Se usó la API de Cloud Translation para traducir esta página.

Introducción al Servicio de políticas de la organización

El Servicio de políticas de la organización te brinda un control centralizado y programático sobre los recursos en la nube de tu organización. Como administrador de políticas de la organización, podrás configurar restricciones en toda la jerarquía de recursos.

Beneficios

Centraliza el control para configurar restricciones sobre cómo se pueden usar los recursos de tu organización.
Define y establece barreras de seguridad para que tus equipos de desarrollo se mantengan dentro de los límites de cumplimiento.
Ayuda a los propietarios de proyectos y sus equipos a moverse con rapidez sin preocuparse por romper el cumplimiento.

Casos prácticos habituales

Las políticas de la organización constan de restricciones que te permiten hacer lo siguiente:

Limite el uso compartido de recursos según el dominio.
Limita el uso de las cuentas de servicio de Identity and Access Management.
Restringe la ubicación física de los recursos recién creados.

Hay muchas más restricciones que te brindan un control detallado de los recursos de tu organización Para obtener más información, consulta la lista de todas las restricciones del Servicio de políticas de la organización.

Diferencias con la administración de identidades y accesos

La administración de identidades y accesos se enfoca en el quién y permite que el administrador autorice quién puede tomar medidas sobre recursos específicos en función de los permisos.

La política de la organización se enfoca en el qué y permite al administrador establecer restricciones en recursos específicos para determinar cómo se pueden configurar.

Conceptos clave

Política de la organización

Una política de la organización es una configuración de restricciones. Como administrador de políticas de la organización, define una política de la organización en carpetas, proyectos y organizaciones para aplicar las restricciones en ese recurso y sus descendientes.

Para definir una política de la organización, eliges una restricción, que es un tipo particular de restricción contra un servicio de Google Cloud o un grupo de servicios de Google Cloud. Configuras esa restricción con las restricciones deseadas.

Los descendientes del nodo de jerarquía de recursos objetivo heredan la política de la organización. Si aplicas una política de la organización al nodo raíz de la organización, puedes impulsar de manera eficaz la aplicación de esa política de la organización y la configuración de restricciones en toda tu organización.

Conceptos de políticas de la organización

Limitaciones

Una restricción es un tipo particular de restricción contra un Servicio de Google Cloud o una lista de servicios de Google Cloud. Piensa en la restricción como un plan que define qué comportamientos se controlan. Luego, este plano técnico se aplica en un nodo de la jerarquía de recursos como una política de la organización, que implementa las reglas definidas en la restricción. El servicio de Google Cloud asignado a esa restricción y asociado con ese nodo de jerarquía de recursos impondrá las restricciones configuradas dentro de la política de la organización.

Una restricción tiene un tipo, ya sea lista o booleano. Las restricciones de lista evalúan la restricción con una lista de valores permitidos o denegados que tú proporcionas, como una lista de entradas permitidas de direcciones IP que pueden conectarse a una máquina virtual. Las restricciones booleanas o se aplican o no se aplican para un recurso determinado y rigen un comportamiento específico, como la posibilidad de crear cuentas de servicio externas.

Tipo de restricción	Necesidad empresarial	Configuración de la restricción
Lista	Restringir la configuración de IP externas a una lista de instancias	resource: "organizations/`ORGANIZATION_ID`" policy: { constraint: "constraints/compute.vmExternalIpAccess" listPolicy: { allowedValues: [ projects/`PROJECT_NAME`/zones/`ZONE_ID`/instances/`INSTANCE_NAME`, projects/`PROJECT_NAME`/zones/`ZONE_ID`/instances/`INSTANCE_NAME` ] } }
Booleano	Inhabilita la creación de cuentas de servicio	resource: "organizations/`ORGANIZATION_ID`" policy: { constraint: "constraints/iam.disableServiceAccountCreation" booleanPolicy: { enforced: true } }

Tipo de restricción

Necesidad empresarial

Configuración de la restricción

Lista

Restringir la configuración de IP externas a una lista de instancias


resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}

Booleano

Inhabilita la creación de cuentas de servicio


resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation"
  booleanPolicy: {
    enforced: true
  }
}

Cada servicio de Google Cloud evalúa los valores y tipos de restricciones para determinar qué se debe restringir. Para obtener más información sobre las restricciones, consulta la página sobre cómo comprender las restricciones.

Herencia

Cuando una política de la organización se establece en un nodo de jerarquía de recursos, todos los descendientes de ese nodo heredan la política de la organización de forma predeterminada. Si estableces una política de la organización en el nodo de organización raíz, la configuración de restricciones definidas por esa política se transmitirá a través de todas las carpetas, proyectos y recursos de servicio descendientes.

Un usuario con la función Administrador de políticas de la organización puede establecer nodos de jerarquía de recursos descendientes con otra política de la organización que reemplace la herencia o los fusione según las reglas de evaluación de jerarquía. Esto proporciona un control preciso de cómo se aplican las políticas de la organización en toda tu organización y dónde deseas que se hagan las excepciones.

Para obtener más información sobre la evaluación de jerarquías, consulta la documentación sobre jerarquías.

Incumplimientos

Un incumplimiento es cuando un servicio Google Cloud actúa o está en un estado contrario a la configuración de restricción de políticas de la organización dentro del alcance de su jerarquía de recursos. Los servicios de Google Cloud impondrán restricciones para evitar infracciones, pero la aplicación de las políticas de la organización nuevas en general no es retroactiva. Si una restricción de política de la organización se aplica de manera retroactiva, se etiquetará como tal en la página Restricciones de las políticas de la organización.

Si una política de la organización nueva establece una restricción en una acción o estado en el cual ya hay un servicio, se considera que la política se está incumpliendo, pero el servicio no detendrá su comportamiento original. Deberás abordar este incumplimiento de forma manual. Esto previene el riesgo de que una nueva política de la organización cierre por completo la continuidad de tu negocio.

Próximos pasos

Lee la página sobre cómo crear y administrar organizaciones para obtener información sobre la adquisición de recursos de la organización.
Lee sobre cómo crear y administrar políticas de la organización con Google Cloud Console.
Obtén información sobre cómo definir las políticas de la organización con restricciones.
Explora las soluciones que puedes alcanzar con restricciones de políticas de la organización.