Introducción al Servicio de políticas de la organización

El Servicio de políticas de la organización te brinda un control centralizado y programático sobre los recursos en la nube de tu organización. Como administrador de políticas de la organización, puedes configurar restricciones en toda la jerarquía de recursos.

Beneficios

  • Permiten tener un control centralizado para configurar restricciones sobre cómo se pueden usar los recursos de tu organización.
  • Define y establece barreras de seguridad para que tus equipos de desarrollo se mantengan dentro de los límites de cumplimiento.
  • Ayuda a los propietarios de proyectos y sus equipos a moverse con rapidez sin preocuparse por romper el cumplimiento.

Casos de uso habituales

Las políticas de la organización te permiten hacer lo siguiente:

Existen muchas más restricciones que te permiten controlar de forma detallada los recursos de tu organización. Para obtener más información, consulta la lista de todas las restricciones del Servicio de políticas de la organización.

Diferencias con Identity and Access Management

La administración de identidades y accesos se enfoca en el quién y permite que el administrador autorice quién puede tomar medidas sobre recursos específicos en función de los permisos.

La política de la organización se enfoca en el qué y permite al administrador establecer restricciones en recursos específicos para determinar cómo se pueden configurar.

Cómo funciona la política de la organización

Una política de la organización configura una sola restricción que limita uno o más servicios de Google Cloud. La política de la organización se configura en una organización, una carpeta o un recurso de proyecto para aplicar la restricción en ese recurso y en cualquier recurso secundario.

Una política de la organización contiene una o más reglas que especifican cómo aplicar la restricción y si es necesario hacerlo. Por ejemplo, una política de la organización podría contener una regla que aplique la restricción solo en los recursos etiquetados como environment=development y otra regla que impida que se aplique la restricción en otros recursos.

Los descendientes del recurso al que se adjunta la política de la organización heredan la política de la organización. Cuando se aplica una política de la organización al recurso de la organización, el administrador de políticas de la organización puede controlar la aplicación de esa política y la configuración de restricciones en toda la organización.

Conceptos de políticas de la organización

Limitaciones

Una restricción es un tipo particular de restricción contra un Servicio de Google Cloud o una lista de servicios de Google Cloud. Piensa en la restricción como un plano técnico que define qué comportamientos se controlan. Por ejemplo, puedes restringir el acceso de los recursos del proyecto a los recursos de almacenamiento de Compute Engine con la restricción compute.storageResourceUseRestrictions.

Luego, este modelo se aplica a un recurso de tu jerarquía de recursos como una política de la organización, que implementa las reglas definidas en la restricción. El servicio de Google Cloud asignado a esa restricción y asociado con ese nodo de jerarquía de recursos impondrá las restricciones configuradas dentro de la política de la organización.

Una política de la organización se define en un archivo YAML o JSON por la restricción que aplica y, de forma opcional, por las condiciones en las que se aplica la restricción. Cada política de la organización aplica exactamente una restricción en el modo activo, el modo de ejecución de prueba o ambos.

Una restricción tiene un tipo de aplicación forzosa de lista o booleano, que determina los valores que se pueden usar para verificar la aplicación forzosa. El servicio de aplicación forzosa de Google Cloud evaluará el tipo y el valor de la restricción para determinar la restricción.

Enumera restricciones

Una restricción de lista permite o niega una lista de valores que se define en una política de la organización. Esta lista de valores se expresa como una cadena de subárbol de jerarquías. La cadena de subárbol especifica el tipo de recurso al que se aplica. Por ejemplo, la restricción de lista constraints/compute.trustedImageProjects toma una lista de IDs de proyectos en el formato projects/PROJECT_ID.

A los valores se les puede asignar un prefijo con el formato prefix:value para las restricciones que los admiten, lo que le da al valor un significado adicional:

  • is:: Aplica una comparación con el valor exacto. Este es el mismo comportamiento que se adopta cuando no se tiene un prefijo, y se requiere cuando el valor incluye dos puntos.

  • under:: Aplica una comparación con el valor y todos sus valores secundarios. Si se permite o se niega un recurso con este prefijo, se hará lo mismo con sus recursos secundarios. El valor proporcionado debe ser el ID de una organización, una carpeta o un recurso de proyecto.

  • in:: Aplica una comparación a todos los recursos que incluyen este valor. Por ejemplo, puedes agregar in:us-locations a la lista de ubicaciones rechazadas de la restricción constraints/gcp.resourceLocations para bloquear todas las ubicaciones que se incluyen en la región us.

Si no se proporciona una lista de valores o si la política de la organización se establece en el valor predeterminado administrado por Google, se aplica el comportamiento predeterminado de la restricción, que permite o niega todos los valores.

La siguiente política de la organización aplica una restricción que permite que las instancias de VM de Compute Engine vm-1 y vm-2 en organizations/1234567890123 accedan a direcciones IP externas:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Restricciones booleanas

Una restricción booleana se aplica de manera forzosa o no. Por ejemplo, la restricción predefinida constraints/compute.disableSerialPortAccess tiene dos estados posibles:

  • Forzado: La restricción se aplica de forma forzosa, y no se permite el acceso al puerto en serie.
  • No se aplica: La restricción disableSerialPortAccess no se verifica ni se aplica de forma forzosa, por lo que se permite el acceso al puerto en serie.

Si la política de la organización se establece en el valor predeterminado administrado por Google, se aplica el comportamiento predeterminado de la restricción.

La siguiente política de la organización aplica una restricción que inhabilita la creación de cuentas de servicio externas en organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Políticas de la organización personalizadas

Las políticas de organización personalizadas pueden permitir o restringir la creación y las actualizaciones de recursos de la misma manera que lo hacen las políticas de organización predefinidas, pero permiten que los administradores configuren condiciones según los parámetros de solicitud y otros metadatos. Puedes usar las Herramientas de inteligencia de políticas para probar y analizar tus políticas de la organización personalizadas.

Puedes crear políticas de la organización personalizadas con restricciones que limitan las operaciones en ciertos recursos de servicio, como los recursos NodePool de Dataproc. Para obtener una lista de los recursos de servicio que admiten restricciones personalizadas, consulta Servicios compatibles con restricciones personalizadas.

Para obtener más información sobre el uso de políticas de la organización personalizadas, consulta Crea y administra políticas de la organización personalizadas.

Restricciones administradas

Las restricciones administradas son restricciones predefinidas que se compilaron en la plataforma de la política de la organización personalizada. La plataforma de políticas de la organización personalizada permite diseñar políticas de la organización con más flexibilidad y con mejores estadísticas de las herramientas de Policy Intelligence.

Para obtener más información sobre el uso de restricciones administradas, consulta Cómo usar restricciones.

Políticas de la organización en modo de ejecución de prueba

Una política de la organización en modo de ejecución de prueba se crea y aplica de manera similar a otras políticas de la organización, y los incumplimientos de la política se registran en la auditoría, pero las acciones que incumplen la política no se rechazan.

Puedes usar las políticas de la organización en el modo de ejecución de prueba para supervisar cómo los cambios en las políticas afectarían tus flujos de trabajo antes de que se apliquen. Para obtener más información, consulta Crea una política de la organización en el modo de ejecución de prueba.

Políticas de la organización condicionales

Las etiquetas proporcionan una forma de aplicar restricciones de manera condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de restricciones para proporcionar un control centralizado de los recursos de tu jerarquía.

Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas. Para aprender a configurar una política de la organización condicional con etiquetas, consulta Configura una política de la organización con etiquetas.

Herencia

Cuando se establece una política de la organización en un recurso, todos los elementos subordinados de ese recurso heredan la política de la organización de forma predeterminada. Si estableces una política de la organización en el recurso de la organización, la configuración de restricciones definidas por esa política se transmitirá a través de todas las carpetas, proyectos y recursos de servicio descendientes.

Puedes establecer una política de la organización en un recurso secundario que reemplace la herencia o herede la política de la organización del recurso superior. En el último caso, las dos políticas de la organización se fusionan según las reglas de evaluación de jerarquías. Esto proporciona un control preciso de cómo se aplican las políticas de la organización en toda tu organización y dónde deseas que se hagan las excepciones.

Para obtener más información, consulta Comprende la evaluación de jerarquías.

Incumplimientos

Un incumplimiento es cuando un servicio Google Cloud actúa o está en un estado contrario a la configuración de restricción de políticas de la organización dentro del alcance de su jerarquía de recursos. Los servicios de Google Cloud impondrán restricciones para evitar infracciones, pero la aplicación de las políticas de la organización nuevas en general no es retroactiva. Si una restricción de política de la organización se aplica de manera retroactiva, se etiquetará como tal en la página Restricciones de las políticas de la organización.

Si una política de la organización nueva establece una restricción en una acción o estado en el que ya hay un servicio, se considera que la política se está incumpliendo, pero el servicio no detendrá su comportamiento original. Deberás abordar este incumplimiento de forma manual. Esto previene el riesgo de que una nueva política de la organización cierre por completo la continuidad de tu negocio.

Policy Intelligence

Policy Intelligence es un paquete de herramientas diseñado para ayudarte a administrar las políticas de seguridad. Estas herramientas pueden ayudarte a comprender el uso de recursos, comprender y mejorar las políticas de seguridad existentes, y evitar configuraciones incorrectas de las políticas.

Algunas herramientas de Policy Intelligence están diseñadas específicamente para ayudar a probar y analizar las políticas del servicio de políticas de la organización. Te recomendamos que pruebes y simules todos los cambios en las políticas de tu organización. Con la Información sobre políticas, puedes realizar tareas como las siguientes:

Para obtener más información sobre estas herramientas y otras herramientas de Policy Intelligence, consulta Descripción general de Policy Intelligence.

Próximos pasos