Limiter les emplacements de ressources

Présentation

Ce guide explique comment définir une règle d'administration incluant la contrainte d'emplacement des ressources.

Vous pouvez limiter l'emplacement physique d'une nouvelle ressource à l'aide de la contrainte d'emplacement des ressources du service de règles d'administration. Vous pouvez utiliser la propriété "location" d'une ressource pour identifier où celle-ci est déployée et gérée par le service. Pour les ressources contenant des données de certains services Google Cloud, cette propriété indique également l'emplacement où les données sont stockées. Cette contrainte vous permet de définir les emplacements Google Cloud autorisés dans lesquels les ressources des services compatibles de votre hiérarchie peuvent être créées.

Une fois que vous avez défini les emplacements des ressources, cette limitation ne s'applique qu'aux ressources nouvellement créées. Les ressources que vous avez créées avant de définir la contrainte d'emplacement des ressources continueront d'exister et d'exécuter leur fonction.

Les règles qui incluent cette contrainte ne seront pas appliquées à la création de sous-ressources pour certains services, tels que Cloud Storage et Dataproc.

Limites

La contrainte d'emplacement des ressources du service de règles d'administration contrôle la possibilité de créer des ressources pour lesquelles un emplacement peut être sélectionné. Cette contrainte n'affecte pas l'emplacement de création des ressources globales, telles que les adresses globales Compute Engine ou les ressources qui ne permettent pas de sélectionner un emplacement.

Pour éviter de perturber l'infrastructure de diffusion existante, vous devez tester toute nouvelle sur les projets et dossiers hors production, puis l'appliquer progressivement au sein de votre organisation.

Pour en savoir plus sur les engagements relatifs au stockage de données, consultez les Conditions d'utilisation de Google Cloud Platform et les Conditions spécifiques au service. Les règles d'administration contenant la contrainte d'emplacement des ressources ne constituent pas des engagements de stockage de données.

Cette contrainte s'applique à un sous-ensemble spécifique de types de ressources et de produits. Pour obtenir la liste des services compatibles et des détails sur le comportement de chaque service, consultez la page Services compatibles avec les emplacements de ressources.

Types d'emplacement

Vous pouvez déployer des ressources Google Cloud dans des types d'emplacement qui représentent différentes catégories de taille. Le plus grand type d'emplacement est le multi-region, qui inclut plusieurs éléments region. Chaque élément region se subdivise en zones. Pour en savoir plus sur les régions et les zones, consultez la page Présentation des régions et des zones.

• Les emplacements Multi-region sont protégés par des ressources physiques dans plusieurs éléments region et ne sont généralement utilisés que par les ressources de stockage. Exemple : us, asia, europe et global.

• Les emplacements Region sont géographiquement isolés les uns des autres. Quelques exemples incluent us-west1 (Oregon), asia-northeast1 (Tokyo) et europe-west1 (Belgique).

• Les emplacements Zone constituent le type d'emplacement le plus précis et isolé qui est utilisé pour le déploiement de ressources. Une zone est un domaine de défaillance indépendant au sein d'une région (region). Exemples : us-east1-b, us-west1-b et asia-northeast1-a.

Lors de la configuration des emplacements, vous devez utiliser le préfixe in: ainsi qu'un groupe de valeurs. Utiliser un groupe de valeurs sélectionné par Google Cloud vous permet de choisir une ou plusieurs zones géographiques, sans avoir à spécifier des zones actuelles ou les futurs emplacements cloud.

Le préfixe in: d'un groupe de valeurs spécifie que toutes les valeurs qui existent dans le groupe de valeurs sont considérées comme faisant partie de la règle. Si vous saisissez une valeur de groupe ou une région Google Cloud sans le préfixe, le préfixe in: est automatiquement ajouté selon les règles ci-dessous :

• Si vous saisissez un emplacement qui utilise le préfixe in: et qui contient un groupe non valide, le changement de stratégie échoue.
• Si vous saisissez un emplacement qui est une région, tel que us-east1, le préfixe in: est ajouté (à in:us-east1-locations dans cet exemple).
• Si vous saisissez une région ou un groupe de valeurs multirégional tel que us-locations, le préfixe in: est ajouté (à in:us-locations dans cet exemple).
• Si vous saisissez une zone ou un emplacement multirégional tel que us-east1-b ou us, les valeurs ne sont pas modifiées.

Définir la règle d'administration

La contrainte d'emplacement de ressources est un type de contrainte de liste. Vous pouvez ajouter et supprimer des emplacements dans les listes allowed_values ou denied_values d'une contrainte d'emplacement de ressources. Pour éviter que les règles d'administration ne restreignent le comportement des services de façon inattendue, utilisez un groupe de valeurs ou une liste d'éléments allowed_values représentant la limite géographique que vous souhaitez définir.

Pour définir une règle d'administration incluant une contrainte d'emplacement de ressource, procédez comme suit :

name: organizations/ORGANIZATION_ID/policies/gcp.resourceLocations
spec:
  rules:
  - values:
      deniedValues:
      - in:us-east1-locations
      - in:northamerica-northeast1-locations

gcloud org-policies set-policy POLICY_PATH

name: organizations/01234567890/policies/gcp.resourceLocations
spec:
  rules:
  - values:
      allowedValues:
      - in:us-east1-locations
      - in:northamerica-northeast1-locations

curl -X POST -H "Content-Type: application/json" -H "Authorization: \
Bearer ${bearer_token}" -d '{policy: {etag: "BwVtXec438Y=", constraint: \
"constraints/gcp.resourceLocations", list_policy: {denied_values: \
["in:europe-locations", "in:southamerica-locations"] }}}' \
https://cloudresourcemanager.googleapis.com/v1/organizations/123456789:setOrgPolicy

name: organizations/01234567890/policies/gcp.resourceLocations
spec:
  rules:
  - values:
      deniedValues:
      - in:europe-locations
      - in:southamerica-locations

Pour en savoir plus sur l'utilisation de contraintes dans les règles d'administration, consultez la page Utiliser des contraintes.

Utiliser l'héritage dans la règle d'administration

Vous pouvez affiner votre règle d'administration de manière à hériter de la règle d'administration des nœuds parents de la ressource. L'héritage vous accorde un contrôle précis sur les règles d'administration utilisées dans votre hiérarchie de ressources.

Pour activer l'héritage sur un nœud de ressource, définissez inheritFromParent = true dans le fichier YAML de la règle d'administration. Exemple :

name: organizations/01234567890/policies/gcp.resourceLocations
spec:
  inheritFromParent: true
  rules:
  - values:
      deniedValues:
      - in:us-west1

Exemple de message d'erreur

Les services qui acceptent la contrainte d'emplacement des ressources ne peuvent pas créer de ressources dans les emplacements qui ne respecteraient pas la contrainte. Si un service tente de créer une ressource dans un emplacement qui enfreint la contrainte, la tentative échoue et un message d'erreur est généré.

Ce message d'erreur aura le format suivant : LOCATION_IN_REQUEST violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_TESTED.

Dans l'exemple suivant, une ressource Compute Engine ne parvient pas à créer une instance en raison de l'application des règles :

Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations
on the resource
projects/policy-violation-test/zones/us-east1-b/instances/instance-3.

Entrée de journal Google Cloud Observability et Cloud Audit Logs :

{
 insertId: "5u759gdngec"
 logName: "projects/policy-violation-test/logs/cloudaudit.googleapis.com%2Factivity"
 protoPayload: {
  @type: "type.googleapis.com/google.cloud.audit.AuditLog"
  authenticationInfo: {…}
  authorizationInfo: [6]
  methodName: "beta.compute.instances.insert"
  request: {…}
  requestMetadata: {…}
  resourceLocation: {…}
  resourceName: "projects/policy-violation-test/zones/us-east1-b/instances/instance-3"
  response: {
   @type: "type.googleapis.com/error"
   error: {
    code: 412
    errors: [
     0: {
      domain: "global"
      location: "If-Match"
      locationType: "header"
      message: "Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3."
      reason: "conditionNotMet"
     }
    ]
    message: "Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3."
   }
  }
  serviceName: "compute.googleapis.com"
  status: {
   code: 3
   message: "INVALID_ARGUMENT"
  }
 }
 receiveTimestamp: "2019-06-14T03:04:23.660988360Z"
 resource: {
  labels: {…}
  type: "gce_instance"
 }
 severity: "ERROR"
 timestamp: "2019-06-14T03:04:22.783Z"
}

Détection des failles et correction

La contrainte d'emplacement de ressource limite la création de ressources au moment de l'exécution. Cette fonctionnalité permet d'éviter le non-respect des règles d'emplacement, mais n'identifie ni ne corrige les erreurs existantes. Vous pouvez utiliser Security Health Analytics, un service intégré de Security Command Center, pour détecter les infractions aux règles d'emplacement dans votre hiérarchie de ressources. Pour en savoir plus, consultez la page Résultats des failles liées aux règles d'administration.

Si Security Health Analytics révèle des cas de non-respect des règles d'emplacement, consultez la page Corriger les résultats de Security Health Analytics pour connaître la procédure à suivre.

Groupes de valeurs

Les groupes de valeurs sont des ensembles de groupes et d'emplacements organisés par Google pour fournir un moyen simple de définir l'emplacement de vos ressources. Les groupes de valeurs comprennent de nombreux emplacements associés et sont étendus par Google au fil du temps sans qu'il soit nécessaire de modifier la règle d'administration pour s'adapter aux nouveaux emplacements.

Pour utiliser des groupes de valeurs dans vos règles d'administration, ajoutez la chaîne in: à vos entrées en tant que préfixe. Pour en savoir plus sur l'utilisation des préfixes de valeurs, consultez la page Utiliser des contraintes. Les noms de groupe sont validés lors de l'appel afin de définir la règle d'administration. L'utilisation d'un nom de groupe non valide entraîne l'échec du paramètre de stratégie.

Le tableau suivant contient la liste actuelle des groupes disponibles :

Authentification

Le Service de règles d'administration utilise OAuth 2.0 pour l'authentification et l'autorisation d'API. Pour obtenir un jeton de support OAuth 2.0, procédez comme suit :

1. Accédez à la page OAuth 2.0 Playground.

2. Dans la liste de champs d'application de l'étape 1, sélectionnez l'API Cloud Resource Manager v2 > https://www.googleapis.com/auth/cloud-platform, puis cliquez sur Authorize APIs (Autoriser les API).

3. Sur la page Sign in with Google (Se connecter avec Google) qui s'affiche, sélectionnez votre compte et connectez-vous.

4. Pour fournir l'accès à Google Oauth 2.0 Playground, cliquez sur Allow (Autoriser) dans l'invite qui s'affiche.

5. À l'étape 2, cliquez sur Exchange authorization code for tokens (Échanger le code d'autorisation contre des jetons).

6. Votre chaîne de jeton d'accès s'affiche au bas du volet Request / Response (Requête/Réponse) à droite :

   {
     "access_token": "ACCESS_TOKEN",
     "token_type": "Bearer",
     "expires_in": 3600
   }
   

   Où ACCESS_TOKEN correspond à la chaîne de jeton de support OAuth 2.0 que vous pouvez utiliser pour l'autorisation d'API.