Grâce au service de règles d'administration, vous disposez d'un contrôle centralisé et automatisé sur les ressources cloud de votre organisation. En tant qu'administrateur des règles d'administration, vous pourrez configurer des contraintes sur l'ensemble de votre hiérarchie des ressources.
Avantages
- Centralisez le contrôle pour configurer des restrictions sur l'utilisation des ressources de votre organisation.
- Définissez et établissez des garde-fous pour que vos équipes de développement puissent respecter les limites de conformité.
- Aidez les porteurs de projets et leurs équipes à agir rapidement sans craindre de se soustraire à la conformité.
Cas d'utilisation courants
Les règles d'administration sont constituées de contraintes vous permettant d'effectuer les opérations suivantes :
- Limiter le partage des ressources en fonction du domaine.
- Limiter l'utilisation des comptes de service Identity and Access Management.
- Limiter l'emplacement physique des ressources nouvellement créées.
Il existe de nombreuses autres contraintes qui vous permettent de contrôler avec précision les ressources de votre organisation. Pour en savoir plus, consultez la liste de toutes les contraintes du service de règles d'administration.
Différences avec Identity and Access Management
Identity and Access Management se concentre sur la réponse à la question qui, et permet à l'administrateur d'autoriser une personne à prendre des mesures sur les ressources spécifiques en fonction des autorisations.
La règle d'administration met l'accent sur la réponse à la question quoi, et permet à l'administrateur de définir des restrictions sur des ressources spécifiques afin de déterminer leur configuration.
Concepts clés
Règle d'administration
Une règle d'administration est une configuration de restrictions. En tant qu'administrateur de règles d'administration, vous définissez une règle d'administration sur des organisations, des dossiers et des projets afin d'appliquer les restrictions sur ces ressources et leurs descendants.
Pour définir une règle d'administration, vous devez choisir une contrainte, qui constitue un type de restriction spécifique à un service Google Cloud ou à un groupe de services Google Cloud. Vous configurez cette contrainte avec les restrictions que vous souhaitez.
Les descendants du nœud de la hiérarchie des ressources ciblé héritent de la règle d'administration. En appliquant une règle d'administration au nœud d'organisation racine, vous pouvez contrôler efficacement l'application de cette règle d'administration et la configuration des restrictions dans l'ensemble de votre organisation.
Contraintes
Une contrainte est un type de restriction donné appliqué à un service Google Cloud ou à une liste de services Google Cloud. On peut la considérer comme un modèle définissant les comportements à contrôler. Ce modèle est ensuite appliqué à un nœud de hiérarchie des ressources en tant que règle d'administration, qui met en œuvre les règles définies dans la contrainte. Le service Google Cloud mappé sur cette contrainte et associé à ce nœud de hiérarchie de ressources applique alors les restrictions configurées dans la règle d'administration.
Une contrainte comporte un type, liste ou booléen. Les contraintes de liste évaluent la contrainte à l'aide d'une liste de valeurs autorisées ou refusées que vous fournissez, telles qu'une liste blanche d'adresses IP pouvant se connecter à une machine virtuelle. Les contraintes booléennes sont appliquées ou non pour une ressource donnée et régissent un comportement spécifique, par exemple la possibilité de créer des comptes de service externes.
| Type de contrainte | Besoin | Configuration de la contrainte |
|---|---|---|
| Liste | Limiter la configuration des adresses IP externes à une liste d'instances |
resource: "organizations/ORGANIZATION_ID"
policy: {
constraint: "constraints/compute.vmExternalIpAccess"
listPolicy: {
allowedValues: [
projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
]
}
} |
| Booléen | Désactiver la création de comptes de service |
resource: "organizations/ORGANIZATION_ID"
policy: {
constraint: "constraints/iam.disableServiceAccountCreation"
booleanPolicy: {
enforced: true
}
} |
Chaque service Google Cloud évalue les valeurs et les types de contraintes pour déterminer ce qui doit être restreint. Pour en savoir plus sur les contraintes, consultez la page Comprendre les contraintes.
Contraintes personnalisées
Les contraintes personnalisées peuvent autoriser ou limiter la création et la mise à jour de ressources de la même manière que les contraintes prédéfinies, mais elles permettent aux administrateurs de configurer des conditions basées sur des paramètres de requête et d'autres métadonnées.
Vous pouvez créer des contraintes personnalisées qui limitent les opérations sur certaines ressources de service, telles que les ressources NodePool Dataproc. Pour obtenir la liste des ressources de service compatibles avec les contraintes personnalisées, consultez la section Services compatibles avec les contraintes personnalisées.
Pour en savoir plus sur l'utilisation de contraintes personnalisées dans les règles d'administration, consultez la page Créer et gérer des contraintes personnalisées.
Héritage
Lorsqu'une règle d'administration est définie sur un nœud de hiérarchie des ressources, tous les descendants de ce nœud de hiérarchie des ressources héritent de la règle d'administration par défaut. Si vous définissez une règle d'administration sur le nœud d'organisation racine, tous les dossiers enfants, projets et ressources de service héritent de la configuration de ces restrictions telle que définie par la règle.
Un utilisateur disposant du rôle Administrateur de règle d'administration peut définir des nœuds de hiérarchie des ressources descendants avec une autre règle d'administration qui écrase l'héritage ou les fusionne en fonction des règles d'évaluation hiérarchique. Cela permet de contrôler précisément l'application des règles d'administration dans votre organisation et le lieu où vous souhaitez créer des exceptions.
Pour en savoir plus sur l'évaluation hiérarchique, consultez la page Comprendre le processus d'évaluation hiérarchique.
Cas de non-respect des règles
Un non-respect survient lorsqu'un service Google Cloud agit ou se trouve dans un état opposé à la configuration de restriction de la règle d'administration définie dans le champ d'application de sa hiérarchie des ressources. Les services Google Cloud appliquent des contraintes pour empêcher le non-respect des règles, mais l'application de nouvelles règles d'administration n'est généralement pas rétroactive. Si une contrainte liée à une règle d'administration est appliquée de manière rétroactive, elle est libellée comme telle sur la page Contraintes liées aux règles d'administration.
Si une nouvelle règle d'administration définit une restriction applicable à une action ou un état dans lequel un service est déjà intégré, le système considère bien qu'il y a violation de la règle mais le service n'arrête pas son comportement d'origine. Vous devrez traiter ce non-respect manuellement. Cela évite le risque qu'une nouvelle règle d'administration arrête complètement la continuité de votre activité.
Étapes suivantes
- Lire la page Créer et gérer des organisations pour savoir comment acquérir une ressource d'organisation.
- Découvrez comment créer et gérer des règles d'administration avec la console Google Cloud.
- Apprenez à définir des règles d'administration à l'aide de contraintes.
- Découvrez les solutions réalisables avec les contraintes de règles d'administration.