Como criar e gerenciar restrições personalizadas

A política da organização do Google Cloud oferece controle centralizado e programático sobre os recursos da sua organização. Como administrador de políticas da organização, é possível definir uma política da organização, que é um conjunto de restrições chamado restrições que se aplicam aos recursos do Google Cloud e aos descendentes desses recursos na hierarquia de recursos do Google Cloud. É possível aplicar políticas da organização no nível da organização, da pasta ou para envolvidos no projeto.

A política da organização fornece restrições predefinidas para vários serviços do Google Cloud. No entanto, se você quiser maior controle das políticas da organização, crie restrições personalizadas e use-as nas políticas da organização.

Nesta página, descrevemos como visualizar, criar e gerenciar restrições de políticas personalizadas da organização. As restrições personalizadas são criadas por administradores para fornecer controle mais granular e personalizável sobre os campos específicos restritos pelas políticas da organização.

Antes de começar

Para mais informações sobre o que são políticas e restrições da organização e como elas funcionam, consulte a Introdução ao serviço de políticas da organização.

Funções exigidas

Para receber as permissões necessárias a fim de gerenciar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém as permissões necessárias para gerenciar as políticas da organização. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para gerenciar as políticas da organização:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Também é possível conseguir essas permissões com papéis personalizados ou outros papéis predefinidos.

Restrições personalizadas

Uma restrição personalizada é criada em um arquivo YAML que especifica os recursos, métodos, condições e ações sujeitos à restrição. Eles são específicos do serviço em que você está aplicando a política da organização. As condições para sua restrição personalizada são definidas usando a Common Expression Language (CEL).

Configurar uma restrição personalizada

É possível criar uma restrição personalizada e configurá-la para uso nas políticas da organização usando o console do Google Cloud ou a Google Cloud CLI.

Console

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Selecione o Seletor de projetos na parte superior da página.

  3. No Seletor de projetos, selecione o recurso em que você quer definir a política da organização.

  4. Clique em Restrição personalizada.

  5. Na caixa Nome de exibição, insira um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres. Não use PII ou dados confidenciais em nomes de restrições, porque eles podem ser expostos em mensagens de erro.

  6. Na caixa ID da restrição, insira o nome que você quer para a nova restrição personalizada. Por exemplo, custom.disableGkeAutoUpgrade. O tamanho máximo desse campo é de 70 caracteres, sem contar o prefixo (por exemplo, organizations/123456789/customConstraints/custom.).

  7. Na caixa Descrição, insira uma descrição legível a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2000 caracteres.

  8. Na caixa Resource type, selecione o nome do recurso REST do Google Cloud que contém o objeto e o campo que você quer restringir, por exemplo, container.googleapis.com/NodePool. Há um máximo de 20 restrições personalizadas por tipo de recurso. Se você tentar criar uma restrição personalizada para um tipo de recurso que já tenha 20 restrições personalizadas, a operação falhará.

  9. Em Método de aplicação, selecione se você quer aplicar a restrição em um método REST CREATE ou CREATE e UPDATE. Nem todos os serviços do Google Cloud aceitam os dois métodos. Para ver os métodos compatíveis com cada serviço, encontre o serviço em Serviços compatíveis.

  10. Para definir uma condição, clique em Editar condição.

    1. No painel Adicionar condição, crie uma condição de CEL que se refira a um recurso de serviço compatível, por exemplo, resource.management.autoUpgrade == false. Esse campo tem um comprimento máximo de 1.000 caracteres. Para detalhes sobre o uso da CEL, consulte a Common Expression Language. Para ver mais informações sobre os recursos de serviço que podem ser usados nas restrições personalizadas, consulte Serviços compatíveis com restrições personalizadas.

    2. Clique em Save.

  11. Em Ação, selecione se você quer permitir ou negar o método avaliado quando a condição acima é atendida.

  12. Clique em Criar restrição.

Quando você insere um valor em cada campo, a configuração YAML equivalente para essa restrição personalizada é exibida à direita.

gcloud

Para criar uma restrição personalizada usando a Google Cloud CLI, crie um arquivo YAML para essa restrição:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Substitua:

  • ORGANIZATION_ID: o ID da organização, como 123456789.

  • CONSTRAINT_NAME: o nome da sua nova restrição personalizada. Por exemplo, custom.disableGkeAutoUpgrade. O comprimento máximo desse campo é de 70 caracteres, sem contar o prefixo (por exemplo, organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: o nome totalmente qualificado do recurso REST do Google Cloud que contém o objeto e o campo que você quer restringir. Por exemplo, container.googleapis.com/NodePool. Há um máximo de 20 restrições personalizadas por tipo de recurso. Se você tentar criar uma restrição personalizada para um tipo de recurso que já tenha 20 restrições personalizadas, a operação falhará. Para mais informações sobre os recursos de serviço que podem ser usados nas restrições personalizadas, consulte Serviços compatíveis com restrições personalizadas.

  • METHOD1,METHOD2: uma lista de métodos RESTful para aplicar a restrição. Pode ser CREATE ou CREATE e UPDATE. Nem todos os serviços do Google Cloud aceitam os dois métodos. Para ver os métodos compatíveis com cada serviço, encontre o serviço em Serviços compatíveis.

  • CONDITION: uma condição CEL que se refere a um recurso de serviço com suporte, por exemplo, "resource.management.autoUpgrade == false". Esse campo tem um comprimento máximo de 1.000 caracteres. Para detalhes sobre o uso da CEL, consulte a Common Expression Language.

  • ACTION: a ação a ser realizada se o condition for atendido. Pode ser ALLOW ou DENY.

  • DISPLAY_NAME: um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres.

  • DESCRIPTION: uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2.000 caracteres.

Depois de criar uma nova restrição personalizada usando a Google Cloud CLI, configure-a para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comando gcloud org-policies set-custom-constraint: 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Substitua CONSTRAINT_PATH pelo caminho completo do arquivo da restrição personalizada. Por exemplo, /home/user/customconstraint.yaml. Após a conclusão, você verá as restrições personalizadas como disponíveis na lista de políticas da organização do Google Cloud. Para verificar se a restrição personalizada existe, use o comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID do recurso da organização. Para mais informações, consulte Como visualizar políticas da organização.

Atualizar uma restrição personalizada

É possível atualizar uma restrição personalizada editando-a no console do Google Cloud ou criando um novo arquivo YAML e usando o comando set-custom-constraint da CLI gcloud novamente. Não há controle de versões para restrições personalizadas. Portanto, isso substitui a restrição personalizada atual. Se a restrição personalizada já tiver sido aplicada, a atualização da restrição personalizada entrará em vigor imediatamente.

Console

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Selecione o Seletor de projetos na parte superior da página.

  3. No Seletor de projetos, selecione o recurso que você quer atualizar a política da organização.

  4. Selecione a restrição que você quer editar na lista da página Políticas da organização. A página Detalhes da política dessa restrição vai aparecer.

  5. Clique em Editar restrição.

  6. Faça alterações no nome de exibição, na descrição, no método de aplicação, na condição e na ação. Não é possível alterar o ID da restrição ou o tipo de recurso depois que a restrição é criada.

  7. Clique em Salvar alterações.

gcloud

Para editar uma restrição personalizada atual usando a Google Cloud CLI, crie um novo arquivo YAML com as alterações que você quer fazer:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Substitua:

  • ORGANIZATION_ID: o ID da organização, como 123456789.

  • CONSTRAINT_NAME: o nome da sua nova restrição personalizada. Por exemplo, custom.disableGkeAutoUpgrade. O comprimento máximo desse campo é de 70 caracteres, sem contar o prefixo (por exemplo, organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: o nome totalmente qualificado do recurso REST do Google Cloud que contém o objeto e o campo que você quer restringir. Por exemplo, container.googleapis.com/NodePool. Para ver mais informações sobre os recursos de serviço que podem ser usados nas restrições personalizadas, consulte Serviços compatíveis com restrições personalizadas.

  • METHOD1,METHOD2: uma lista de métodos RESTful para aplicar a restrição. Pode ser CREATE ou CREATE e UPDATE. Nem todos os serviços do Google Cloud aceitam os dois métodos. Para ver os métodos compatíveis com cada serviço, encontre o serviço em Serviços compatíveis.

  • CONDITION: uma condição CEL que se refere a um recurso de serviço com suporte, por exemplo, "resource.management.autoUpgrade == false". Esse campo tem um comprimento máximo de 1.000 caracteres. Para detalhes sobre o uso da CEL, consulte a Common Expression Language.

  • ACTION: a ação a ser realizada se o condition for atendido. Pode ser ALLOW ou DENY.

  • DISPLAY_NAME: um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres.

  • DESCRIPTION: uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada. Esse campo tem um comprimento máximo de 2.000 caracteres.

Depois de criar uma nova restrição personalizada usando a Google Cloud CLI, configure-a para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comando gcloud org-policies set-custom-constraint: 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Substitua CONSTRAINT_PATH pelo caminho completo do arquivo da restrição personalizada. Por exemplo, /home/user/customconstraint.yaml. Após a conclusão, você verá as restrições personalizadas como disponíveis na lista de políticas da organização do Google Cloud. Para verificar se a restrição personalizada existe, use o comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID do recurso da organização. Para mais informações, consulte Como visualizar políticas da organização.

Excluir uma restrição personalizada

É possível excluir uma restrição personalizada usando o console do Google Cloud ou a Google Cloud CLI.

Console

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Selecione o Seletor de projetos na parte superior da página.

  3. No Seletor de projetos, selecione o recurso que contém a política da organização que você quer excluir.

  4. Selecione a restrição que você quer excluir da lista na página Políticas da organização. A página Detalhes da política dessa restrição vai aparecer.

  5. Clique em Excluir.

  6. Para confirmar que você quer excluir a restrição, clique em Excluir.

gcloud

Para excluir uma restrição personalizada, use o comando org-policies delete-custom-constraint da CLI gcloud:

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Substitua:

  • ORGANIZATION_ID: o ID da organização, como 123456789.

  • CONSTRAINT_NAME: o nome da restrição personalizada. Por exemplo, custom.disableGkeAutoUpgrade.

O resultado será assim:

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Se você excluir uma restrição personalizada, todas as políticas criadas com essa restrição continuarão existindo, mas serão ignoradas. Não é possível criar outra restrição personalizada com o mesmo nome de uma restrição personalizada excluída.

Aplicar uma restrição personalizada

Depois que uma restrição personalizada é configurada, ela opera de maneira idêntica às restrições booleanas predefinidas. O Google Cloud verifica as restrições personalizadas primeiro ao avaliar se uma solicitação do usuário é permitida. Se alguma das restrições personalizadas negar a solicitação, ela será rejeitada. Em seguida, o Google Cloud verifica as restrições predefinidas aplicadas a esse recurso.

Para aplicar uma restrição booleana, crie uma política da organização com referência a ela e aplique essa política da organização a um recurso do Google Cloud.

Console

Para aplicar uma restrição booleana:

  1. Abra a página Políticas da organização no console do Google Cloud.

    Abrir a página "Políticas da organização"

  2. Selecione o Seletor de projetos na parte superior da página.
  3. No Seletor de projetos, selecione o projeto em que você quer definir a política da organização.
  4. Selecione a restrição na lista da página Políticas da organização. A página Detalhes da política dessa restrição será exibida.
  5. Para personalizar a política da organização nesse recurso, clique em Gerenciar política.
  6. Na página Editar política, selecione Personalizar.
  7. Clique em Adicionar regra.
  8. Em Aplicação, selecione se a aplicação dessa política da organização precisa ser ativada ou desativada.
  9. Para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional. Caso contrário, não será possível salvar a política. Para mais detalhes, consulte Como definir uma política da organização com tags.
  10. Para finalizar e aplicar a política da organização, clique em Salvar. A política levará até 15 minutos para entrar em vigor.

gcloud

Para criar uma política da organização que aplica uma restrição booleana, crie um arquivo YAML da política com referência à restrição: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Substitua:

  • PROJECT_ID: o projeto em que você quer aplicar a restrição.
  • CONSTRAINT_NAME: o nome definido para a restrição personalizada. Por exemplo, custom.disableGkeAutoUpgrade.

Para aplicar a política da organização que contém a restrição, execute o seguinte comando: 

    gcloud org-policies set-policy POLICY_PATH

Substitua POLICY_PATH pelo caminho completo do arquivo YAML da política da organização. A política levará até 15 minutos para entrar em vigor.

Criar uma política da organização de simulação

Uma política da organização de simulação é um tipo de política em que as violações da política são registradas em auditoria, mas as ações com violações não são negadas. É possível criar uma política da organização de simulação com base em uma restrição personalizada usando o console do Google Cloud ou a Google Cloud CLI. Para instruções detalhadas, consulte Criar uma política da organização de simulação.

Restrição de exemplo

Você pode definir restrições personalizadas semelhantes às restrições predefinidas fornecidas pelo Google. Um arquivo YAML de restrição personalizada típico é semelhante a este:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

O serviço de políticas da organização usa a Common Expression Language (CEL) para avaliar as condições de restrições personalizadas. A CEL é uma linguagem completa de código aberto não turista que implementa semântica comum para avaliação de expressões.

Cada serviço compatível com restrições personalizadas disponibiliza um conjunto específico dos recursos e os campos desses recursos. Os campos disponíveis são fortemente tipados e podem ser referenciados diretamente por restrições personalizadas.

É possível criar condições de CEL que se referem a campos de recursos de serviço com base no tipo de campo. O serviço de políticas da organização oferece suporte a um subconjunto de tipos de dados, expressões e macros CEL. As seções abaixo listam os tipos de dados disponíveis e expressões e macros comuns que funcionam com eles.

Para mais detalhes sobre quais expressões e macros estão disponíveis para cada serviço, consulte Serviços com suporte a restrições personalizadas.

O exemplo de JSON abaixo mostra cada um dos possíveis tipos de campo que podem ser referenciados usando restrições personalizadas:

{
  integerValue: 1
  stringValue: "A text string"
  booleanValue: true
  nestedValue: {
    nestedStringValue: "Another text string"
  }
  listValue: [foo, bar]
  mapValue["costCenter"] == "123"
}

Para cada expressão CEL, a restrição personalizada é aplicada quando a condição é avaliada como true. É possível combinar expressões com e (&&) e ou (||) para criar uma consulta complexa. Ao criar o arquivo YAML ou JSON para sua restrição personalizada, coloque a consulta completa entre aspas duplas (").

Inteiro

Campos com números inteiros, como integerValue no exemplo acima, permitem que operadores de comparação sejam usados nas condições. Exemplo:

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

String

Os campos de string, como stringValue no exemplo acima, podem ser avaliados usando um literal de string, uma expressão regular ou uma expressão CEL. Exemplo:

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

Campos aninhados, como nestedStringValue no exemplo acima, precisam ser referenciados com o caminho completo. Exemplo:

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

Lista

Os campos de lista, como listValue no exemplo acima, podem ser avaliados pelo tamanho e conteúdo da lista e pela existência de um elemento específico em algum lugar nela.

Exemplo:

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

Mapa

Os campos de mapa, como mapValue no exemplo acima, são pares de chave-valor que podem ser avaliados com base na existência e no valor de elementos específicos.

Exemplo:

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

Como solucionar problemas de CEL

Uma condição criada com expressões inválidas ou incompatibilidades de tipos retorna um erro quando você tenta configurar a restrição personalizada. Por exemplo, considerando a seguinte restrição personalizada inválida, que compara uma string com um número inteiro:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Um erro será produzido se você tentar configurar essa restrição usando a Google Cloud CLI:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

No console do Google Cloud, os erros de sintaxe CEL inválidos serão sinalizados com um ícone Erro. Destacar esse ícone mostra uma dica com mais informações sobre o erro de sintaxe.

O serviço de políticas da organização compila e valida as condições criadas por você, retornando um erro se a condição não estiver sintaticamente correta. No entanto, há certas condições que são compiladas, mas resultam em um erro quando o Google Cloud tenta aplicar as restrições. Por exemplo, se você configurar uma restrição com uma condição que tenta acessar um índice de lista ou chave de mapa que não existe, a restrição vai falhar e retornar um erro no momento da aplicação e bloquear qualquer tentativa de criar o recurso.

Ao criar condições que dependem de elementos de lista ou mapa, recomendamos iniciar a condição com uma verificação que garanta que ela seja válida em todos os casos. Por exemplo, verifique list.size() antes de referenciar um elemento de lista específico ou use has() antes de fazer referência a um elemento do mapa.

Serviços compatíveis

Cada serviço define o conjunto de campos de restrição personalizados que podem ser usados para aplicar políticas da organização aos recursos de serviço. Para ver uma lista de serviços que aceitam restrições personalizadas, consulte Serviços compatíveis com restrições personalizadas.

Para mais informações sobre como configurar um verificador de políticas da organização, consulte Descobertas de vulnerabilidades da política da organização.

A seguir