Google Cloud A política da organização dá-lhe um controlo centralizado e programático sobre os recursos da sua organização. Enquanto administrador de políticas da organização, pode definir uma política da organização, que é um conjunto de restrições denominadas limitações que se aplicam aGoogle Cloud recursos e descendentes desses recursos na Google Cloud hierarquia de recursos. Pode aplicar políticas da organização ao nível da organização, da pasta ou do projeto.
A política da organização oferece restrições predefinidas para vários Google Cloud serviços. No entanto, se quiser um controlo mais detalhado e personalizável sobre os campos específicos que estão restritos nas políticas da sua organização, também pode criar restrições personalizadas e aplicar essas restrições personalizadas numa política da organização personalizada.
Herança de políticas
Por predefinição, as políticas da organização são herdadas pelos descendentes dos recursos nos quais aplica a política. Por exemplo, se aplicar uma política a uma pasta, Google Cloud aplica a política a todos os projetos na pasta. Para saber mais acerca deste comportamento e como o alterar, consulte as regras de avaliação da hierarquia.
Recursos suportados do NGFW do Cloud
Para as regras de firewall da VPC, pode definir restrições personalizadas nos seguintes recursos e campos.
- Firewall:
compute.googleapis.com/Firewall- Nome:
resource.name - Descrição:
resource.description - Rede:
resource.network - Prioridade:
resource.priority - Intervalos de origem:
resource.sourceRanges[] - Intervalos de destinos:
resource.destinationRanges[] - Etiquetas de origem:
resource.sourceTags[] - Etiquetas de destino:
resource.targetTags[] - Regras de permissão:
resource.allowed[]- Protocolo:
resource.allowed[].IPProtocol - Portas:
resource.allowed[].ports[]
- Protocolo:
- Regras de recusa:
resource.denied[]- Protocolo:
resource.denied[].IPProtocol - Portas:
resource.denied[].ports[]
- Protocolo:
- Direção:
resource.direction - Está desativada:
resource.disabled
- Nome:
Definir restrições personalizadas
Uma restrição personalizada é definida pelos recursos, métodos, condições e ações suportados pelo serviço no qual está a aplicar a política da organização. As condições para as restrições personalizadas são definidas através do Idioma de expressão comum (IEC). Para mais informações sobre como criar condições em restrições personalizadas através da CEL, consulte a secção CEL do artigo Criar e gerir políticas de organização.
Além das funções CEL padrão, pode usar a função CEL personalizada containsFirewallPort para criar restrições personalizadas para regras de firewall. Pode usar esta função para criar uma restrição que se refere a um protocolo específico ou a uma combinação de protocolo e porta.
- Apenas protocolo:
resource.allowed.containsFirewallPort('PROTOCOL') - Protocolo e porta:
resource.allowed.containsFirewallPort('PROTOCOL', 'PORT_NUMBER')
Para ver informações sobre os protocolos permitidos, consulte o artigo Protocolos e portas.
Antes de começar
-
Se ainda não o tiver feito, configure a autenticação.
A autenticação valida a sua identidade para aceder a Google Cloud serviços e APIs. Para executar código ou exemplos a partir de um ambiente de desenvolvimento local, pode autenticar-se no Compute Engine selecionando uma das seguintes opções:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando:
gcloud initSe estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.
- Set a default region and zone.
REST
Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.
Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando:
gcloud initSe estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.
Para mais informações, consulte o artigo Autenticar para usar REST na Google Cloud documentação de autenticação.
Funções necessárias
Para receber as autorizações de que precisa para gerir as políticas de organização para recursos da firewall de nova geração do Google Cloud, peça ao seu administrador que lhe conceda as seguintes funções do IAM:
-
Administrador de políticas da organização (
roles/orgpolicy.policyAdmin) no recurso da organização -
Para testar as restrições:
-
Administrador de rede de computação (
roles/compute.networkAdmin) no projeto -
Utilizador da conta de serviço (
roles/iam.serviceAccountUser) no projeto
-
Administrador de rede de computação (
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Estas funções predefinidas contêm as autorizações necessárias para gerir as políticas da organização para recursos da firewall de nova geração da nuvem. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para gerir políticas de organização para recursos da firewall de nova geração da nuvem:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Configure uma restrição personalizada
Pode criar uma restrição personalizada e configurá-la para utilização em políticas organizacionais através da Google Cloud consola ou da CLI Google Cloud.
Consola
Na Google Cloud consola, aceda à página Políticas de organização.
Selecione o Selecionador de projetos na parte superior da página.
No seletor de projetos, selecione o recurso para o qual quer definir a política de organização.
Clique em Restrição personalizada.
Na caixa Nome a apresentar, introduza um nome simples para a restrição. Este campo tem um comprimento máximo de 200 carateres. Não use IIP nem dados confidenciais nos nomes das restrições, porque podem ser expostos em mensagens de erro.
Na caixa ID da restrição, introduza o nome que quer para a nova restrição personalizada. Uma restrição personalizada tem de começar com
custom.e só pode incluir letras maiúsculas, letras minúsculas ou números, por exemplo,custom.httpFirewallRule. O comprimento máximo deste campo é de 70 carateres, sem contar com o prefixo, por exemplo,organizations/123456789/customConstraints/custom..Na caixa Descrição, introduza uma descrição simples da restrição a apresentar como mensagem de erro quando a política for violada. Este campo tem um comprimento máximo de 2000 carateres.
Na caixa Tipo de recurso, selecione o nome do Google Cloud recurso REST que contém o objeto e o campo que quer restringir. Por exemplo,
compute.googleapis.com/Firewall.Em Método de aplicação, selecione se quer aplicar a restrição apenas no método REST
CREATEou nos métodos RESTCREATEeUPDATE.Para definir uma condição, clique em Editar condição.
No painel Adicionar condição, crie uma condição CEL que faça referência a um recurso de serviço suportado. Este campo tem um comprimento máximo de 1000 carateres.
Clique em Guardar.
Em Ação, selecione se quer permitir ou recusar o método avaliado se a condição acima for cumprida.
Clique em Criar restrição.
Quando tiver introduzido um valor em cada campo, a configuração YAML equivalente para esta restrição personalizada é apresentada à direita.
gcloud
Para criar uma restrição personalizada através da Google Cloud CLI, crie um ficheiro YAML.
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resource_types: compute.googleapis.com/RESOURCE_NAME method_types: – METHOD1 – METHOD2 condition: "CONDITION" action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTION
Substitua o seguinte:
ORGANIZATION_ID: o ID da sua organização, como123456789.CONSTRAINT_NAME: o nome que quer para a nova restrição personalizada. Uma restrição personalizada tem de começar comcustom.e só pode incluir letras maiúsculas, letras minúsculas ou números, por exemplo,custom.httpFirewallRule. O comprimento máximo deste campo é de 70 carateres, sem contar com o prefixo, por exemplo,organizations/123456789/customConstraints/custom.RESOURCE_NAME: o nome (não o URI) do recurso REST da API Compute Engine que contém o objeto e o campo que quer restringir. Por exemplo,Firewall.METHOD1,METHOD2,...: uma lista de métodos RESTful para os quais aplicar a restrição. Pode serCREATEouCREATEeUPDATE.CONDITION: uma condição CEL escrita em função de uma representação de um recurso de serviço suportado. Este campo tem um comprimento máximo de 1000 carateres. Consulte o artigo Recursos suportados para mais informações sobre os recursos disponíveis para escrever condições.ACTION: a ação a tomar se a condiçãoconditionfor cumprida. Pode serALLOWouDENY.DISPLAY_NAME: um nome simples para a restrição. Este campo tem um comprimento máximo de 200 carateres.DESCRIPTION: uma descrição acessível da restrição a apresentar como uma mensagem de erro quando a política é violada. Este campo tem um comprimento máximo de 2000 carateres.
Para mais informações sobre como criar uma restrição personalizada, consulte o artigo Definir restrições personalizadas.
Depois de criar o ficheiro YAML para uma nova restrição personalizada, tem de o configurar para o disponibilizar para as políticas da organização na sua organização. Para configurar uma restrição personalizada, use o comandogcloud org-policies set-custom-constraint:gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATHpelo caminho completo para o seu ficheiro de restrições personalizado. Por exemplo,/home/user/customconstraint.yaml. Após a conclusão, as restrições personalizadas ficam disponíveis como políticas da organização na sua lista de Google Cloud políticas da organização. Para verificar se a restrição personalizada existe, use o comandogcloud org-policies list-custom-constraints:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_IDpelo ID do recurso da sua organização. Para mais informações, consulte o artigo Ver políticas da organização.Aplique uma restrição personalizada
Pode aplicar uma restrição criando uma política da organização que a referencie e, em seguida, aplicando essa política da organização a um Google Cloud recurso.Consola
- Na Google Cloud consola, aceda à página Políticas de organização.
- No seletor de projetos, selecione o projeto para o qual quer definir a política de organização.
- Na lista da página Políticas da organização, selecione a restrição para ver a página Detalhes da política dessa restrição.
- Para configurar a política da organização para este recurso, clique em Gerir política.
- Na página Editar política, selecione Substituir política do elemento principal.
- Clique em Adicionar regra.
- Na secção Aplicação, selecione se a aplicação desta política organizacional está ativada ou desativada.
- Opcional: para tornar a política de organização condicional a uma etiqueta, clique em Adicionar condição. Tenha em atenção que, se adicionar uma regra condicional a uma política da organização, tem de adicionar, pelo menos, uma regra incondicional. Caso contrário, não é possível guardar a política. Para mais informações, consulte o artigo Definir uma política de organização com etiquetas.
- Clique em Testar alterações para simular o efeito da política da organização. A simulação de políticas não está disponível para restrições geridas antigas. Para mais informações, consulte o artigo Teste as alterações à política da organização com o simulador de políticas.
- Para concluir e aplicar a política da organização, clique em Definir política. A política demora até 15 minutos a entrar em vigor.
gcloud
Para criar uma política da organização com regras booleanas, crie um ficheiro YAML de política que faça referência à restrição:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Substitua o seguinte:
-
PROJECT_ID: o projeto no qual quer aplicar a restrição. -
CONSTRAINT_NAME: o nome que definiu para a restrição personalizada. Por exemplo,custom.httpFirewallRule
Para aplicar a política da organização que contém a restrição, execute o seguinte comando:
gcloud org-policies set-policy POLICY_PATH
Substitua
POLICY_PATHpelo caminho completo para o ficheiro YAML da política da organização. A política demora até 15 minutos a entrar em vigor.Exemplo: crie uma restrição que impeça a criação de regras de firewall que permitam ligações SSH
Esta restrição impede a criação de regras de firewall de entrada que permitam ligações SSH a partir de qualquer intervalo de endereços IP que não sejam os seguintes:
10.0.0.0/8: um intervalo de endereços IP internos usado na rede VPC.192.168.0.0/16: um intervalo de endereços IP internos usado na rede VPC.35.235.240.0/20: o intervalo de endereços IP usado pelo Identity-Aware Proxy (IAP) para o encaminhamento TCP.
Todos os intervalos de endereços IP que incluem a porta TCP 22 também estão bloqueados.
gcloud
Crie um ficheiro de restrições
restrictSshRanges.yamlcom as seguintes informações.name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictSshRanges resource_types: compute.googleapis.com/Firewall condition: "resource.direction.matches('INGRESS') && resource.allowed.containsFirewallPort('tcp', '22') && !resource.sourceRanges.all(range, range == '35.235.240.0/20' || range.startsWith('10.') || range.startsWith('192.168.'))" action_type: DENY method_types: CREATE display_name: Limit firewall rules that allow ingress SSH traffic description: Firewall rules that allow ingress SSH traffic can only be created with allowed source ranges.
Substitua
ORGANIZATION_IDpelo ID da sua organização.Defina a restrição personalizada.
gcloud org-policies set-custom-constraint restrictSshRanges.yaml
Crie um ficheiro de política
restrictSshRanges-policy.yamlcom as informações fornecidas no exemplo seguinte e aplique a restrição ao nível do projeto. Também pode definir esta restrição ao nível da organização ou da pasta.name: projects/PROJECT_ID/policies/custom.restrictSshRanges spec: rules: – enforce: true
Substitua
PROJECT_IDpelo ID do seu projeto.Aplique a política.
gcloud org-policies set-policy restrictSshRanges-policy.yaml
Para testar a restrição, crie uma rede VPC de modo automático.
gcloud compute firewall-rules create ssh-firewall-rule \ --action=ALLOW --direction=INGRESS --network=NETWORK \ --priority=1000 --rules=tcp:22 --source-ranges=0.0.0.0/0NETWORKpelo nome da sua rede. O resultado é semelhante ao seguinte:ERROR: (gcloud.compute.networks.create) Could not fetch resource: - Operation denied by custom org policy: [customConstraints/custom.restrictSshRanges] : Firewall rules that allow ingress SSH traffic can only be created with allowed source ranges.
Preços
O serviço de políticas da organização, incluindo políticas da organização predefinidas e personalizadas, é oferecido sem custo financeiro.
O que se segue?
- Introdução ao serviço de políticas da organização
- Crie e faça a gestão de políticas da organização
- Restrições de políticas da organização
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-09-19 UTC.
-