Gestire le risorse della cronologia dei dati utilizzando vincoli personalizzati

Questa pagina mostra come utilizzare i vincoli personalizzati di Organization Policy per limitare operazioni specifiche sulle risorse di data lineage.

La policy dell'organizzazioneGoogle Cloud offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore delle policy dell'organizzazione, puoi definire una policy dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorseGoogle Cloud e ai discendenti di queste risorse nella gerarchia delle risorseGoogle Cloud . Puoi applicare le policy dell'organizzazione a livello di organizzazione, cartella o progetto.

La policy dell'organizzazione fornisce vincoli predefiniti per vari serviziGoogle Cloud . Tuttavia, se cerchi un controllo più granulare e personalizzabile sui campi specifici limitati nelle policy dell'organizzazione, puoi anche creare policy dell'organizzazione personalizzate.

Vantaggi

Puoi utilizzare un criterio dell'organizzazione personalizzato per consentire o negare la creazione di processi di derivazione dei dati con condizioni basate su attributi delle risorse supportati, come nome del processo, tipo di origine e origine.

Ereditarietà delle policy

Per impostazione predefinita, le policy dell'organizzazione vengono ereditate dai discendenti delle risorse su cui applichi la policy. Ad esempio, se applichi una policy a una cartella, Google Cloud applica la policy a tutti i progetti contenuti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Prezzi

Il servizio relativo alle policy dell'organizzazione, incluse le policy predefinite e personalizzate, viene fornito senza costi aggiuntivi.

Limitazioni

  • I vincoli personalizzati possono essere applicati solo alle risorse Process della derivazione dei dati. Altre risorse, come Runs e Events, non sono supportate.

  • I vincoli personalizzati appena applicati non si applicano alle risorse esistenti.

Prima di iniziare

  • Assicurati di conoscere il tuo ID organizzazione.
  • Se vuoi testare criteri dell'organizzazione personalizzati che fanno riferimento a risorse di data lineage, crea un nuovo progetto. Il test di queste norme dell'organizzazione in un progetto esistente potrebbe interrompere i flussi di lavoro di sicurezza.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Click Create project.

    3. Name your project. Make a note of your generated project ID.

    4. Edit the other fields as needed.

    5. Click Create.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire le policy dell'organizzazione. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire le policy dell'organizzazione sono necessarie le seguenti autorizzazioni:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Crea un vincolo personalizzato

Un vincolo personalizzato è definito in un file YAML dalle risorse, dai metodi, dalle condizioni e dalle azioni supportate dal servizio a cui stai applicando la policy dell'organizzazione. Le condizioni per i vincoli personalizzati vengono definite utilizzando il Common Expression Language (CEL). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando il CEL, consulta la sezione relativa al CEL di Creazione e gestione di vincoli personalizzati.

Per creare un file YAML per un vincolo personalizzato:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- datalineage.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.

  • CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.denyLineageProcess. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom.

  • RESOURCE_TYPE: il nome (non l'URI) della risorsa REST dell'API Data Lineage contenente l'oggetto e il campo che vuoi limitare. Per la derivazione dei dati è disponibile solo Process.

  • CONDITION: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Per ulteriori informazioni sulle risorse disponibili in base a cui scrivere condizioni, consulta la sezione Risorse supportate. Ad esempio "resource.name.contains('invalid_name')".

  • ACTION: l'azione da eseguire se condition è soddisfatta. Può essere ALLOW o DENY.

  • DISPLAY_NAME: un nome facile da ricordare per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.

  • DESCRIPTION: una descrizione chiara del vincolo da visualizzare come messaggio di errore in caso di violazione della policy. Questo campo ha una lunghezza massima di 2000 caratteri.

Per saperne di più su come creare un vincolo personalizzato, consulta Definizione di vincoli personalizzati.

Configura un vincolo personalizzato

Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per le policy dell'organizzazione. Per impostare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Sostituisci CONSTRAINT_PATH con il percorso completo del file del vincolo personalizzato. Ad esempio: /home/user/customconstraint.yaml. Al termine, i vincoli personalizzati sono disponibili come policy dell'organizzazione nel tuo elenco di policy dell'organizzazione Google Cloud . Per verificare che il vincolo personalizzato esista, utilizza il comando gcloud org-policies list-custom-constraints:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'ID della risorsa della tua organizzazione. Per ulteriori informazioni, consulta Visualizzazione delle policy dell'organizzazione.

Applicare una policy dell'organizzazione personalizzata

Puoi applicare un vincolo creando una policy dell'organizzazione che lo richiami e poi applicando questa policy dell'organizzazione a una risorsa Google Cloud .

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore di progetti, seleziona il progetto per cui vuoi impostare la policy dell'organizzazione.
  3. Nell'elenco della pagina Policy dell'organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli policy relativa al vincolo in questione.
  4. Per configurare la policy dell'organizzazione per questa risorsa, fai clic su Gestisci policy.
  5. Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.
  6. Fai clic su Aggiungi una regola.
  7. Nella sezione Applicazione, seleziona se attivare o meno l'applicazione di questa policy dell'organizzazione
  8. (Facoltativo) Per rendere la policy dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a una policy dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti la policy non può essere salvata. Per ulteriori informazioni, consulta Impostazione di una policy dell'organizzazione con tag.
  9. Fai clic su Testa modifiche per simulare l'effetto della policy dell'organizzazione. La simulazione delle policy non è disponibile per i vincoli gestiti legacy. Per ulteriori informazioni, consulta Testa le modifiche alla policy dell'organizzazione con Policy Simulator.
  10. Per completare e applicare la policy dell'organizzazione, fai clic su Imposta policy. L'applicazione della policy può richiedere fino a 15 minuti.

gcloud

Per creare una policy dell'organizzazione con regole booleane, crea un file YAML della policy che faccia riferimento al vincolo:

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

Sostituisci quanto segue:

  • PROJECT_ID: il progetto su cui vuoi applicare il vincolo.
  • CONSTRAINT_NAME: il nome definito per il vincolo personalizzato. Ad esempio: custom.denyLineageProcess.

Per applicare la policy dell'organizzazione contenente il vincolo, esegui il seguente comando:

    gcloud org-policies set-policy POLICY_PATH
    

Sostituisci POLICY_PATH con il percorso completo del file YAML della policy dell'organizzazione. L'applicazione della policy può richiedere fino a 15 minuti.

Testa il criterio dell'organizzazione personalizzato

Questa sezione descrive come testare un vincolo di policy dell'organizzazione che impedisce agli utenti di creare un processo di lineage dei dati con un nome che contiene il testo invalid_name.

Se vuoi testare questo vincolo personalizzato:

  1. Crea un nuovo progetto, come descritto nella sezione Prima di iniziare.

  2. Copia il seguente vincolo in un file YAML:

      name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcess
      resourceTypes: datalineage.googleapis.com/Process
      methodTypes:
        - CREATE
        - UPDATE
      condition:
        "resource.name.contains('invalid_name')"
      actionType: DENY
      displayName: Do not allow data lineage process with 'invalid_name' to be created.
    

    Sostituisci ORGANIZATION_ID con l'ID numerico della tua organizzazioneGoogle Cloud .

  3. Configura il vincolo personalizzato e applica il vincolo al progetto che hai creato per testare il vincolo della policy dell'organizzazione personalizzata.

  4. Crea un processo con il nome che hai incluso nel vincolo personalizzato.

    curl -s -X POST -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application.json" \
    "https://datalineage.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/processes" \
    -d '{"name":"projects/PROJECT_ID/locations/LOCATION/processes/invalid_name"}'

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto in cui viene creato il processo. Deve trovarsi nella stessa organizzazione in cui è definito il vincolo.
    • LOCATION: Google Cloud regione in cui viene creato il processo.

    L'output è il seguente:

    Operation denied by org policy on resource 'projects/PROJECT_ID/locations/LOCATION': ["customConstraints/custom.denyLineageProcess"]
    

Risorse e operazioni supportate per la derivazione dei dati

I seguenti campi dei vincoli personalizzati sono disponibili per l'utilizzo quando crei o aggiorni un processo di data lineage:

  • resource.name
  • resource.displayName
  • resource.origin.name
  • resource.origin.sourceType

I vincoli personalizzati vengono controllati per i seguenti metodi:

Esempi di norme personalizzate dell'organizzazione per casi d'uso comuni

La tabella seguente fornisce la sintassi di alcuni vincoli personalizzati per casi d'uso comuni:

Per ulteriori informazioni sulle macro CEL disponibili per l'utilizzo nelle condizioni dei vincoli personalizzati, consulta Common Expression Language.

Caso d'uso Sintassi del vincolo
Disattivare la creazione di processi di derivazione dei dati
    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation
    resourceTypes:
    - datalineage.googleapis.com/Process
    methodTypes:
    - CREATE
    condition: "True"
    actionType: DENY
    displayName: Deny creation of all data lineage processes.
Disabilitare la creazione di processi di data lineage da parte di BigQuery o Dataproc
    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation
    resourceTypes:
    - datalineage.googleapis.com/Process
    methodTypes:
    - CREATE
    condition: "resource.origin.sourceType == 'BIGQUERY' || resource.origin.sourceType == 'DATAPROC'"
    actionType: DENY
    displayName: Deny data lineage processes created by BigQuery or Dataproc.
Disabilita i processi di derivazione dei dati con il nome specificato
    name: organizations/ORGANIZATION_ID/customConstraints/custom.denyLineageProcessesCreation
    resourceTypes:
    - datalineage.googleapis.com/Process
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.name.contains('RESTRICTED_NAME')"
    actionType: DENY
    displayName: Deny data lineage processes whose name contains RESTRICTED_NAME.

Passaggi successivi