Gerenciar recursos de função usando restrições personalizadas

Como administrador da organização, você pode criar restrições personalizadas para o Cloud Run functions. As políticas da organização aplicam essas restrições personalizadas no nível do projeto, da pasta ou da organização.

A política da organização fornece restrições predefinidas para vários serviços do Google Cloud. No entanto, se você quiser um controle mais granular e personalizável sobre os campos específicos restritos nas suas políticas da organização, crie também políticas da organização personalizadas.

Nesta página, mostramos detalhes sobre como criar restrições personalizadas para funções criadas usando as APIs do Cloud Functions v2 e aplicá-las no nível do projeto. Para informações sobre políticas personalizadas da organização, consulte Como criar e gerenciar políticas personalizadas da organização.

Benefícios

  • Gerenciamento de custos: use políticas da organização para restringir a instância de VM e os tamanhos e tipos de disco que podem ser usados na sua organização Também é possível restringir a família de máquinas usada para a instância de VM.
  • Segurança, conformidade e governança:
    • Para aplicar requisitos de segurança, é possível exigir regras de porta de firewall específicas nas VMs.
    • Para oferecer suporte ao isolamento de hardware ou à conformidade com o licenciamento, é possível exigir que todas as VMs em um projeto ou pasta específico sejam executadas em nós de locatário individual.
    • Para controlar os scripts de automação, use políticas personalizadas da organização para verificar se os rótulos correspondem às expressões necessárias.

Herança de políticas

Quando uma política da organização é aplicada a um recurso, todos os descendentes do recurso também herdam a política. Por exemplo, se você aplicar uma política em uma pasta, o Google Cloud aplicará a política a todos os projetos da pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação de hierarquia.

Preços

O Organization Policy Service, incluindo políticas predefinidas e personalizadas, é oferecido sem custos financeiros.

Limitações

As limitações a seguir se aplicam às políticas personalizadas da organização:

  • Não é aplicado a nomes de instâncias de VM quando você usa a API de inserção em massa.
  • Aplicado apenas no método CREATE para recursos do Compute Engine.
  • Disponível apenas nas APIs v2 do Cloud Functions. Elas não podem ser aplicadas ao Cloud Run functions (1ª geração).
  • Proteja apenas funções ao usar as APIs do Cloud Functions v2. O Cloud Run functions também pode ser modificado na API Cloud Run. Para mais proteção, talvez seja necessário aplicar restrições personalizadas no Cloud Run.

Antes de começar

Funções exigidas

Criar uma restrição personalizada

Uma restrição personalizada é definida em um arquivo YAML pelos recursos, métodos, condições e ações compatíveis com o serviço em que você está aplicando a política da organização. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL). Para mais informações sobre como criar condições em restrições personalizadas usando a CEL, consulte a seção CEL de Como criar e gerenciar restrições personalizadas.

Para especificar uma restrição personalizada que negue a criação de todas as funções com uma instância máxima maior que 150, faça o seguinte:

  • Crie um novo arquivo maxInstanceConstraint.yaml com o seguinte conteúdo:

    name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- cloudfunctions.googleapis.com/Function
methodTypes: 
- CREATE
- UPDATE
condition: resource.serviceConfig.maxInstanceCount > 150
actionType: DENY
displayName: Deny functions with max instance count greater than 150
description: Functions cannot be created with a max instance count greater than 150

Substitua ORGANIZATION_ID pelo ID da organização, como 123456789.

Para mais informações, consulte Como definir restrições personalizadas.

Configurar uma restrição personalizada

Depois de criar o arquivo YAML para uma nova restrição personalizada, configure-a para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Substitua CONSTRAINT_PATH pelo caminho completo do arquivo da restrição personalizada. Por exemplo, /home/user/customconstraint.yaml. Após a conclusão, as restrições personalizadas vão estar disponíveis como políticas da organização na sua lista de políticas da organização do Google Cloud. Para verificar se a restrição personalizada existe, use o comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Substitua ORGANIZATION_ID pelo ID do recurso da organização. Para mais informações, consulte Como visualizar as políticas da organização.

Aplicar uma política da organização personalizada

Para aplicar uma restrição booleana, crie uma política da organização com referência a ela e depois aplique essa política da organização a um recurso do Google Cloud.

Console

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. No seletor de projetos, selecione o projeto em que você quer definir a política da organização.
  3. Na lista da página Políticas da organização, selecione a restrição para acessar a página Detalhes da política dela.
  4. Para personalizar a política da organização nesse recurso, clique em Gerenciar política.
  5. Na página Editar política, selecione Substituir a política do editor principal.
  6. Clique em Adicionar uma regra.
  7. Na seção Aplicação, selecione se a aplicação dessa política da organização está ativada ou desativada.
  8. Opcional: para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais informações, consulte Como configurar uma política da organização com tags.
  9. Se essa for uma restrição personalizada, clique em Testar alterações para simular o efeito da política da organização. Para mais informações, consulte Testar alterações na política da organização com o Simulador de política.
  10. Para concluir e aplicar a política da organização, clique em Definir política. A política levará até 15 minutos para entrar em vigor.

gcloud

Para criar uma política da organização que aplica uma restrição booleana, crie um arquivo YAML da política com referência à restrição: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Substitua:

  • PROJECT_ID: o projeto em que você quer aplicar a restrição.
  • CONSTRAINT_NAME: o nome definido para a restrição personalizada. Por exemplo, custom.cloudFunctionsMaxInstanceLimit.

Para aplicar a política da organização que contém a restrição, execute o seguinte comando: 

    gcloud org-policies set-policy POLICY_PATH

Substitua POLICY_PATH pelo caminho completo do arquivo YAML da política da organização. A política leva até 15 minutos para entrar em vigor.

Testar a política personalizada da organização

Para criar uma função com uma instância máxima de 151, execute o seguinte comando:

gcloud functions deploy FUNCTION_NAME \
  ...
  --max-instances 151

Você verá a seguinte resposta:

 Operation denied by custom org policy on resource: ["customConstraints/custom.cloudFunctionsMaxInstanceLimit": "Cloud Functions cannot be created with a max instance count greater than 150."]

Recursos e operações com suporte do Cloud Run functions

Tipo de recurso Tipos de método Referência da API
cloudfunctions.googleapis.com/Function CREATE, UPDATE projects.locations.functions

Exemplos comuns de políticas da organização

A tabela a seguir mostra a sintaxe de algumas políticas da organização personalizadas que podem ser úteis:

Descrição Sintaxe de restrição
Impedir a criação de funções com um idioma específico 
    name: organizations/ORGANIZATION_IDcustomConstraints/custom.cloudFunctionRuntimeBlock
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.runtime == "python312"
    action_type: DENY
    display_name: Deny functions using Python 3.12
    description: Functions cannot be created with Python 3.12 as the language runtime
Exigir que as funções usem um pool de workers específico 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionsWorkerPool
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.workerPool == "WORKER_POOL"
    action_type: DENY
    display_name: Require worker pool
    description: Functions must use a worker pool
Substitua WORKER_POOL pelo nome do pool de workers do Cloud Build.
Exigir que as funções armazenem todas as imagens do contêiner em um repositório de imagens específico 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionsRepository
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.dockerRepository.startsWith("REPO_PATH")
    action_type: DENY
    display_name: Image repository constraint
    description: Functions must push images to a central image repository under REPO_PATH
 Substitua REPO_PATH pelo URI do repositório de imagens em que você quer que todas as funções armazenem as imagens do contêiner.

A seguir