Nesta página, mostramos como usar restrições personalizadas do serviço de políticas da organização para restringir operações específicas nos seguintes recursos do Google Cloud:
iam.googleapis.com/AllowPolicy
Para saber mais sobre a política da organização, consulte Políticas da organização personalizadas.
Sobre políticas e restrições da organização
O serviço de políticas da organização do Google Cloud oferece controle centralizado e programático sobre os recursos da sua organização. Como administrador de políticas da organização, é possível definir uma política da organização, que é um conjunto de limites chamado restrições que se aplicam aos recursos do Google Cloud e aos descendentes desses recursos na Hierarquia de recursos do Google Cloud. É possível aplicar políticas da organização no nível da organização, da pasta ou para envolvidos no projeto.
A política da organização fornece restrições predefinidas para vários serviços do Google Cloud. No entanto, se você quiser um controle mais granular e personalizável sobre os campos específicos restritos nas suas políticas da organização, crie também restrições personalizadas e use-as em uma política da organização.
Herança de políticas
Por padrão, as políticas da organização são herdadas pelos descendentes dos recursos em que a política é aplicada. Por exemplo, se você aplicar uma política em uma pasta, o Google Cloud aplicará a política a todos os projetos da pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação de hierarquia.
Vantagens
É possível usar políticas da organização personalizadas que se referem a atributos do IAM para controlar como as políticas de permissão podem ser modificadas. Especificamente, é possível controlar o seguinte:
- Quem pode receber funções
- Quem pode ter as funções revogadas
- Quais funções podem ser concedidas
- Quais funções podem ser revogadas
Por exemplo, é possível impedir que papéis que contêm a palavra admin
sejam
concedidos a principais com um endereço de e-mail que termina em @gmail.com
.
Limitações
As políticas da organização personalizadas no modo de teste que se referem a atributos do IAM têm algumas limitações. Especificamente, os registros de auditoria para violações que envolvem o método
setIamPolicy
podem não ter os seguintes campos:resourceName
serviceName
methodName
Os registros de auditoria não são gerados para todas as violações de política da organização personalizada relacionada ao IAM. Ou seja, se uma política da organização personalizada causar a falha de uma operação
setIamPolicy
no recurso da organização, o Google Cloud não vai gerar um registro de auditoria para esse evento.As políticas da organização personalizadas que fazem referência a atributos do IAM não afetam o seguinte:
- Concesões padrão por ACLs do Cloud Storage.
- Concesões automáticas de função para valores de conveniência do Cloud Storage e acesso ao conjunto de dados padrão do BigQuery.
- Papéis concedidos por políticas de
permissão padrão. Por exemplo, um criador de projeto
recebe automaticamente o papel de proprietário (
roles/owner
) no projeto.
É possível enviar convites para que os usuários se tornem proprietários, mesmo que você tenha uma política de organização personalizada que impeça a concessão do papel de proprietário (
roles/owner
). No entanto, embora a política da organização personalizada não impeça o envio de um convite, ela impede que os usuários convidados recebam a função de proprietário. Se os usuários convidados tentarem aceitar o convite, eles vão encontrar um erro e não receberão a função de proprietário.Algumas ações no Google Cloud, como a criação de recursos ou a ativação de APIs, envolvem a concessão automática de uma função a um agente de serviço ou a uma conta de serviço padrão. Se uma ação envolve a concessão automática de uma função e uma política da organização impede que essa função seja concedida, toda a operação pode falhar.
Se você encontrar esse problema, use tags para desativar temporariamente a restrição que impede a concessão de função. Em seguida, execute a ação. Quando a ação for concluída, reative a restrição.
Antes de começar
-
Se você quiser testar políticas da organização personalizadas que se referem a recursos do IAM, crie um novo projeto. Testar essas políticas da organização em um projeto atual pode interromper os fluxos de trabalho de segurança.
-
In the Google Cloud console, go to the project selector page.
-
Select or create a Google Cloud project.
-
Funções exigidas
Para conseguir as permissões necessárias para gerenciar as políticas da organização, peça ao administrador para conceder a você os papéis do IAM a seguir:
-
Administrador de políticas da organização (
roles/orgpolicy.policyAdmin
) na organização -
Teste as políticas da organização descritas nesta página:
Administrador do IAM do projeto (
roles/resourcemanager.projectIamAdmin
) no projeto
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para gerenciar políticas da organizações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para gerenciar as políticas da organização:
-
orgpolicy.*
na organização -
Teste as políticas da organização descritas nesta página:
resourcemanager.projects.setIamPolicy
no projeto
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Criar uma restrição personalizada
Uma restrição personalizada é definida em um arquivo YAML pelos recursos, métodos, condições e ações compatíveis com o serviço em que você está aplicando a política da organização. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL). Para mais informações sobre como criar condições em restrições personalizadas usando a CEL, consulte a seção CEL de Como criar e gerenciar restrições personalizadas.
Para criar uma restrição personalizada, crie um arquivo YAML usando o seguinte formato:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Substitua:
ORGANIZATION_ID
: o ID da organização, como123456789
.CONSTRAINT_NAME
: o nome da sua nova restrição personalizada. Uma restrição personalizada precisa começar comcustom.
e só pode incluir letras maiúsculas, minúsculas ou números, por exemplo,custom.denyProjectIAMAdmin
. O comprimento máximo desse campo é de 70 caracteres.RESOURCE_NAME
: o nome totalmente qualificado do recurso do Google Cloud que contém o objeto e o campo que você quer restringir. Por exemplo,iam.googleapis.com/AllowPolicy
.CONDITION
: uma condição de CEL gravada em uma representação de um recurso de serviço compatível. Esse campo tem um comprimento máximo de 1000 caracteres. Consulte Recursos compatíveis para mais informações sobre os recursos disponíveis para gravar condições. Por exemplo,
.resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']))
ACTION
: a ação a ser realizada se ocondition
for atendido. Os valores possíveis sãoALLOW
eDENY
.DISPLAY_NAME
: um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres.DESCRIPTION
: uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2000 caracteres.
Para mais informações sobre como criar uma restrição personalizada, consulte Como definir restrições personalizadas.
Configurar uma restrição personalizada
Depois de criar o arquivo YAML para uma nova restrição personalizada, configure-a para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comandogcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
pelo caminho completo
do arquivo da restrição personalizada. Por exemplo, /home/user/customconstraint.yaml
.
Após a conclusão, as restrições personalizadas vão estar disponíveis como políticas da organização
na sua lista de políticas da organização do Google Cloud.
Para verificar se a restrição personalizada existe, use o
comando gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
pelo ID do recurso da organização.
Para mais informações, consulte
Como visualizar as políticas da organização.
Aplicar uma política da organização personalizada
Para aplicar uma restrição booleana, crie uma política da organização com referência a ela e depois aplique essa política da organização a um recurso do Google Cloud.Console
- No console do Google Cloud, acesse a página Políticas da organização.
- No seletor de projetos, selecione o projeto em que você quer definir a política da organização.
- Na lista da página Políticas da organização, selecione a restrição para acessar a página Detalhes da política dela.
- Para personalizar a política da organização nesse recurso, clique em Gerenciar política.
- Na página Editar política, selecione Substituir a política do editor principal.
- Clique em Adicionar uma regra.
- Na seção Aplicação, selecione se a aplicação dessa política da organização está ativada ou desativada.
- Opcional: para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais informações, consulte Como configurar uma política da organização com tags.
- Se essa for uma restrição personalizada, clique em Testar alterações para simular o efeito da política da organização. Para mais informações, consulte Testar alterações na política da organização com o Simulador de política.
- Para concluir e aplicar a política da organização, clique em Definir política. A política levará até 15 minutos para entrar em vigor.
gcloud
Para criar uma política da organização que aplica uma restrição booleana, crie um arquivo YAML da política com referência à restrição:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Substitua:
-
PROJECT_ID
: o projeto em que você quer aplicar a restrição. -
CONSTRAINT_NAME
: o nome definido para a restrição personalizada. Por exemplo,custom.denyProjectIAMAdmin
.
Para aplicar a política da organização que contém a restrição, execute o seguinte comando:
gcloud org-policies set-policy POLICY_PATH
Substitua POLICY_PATH
pelo caminho completo do arquivo YAML da política da organização. A política leva até 15 minutos para entrar em vigor.
Testar a política personalizada da organização
Opcionalmente, defina a política da organização ao configurar a política e tente realizar uma ação que ela precisa impedir.
Crie a restrição.
Salve o seguinte arquivo como
constraint-deny-project-iam-admin
.name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) && binding.members.exists(member, MemberSubjectMatches(member, ['user:EMAIL_ADDRESS']) ) )" actionType: DENY displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.
Substitua os seguintes valores:
ORG_ID
: o número do ID da sua organização do Google Cloud.MEMBER_EMAIL_ADDRESS
: o endereço de e-mail do principal que você quer usar para testar a restrição personalizada. Enquanto a restrição estiver ativa, esse principal não poderá receber o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin
) no projeto em que você aplicou a restrição.
Aplique a restrição:
gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml
Verifique se a restrição existe:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Crie a política
Salve o seguinte arquivo como
policy-deny-project-iam-admin.yaml
:name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin spec: rules: - enforce: true
Substitua
PROJECT_ID
pela ID do seu projeto.Aplique a política:
gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml
Verifique se a política existe:
gcloud org-policies list --project=PROJECT_ID
Depois de aplicar a política, aguarde cerca de dois minutos para que o Google Cloud comece a aplicar a política.
Testar a política
Tente conceder o papel de administrador do IAM do projeto
(roles/resourcemanager.projectIamAdmin
) ao principal cujo endereço de e-mail
você incluiu na restrição personalizada. Antes de executar o comando, substitua os
seguintes valores:
PROJECT_ID
: o ID do projeto do Google Cloud em que você aplicou a restrição.EMAIL_ADDRESS
: o endereço de e-mail do principal especificado ao criar a restrição de política da organização.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin
A saída é esta:
Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]
Exemplos de políticas personalizadas da organização para casos de uso comuns
A tabela a seguir mostra a sintaxe de algumas restrições personalizadas para casos de uso comuns.
Os exemplos a seguir usam as macros all
e exists
do CEL. Para mais
informações sobre essas macros, consulte
Macros.
Descrição | Sintaxe de restrição |
---|---|
Bloquear a capacidade de conceder uma função específica. |
name: organizations/ORG_ID/customConstraints/custom.denyRole resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameMatches(binding.role, ['ROLE']) )" actionType: DENY displayName: Do not allow the ROLE role to be granted |
Permitir apenas a concessão de funções específicas. |
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2']) )" actionType: ALLOW displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted |
Impedir que papéis que começam com roles/storage. sejam
concedidos.
|
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameStartsWith(binding.role, ['roles/storage.']) )" actionType: DENY displayName: Prevent roles that start with "roles/storage." from being granted |
Impedir que os papéis com admin no nome sejam
revogados.
|
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - REMOVE_GRANT condition: "resource.bindings.exists( binding, RoleNameContains(binding.role, ['admin']) )" actionType: DENY displayName: Prevent roles with "admin" in their names from being revoked |
Permitir que apenas principais específicos recebam papéis. |
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT']) ) )" actionType: ALLOW displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT |
Impedir que papéis sejam revogados de principais específicos. |
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - REMOVE_GRANT condition: "resource.bindings.exists( binding, binding.members.exists(member, MemberSubjectMatches(member, ['user:USER_1','user:USER_2']) ) )" actionType: DENY displayName: Do not allow roles to be revoked from USER_1 or USER_2 |
Impedir que participantes com endereços de e-mail que terminam em
@gmail.com recebam papéis.
|
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, binding.members.exists(member, MemberSubjectEndsWith(member, ['@gmail.com']) ) )" actionType: DENY displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles |
Permitir que apenas papéis específicos sejam concedidos e apenas a principais específicos. |
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2']) && binding.members.all(member, MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP']) ) )" actionType: ALLOW displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP |
Impedir que os papéis do Cloud Storage sejam concedidos a
allUsers e allAuthenticatedUsers .
|
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameStartsWith(binding.role, ['roles/storage.']) && binding.members.exists(member, MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers']) ) )" actionType: DENY displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers |
Impeça que identidades fora da sua organização recebam papéis. |
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID']) ) )" actionType: ALLOW displayName: Only allow organization members to be granted roles |
Permitir que apenas contas de serviço recebam papéis. |
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount']) ) )" actionType: ALLOW displayName: Only allow service accounts to be granted roles |
Recursos compatíveis com o Identity and Access Management
O IAM oferece suporte ao recurso AllowPolicy
. Esse recurso tem
o atributo resources.bindings
, que é retornado para todos os métodos
que modificam a política de permissão de um recurso. Todos os métodos que modificam a
política de permissão de um recurso terminam com setIamPolicy
.
O atributo resource.bindings
tem a seguinte estrutura, em que
BINDINGS
é uma matriz de vinculações de papéis que foram modificadas
durante uma mudança para uma política de permissão:
{
"bindings": {
BINDINGS
}
}
Cada vinculação em resource.bindings
tem a seguinte estrutura, em que
ROLE
é o nome do papel na vinculação de papel e
MEMBERS
é uma lista de identificadores dos participantes que
foram adicionados ou removidos da vinculação de papel:
{
"role": "ROLE"
"members": {
MEMBERS
}
}
Para conferir os formatos que os identificadores principais podem ter, consulte Identificadores principais.
Só é possível avaliar o atributo resource.bindings
e os campos dele usando as funções compatíveis. Outros operadores e
funções, como ==
, !=
, in
, contains
, startsWith
e
endsWith
, não são compatíveis.
Funções compatíveis
Use as funções CEL a seguir para avaliar os campos role
e members
dos recursos binding
. Ao usar essas funções, você também pode usar os
operadores lógicos &&
(and
) e ||
(or
) para gravar condições de várias partes.
Função | Descrição |
---|---|
RoleNameMatches(
bool
|
Retorna
|
RoleNameStartsWith(
bool
|
Retorna
|
RoleNameEndsWith(
bool
|
Retorna
|
RoleNameContains(
bool
|
Retorna
|
MemberSubjectMatches(
bool
|
Retornará
Se o identificador de
|
MemberSubjectStartsWith(
bool
|
Retorna
Se o identificador de
|
MemberSubjectEndsWith(
bool
|
Retorna
Se o identificador de
|
MemberInPrincipalSet(
bool
|
Retorna
|
MemberTypeMatches(
bool
|
Retorna
|
Tipos principais com suporte para MemberTypeMatches
A função MemberTypeMatches
exige que você especifique qual tipo principal
o membro especificado precisa corresponder.
A tabela a seguir lista os tipos principais que podem ser inseridos e uma descrição do que o tipo principal representa. Ela também lista os identificadores principais que correspondem a cada tipo principal. Esses identificadores são os valores usados nas políticas do IAM.
Tipo principal | Descrição | Identificadores principais |
---|---|---|
iam.googleapis.com/ |
Uma Conta do Google
pessoal. Os endereços de e-mail dessas contas geralmente terminam
em gmail.com .
|
user:USER_EMAIL_ADDRESS |
iam.googleapis.com/ |
Uma conta do Google que faz parte de uma conta do Cloud Identity ou do Google Workspace. Essas contas também são chamadas de contas de usuário gerenciadas. | user:USER_EMAIL_ADDRESS |
iam.googleapis.com/ |
Um
grupo do Google criado por uma conta de consumidor do Google. Esses grupos não são
de uma conta do Cloud Identity ou do Google Workspace. Os endereços de e-mail
desses grupos geralmente terminam em googlegroups.com .
|
group:GROUP_EMAIL_ADDRESS |
iam.googleapis.com/ |
Um grupo do Google que pertence a uma conta do Cloud Identity ou do Google Workspace. | group:GROUP_EMAIL_ADDRESS |
iam.googleapis.com/ |
Uma conta do Cloud Identity ou do Google Workspace. | domain:DOMAIN |
iam.googleapis.com/ |
Um único principal em um pool de identidade de colaboradores. | principal://iam.googleapis.com/ |
iam.googleapis.com/ |
Um conjunto principal que contém um conjunto de identidades em um pool de identidade da força de trabalho. Por exemplo, um conjunto principal que contém todos os principais em um pool de identidades da força de trabalho. |
|
iam.googleapis.com/ |
Uma única identidade em um pool de identidade da carga de trabalho | principal://iam.googleapis.com/projects/ |
iam.googleapis.com/ |
Um conjunto principal que contém um conjunto de identidades em um pool de identidades de carga de trabalho. Por exemplo, um conjunto principal que contém todos os principais em um pool de identidades de carga de trabalho. |
|
iam.googleapis.com/ |
Qualquer conta de serviço. Uma conta de serviço é um tipo especial de conta que representa uma carga de trabalho em vez de um usuário humano.
No contexto da função |
serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS |
iam.googleapis.com/ |
Qualquer agente de serviço. Um agente de serviço é um tipo especial de conta de serviço que o Google Cloud cria e gerencia. Quando recebem papéis nos seus projetos, os agentes de serviço permitem que os serviços do Google Cloud realizem ações em seu nome. | serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS |
iam.googleapis.com/ |
Os principais allUsers e
allAuthenticatedUsers .
|
|
iam.googleapis.com/ |
Participantes principais definidos com base no papel concedido a eles. Esses princípios também são chamados de valores de conveniência. |
|
A seguir
- Saiba mais sobre o Serviço de política da organização.
- Saiba mais sobre como criar e gerenciar políticas da organização.
- Veja a lista completa de restrições da política da organização predefinidas.