Introducción al Servicio de políticas de la organización

El Servicio de políticas de la organización te brinda un control centralizado y programático sobre los recursos en la nube de tu organización. Como el administrador de políticas de la organización, podrás configurar restricciones en toda la jerarquía de recursos.

Beneficios

  • Centraliza el control para configurar restricciones sobre cómo se pueden usar los recursos de tu organización.
  • Define y establece barreras de seguridad para que tus equipos de desarrollo se mantengan dentro de los límites de cumplimiento.
  • Ayuda a los propietarios de proyectos y sus equipos a moverse con rapidez sin preocuparse por romper el cumplimiento.

Casos prácticos habituales

Consulta la lista de todas las restricciones del Servicio de políticas de la organización.

Diferencias con Cloud Identity and Access Management

Cloud Identity and Access Management se enfoca en el quién y permite que el administrador autorice quién puede tomar medidas sobre recursos específicos en función de los permisos.

La política de la organización se enfoca en el qué y permite al administrador establecer restricciones en recursos específicos para determinar cómo se pueden configurar.

Conceptos clave

Política de la organización

Una política de la organización es una configuración de restricciones. Como administrador de políticas de la organización, define una política de la organización en carpetas, proyectos y organizaciones para aplicar las restricciones en ese recurso y sus descendientes.

Para definir una política de la organización, eliges una restricción, que es un tipo particular de restricción contra un servicio de Google Cloud o un grupo de servicios de Google Cloud. Configuras esa restricción con las restricciones deseadas.

Los descendientes del nodo de jerarquía de recursos objetivo heredan la política de la organización. Si aplicas una política de la organización al nodo raíz de la organización, puedes impulsar de manera eficaz la aplicación de esa política de la organización y la configuración de restricciones en toda tu organización.

Conceptos de políticas de la organización

Limitaciones

Una restricción es un tipo particular de restricción contra un Servicio de Google Cloud o una lista de servicios de Google Cloud. Piensa en la restricción como un plan que define qué comportamientos se controlan. Luego, este plano técnico se aplica en un nodo de la jerarquía de recursos como una política de la organización, que implementa las reglas definidas en la restricción. El servicio de Google Cloud asignado a esa restricción y asociado con ese nodo de jerarquía de recursos impondrá las restricciones configuradas dentro de la política de la organización.

Una restricción tiene un tipo, ya sea lista o booleano. Las restricciones de lista evalúan la restricción con una lista de valores permitidos o denegados que tú proporcionas, como una lista blanca de direcciones IP que pueden conectarse a una máquina virtual. Las restricciones booleanas o se aplican o no se aplican para un recurso determinado y rigen un comportamiento específico, como la posibilidad de crear cuentas de servicio externas.

Tipo de restricción Necesidad empresarial Configuración de la restricción
Lista Restringir la configuración de IP externas a una lista de instancias 

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
Booleano Inhabilitar la creación de cuentas de servicio 

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation"
  booleanPolicy: {
    enforced: true
  }
}

Cada servicio de Google Cloud evalúa los valores y tipos de restricciones para determinar qué se debe restringir. Para obtener más información sobre las restricciones, consulta la página sobre cómo comprender las restricciones.

Herencia

Cuando una política de la organización se establece en un nodo de jerarquía de recursos, todos los descendientes de ese nodo heredan la política de la organización de forma predeterminada. Si estableces una política de la organización en el nodo de organización raíz, la configuración de restricciones definidas por esa política se transmitirá a través de todas las carpetas, proyectos y recursos de servicio descendientes.

Un usuario con la función Administrador de políticas de la organización puede establecer nodos de jerarquía de recursos descendientes con otra política de la organización que reemplace la herencia o los fusione según las reglas de evaluación de jerarquía. Esto proporciona un control preciso sobre cómo se aplican las políticas de la organización en toda tu organización y dónde deseas que se hagan las excepciones.

Para obtener más información sobre la evaluación de jerarquías, consulta la documentación sobre jerarquías.

Incumplimientos

Un incumplimiento es cuando un servicio Google Cloud actúa o está en un estado contrario a la configuración de restricción de políticas de la organización dentro del alcance de su jerarquía de recursos. Los servicios de Google Cloud impondrán restricciones para evitar el incumplimiento, pero la aplicación de nuevas políticas de la organización no suele ser retroactiva. Si una restricción de política de la organización se aplica de manera retroactiva, se etiquetará como tal en la página Restricciones de las políticas de la organización.

Si una política de la organización nueva establece una restricción en una acción o estado en el cual ya hay un servicio, se considera que la política se está incumpliendo, pero el servicio no detendrá su comportamiento original. Deberás abordar este incumplimiento de forma manual. Esto previene el riesgo de que una nueva política de la organización cierre por completo la continuidad de tu negocio.

Próximos pasos