Introdução ao serviço Política da organização

O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos de nuvem da sua organização. Como administrador de políticas da organização, você pode configurar restrições em toda a hierarquia de recursos.

Vantagens

  • Centralize o controle para configurar restrições sobre o uso dos recursos da organização.
  • Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
  • Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.

Casos de uso comuns

Com as políticas da organização, você pode fazer o seguinte:

Há muitas outras restrições que dão a você um controle minucioso dos recursos da organização. Para mais informações, consulte a lista de todas as restrições de serviço de políticas da organização.

Diferenças do gerenciamento de identidade e acesso

O foco do gerenciamento de identidade e acesso é o usuário. Com esse produto, o administrador autoriza quem pode executar ações em recursos específicos com base nas permissões.

O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.

Como a política da organização funciona

Uma política da organização configura uma única restrição que limita um ou mais serviços do Google Cloud. A política da organização é definida em um recurso de organização, pasta ou projeto para aplicar a restrição a esse recurso e a todos os recursos filhos.

Uma política da organização contém uma ou mais restrições que especificam como e se é necessário aplicar a restrição. Por exemplo, uma política da organização pode conter uma regra que aplique a restrição apenas aos recursos marcados com environment=development e outra que impeça que a restrição seja aplicada a outros recursos.

Os descendentes do recurso ao qual a política da organização está anexada herdam a política da organização. Ao aplicar uma política da organização ao recurso da organização, o administrador de políticas da organização pode controlar a aplicação dessa política e a configuração de restrições em toda a organização.

Conceitos de políticas da organização

Restrições

Uma restrição é um tipo específico de limitação quanto a um serviço ou uma lista de serviços do Google Cloud. Pense na restrição como um esquema que define quais comportamentos são controlados. Por exemplo, é possível restringir os recursos do projeto de acessar recursos de armazenamento do Compute Engine usando a restrição compute.storageResourceUseRestrictions.

Esse blueprint é então aplicado a um recurso na hierarquia de recursos como uma política da organização, que implementa as regras definidas na restrição. O serviço do Google Cloud mapeado para essa restrição e associado a esse nó da hierarquia de recursos vai aplicar as limitações configuradas na política da organização.

Uma política da organização é definida em um arquivo YAML ou JSON pela restrição que ela aplica e, opcionalmente, pelas condições em que a restrição é aplicada. Cada política da organização impõe exatamente uma restrição no modo ativo, de simulação ou ambos.

Uma restrição tem um tipo de aplicação de lista ou booleano, que determina os valores que podem ser usados para verificar a aplicação. O serviço aplicador do Google Cloud avaliará o tipo e o valor da restrição para determinar a restrição.

Restrições de lista

Uma restrição de lista permite ou não uma lista de valores definidos em uma política da organização. Essa lista de valores é expressa como uma string de subárvore de hierarquia. A string de subárvore especifica o tipo de recurso a que se aplica. Por exemplo, a restrição de lista constraints/compute.trustedImageProjects recebe uma lista de IDs de projeto na forma de projects/PROJECT_ID.

Os valores podem receber um prefixo no formato prefix:value para restrições que ofereçam suporte a eles, o que dá ao valor um significado extra:

  • is:: aplica uma comparação com o valor exato. Esse é o mesmo comportamento de não ter um prefixo e é obrigatório quando o valor inclui um dois-pontos.

  • under:: aplica uma comparação ao valor e todos os valores derivados. Se um recurso for permitido ou negado com esse prefixo, os recursos filhos também serão permitidos ou negados. O valor fornecido precisa ser o ID de um recurso de organização, pasta ou projeto.

  • in:: aplica uma comparação a todos os recursos que incluem esse valor. Por exemplo, é possível adicionar in:us-locations à lista de negação da restrição constraints/gcp.resourceLocations para bloquear todos os locais incluídos na região us.

Se nenhuma lista de valores for fornecida ou a política da organização estiver definida como padrão gerenciado pelo Google, o comportamento padrão da restrição entrará em vigor, permitindo ou negando todos os valores.

A política da organização a seguir impõe uma restrição que permite que as instâncias de VM do Compute Engine vm-1 e vm-2 em organizations/1234567890123 acessem endereços IP externo:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Restrições booleanas

Uma restrição booleana é aplicada ou não. Por exemplo, a restrição predefinida constraints/compute.disableSerialPortAccess tem dois estados possíveis:

  • Aplicada: a restrição é aplicada e o acesso à porta serial não é permitido.
  • Não aplicada: a restrição disableSerialPortAccess não é aplicada nem verificada. Portanto, o acesso à porta serial é permitido.

Se a política da organização estiver definida como padrão gerenciado pelo Google, o comportamento padrão da restrição entrará em vigor.

A política da organização a seguir impõe uma restrição que desativa a criação de contas de serviço externas em organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Políticas personalizadas da organização

As políticas da organização personalizadas podem permitir ou restringir a criação e as atualizações de recursos da mesma forma que as políticas da organização predefinidas, mas permitem que os administradores configurem condições com base em parâmetros de solicitação e outros metadados. Use as ferramentas de inteligência de políticas para testar e analisar as políticas da sua organização personalizada.

É possível criar políticas da organização personalizadas com restrições que restringem operações em determinados recursos de serviço, como recursos do NodePool do Dataproc. Para conferir uma lista de recursos de serviço compatíveis com restrições personalizadas, consulte Serviços com suporte para restrições personalizadas.

Para saber mais sobre o uso de políticas personalizadas da organização, consulte Como criar e gerenciar políticas personalizadas da organização.

Restrições gerenciadas

As restrições gerenciadas são predefinidas e criadas na plataforma de políticas personalizadas da organização. A plataforma de políticas organizacionais personalizadas permite que as políticas da organização sejam projetadas com mais flexibilidade e com mais insights das ferramentas de Policy Intelligence.

Para saber mais sobre o uso de restrições gerenciadas, consulte Como usar restrições.

Políticas da organização no modo de simulação

Uma política da organização no modo de simulação é criada e aplicada de maneira semelhante a outras políticas da organização, e as violações da política são registradas em auditoria, mas as ações de violação não são negadas.

Você pode usar as políticas da organização no modo de simulação para monitorar como as mudanças na política afetam seus fluxos de trabalho antes da aplicação. Para mais informações, consulte Criar uma política da organização no modo de simulação.

Políticas da organização condicionais

As tags fornecem uma maneira de aplicar restrições condicionalmente com base no fato de um recurso ter ou não uma tag específica. Você pode usar tags e aplicação condicional de restrições para fornecer controle centralizado dos recursos na hierarquia.

Para mais informações sobre tags, consulte a Visão geral de tags. Para saber como definir uma política da organização condicional usando tags, consulte Como definir uma política da organização com tags.

Herança

Quando uma política da organização é definida em um recurso, todos os descendentes desse recurso herdam a política por padrão. Se você definir uma política da organização no recurso da organização, a configuração de restrições definida por essa política será transmitida a todas as pastas, projetos e recursos de serviço descendentes.

É possível definir uma política da organização em um recurso descendente que substitui a herança ou herda a política da organização do recurso pai. Nesse último caso, as duas políticas da organização são mescladas com base nas regras de avaliação da hierarquia. Isso proporciona um controle preciso sobre como as políticas da organização se aplicam a toda a organização e onde aplicar exceções.

Para saber mais, consulte Noções básicas sobre a avaliação da hierarquia.

Violações

Uma violação ocorre quando a execução ou o estado de um serviço do Google Cloud contraria a configuração de restrições da política da organização dentro do escopo da hierarquia de recursos. Os serviços do Google Cloud aplicarão restrições para evitar violações, mas a aplicação de novas políticas da organização geralmente não é retroativa. Se uma restrição de política da organização for aplicada retroativamente, ela será rotulada como tal na página Restrições da Política da Organização.

Se uma nova política da organização definir uma restrição sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não interromperá seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.

Policy Intelligence

O Policy Intelligence é um pacote de ferramentas criadas para ajudar você a gerenciar políticas de segurança. Essas ferramentas podem ajudar você a entender o uso de recursos, entender e melhorar as políticas de segurança e evitar configurações incorretas de políticas.

Algumas ferramentas do Policy Intelligence são projetadas especificamente para ajudar a testar e analisar as políticas do serviço de políticas da organização. Recomendamos que você teste e execute todas as mudanças nas políticas da sua organização. Com a Policy Intelligence, é possível realizar tarefas como:

Para saber mais sobre essas e outras ferramentas do Policy Intelligence, consulte Visão geral do Policy Intelligence.

Próximas etapas