Restringe las ubicaciones de recursos

Descripción general

En esta guía, se describe cómo establecer una política de la organización que incluya la restricción de ubicaciones de recursos.

Puedes limitar la ubicación física de un nuevo recurso con la restricción de ubicaciones de recursos del Servicio de políticas de la organización. Puedes usar la propiedad de ubicación de un recurso para identificar el lugar en el que esta se implementa y mantiene mediante el servicio. Para los recursos que contienen datos de algunos servicios de Google Cloud, con esta propiedad también se refleja la ubicación en la que se almacenan los datos. A través de esta restricción, se pueden definir las ubicaciones permitidas de Google Cloud donde es posible crear los recursos para los servicios compatibles en tu jerarquía.

Después de definir las ubicaciones de recursos, esta limitación se aplica solo a los recursos recién creados. Los recursos que creaste antes de establecer la restricción de ubicaciones de recursos continuarán existiendo y cumpliendo su función.

No se aplicará una política que incluya esta restricción en la creación de subrecursos para ciertos servicios, como Cloud Storage y Dataproc.

Limitaciones

Mediante la restricción Servicio de la política de la organización en las ubicaciones de recursos, se controla la capacidad de crear recursos para los que se puede seleccionar una ubicación. Esta restricción no afecta el lugar en el que se crean los recursos globales, como las direcciones globales de Compute Engine o los recursos que no admiten la selección de una ubicación.

Para evitar romper la infraestructura de entrega existente, debes probar cualquier política en carpetas y proyectos que no sean de producción y, luego, aplícala de forma gradual. dentro de tu organización.

Para conocer los compromisos de almacenamiento de datos, consulta las Condiciones del Servicio de Google Cloud y las Condiciones del Servicio específicas. Las políticas de la organización que contienen la restricción de ubicaciones de recursos no son compromisos de almacenamiento de datos.

Esta restricción se aplica a un subconjunto específico de productos y tipos de recursos. Para obtener una lista de los servicios admitidos y detalles sobre el comportamiento de cada servicio, consulta la Servicios admitidos de las ubicaciones de recursos .

Tipos de ubicación

Puedes implementar recursos de Google Cloud en tipos de ubicación que representan diferentes categorías de tamaño. El tipo de ubicación multi-region es el más grande y comprende más de una region. Cada region se subdivide en zones. Para obtener más información sobre regiones y zonas, consulta la descripción general de Regiones y zonas.

• Las ubicaciones Multi-region están respaldadas por recursos físicos en más de una region y, por lo general, solo son utilizadas por recursos basados en almacenamiento. Algunos ejemplos incluyen us, asia, europe y global.

• Las ubicaciones Region están geográficamente aisladas unas de otras. Algunos ejemplos son us-west1 (Oregón), asia-northeast1 (Tokio) y europe-west1 (Bélgica).

• Las ubicaciones Zone son el tipo de ubicación más detallado y aislado que se utiliza para implementar recursos. Una zone es un dominio con fallas independiente dentro de una region. Algunos ejemplos son us-east1-b, us-west1-b y asia-northeast1-a.

Cuando configuras ubicaciones, debes usar el prefijo in: y un Grupo de valores. El uso de un grupo de valores seleccionado por Google Cloud te permite elegir ubicaciones geográficas sin tener que especificar ubicaciones actuales o futuras de Cloud.

El prefijo in: para un Grupo de valores especifica que todos los valores que existen dentro del grupo de valores se consideran parte de la política. Si ingresas a un grupo o en una región de Google Cloud sin el prefijo, el prefijo in: se agregarán automáticamente, según estas reglas:

• Si ingresas una ubicación que usa el prefijo in: y contiene un grupo no válido, el cambio de política fallará.
• Si ingresas una ubicación que es una región, como us-east1, tendrá el prefijo in: antepuesto, a in:us-east1-locations en este ejemplo.
• Si ingresas una región o un grupo de valores de varias regiones, como us-locations, tendrá el prefijo in: antepuesto, a in:us-locations en este ejemplo.
• Si ingresas una zona o región múltiple como us-east1-b o us, los valores no se cambiarán.

Configura la política de la organización

La restricción de ubicaciones de recursos es un tipo de restricción de lista. Puedes agregar y quitar ubicaciones de las listas de allowed_values o denied_values de una restricción de ubicaciones de recursos. Para evitar que las políticas de la organización restringir inesperadamente el comportamiento del servicio a medida que se agregan ubicaciones nuevas al lista disponible, usa un grupo de valores o una lista de allowed_values, que representa todo el límite geográfico que deseas definir.

Para establecer una política de la organización que incluya una restricción de ubicaciones de recursos, haz lo siguiente:

name: organizations/ORGANIZATION_ID/policies/gcp.resourceLocations
spec:
  rules:
  - values:
      deniedValues:
      - in:us-east1-locations
      - in:northamerica-northeast1-locations

gcloud org-policies set-policy POLICY_PATH

name: organizations/01234567890/policies/gcp.resourceLocations
spec:
  rules:
  - values:
      allowedValues:
      - in:us-east1-locations
      - in:northamerica-northeast1-locations

curl -X POST -H "Content-Type: application/json" -H "Authorization: \
Bearer ${bearer_token}" -d '{policy: {etag: "BwVtXec438Y=", constraint: \
"constraints/gcp.resourceLocations", list_policy: {denied_values: \
["in:europe-locations", "in:southamerica-locations"] }}}' \
https://cloudresourcemanager.googleapis.com/v1/organizations/123456789:setOrgPolicy

name: organizations/01234567890/policies/gcp.resourceLocations
spec:
  rules:
  - values:
      deniedValues:
      - in:europe-locations
      - in:southamerica-locations

Para obtener información sobre el uso de restricciones en las políticas de la organización, consulta la página sobre cómo usar restricciones.

Usa la herencia en la política de la organización

Puedes definir mejor tu política de la organización para heredar la política de la organización desde los nodos superiores del recurso. Con la herencia, se brinda un control detallado sobre las políticas de la organización utilizadas en toda tu jerarquía de recursos.

Para habilitar la herencia en un nodo de recursos, establece inheritFromParent = true en el archivo YAML de la política de la organización. Por ejemplo:

name: organizations/01234567890/policies/gcp.resourceLocations
spec:
  inheritFromParent: true
  rules:
  - values:
      deniedValues:
      - in:us-west1

Ejemplo de mensaje de error

No se permite crear recursos nuevos en ubicaciones en las que se infringe la restricción mediante los servicios que admiten la restricción de ubicación de recursos. Si un servicio intenta crear un recurso en una ubicación que infringe la restricción, el intento fallará y se generará un mensaje de error.

Este mensaje de error tendrá el siguiente formato: LOCATION_IN_REQUEST violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_TESTED.

En el siguiente ejemplo, un recurso de Compute Engine no puede crear una nueva instancia debido a la aplicación de políticas:

Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations
on the resource
projects/policy-violation-test/zones/us-east1-b/instances/instance-3.

Entrada de registro de Google Cloud Observability y Registros de auditoría de Cloud:

{
 insertId: "5u759gdngec"
 logName: "projects/policy-violation-test/logs/cloudaudit.googleapis.com%2Factivity"
 protoPayload: {
  @type: "type.googleapis.com/google.cloud.audit.AuditLog"
  authenticationInfo: {…}
  authorizationInfo: [6]
  methodName: "beta.compute.instances.insert"
  request: {…}
  requestMetadata: {…}
  resourceLocation: {…}
  resourceName: "projects/policy-violation-test/zones/us-east1-b/instances/instance-3"
  response: {
   @type: "type.googleapis.com/error"
   error: {
    code: 412
    errors: [
     0: {
      domain: "global"
      location: "If-Match"
      locationType: "header"
      message: "Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3."
      reason: "conditionNotMet"
     }
    ]
    message: "Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3."
   }
  }
  serviceName: "compute.googleapis.com"
  status: {
   code: 3
   message: "INVALID_ARGUMENT"
  }
 }
 receiveTimestamp: "2019-06-14T03:04:23.660988360Z"
 resource: {
  labels: {…}
  type: "gce_instance"
 }
 severity: "ERROR"
 timestamp: "2019-06-14T03:04:22.783Z"
}

Hallazgos de vulnerabilidades y solución

La restricción de ubicación de recursos restringe la creación de recursos en el entorno de ejecución. Esta función ayuda a evitar que se produzcan incumplimientos de ubicación, pero no identifica ni remedia los incumplimientos existentes. Puedes usar las estadísticas del estado de la seguridad, un servicio integrado de Security Command Center, para descubrir incumplimientos de ubicación en tu jerarquía de recursos. Para obtener más información, consulta Resultados de vulnerabilidades de la política de la organización.

Si hay resultados de incumplimientos de ubicación de Security Health Analytics, consulta Soluciona los problemas de Security Health Analytics a fin de conocer los pasos para solucionarlos.

Grupos de valores

Los grupos de valores son colecciones de grupos y ubicaciones que se seleccionan en Google para proporcionar una forma sencilla de definir tus ubicaciones de recursos. Los grupos de valores incluyen muchas ubicaciones relacionadas y se expanden a lo largo del tiempo en Google sin necesidad de cambiar la política de la organización para adaptarse a las nuevas ubicaciones.

Para usar grupos de valores en tu política de la organización, escribe tus entradas con la string in:. Para obtener más información sobre el uso de prefijos de valor, consulta la sección sobre cómo usar restricciones. Los nombres de grupo se validan en la llamada para establecer la política de la organización. Si usas un nombre de grupo no válido, el parámetro de configuración de la política fallará.

En la siguiente tabla, se incluye la lista actual de grupos disponibles:

Autenticación

En el servicio de políticas de la organización, se utiliza OAuth 2.0 para la autenticación y autorización de la API. Para obtener un token del portador OAuth 2.0, haz lo siguiente:

1. Dirígete a la página OAuth 2.0 Playground .

2. En la lista de alcances del Paso 1, selecciona la API de Cloud Resource Manager v.2 > https://www.googleapis.com/auth/cloud-platform y, a continuación, haz clic en Autorizar API.

3. En la página Acceder con Google que aparece, selecciona tu cuenta y accede a ella.

4. Para proporcionar acceso a Google OAuth 2.0 Playground, haz clic en Permitir en el mensaje que aparece.

5. En Paso 2, haz clic en Código de autorización de intercambio para tokens.

6. En la parte inferior del panel Solicitud/Respuesta de la derecha, se muestra tu string de token de acceso:

   {
     "access_token": "ACCESS_TOKEN",
     "token_type": "Bearer",
     "expires_in": 3600
   }
   

   En el que ACCESS_TOKEN es la string del token del portador de OAuth 2.0 que puedes usar para la autorización de la API.