El servicio de políticas de organización te permite controlar los recursos de tu organización de forma centralizada y programática. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de restricciones llamadas "restricciones" que se aplican a losGoogle Cloud recursos y a los elementos descendientes de esos recursos en la Google Cloud jerarquía de recursos. Puedes aplicar políticas de organización a nivel de organización, carpeta o proyecto.
La política de organización proporciona restricciones predefinidas para varios servicios deGoogle Cloud . Sin embargo, si quieres tener un control más granular y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear restricciones personalizadas y aplicarlas en una política de organización personalizada.
En Cloud Next Generation Firewall, puedes crear y aplicar restricciones personalizadas en las siguientes políticas de cortafuegos:
- Políticas de cortafuegos jerárquicas
- Políticas de cortafuegos de red mundial
- Políticas de cortafuegos de red regionales
Las restricciones personalizadas se aplican a todas las reglas de la política de cortafuegos, incluidas las reglas predefinidas que se añaden cuando se crea una política de cortafuegos. Para obtener más información sobre las reglas de políticas de cortafuegos predefinidas, consulta Reglas predefinidas.
Herencia de políticas
De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que se aplican. Por ejemplo, si aplicas una política a una carpeta, Google Cloud se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.
Recursos compatibles con Cloud NGFW
En el caso de las políticas de cortafuegos, puede definir restricciones personalizadas en los siguientes recursos y campos.
- Políticas de cortafuegos:
compute.googleapis.com/FirewallPolicy- Nombre de la regla:
resource.rules[].ruleName - Descripción:
resource.rules[].description - Prioridad:
resource.rules[].priority - Acción:
resource.rules[].action - Dirección:
resource.rules[].direction - ¿Está habilitado el registro?:
resource.rules[].enableLogging - Está inhabilitado:
resource.rules[].disabled - Grupo de perfiles de seguridad:
resource.rules[].securityProfileGroup - ¿Está habilitada la inspección TLS?:
resource.rules[].tlsInspect - Cuentas de servicio de destino:
resource.rules[].targetServiceAccounts[] - Etiquetas seguras de destino:
resource.rules[].targetSecureTags[]- Nombre:
resource.rules[].targetSecureTags[].name
- Nombre:
- Recursos de destino:
resource.rules[].targetResources - Intervalos de IP de origen:
resource.rules[].match.srcIpRanges[] - Intervalos de IP de destino:
resource.rules[].match.destIpRanges[] - Layer4Config:
resource.rules[].match.layer4Configs[]- Protocolo IP:
match.layer4Configs[].ipProtocol - Puertos:
resource.rules[].match.layer4Configs[].ports[]
- Protocolo IP:
- Etiquetas seguras de origen:
resource.rules[].match.srcSecureTags[]- Nombre:
resource.rules[].match.srcSecureTags[].name
- Nombre:
- Grupos de direcciones de origen:
resource.rules[].match.srcAddressGroups[] - Grupos de direcciones de destino:
resource.rules[].match.destAddressGroups[] - FQDNs de origen:
resource.rules[].match.srcFqdns[] - FQDNs de destino:
resource.rules[].match.destFqdns[] - Códigos de región de origen:
resource.rules[].match.srcReigonCodes[] - Códigos de región de destino:
resource.rules[].match.destReigonCodes[] - Listas de inteligencia frente a amenazas de la red de origen:
resource.rules[].match.srcThreatIntelligences[] - Listas de inteligencia frente a amenazas de red de destino:
resource.rules[].match.destThreatIntelligences[]
- Nombre de la regla:
Antes de empezar
-
Si aún no lo has hecho, configura la autenticación.
La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initSi utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
- Set a default region and zone.
REST
Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.
Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initSi utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .
- Asegúrate de que conoces el ID de tu organización.
Roles obligatorios
Para obtener los permisos que necesitas para gestionar las políticas de organización de los recursos de Cloud NGFW, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:
-
Administrador de políticas de organización (
roles/orgpolicy.policyAdmin) en el recurso de organización -
Para probar las restricciones:
-
Administrador de red de Compute (
roles/compute.networkAdmin) en el proyecto -
Usuario de cuenta de servicio (
roles/iam.serviceAccountUser) en el proyecto
-
Administrador de red de Compute (
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para gestionar las políticas de la organización de recursos de Cloud NGFW. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para gestionar las políticas de organización de los recursos de Cloud NGFW, se necesitan los siguientes permisos:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Configurar una restricción personalizada
Puedes crear una restricción personalizada y configurarla para usarla en políticas de organización mediante la Google Cloud consola o la CLI de Google Cloud.
Consola
En la Google Cloud consola, ve a la página Políticas de la organización.
Selecciona el selector de proyectos en la parte superior de la página.
En el selector de proyectos, selecciona el recurso para el que quieras definir la política de la organización.
Haz clic en Restricción personalizada.
En el cuadro Nombre visible, introduce un nombre descriptivo para la restricción. Este campo tiene una longitud máxima de 200 caracteres. No utilices información personal identificable ni datos sensibles en los nombres de las restricciones, ya que podrían exponerse en mensajes de error.
En el cuadro ID de la restricción, introduce el nombre que quieras para la nueva restricción personalizada. Una restricción personalizada debe empezar por
custom.y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo,custom.createFirewallPolicy. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo. Por ejemplo,organizations/123456789/customConstraints/custom..En el cuadro Descripción, introduce una descripción de la restricción que sea fácil de entender para que se muestre como mensaje de error cuando se incumpla la política. Este campo tiene una longitud máxima de 2000 caracteres.
En el cuadro Tipo de recurso, selecciona el nombre del recurso REST que contenga el objeto y el campo que quieras restringir. Google Cloud Por ejemplo,
compute.googleapis.com/FirewallPolicy.En Método de aplicación, selecciona si quieres aplicar la restricción solo al método REST
CREATEo a los métodos RESTCREATEyUPDATE.Para definir una condición, haz clic en Editar condición.
En el panel Añadir condición, crea una condición de CEL que haga referencia a un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres.
Haz clic en Guardar.
En Acción, seleccione si quiere permitir o denegar el método evaluado si se cumple la condición anterior.
Haz clic en Crear restricción.
Cuando haya introducido un valor en cada campo, aparecerá a la derecha la configuración YAML equivalente de esta restricción personalizada.
gcloud
Para crear una restricción personalizada con la CLI de Google Cloud, cree un archivo YAML para la restricción personalizada:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resource_types: compute.googleapis.com/RESOURCE_NAME method_types: – METHOD1 – METHOD2 condition: "CONDITION" action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTION
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización, como123456789.CONSTRAINT_NAME: el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada debe empezar porcustom.y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo,custom.createFirewallPolicy. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo. Por ejemplo,organizations/123456789/customConstraints/custom.RESOURCE_NAME: nombre (no URI) del recurso REST de la API de Compute Engine que contiene el objeto y el campo que quieres restringir. Por ejemplo,FirewallPolicy.METHOD1,METHOD2,...: lista de métodos RESTful para los que se debe aplicar la restricción. Puede serCREATEoCREATEyUPDATE.CONDITION: una condición CEL que se escribe en una representación de un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres. Consulta los recursos admitidos para obtener más información sobre los recursos con los que puedes escribir condiciones.ACTION: la acción que se debe llevar a cabo si se cumple la condicióncondition. Puede serALLOWoDENY.DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.
Para obtener más información sobre cómo crear una restricción personalizada, consulta Definir restricciones personalizadas.
Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comandogcloud org-policies set-custom-constraint:gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATHpor la ruta completa a tu archivo de restricciones personalizadas. Por ejemplo,/home/user/customconstraint.yaml. Una vez completado el proceso, las restricciones personalizadas estarán disponibles como políticas de organización en la lista de Google Cloud políticas de organización. Para verificar que la restricción personalizada existe, usa el comandogcloud org-policies list-custom-constraints:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_IDpor el ID del recurso de tu organización. Para obtener más información, consulta Ver políticas de la organización.Aplicar una restricción personalizada
Para aplicar una restricción, crea una política de organización que haga referencia a ella y, a continuación, aplica esa política de organización a un Google Cloud recurso.Consola
- En la Google Cloud consola, ve a la página Políticas de la organización.
- En el selector de proyectos, elige el proyecto para el que quieras definir la política de organización.
- En la lista de la página Políticas de organización, selecciona la restricción para ver la página Detalles de la política correspondiente.
- Para configurar la política de la organización de este recurso, haz clic en Gestionar política.
- En la página Editar política, selecciona Anular política del recurso superior.
- Haz clic en Añadir regla.
- En la sección Aplicación, selecciona si quieres activar o desactivar la aplicación de esta política de la organización.
- Opcional: Para que la política de la organización dependa de una etiqueta, haz clic en Añadir condición. Ten en cuenta que, si añades una regla condicional a una política de organización, debes añadir al menos una regla incondicional o la política no se podrá guardar. Para obtener más información, consulta Configurar una política de organización con etiquetas.
- Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones gestionadas antiguas. Para obtener más información, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.
- Para finalizar y aplicar la política de organización, haz clic en Definir política. La política tarda hasta 15 minutos en aplicarse.
gcloud
Para crear una política de organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Haz los cambios siguientes:
-
PROJECT_ID: el proyecto en el que quieras aplicar la restricción. -
CONSTRAINT_NAME: el nombre que has definido para tu restricción personalizada. Por ejemplo,custom.createFirewallPolicy
Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_PATH
Sustituye
POLICY_PATHpor la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.Ejemplo: Crear una restricción que obligue a habilitar el registro en todas las reglas de cortafuegos
Esta restricción impide la creación de reglas de políticas de cortafuegos sin que se haya habilitado el registro. Las reglas de la política de cortafuegos con la acción
goto_nextse excluyen porque no admiten el registro.gcloud
Crea un archivo de restricciones
enforceLoggingEnabled.yamlcon la siguiente información.name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceLoggingEnabled resource_types: compute.googleapis.com/FirewallPolicy condition: "resource.rules.exists(rule, rule.action != 'goto_next' && rule.enableLogging == false)" action_type: DENY method_types: [CREATE, UPDATE] display_name: Enforce that all rules have logging enabled description: Firewall policy rules with action other than goto_next can only be created when firewall rules logging is enabled.
Sustituye
ORGANIZATION_IDpor el ID de tu organización.Define la restricción personalizada.
gcloud org-policies set-custom-constraint enforceLoggingEnabled.yaml
Crea un archivo de política
enforceLoggingEnabled-policy.yamlcon la información que se proporciona en el siguiente ejemplo y aplica esta restricción a nivel de proyecto. También puedes definirlo a nivel de organización o carpeta.name: projects/PROJECT_ID/policies/custom.enforceLoggingEnabled spec: rules: – enforce: true
Sustituye
PROJECT_IDpor el ID del proyecto.Aplica la política.
gcloud org-policies set-policy enforceLoggingEnabled-policy.yaml
Para probar la restricción, crea una regla de política de cortafuegos que permita el tráfico TCP de entrada en el puerto
22con el registro inhabilitado.gcloud compute network-firewall-policies create test-fw-policy --global
gcloud compute network-firewall-policies rules create 1000 \ --action ALLOW \ --direction INGRESS \ --firewall-policy test-fw-policy \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs tcp:22 \ --no-enable-logging \ --global-firewall-policyEl resultado debería ser similar al siguiente:
ERROR: (gcloud.compute.network-firewall-policies.create) Could not fetch resource: - Operation denied by custom org policy: [customConstraints/custom.enforceLoggingEnabled] :Firewall policy rules with action other than goto_next can only be created when firewall rules logging is enabled.
Elimina la política de cortafuegos que has creado en el paso anterior.
gcloud compute network-firewall-policies delete test-fw-policy --global
Ejemplo: Crear una restricción que obligue a que todas las reglas de cortafuegos SSH de entrada tengan un intervalo de origen específico
Esta restricción obliga a que las reglas de la política de cortafuegos que permiten el tráfico SSH de entrada tengan rangos de IP de origen que empiecen por el bloque
192.168..gcloud
Crea un archivo de restricciones
restrictFirewallPolicyRulesSshRanges.yamlcon la siguiente información.name: organizations/$ORGANIZATION_ID/customConstraints/custom.restrictFirewallPolicyRulesSshRanges resource_types: compute.googleapis.com/FirewallPolicy condition: "resource.rules.exists(rule, rule.priority < 2147483644 && (rule.direction == 'INGRESS') && !rule.match.srcIpRanges.all(ipRange, ipRange.startsWith('192.168.')) && rule.match.layer4Configs.all(l4config, l4config.ipProtocol == 'tcp' && l4config.ports.all(port, port == '22')) )" action_type: DENY method_types: [CREATE, UPDATE] display_name: Limit firewall policy rules that allow ingress SSH traffic description: Firewall Policy rules that allow ingress SSH traffic can only be created with allowed source ranges.
Sustituye
ORGANIZATION_IDpor el ID de tu organización.Define la restricción personalizada.
gcloud org-policies set-custom-constraint restrictFirewallPolicyRulesSshRanges.yaml
Crea un archivo de política
restrictFirewallPolicyRulesSshRanges-policy.yamlcon la información proporcionada en el siguiente ejemplo y aplica la restricción a nivel de proyecto. También puedes definir esta restricción a nivel de organización o carpeta.name: projects/PROJECT_ID/policies/custom.restrictFirewallPolicyRulesSshRanges spec: rules: – enforce: true
Sustituye
PROJECT_IDpor el ID del proyecto.Aplica la política.
gcloud org-policies set-policy restrictFirewallPolicyRulesSshRanges-policy.yaml
Para probar la restricción, crea una regla de política de cortafuegos que permita el tráfico TCP de entrada de SSH en el puerto
22con el intervalo de IPs de origen10.0.0.0/0.gcloud compute network-firewall-policies create test-fw-policy --global
gcloud compute network-firewall-policies rules create 1000 \ --action ALLOW \ --direction INGRESS \ --firewall-policy test-fw-policy \ --src-ip-ranges 10.0.0.0/8 \ --layer4-configs tcp:22 \ --global-firewall-policyEl resultado debería ser similar al siguiente:
ERROR: (gcloud.compute.network-firewall-policies.create) Could not fetch resource: - Operation denied by custom org policy: [customConstraints/custom.restrictFirewallPolicyRulesSshRanges]: Firewall Policy rules that allow ingress SSH traffic can only be created with allowed source ranges.
Elimina la política de cortafuegos que has creado en el paso anterior.
gcloud compute network-firewall-policies delete test-fw-policy --global
Precios
El servicio de políticas de organización, incluidas las políticas de organización predefinidas y personalizadas, se ofrece sin coste económico.
Siguientes pasos
- Introducción al servicio de políticas de organización
- Crear y gestionar políticas de organización
- Restricciones de las políticas de organización
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-09-11 (UTC).
-