Esta página mostra como usar uma política da organização no modo de teste para monitorizar o impacto de uma alteração de política nos seus fluxos de trabalho antes de ser aplicada.
Uma política da organização no modo de execução de ensaio é criada e aplicada de forma semelhante a outras políticas da organização, e as violações da política são registadas em auditoria, mas as ações que violam a política não são recusadas.
Antes de começar
Para usar uma política organizacional no modo de teste, tem de ter a faturação ativada para o seu projeto Google Cloud . Para ver informações sobre como verificar se a faturação está ativada para um projeto, consulte o artigo Verifique o estado de faturação dos seus projetos.
Para mais informações sobre o que são as políticas e as restrições da organização e como funcionam, consulte o artigo Introdução ao serviço de políticas da organização.
Funções necessárias
Para receber as autorizações de que precisa para gerir políticas da organização, peça ao seu administrador que lhe conceda as seguintes funções do IAM na organização:
-
Administrador da política da organização (
roles/orgpolicy.policyAdmin) -
Para criar, eliminar ou modificar destinos agregados:
Logs Configuration Writer (
roles/logging.configWriter)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Pode delegar a administração das políticas da organização adicionando condições do IAM à associação da função de administrador da política da organização. Para controlar os recursos onde um principal pode gerir políticas da organização, pode tornar a atribuição de funções condicional a uma etiqueta específica. Para mais informações, consulte o artigo Usar restrições.
Limitações
As únicas restrições de políticas da organização disponíveis para utilização em políticas da organização de execução de ensaio são:
- Restrinja a utilização de recursos
- Restrinja a utilização de pontos finais
- Restrinja as versões de TLS
- Restrinja os conjuntos de cifras TLS
- Restrições personalizadas
- Restrições geridas
A tentativa de criar uma política de organização no modo de teste sem execução com qualquer outra restrição resulta num erro.
Crie uma política da organização no modo de execução de ensaio
Usar parâmetros de lista
Pode criar uma política de organização no modo de teste para uma restrição através daGoogle Cloud consola ou da Google Cloud CLI. Os exemplos seguintes demonstram como criar uma política de organização no modo de teste que audita o efeito da restrição gerida compute.managed.restrictProtocolForwardingCreationForTypes.
Consola
Na Google Cloud consola, aceda à página Políticas de organização.
No seletor de projetos, selecione o recurso para o qual quer definir a política da organização.
Selecione a restrição Restringe a utilização do encaminhamento de protocolos na lista da página Políticas de organização.
Selecione o separador Teste de execução.
Clique em Gerir política de execução de ensaio.
Na página Editar política de execução de teste, selecione Substituir política do elemento principal.
Clique em Adicionar regra.
Em Aplicação, selecione Ativar.
Em Parâmetros, selecione Editar .
No painel Editar valores de parâmetros, selecione Definido pelo utilizador.
Na caixa Valores definidos pelo utilizador, introduza
EXTERNALe, de seguida, clique em Guardar.Clique em Testar alterações para simular o efeito desta política da organização. Para mais informações, consulte o artigo Teste as alterações da política da organização com o simulador de políticas.
Para aplicar a política da organização no modo de execução de ensaio, clique em Definir política de execução de ensaio. Também pode definir a política em direto clicando em Definir política.
Pode validar o estado da política de organização no modo de teste executado acedendo ao separador Teste executado de uma restrição da política de organização.
Para projetos aos quais foi aplicada uma política da organização no modo de teste, pode ver os registos de auditoria clicando em Ver registos de rejeição. Para esta política de organização, os registos de auditoria apresentam violações como se a restrição Restringe a utilização do encaminhamento de protocolos fosse aplicada para permitir apenas implementações de encaminhamento de protocolos EXTERNAL.
gcloud
Para criar uma política da organização no modo de teste, crie um ficheiro YAML que defina a restrição com dryRunSpec. Por exemplo:
name: RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes dryRunSpec: rules: - enforce: true parameters: allowedSchemes: - EXTERNAL
Substitua o seguinte:
RESOURCE_TYPEcomorganizations,foldersouprojects.RESOURCE_IDcom o ID da sua organização, ID da pasta, ID do projeto ou número do projeto, consoante o tipo de recurso especificado emRESOURCE_TYPE.
Esta política da organização não aplica a restrição compute.managed.restrictProtocolForwardingCreationForTypes, mas os registos de auditoria apresentam violações como se o fizesse.
Pode definir uma política de organização ativa e uma política de organização de teste
no mesmo ficheiro YAML, se definir spec e dryRunSpec. Por
exemplo:
name: RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes spec: rules: - values: allowedValues: - INTERNAL - EXTERNAL dryRunSpec: rules: - values: allowedValues: - INTERNAL
Para aplicar uma política da organização no modo de execução de ensaio, use o comando
org-policies set policy. Para atualizar uma política da organização existente
no modo de teste com novas restrições, use a flag --update-mask. Por
exemplo:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
Substitua o seguinte:
POLICY_PATHcom o caminho completo para o ficheiro YAML da política da organização.UPDATE_MASKcomspecpara atualizar apenas a política ativa oudryRunSpecpara atualizar apenas a política da organização no modo de teste. Também pode usar*para atualizar os camposspecedryRunSpec. Se este campo não estiver definido quando atualizar uma política da organização existente, este comando vai resultar num erro e a política da organização não vai ser atualizada.
Pode verificar se a política da organização no modo de execução de ensaio está definida através do comando org-policies describe. O campo dryRunSpec só aparece se existir na política da organização.
Esta política de organização aplicaria a restrição compute.managed.restrictProtocolForwardingCreationForTypes de modo que todos os valores fossem permitidos. No entanto, os registos de auditoria apresentam violações como se apenas fossem permitidas implementações de encaminhamento de protocolos INTERNAL.
Usar regras booleanas
Pode criar uma política de organização no modo de teste para uma restrição com regras booleanas através da Google Cloud consola ou da Google Cloud CLI. Os exemplos seguintes demonstram como criar uma política de organização no modo de teste que audita o efeito de uma política de organização personalizada.
Consola
Na Google Cloud consola, aceda à página Políticas de organização.
No seletor de projetos, selecione o recurso para o qual quer definir a política da organização.
Selecione a política de organização personalizada que quer aplicar na lista na página Políticas de organização.
Selecione o separador Teste de execução.
Clique em Gerir política de execução de ensaio.
Na página Editar política de teste, selecione Substituir política do elemento principal.
Clique em Adicionar regra.
Em Aplicação, selecione Ativada e, de seguida, clique em Concluído.
Para aplicar a política da organização no modo de execução de ensaio, clique em Definir política de execução de ensaio. Depois de verificar se a política da organização no modo de teste funciona como esperado, pode definir a política ativa clicando em Definir política.
Pode validar o estado da política de organização no modo de teste executado acedendo ao separador Teste executado de uma restrição da política de organização.
Para projetos aos quais foi aplicada uma política da organização no modo de teste, pode ver os registos de auditoria clicando em Ver registos de rejeição. Para esta política da organização, os registos de auditoria apresentam violações como se a política da organização personalizada fosse aplicada.
gcloud
Para criar uma política da organização no modo de teste, crie um ficheiro YAML que defina a restrição com dryRunSpec. Por exemplo:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME dryRunSpec: rules: - enforce: true
Substitua o seguinte:
RESOURCE_TYPEcomorganizations,foldersouprojects.RESOURCE_IDcom o ID da sua organização, ID da pasta, ID do projeto ou número do projeto, consoante o tipo de recurso especificado emRESOURCE_TYPE.CONSTRAINT_NAMEcom o nome da restrição personalizada. Por exemplo,custom.disableGkeAutoUpgrade.
Esta política da organização não aplica a restrição personalizada, mas os registos de auditoria apresentam violações como se o fizessem.
Pode definir uma política de organização ativa e uma política de organização no modo de teste em
execução no mesmo ficheiro YAML, se definir spec e
dryRunSpec. Por exemplo:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: false dryRunSpec: rules: - enforce: true
Para aplicar uma política da organização no modo de execução de ensaio, use o comando
org-policies set policy. Para atualizar uma política da organização existente
no modo de teste com novas restrições, use a flag --update-mask. Por
exemplo:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
Substitua o seguinte:
POLICY_PATHcom o caminho completo para o ficheiro YAML da política da organização.UPDATE_MASKcomspecpara atualizar apenas a política ativa oudryRunSpecpara atualizar apenas a política da organização no modo de teste. Também pode usar*para atualizar os camposspecedryRunSpec. Se este campo não estiver definido quando atualizar uma política da organização existente, este comando vai resultar num erro e a política da organização não vai ser atualizada.
Pode verificar se uma política de organização no modo de execução de ensaio está definida através do comando org-policies describe. O campo dryRunSpec só aparece se existir na política da organização.
Esta política da organização não aplica a restrição personalizada. No entanto, os registos de auditoria apresentam violações da restrição personalizada.
Crie uma política da organização no modo de execução de ensaio a partir de uma política ativa
Pode usar uma política de organização existente como ponto de partida para uma política de organização no modo de teste. Pode querer fazê-lo para ver que impacto uma alteração à sua política existente teria no seu ambiente.
Pode criar uma política de organização no modo de teste baseada numa política existente através da Google Cloud consola ou da Google Cloud CLI.
Consola
Na Google Cloud consola, aceda à página Políticas de organização.
No seletor de projetos, selecione um recurso que já tenha a restrição Restringir a utilização do serviço de recursos configurada.
Selecione a restrição Restringir a utilização do serviço de recursos na lista na página Políticas da organização.
Selecione o separador Em direto.
Clique em Gerir política.
Clique em Adicionar regra.
Em Valores da política, selecione Personalizado.
Em Tipo de política, selecione Recusar.
Na caixa Valores personalizados, introduza
appengine.googleapis.com.Clique em Concluído e, de seguida, em Definir política de teste.
gcloud
Para criar uma política da organização no modo de teste baseada numa política da organização em vigor, obtenha a política atual no recurso através do comando org-policies describe. Por exemplo:
gcloud org-policies describe gcp.restrictServiceUsage \ --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto ou pelo número do projeto onde esta política de organização está configurada.
O resultado deve ser semelhante ao seguinte:
name: projects/123456789012/policies/gcp.restrictServiceUsage spec: etag: CJy93KEGEKCJw/QB rules: - values: allowedValues: - compute.googleapis.com updateTime: '2023-04-12T21:11:56.512804Z'
Copie o resultado deste comando para um ficheiro temporário. Edite este ficheiro para remover os campos etag e updateTime e alterar o campo spec para dryRunSpec. Faça as alterações à configuração da restrição que quer testar na política da organização no modo de execução de teste.
O ficheiro YAML concluído deve ter um aspeto semelhante ao seguinte:
name: projects/123456789012/policies/gcp.restrictServiceUsage dryRunSpec: rules: - values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
Para aplicar a política da organização no modo de teste, use o comando
org-policies set policy com a flag --update-mask. Por exemplo:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Substitua POLICY_PATH pelo caminho completo para o ficheiro YAML da política da organização temporária.
Elimine uma política de organização no modo de execução de ensaio
Pode eliminar uma política da organização no modo de teste usando a Google Cloud consola ou a CLI Google Cloud.
Consola
Na Google Cloud consola, aceda à página Políticas de organização.
No seletor de projetos, selecione o recurso para o qual quer definir a política da organização.
Selecione a restrição Restringir a utilização do serviço de recursos na lista na página Políticas da organização.
Selecione o separador Teste de execução.
Clique em Eliminar política de execução de ensaio.
gcloud
Para eliminar uma política da organização no modo de execução de ensaio, crie um ficheiro YAML que defina a política da organização sem uma especificação de execução de ensaio. Por exemplo:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com
Substitua o seguinte:
RESOURCE_TYPEcomorganizations,foldersouprojects.RESOURCE_IDcom o ID da sua organização, ID da pasta, ID do projeto ou número do projeto, consoante o tipo de recurso especificado emRESOURCE_TYPE.
Em seguida, use o comando org-policies set policy com a flag --update-mask definida como dryRunSpec. Por exemplo:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Esta ação atualiza a política da organização existente para remover a especificação de teste de execução e ignora a parte ativa da especificação.
Para eliminar as políticas de organização ativas e as políticas de organização no modo de teste ao mesmo tempo, use o comando org-policies delete. Por
exemplo:
gcloud org-policies delete CONSTRAINT_NAME \ --RESOURCE_TYPE=RESOURCE_ID
Substitua o seguinte:
CONSTRAINT_NAMEcom o nome da restrição que quer eliminar. Por exemplo,gcp.restrictServiceUsage.RESOURCE_TYPEcomorganizations,foldersouprojects.RESOURCE_IDcom o ID da sua organização, ID da pasta, ID do projeto ou número do projeto, consoante o tipo de recurso especificado emRESOURCE_TYPE.
Avaliação eficaz das políticas da organização no modo de execução de ensaio
As políticas de organização no modo de execução de teste são herdadas de forma semelhante a outras políticas de organização. Se uma política da organização no modo de teste for definida num recurso da organização, é herdada por todos os recursos descendentes, a menos que seja substituída a um nível inferior na hierarquia.
A avaliação da política em vigor mostra o resultado das políticas da organização que são unidas nesse recurso. Por conseguinte, os ajustes à política da organização em direto refletem-se na política da organização eficaz no modo de execução de teste, se a política do modo de execução de teste for herdada em vez de definida localmente.
Por exemplo, considere um recurso de organização, Organization A, com uma política de organização ativa definida como enforced: false e uma política de organização no modo de teste de execução definido como enforced: true. Um recurso secundário, Folder B, também define
a política da organização ativa como enforced: false e herda a
política da organização no modo de execução de ensaio. No Folder B, a política ativa definida significa que a avaliação da política da organização em modo de execução de ensaio também é enforce: false, substituindo a política da organização em modo de execução de ensaio definida na respetiva organização principal.
Um recurso filho de Folder B, Project X, define a política em vigor como
enforced: true. Semelhante ao comportamento no Folder B, a avaliação eficaz da política da organização no modo de execução de teste para o Project X é enforced: true, porque a política publicada está definida.
Outro recurso filho de Folder B, Project Y, define a política da organização no modo de execução de ensaio como enforced: true. Herda a política da organização do recurso principal e, por isso, a avaliação eficaz é enforced: false para a política ativa e enforced: true para a política da organização no modo de execução de ensaio.
| Recurso | Defina a política da organização em direto | Política de organizações em direto em vigor | Defina a política da organização no modo de execução de ensaio | Política da organização em vigor no modo de execução de ensaio |
|---|---|---|---|---|
| Organização A | enforced: false |
enforced: false |
enforced: true |
enforced: true |
| Pasta B | enforced: false |
enforced: false |
Nenhum | enforced: false |
| Pasta C | Nenhum | enforced: false |
Nenhum | enforced: true |
| Projeto X | enforced: true |
enforced: true |
Nenhum | enforced: true |
| Projeto Y | Nenhum | enforced: false |
enforced: true |
enforced: true |
Analise os efeitos de uma política de organização no modo de execução de ensaio
Uma política da organização no modo de execução de ensaio não bloqueia nenhuma operação quando aplicada. Para ver o efeito que a política da organização teria, pode consultar os registos de auditoria da política da organização.
Os registos de auditoria da política da organização para políticas da organização ativas e políticas da organização no modo de execução de ensaio são gerados com base no facto de a operação ser permitida ou recusada pelas políticas aplicadas ao recurso especificado. A tabela seguinte descreve as situações em que é gerado um registo de auditoria da política da organização:
| Política de organização de eventos em direto | Política da organização no modo de execução de ensaio | Registo de auditoria gerado |
|---|---|---|
| Permitir | Permitir | Não |
| Permitir | Recusar | Registo de auditoria apenas no modo de teste |
| Recusar | Permitir | Registo de auditoria no modo de execução real e de teste |
| Recusar | Recusar | Registo de auditoria no modo de execução real e de teste |
As violações da política da organização no modo de execução de ensaio aparecem juntamente com as violações no modo ativo nos registos de auditoria. Por exemplo:
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"status": {
"code": 7,
"message": "PERMISSION_DENIED"
},
"authenticationInfo": {},
"requestMetadata": {
"callerIp": "1.2.3.4",
"requestAttributes": {},
"destinationAttributes": {}
},
"serviceName": "appengine.googleapis.com",
"methodName": "google.api.appengine.v1.appengine.apps.services.get",
"resourceName": "projects/sur-project-test-3",
"metadata": {
"constraint": "constraints/gcp.restrictServiceUsage",
"checkedValue": "appengine.googleapis.com",
"liveResult": "ALLOWED",
"@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
"dryRunResult": "DENIED"
}
},
"insertId": "1f2bvoxcmg1",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "sur-project-test-3",
"service": "appengine.googleapis.com",
"method": "google.api.appengine.v1.appengine.apps.services.get"
}
},
"timestamp": "2022-06-16T19:42:58.244990928Z",
"severity": "WARNING",
"logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
"receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}
Pode usar o Explorador de registos para consultar apenas violações da política da organização no modo de teste prévio.
Consola
Na Google Cloud consola, pode usar o Explorador de registos para obter as entradas do registo de auditoria do seu Google Cloud projeto, pasta ou organização:
Na Google Cloud consola, aceda à página Registo> Explorador de registos.
Selecione um Google Cloud projeto, uma pasta ou uma organização existente.
No painel Criador de consultas, faça o seguinte:
Em Tipo de recurso, selecione o Google Cloud recurso cujos registos de auditoria quer ver.
Em Nome do registo, selecione o tipo de registo de auditoria da política.
No painel Consulta, introduza o seguinte:
protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"
Se estiver a ter problemas ao tentar ver registos no Explorador de registos, consulte as informações de resolução de problemas.
Para mais informações sobre como consultar através do Explorador de registos, consulte o artigo Crie consultas no Explorador de registos.
gcloud
A CLI do Google Cloud fornece uma interface de linhas de comando para a API Logging. Forneça um identificador de recurso válido em cada um dos nomes dos registos. Por exemplo, se a sua consulta incluir um ID do projeto, o identificador do projeto que fornecer tem de se referir ao nome do projeto atualmente selecionado.
Para ler as entradas do registo de auditoria relativas a violações da política da organização no modo de teste, execute o seguinte comando:
gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \
protoPayload.metadata.liveResult = "ALLOWED" \
--RESOURCE_TYPE=RESOURCE_ID \
Substitua o seguinte:
RESOURCE_TYPEcomorganization,folderouproject.RESOURCE_IDcom o ID da sua organização, ID da pasta, ID do projeto ou número do projeto, consoante o tipo de recurso especificado emRESOURCE_TYPE.
Adicione a flag --freshness
ao seu comando para ler registos com mais de 1 dia.
Para mais informações sobre a utilização da CLI gcloud, consulte
gcloud logging read.
Agregue entradas do registo de auditoria
Se tiver muitos projetos na sua organização, pode usar destinos agregados para agregar e encaminhar as entradas do registo de auditoria de todos os projetos na sua organização para uma tabela do BigQuery.
Para criar um destino agregado, use o comando
logging sinks create.Antes de usar o comando seguinte, substitua o seguinte:
SINK_NAME: o nome do sink de registo. Não é possível alterar o nome de um destino depois de o criar.PROJECT_ID: O ID do projeto que contém o seu conjunto de dados do BigQuery.DATASET_ID: o ID de um conjunto de dados do BigQuery com capacidade de escrita.ORGANIZATION_ID: o ID da sua organização.
Execute o comando
gcloud logging sinks create:gcloud logging sinks create SINK_NAME \ bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID \ --include-children \ --organization=ORGANIZATION_ID \ --log-filter='logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy" AND protoPayload.metadata.@type:OrgPolicyDryRunAuditMetadata'
Para encaminhar entradas do registo, tem de conceder à conta de serviço associada ao destino autorização para encaminhar para o respetivo destino.
Para encontrar a conta de serviço à qual tem de conceder autorização, use o comando
gcloud logging sinks describe.Antes de usar o comando seguinte, substitua
SINK_NAMEpelo nome do destino do registo que criou anteriormente.Execute o comando
gcloud logging sinks describe:gcloud logging sinks describe SINK_NAME
Se os detalhes do destino contiverem um campo com a etiqueta
writerIdentity, avance para o passo seguinte. Se os detalhes não incluírem um campowriterIdentity, não precisa de configurar autorizações de destino para o destino.Copie a identidade do escritor do destino para a área de transferência. A imagem seguinte ilustra a identidade de um autor:
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.comUse o comando
gcloud projects add-iam-policy-bindingpara conceder à identidade do escritor do destino a autorização para escrever dados de registo no destino.Antes de usar o comando seguinte, substitua o seguinte:
PROJECT_ID: o identificador do projeto que armazena o destino do coletor agregado.PRINCIPAL_ID: a identidade do escritor do destino que copiou anteriormente.
Execute o comando
gcloud projects add-iam-policy-binding:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL_ID \ --role=roles/bigquery.dataEditor
Para mais informações sobre a criação de destinos agregados, consulte o artigo Recolha e encaminhe registos ao nível da organização para destinos suportados.
Para ver os registos encaminhados para o BigQuery, faça o seguinte:
-
Na Google Cloud consola, aceda à página BigQuery:
Também pode encontrar esta página através da barra de pesquisa.
No painel Explorador, expanda o projeto e selecione um conjunto de dados.
As entradas do registo estão visíveis no separador Detalhes ou pode consultar a tabela para devolver os seus dados.
Crie uma consulta para analisar a política organizacional de execução de ensaio. Por exemplo, a seguinte consulta devolve registos de auditoria da política da organização de teste de execução que incluem recusas e foram gerados nos últimos sete dias.
SELECT protopayload_auditlog.serviceName as serviceName, protopayload_auditlog.methodName as methodName, JSON_EXTRACT_SCALAR(protopayload_auditlog.metadataJson, '$.constraint') as constraint, JSON_EXTRACT_SCALAR(protopayload_auditlog.metadataJson, '$.dryRunResult') as dryRunResult, JSON_EXTRACT_SCALAR(protopayload_auditlog.metadataJson, '$.liveResult') as liveResult FROM {PROJECT_ID}.{DATASET_ID}.cloudaudit_googleapis_com_policy_* WHERE JSON_EXTRACT_SCALAR(protopayload_auditlog.metadataJson, '$.dryRunResult') = "DENIED" AND `timestamp` > DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) LIMIT 1000
Substitua o seguinte:
PROJECT_ID: o ID do projeto que contém o seu conjunto de dados do BigQuery.DATASET_ID: o ID de um conjunto de dados do BigQuery com capacidade de escrita.
Para mais informações, consulte o artigo Veja os registos encaminhados para o BigQuery.
-
O que se segue?
Para mais informações sobre como criar e gerir restrições de políticas da organização, consulte o artigo Usar restrições.