Prueba los cambios en las políticas de la organización con Policy Simulator

Policy Simulator para la política de la organización te permite obtener una vista previa del impacto de una nueva restricción personalizada o de una política de la organización que aplique una restricción personalizada antes de que se aplique en tu entorno de producción. Policy Simulator proporciona una lista de recursos que infringen la política propuesta antes de que se aplique, lo que te permite volver a configurarlos, solicitar excepciones o cambiar el permiso de la política de la organización, todo sin interrumpir a los desarrolladores ni disminuir el entorno.

En esta página, se describe cómo probar un cambio en una política de la organización con Policy Simulator. También se explica cómo interpretar los resultados de la simulación y cómo aplicar la política de la organización probada, si así lo deseas.

Antes de comenzar

  • Si usas Google Cloud CLI, configura el proyecto que deseas usar para realizar llamadas a la API:

    gcloud config set project PROJECT_ID

    Reemplaza PROJECT_ID por el nombre o el ID del proyecto.

  • Habilita las API de Policy Simulator and Resource Manager.

    Habilita las API

  • Opcional: Obtén una introducción al Servicio de políticas de la organización.

Roles obligatorios

A fin de obtener los permisos que necesitas para ejecutar simulaciones y acceder a ellas, pídele a tu administrador que te otorgue el rol de IAM Administrador del simulador de políticas de la organización (roles/policysimulator.orgPolicyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Este rol predefinido contiene los permisos necesarios para ejecutar simulaciones y acceder a ellas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ejecutar simulaciones y acceder a ellas:

  • orgpolicy.constraints.list
  • orgpolicy.customConstraints.get
  • orgpolicy.policies.list
  • cloudasset.assets.searchAllResources
  • cloudasset.assets.listResource
  • cloudasset.assets.listOrgPolicy
  • policysimulator.orgPolicyViolationsPreviews.list
  • policysimulator.orgPolicyViolationsPreviews.get
  • policysimulator.orgPolicyViolationsPreviews.create
  • policysimulator.orgPolicyViolations.list

Es posible que también puedas obtener estos permisos con funciones personalizadas o con otras funciones predefinidas.

Prueba un cambio de política

Puedes probar un cambio en una restricción personalizada, una política de la organización que aplique una restricción personalizada o ambas al mismo tiempo.

Console

  1. En la consola de Google Cloud, ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. Selecciona el selector de proyectos en la parte superior de la página.

  3. En el selector de proyectos, selecciona el recurso para el que deseas probar los cambios en una política de la organización. Para probar los cambios en una restricción personalizada, debes seleccionar un recurso de organización.

  4. Si quieres probar una nueva restricción personalizada, haz clic en Restricción personalizada. Si deseas realizar cambios en una restricción personalizada existente, selecciónala de la lista en la página Políticas de la organización y, luego, haz clic en Editar restricción.

  5. Crea o actualiza la restricción personalizada que quieres probar.

    Por ejemplo, para definir una restricción personalizada que restrinja la creación de recursos de clústeres de Google Kubernetes Engine en los que la autorización binaria no está habilitada, haz lo siguiente:

    1. En el cuadro Tipo de recurso, selecciona container.googleapis.com/Cluster.

    2. En Método de aplicación, selecciona Aplicar al crearse.

    3. Haz clic en Editar condición.

    4. En el panel Agregar condición (Add condition), ingresa resource.binaryAuthorization.enabled == true.

    5. Haz clic en Guardar.

    6. En Acción, selecciona Permitir.

    Para obtener más información, consulta Crea y administra restricciones personalizadas.

  6. Haz clic en Probar restricción.

  7. Si se trata de una restricción nueva o una restricción que una política de la organización no aplica de manera forzosa, debes definir la política de la organización.

    1. En el cuadro Seleccionar alcance, selecciona el recurso para el que deseas probar esta restricción personalizada.

    2. Haz clic en Personalizar.

    3. Haz clic en Agregar una regla.

    4. En Aplicación, selecciona Activado y, luego, haz clic en Listo.

    5. Haz clic en Continuar.

Aparecerá la página Historial de simulación con una lista de las simulaciones que realizaste en los últimos 14 días. Consulta los resultados del simulador de políticas en esta página para obtener más información.

gcloud

  1. Para probar una restricción personalizada, crea un archivo JSON o YAML que defina la restricción personalizada que deseas probar.

    Por ejemplo, una restricción personalizada que restringe la creación de recursos del clúster de Google Kubernetes Engine en la que la autorización binaria no está habilitada es similar a la siguiente:

    name: "organizations/ORGANIZATION_ID/customConstraints/custom.EnforceGKEBinaryAuthz"
resource_types: "container.googleapis.com/Cluster"
method_types: CREATE
condition: "resource.binaryAuthorization.enabled == true"
action_type: ALLOW

    Reemplaza ORGANIZATION_ID por el ID de la organización, como 1234567890123.

    Si deseas obtener más información para crear restricciones personalizadas, consulta Crea y administra restricciones personalizadas.

  2. Para probar una política de la organización que aplique condicionalmente una restricción personalizada en función de la existencia de una etiqueta en particular, crea un archivo JSON o YAML que defina la política de la organización que deseas probar.

    Por ejemplo, la siguiente política de la organización restringe la creación de recursos de clústeres de Google Kubernetes Engine en los que la autorización binaria no está habilitada, excepto en los recursos que tienen la etiqueta env=dev adjunta.

    name: "organizations/ORGANIZATION_ID/policies/custom.EnforceGKEBinaryAuthz"
spec:
    rules:
   - condition:
       expression: resource.matchTag('env', 'dev')
     enforce: false
   - enforce: true

    Reemplaza ORGANIZATION_ID por el ID de la organización, como 1234567890123.

    Para obtener más información sobre las políticas condicionales de la organización, consulta Configura una política de la organización con etiquetas.

  3. Para probar una política de la organización que aplique una restricción personalizada, crea un archivo JSON o YAML que defina la política de la organización que deseas probar.

    Por ejemplo, una política de la organización que restringe la creación de recursos de clústeres de Google Kubernetes Engine en la que la autorización binaria no está habilitada es similar a la siguiente:

    name: "organizations/ORGANIZATION_ID/policies/custom.EnforceGKEBinaryAuthz"
spec:
    rules:
    - enforce: true

    Reemplaza ORGANIZATION_ID por el ID de la organización, como 1234567890123.

  4. Para probar la eliminación de una política de la organización que aplica una restricción personalizada, crea un archivo JSON o YAML que defina la política de la organización, pero no establezca reglas y herede la política de su recurso superior.

    Por ejemplo, la siguiente política de la organización simularía la eliminación de una restricción personalizada custom.EnforceGKEBinaryAuthz existente.

    name: "organizations/ORGANIZATION_ID/policies/custom.EnforceGKEBinaryAuthz"
spec:
      inheritFromParent: true

  5. Ejecuta el siguiente comando para simular el cambio en la restricción personalizada, la política de la organización o ambas:

    gcloud beta policy-intelligence simulate orgpolicy \
   --organization=ORGANIZATION_ID \
   --custom-constraints=CONSTRAINT_PATH \
   --policies=POLICY_PATH

Reemplaza lo siguiente:

  • ORGANIZATION_ID: el ID de la organización, como 1234567890123. No se admite la simulación de cambios en varias organizaciones.

  • CONSTRAINT_PATH: Es la ruta de acceso completa a la restricción personalizada que creaste o actualizaste. Por ejemplo, tmp/constraint.yaml Si estableces la marca --policies, no necesitas establecer la marca --custom-constraints.

  • POLICY_PATH: Es la ruta de acceso completa a la política de la organización que creaste o actualizaste. Por ejemplo, tmp/policy.yaml Si estableces la marca --custom-constraints, no necesitas establecer la marca --policies.

Después de varios minutos, el comando imprime una lista de recursos que infringirían los cambios en la restricción personalizada, la política de la organización o ambas.

Los resultados también se pueden ver en la consola de Google Cloud. Consulta los resultados del simulador de políticas en esta página para obtener información sobre cómo leer los resultados.

La siguiente es una respuesta de muestra para una simulación de políticas de la organización. Esta simulación incluye una restricción personalizada que restringe la creación de recursos de clústeres de Google Kubernetes Engine en los que la autorización binaria no está habilitada. En este caso, si se aplicara el cambio propuesto, dos recursos del clúster infringirían la política: orgpolicy-test-cluster en el proyecto simulator-test-project y autopilot-cluster-1 en el proyecto orgpolicy-test-0.

Waiting for operation [organizations/012345678901/locations/global/orgPolic
yViolationsPreviews/85be9a2d-8c49-470d-a65a-d0cb9ffa8f83/operations/1883a83
c-c448-42e5-a7c5-10a850928f06] to complete...done.
---
customConstraint:
  actionType: ALLOW
  condition: resource.binaryAuthorization.enabled == true
  methodTypes:
  - CREATE
  name: organizations/012345678901/customConstraints/custom.EnforceGKEBinaryAuthz
  resourceTypes:
  - container.googleapis.com/Cluster
name: organizations/012345678901/locations/global/orgPolicyViolationsPreviews/3dd47fd3-6df1-4156-8f10-413a3fc0ed83/orgPolicyViolations/b9fd23a5-7163-46de-9fec-7b9aa6af1113
resource:
  ancestors:
  - organizations/012345678901
  - projects/456789012345
  assetType: container.googleapis.com/Cluster
  resource: //container.googleapis.com/projects/simulator-test-project/locations/us-central1/clusters/orgpolicy-test-cluster
---
customConstraint:
  actionType: ALLOW
  condition: resource.binaryAuthorization.enabled == true
  methodTypes:
  - CREATE
  name: organizations/012345678901/customConstraints/custom.EnforceGKEBinaryAuthz
  resourceTypes:
  - container.googleapis.com/Cluster
name: organizations/012345678901/locations/global/orgPolicyViolationsPreviews/3dd47fd3-6df1-4156-8f10-413a3fc0ed83/orgPolicyViolations/e73896e6-7613-4a8d-8436-5df7a6455121
resource:
  ancestors:
  - organizations/012345678901
  - folders/789012345678
  - projects/456789012345
  assetType: container.googleapis.com/Cluster
  resource: //container.googleapis.com/projects/orgpolicy-test-0/locations/us-central1/clusters/autopilot-cluster-1

Resultados de Policy Simulator

Policy Simulator informa los resultados de un cambio en una restricción personalizada o una política de la organización como una lista de incumplimientos de la política simulada. La consola de Google Cloud almacena los resultados de las simulaciones que generaste en los últimos 14 días.

Para ver los resultados de la simulación, ve a la página Historial de simulación.

Ir al Historial de simulación

Selecciona una simulación para ver más detalles. En la página Informe de la simulación, puedes ver una vista previa de los incumplimientos, que enumera la cantidad total de incumplimientos causados por la nueva restricción personalizada o la política de la organización, la cantidad de recursos que se verificaron en el alcance de la simulación y la hora a la que se completó la simulación.

Si simulaste una restricción personalizada, puedes hacer clic en Detalles de la restricción para ver la configuración específica que se simuló. Si simulaste una política de la organización, en la pestaña Detalles de la política (Policy details), se muestra la configuración que se simuló.

Todos los incumplimientos se enumeran en la tabla de recursos. Cada recurso que infringe la nueva restricción personalizada o política de la organización se enumera con un vínculo a la entrada del recurso en Cloud Asset Inventory. Los recursos de proyecto, carpeta y organización se muestran con la suma total de recursos debajo de ellos en la jerarquía que infringe la nueva restricción personalizada o la política de la organización.

Aplica un cambio de política probado

Después de probar la restricción personalizada, la política de la organización o ambas, puedes configurar la restricción personalizada y aplicar la política de la organización. Puedes ver todos los resultados de Policy Simulator en la consola de Google Cloud, sin importar cómo se generaron. Si tu informe de simulación incluye cambios en no más de una política de la organización, puedes aplicarla directamente a través de los resultados de la simulación. Para aplicar cambios de prueba en varias políticas de la organización, usa Google Cloud CLI.

Console

  1. Para aplicar los resultados de Policy Simulator de una restricción personalizada, ve a la página Historial de simulación.

    Ir al Historial de simulación

  2. Selecciona el informe de simulación para la restricción personalizada o la política de la organización que deseas aplicar.

  3. Si este informe de simulación incluye una restricción personalizada, haz clic en Guardar restricción.

  4. Si este informe de simulación incluye cambios en no más de una política de la organización, puedes aplicarla como una política de ejecución de prueba para supervisar el comportamiento en producción sin introducir riesgos seleccionando Establecer política de ejecución de prueba. Aparecerá la página Detalles de la política de la nueva página de políticas de la organización.

    Puedes aplicar la política de la organización de inmediato si haces clic en y, luego, seleccionas Establecer política.

gcloud

  1. Si quieres aplicar una restricción personalizada, debes configurarla para que esté disponible para las políticas de la organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint:

    gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    Reemplaza CONSTRAINT_PATH por la ruta de acceso completa al archivo de restricción personalizado. Por ejemplo, /home/user/customconstraint.yaml

    Después de que se complete este proceso, la restricción personalizada estará disponible en la lista de políticas de la organización de Google Cloud.

  2. Para aplicar una política de la organización que contiene una restricción personalizada, usa el comando gcloud org-policies set-policy:

    gcloud org-policies set-policy POLICY_PATH

    Reemplaza POLICY_PATH por la ruta de acceso completa al archivo YAML de la política de la organización.

    La política tarda hasta 15 minutos en aplicarse.

Guarda los resultados de la simulación

Console

Si usas la consola de Google Cloud, puedes guardar los resultados de Policy Simulator como un archivo CSV.

  1. Para guardar los resultados de Policy Simulator, ve a la página Historial de simulación.

    Ir al Historial de simulación

  2. Selecciona el informe de simulación que deseas guardar.

  3. Haz clic en Exportar resultados completos.

gcloud

Si usas gcloud CLI, puedes guardar los resultados de Policy Simulator como archivos JSON o YAML.

De forma predeterminada, los resultados de las pruebas en Google Cloud CLI se muestran en formato YAML. Para guardar un resultado de prueba como un archivo YAML, redirecciona el resultado del comando simulate orgpolicy cuando ejecutes la simulación:

> FILENAME

Reemplaza FILENAME por un nombre para el archivo de salida.

Para guardar un resultado de prueba como un archivo JSON, agrega la siguiente marca al comando simulate orgpolicy cuando ejecutes la simulación:

--format=json > FILENAME

Reemplaza FILENAME por un nombre para el archivo de salida.

¿Qué sigue?