -X POST -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application.json" \
"https://datalineage.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/processes" \
-d '{"name":"projects/PROJECT_ID/locations/LOCATION/processes/invalid_name"}'

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto in cui viene creato il processo. Deve trovarsi nella stessa organizzazione in cui è definito il vincolo.
    • LOCATION: Google Cloud regione in cui viene creato il processo.

    L'output è il seguente:

    Operation denied by org policy on resource 'projects/PROJECT_ID/locations/LOCATION': ["customConstraints/custom.denyLineageProcess"]

Risorse e operazioni supportate dalla derivazione dei dati

Quando crei o aggiorni una procedura di organizzazione dei dati, puoi utilizzare i seguenti campi di vincolo personalizzato:

  • resource.name
  • resource.displayName
  • resource.origin.name
  • resource.origin.sourceType

I vincoli personalizzati vengono controllati per i seguenti metodi:

Esempi di criteri dell'organizzazione personalizzati per casi d'uso comuni

La tabella seguente fornisce la sintassi di alcuni vincoli personalizzati per i casi d'uso comuni:

Per ulteriori informazioni sulle macro CEL disponibili per l'utilizzo nelle condizioni dei vincoli personalizzati, consulta Common Expression Language.

Caso d'uso Sintassi dei vincoli
Disattivare la creazione di processi di derivazione dei dati 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation
    resourceTypes:
    - datalineage.googleapis.com/Process
    methodTypes:
    - CREATE
    condition: "True"
    actionType: DENY
    displayName: Deny creation of all data lineage processes.
Disattivare la creazione di processi di albero genealogico dei dati da parte di BigQuery o Dataproc 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation
    resourceTypes:
    - datalineage.googleapis.com/Process
    methodTypes:
    - CREATE
    condition: "resource.origin.sourceType == 'BIGQUERY' || resource.origin.sourceType == 'DATAPROC'"
    actionType: DENY
    displayName: Deny data lineage processes created by BigQuery or Dataproc.
Disattiva le procedure di derivazione dei dati con il nome specificato 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation
    resourceTypes:
    - datalineage.googleapis.com/Process
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.name.contains('RESTRICTED_NAME')"
    actionType: DENY
    displayName: Deny data lineage processes whose name contains RESTRICTED_NAME.

Passaggi successivi