El Servicio de políticas de la organización te brinda un control centralizado y programático sobre los recursos en la nube de tu organización. Como administrador de políticas de la organización, podrás configurar restricciones en toda la jerarquía de recursos.
Ventajas
- Centraliza el control para configurar restricciones sobre cómo se pueden usar los recursos de tu organización.
- Define y establece barreras de seguridad para que tus equipos de desarrollo se mantengan dentro de los límites de cumplimiento.
- Ayuda a los propietarios de proyectos y sus equipos a moverse con rapidez sin preocuparse por romper el cumplimiento.
Casos de uso habituales
Las políticas de la organización te permiten hacer lo siguiente:
- Limita el uso compartido de recursos según el dominio.
- Limita el uso de las cuentas de servicio de Identity and Access Management.
- Restringe la ubicación física de los recursos recién creados.
Hay muchas más restricciones que te brindan un control detallado de los recursos de tu organización. Para obtener más información, consulta la lista de todas las restricciones del Servicio de políticas de la organización.
Diferencias con Identity and Access Management
La administración de identidades y accesos se enfoca en el quién y permite que el administrador autorice quién puede tomar medidas sobre recursos específicos en función de los permisos.
La política de la organización se enfoca en el qué y permite al administrador establecer restricciones en recursos específicos para determinar cómo se pueden configurar.
Conceptos clave
Política de la organización
Una política de la organización configura una sola restricción que restringe uno o más servicios de Google Cloud. La política de la organización se establece en un recurso de organización, carpeta o proyecto para aplicar la restricción en ese recurso y cualquier recurso secundario.
Una política de la organización contiene una o más reglas que especifican cómo y si se debe aplicar la restricción. Por ejemplo, una política de la organización podría contener una regla que aplique la restricción solo en los recursos etiquetados como environment=development
y otra regla que evite que la restricción se aplique de manera forzosa en otros recursos.
Los descendientes del recurso al que se adjunta la política de la organización heredan la política de la organización. Cuando se aplica una política de la organización al recurso de la organización, el administrador de políticas de la organización puede controlar la aplicación de esa política y la configuración de restricciones en toda tu organización.
Limitaciones
Una restricción es un tipo particular de restricción contra un Servicio de Google Cloud o una lista de servicios de Google Cloud. Piensa en la restricción como un plano técnico que define qué comportamientos se controlan. Luego, este plano se aplica a un recurso en tu jerarquía de recursos como una política de la organización, que implementa las reglas definidas en la restricción. El servicio de Google Cloud asignado a esa restricción y asociado con ese nodo de jerarquía de recursos impondrá las restricciones configuradas dentro de la política de la organización.
Una restricción tiene un tipo, ya sea lista o boolean. Las restricciones de lista evalúan la restricción con una lista de valores permitidos o denegados que proporcionas. Por ejemplo, la siguiente restricción restringe las direcciones IP que se pueden conectar a una máquina virtual:
name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
- projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME
Las restricciones booleanas se aplican o no se aplican a un recurso determinado y rigen un comportamiento específico. Por ejemplo, la siguiente restricción determina si se pueden crear cuentas de servicio externas:
name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Las etiquetas proporcionan una forma de aplicar restricciones de manera condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de restricciones para proporcionar un control centralizado de los recursos en tu jerarquía.
Por ejemplo, la siguiente restricción inhabilita Cloud Logging para los recursos etiquetados con environment=development
, pero lo habilita en los demás lugares:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
rules:
- condition:
expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
title: ""
enforce: true
- enforce: false
Cada servicio de Google Cloud evalúa los valores y tipos de restricciones para determinar qué se debe restringir. Para obtener más información sobre las restricciones, consulta la página sobre cómo comprender las restricciones.
Políticas de la organización personalizadas
Las políticas de la organización personalizadas pueden permitir o restringir la creación y las actualizaciones de recursos de la misma manera que las políticas de la organización predefinidas, pero permiten que los administradores configuren condiciones según los parámetros de solicitud y otros metadatos.
Puedes crear políticas de la organización personalizadas con restricciones que restrinjan las operaciones en ciertos recursos de servicio, como los recursos NodePool
de Dataproc. Para obtener una lista de recursos de servicio que admiten restricciones personalizadas, consulta Servicios compatibles con restricciones personalizadas.
Para obtener más información sobre cómo usar las políticas de la organización personalizadas, consulta Crea y administra políticas de la organización personalizadas.
Herencia
Cuando se configura una política de la organización en un recurso, todos los subordinados de ese recurso heredan la política de la organización de forma predeterminada. Si estableces una política de la organización en el recurso de la organización, la configuración de las restricciones definidas por esa política se transmitirá a través de todas las carpetas, proyectos y recursos de servicio subordinados.
Un usuario con la función Administrador de políticas de la organización puede establecer nodos de jerarquía de recursos descendientes con otra política de la organización que reemplace la herencia o los fusione según las reglas de evaluación de jerarquía. Esto proporciona un control preciso de cómo se aplican las políticas de la organización en toda tu organización y dónde deseas que se hagan las excepciones.
Para obtener más información sobre la evaluación de jerarquías, consulta la documentación sobre jerarquías.
Incumplimientos
Un incumplimiento es cuando un servicio Google Cloud actúa o está en un estado contrario a la configuración de restricción de políticas de la organización dentro del alcance de su jerarquía de recursos. Los servicios de Google Cloud impondrán restricciones para evitar infracciones, pero la aplicación de las políticas de la organización nuevas en general no es retroactiva. Si una restricción de política de la organización se aplica de manera retroactiva, se etiquetará como tal en la página Restricciones de las políticas de la organización.
Si una política de la organización nueva establece una restricción en una acción o estado en el cual ya hay un servicio, se considera que la política se está incumpliendo, pero el servicio no detendrá su comportamiento original. Deberás abordar este incumplimiento de forma manual. Esto previene el riesgo de que una nueva política de la organización cierre por completo la continuidad de tu negocio.
Próximos pasos
- Lee la página sobre cómo crear y administrar organizaciones para obtener información sobre la adquisición de recursos de la organización.
- Obtén información para crear y administrar políticas de la organización con la consola de Google Cloud.
- Obtén información sobre cómo definir las políticas de la organización con restricciones.
- Explora las soluciones que puedes alcanzar con restricciones de políticas de la organización.