Usar políticas personalizadas da organização

A política da organização do Google Cloud oferece controle centralizado e programático sobre os recursos da sua organização. Como administrador de políticas da organização, é possível definir uma política da organização, que é um conjunto de limites chamado restrições que se aplicam aos recursos do Google Cloud e aos descendentes desses recursos na Hierarquia de recursos do Google Cloud. É possível aplicar políticas da organização no nível da organização, da pasta ou para envolvidos no projeto.

A política da organização fornece restrições predefinidas para vários serviços do Google Cloud. No entanto, se você quiser um controle mais granular e personalizável sobre os campos específicos restritos nas suas políticas da organização, crie também políticas da organização personalizadas.

Benefícios

É possível usar políticas da organização personalizadas que se referem a atributos do IAM para controlar como as políticas de permissão podem ser modificadas. Especificamente, é possível controlar o seguinte:

  • Quem pode receber funções
  • Quem pode ter as funções revogadas
  • Quais funções podem ser concedidas
  • Quais funções podem ser revogadas

Por exemplo, é possível impedir que papéis que contêm a palavra admin sejam concedidos a principais com um endereço de e-mail que termina em @gmail.com.

Herança de políticas

Por padrão, as políticas da organização são herdadas pelos descendentes dos recursos em que a política é aplicada. Por exemplo, se você aplicar uma política em uma pasta, o Google Cloud aplicará a política a todos os projetos da pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação de hierarquia.

Preços

O Organization Policy Service, incluindo políticas predefinidas e personalizadas, é oferecido sem custos financeiros.

Limitações

As políticas da organização personalizadas no modo de teste que se referem a atributos do IAM têm algumas limitações. Especificamente, os registros de auditoria para violações que envolvem o método setiamPolicy podem não ter os seguintes campos:

  • resourceName
  • serviceName
  • methodName

Antes de começar

  • Certifique-se de conhecer o ID da organização.

  • Se você quiser testar políticas da organização personalizadas que se referem a recursos do IAM, crie um novo projeto. Testar essas políticas da organização em um projeto atual pode interromper os fluxos de trabalho de segurança.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

Funções exigidas

Para conseguir as permissões necessárias para gerenciar as políticas da organização, peça ao administrador para conceder a você os papéis do IAM a seguir:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para gerenciar políticas da organizações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para gerenciar as políticas da organização:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set
  • resourcemanager.projects.setIamPolicy

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Criar uma restrição personalizada

Uma restrição personalizada é definida em um arquivo YAML pelos recursos, métodos, condições e ações compatíveis com o serviço em que você está aplicando a política da organização. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL). Para mais informações sobre como criar condições em restrições personalizadas usando a CEL, consulte a seção CEL de Como criar e gerenciar restrições personalizadas.

Para criar um arquivo YAML para uma restrição personalizada:

name: organizations/ORG_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  METHOD_TYPE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Substitua:

  • ORG_ID: o ID da organização, como 123456789.

  • CONSTRAINT_NAME: o nome da sua nova restrição personalizada. Uma restrição personalizada precisa começar com custom. e só pode incluir letras maiúsculas, minúsculas ou números, por exemplo, custom.denyProjectIAMAdmin. O tamanho máximo desse campo é de 70 caracteres, sem contar o prefixo (por exemplo, organizations/123456789/customConstraints/custom).

  • METHOD_TYPE: o tipo de ação que você quer que a restrição seja aplicada. Se você quiser que a restrição seja aplicada quando alguém tentar conceder um papel a um principal, use os seguintes valores:

    - CREATE
- UPDATE

    Se você quiser que a restrição seja aplicada quando alguém tentar revogar a função de um principal, use este valor:

    - REMOVE_GRANT

  • CONDITION: uma condição de CEL gravada em uma representação de um recurso de serviço compatível. Esse campo tem um comprimento máximo de 1000 caracteres. Consulte Atributos compatíveis para mais informações sobre os atributos disponíveis para gravar as condições. Por exemplo, resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin'])).

  • ACTION: a ação a ser realizada se o condition for atendido. Pode ser ALLOW ou DENY.

  • DISPLAY_NAME: um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres.

  • DESCRIPTION: opcional. Uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2000 caracteres.

Para mais informações sobre como criar uma restrição personalizada, consulte Como definir restrições personalizadas.

Configurar uma restrição personalizada

Depois de criar uma nova restrição personalizada usando a CLI do Google Cloud, configure-a para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Substitua CONSTRAINT_PATH pelo caminho completo do arquivo da restrição personalizada. Por exemplo, /home/user/customconstraint.yaml. Após a conclusão, as restrições personalizadas vão estar disponíveis na sua lista de políticas da organização do Google Cloud. Para verificar se a restrição personalizada existe, use o comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Substitua ORGANIZATION_ID pelo ID do recurso da organização. Para mais informações, consulte Como visualizar as políticas da organização.

Aplicar uma política da organização personalizada

Para aplicar uma restrição booleana, crie uma política da organização com referência a ela e aplique essa política da organização a um recurso do Google Cloud.

Console

Para aplicar uma restrição booleana:

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Selecione o seletor de projetos na parte superior da página.
  3. No seletor de projetos, selecione o projeto em que você quer definir a política da organização.
  4. Selecione a restrição na lista da página Políticas da organização. A página Detalhes da política dessa restrição será exibida.
  5. Para personalizar a política da organização nesse recurso, clique em Gerenciar política.
  6. Na página Editar política, selecione Substituir a política do editor principal.
  7. Clique em Adicionar uma regra.
  8. Em Aplicação, selecione se a aplicação dessa política da organização precisa ser ativada ou desativada.
  9. Para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais detalhes, consulte Como definir uma política da organização com tags.
  10. Se essa for uma restrição personalizada, clique em Testar alterações para simular o efeito da política da organização. Para mais informações, consulte Testar alterações na política da organização com o Simulador de política.
  11. Para concluir e aplicar a política da organização, clique em Definir política. A política levará até 15 minutos para entrar em vigor.

gcloud

Para criar uma política da organização que aplica uma restrição booleana, crie um arquivo YAML da política com referência à restrição: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Substitua:

  • PROJECT_ID: o projeto em que você quer aplicar a restrição.
  • CONSTRAINT_NAME: o nome definido para a restrição personalizada. Por exemplo, custom.denyProjectIAMAdmin.

Para aplicar a política da organização que contém a restrição, execute o seguinte comando: 

    gcloud org-policies set-policy POLICY_PATH

Substitua POLICY_PATH pelo caminho completo do arquivo YAML da política da organização. A política levará até 15 minutos para entrar em vigor.

Testar a política personalizada da organização

Opcionalmente, defina a política da organização ao configurar a política e tente realizar uma ação que ela precisa impedir.

Esta seção descreve como testar a seguinte restrição da política da organização:

name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

Se você quiser testar essa restrição personalizada, faça o seguinte:

  • Copie a restrição para um arquivo YAML e substitua os seguintes valores:

    • ORG_ID: o número do ID da sua organização do Google Cloud.
    • MEMBER_EMAIL_ADDRESS: o endereço de e-mail do principal que você quer usar para testar a restrição personalizada. Enquanto a restrição estiver ativa, esse principal não poderá receber o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto em que você aplicou a restrição.

  • Configure a restrição personalizada e aplique ao projeto que você criou para testar a restrição da política da organização personalizada.

  • Tente conceder o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) ao principal cujo endereço de e-mail você incluiu na restrição personalizada. Antes de executar o comando, substitua os seguintes valores:

    • PROJECT_ID: o ID do projeto do Google Cloud em que você aplicou a restrição.
    • EMAIL_ADDRESS: o endereço de e-mail do principal especificado ao criar a restrição de política da organização.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

A saída é esta:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

Atributos compatíveis com o Identity and Access Management

O IAM oferece suporte ao atributo resources.bindings. Esse atributo é retornado para todos os métodos que modificam a política de permissão de um recurso. Todos esses métodos terminam com setIamPolicy.

O atributo resource.bindings tem a seguinte estrutura, em que BINDINGS é uma matriz de vinculações de papéis que foram modificadas durante uma mudança para uma política de permissão:

{
  "bindings": {
    BINDINGS
  }
}

Cada vinculação em resource.bindings tem a seguinte estrutura, em que ROLE é o nome do papel na vinculação de papel e MEMBERS é uma lista de identificadores dos participantes que foram adicionados ou removidos da vinculação de papel:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

Para conferir os formatos que os identificadores principais podem ter, consulte Identificadores principais.

Só é possível avaliar o atributo resource.bindings e os campos dele usando as funções compatíveis. Outros operadores e funções, como ==, !=, in, contains, startsWith e endsWith, não são compatíveis.

Funções compatíveis

Use as funções CEL a seguir para avaliar os campos role e members dos recursos binding. Ao usar essas funções, você também pode usar os operadores lógicos && (and) e || (or) para gravar condições de várias partes.

Função Descrição
RoleNameMatches(
  role,
  roleNames: list
)   bool

Retorna true se o papel role corresponder totalmente a no mínimo um dos papéis listados em roleNames.

Parâmetros
role: o papel a ser avaliado.
roleNames: uma lista de nomes de papéis a serem comparados.
Exemplo

Retorna true se o role no binding especificado for roles/storage.admin ou roles/compute.admin: 

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)   bool

Retorna true se o papel role começar com pelo menos uma das strings listadas em rolePrefixes.

Parâmetros
role: o papel a ser avaliado.
rolePrefixes: uma lista de strings para corresponder ao início da função.
Exemplo

Retornará true se o role no binding especificado começar com roles/storage: 

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)   bool

Retorna true se a função role terminar com pelo menos uma das strings listadas em roleSuffixes.

Parâmetros
role: o papel a ser avaliado.
roleSuffixes: uma lista de strings para corresponder ao final do papel.
Exemplo

Retorna true se o role no binding especificado terminar com .admin: 

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)   bool

Retorna true se o papel role contiver no mínimo uma das strings listadas em roleSubstrings.

Parâmetros
role: o papel a ser avaliado.
roleSubstrings: uma lista de strings para corresponder a qualquer parte do papel.
Exemplo

Retorna true se o role no binding especificado contiver a string admin: 

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)   bool

Retornará true se o membro member corresponder totalmente a no mínimo um dos membros listados em memberNames.

Se o identificador de member for um endereço de e-mail, essa função avaliará apenas esse endereço de e-mail, sem avaliar nenhum alias para ele.

Parâmetros
member: o membro a ser avaliado.
memberNames: uma lista de nomes de membros para correspondência.
Exemplo

Retorna true se o membro member for rosario@example.com: 

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)   bool

Retorna true se o membro member terminar com pelo menos uma das strings listadas em memberSuffixes.

Se o identificador de member for um endereço de e-mail, essa função avaliará apenas esse endereço de e-mail, sem avaliar nenhum alias para ele.

Parâmetros
member: o membro a ser avaliado.
memberSuffixes: uma lista de strings para corresponder ao final do nome do membro.
Exemplo

Retorna true se o membro member terminar com @example.com: 

MemberSubjectEndsWith(member, ['@example.com'])

Exemplos de políticas personalizadas da organização para casos de uso comuns

A tabela a seguir mostra a sintaxe de algumas políticas da organização personalizadas que podem ser úteis:

Os exemplos a seguir usam as macros all e exists do CEL. Para mais informações sobre essas macros, consulte Macros.

Descrição Sintaxe de restrição
Bloquear a capacidade de conceder uma função específica. 
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
Permitir apenas a concessão de funções específicas. 
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
Impedir que papéis que começam com roles/storage. sejam concedidos. 
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
Impedir que os papéis com admin no nome sejam revogados. 
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
Permitir que apenas principais específicos recebam papéis. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
Impedir que papéis sejam revogados de principais específicos. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
Impedir que participantes com endereços de e-mail que terminam em @gmail.com recebam papéis. 
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
Permitir que apenas papéis específicos sejam concedidos e apenas a principais específicos. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
Impedir que os papéis do Cloud Storage sejam concedidos a allUsers e allAuthenticatedUsers. 
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers

A seguir