Présentation du service de règles d'organisation

Grâce au service de règles d'administration, vous disposez d'un contrôle centralisé et automatisé sur les ressources cloud de votre organisation. En tant qu'administrateur des règles d'administration, vous pourrez configurer des restrictions sur l'ensemble de votre hiérarchie des ressources.

Avantages

  • Centralisez le contrôle pour configurer des restrictions sur l'utilisation des ressources de votre organisation.
  • Définissez et établissez des garde-fous pour que vos équipes de développement puissent respecter les limites de conformité.
  • Aidez les porteurs de projets et leurs équipes à agir rapidement sans craindre de se soustraire à la conformité.

Exemples d'utilisation courants

Consultez la liste de toutes les contraintes du service de règles d'administration.

Différences avec Cloud Identity and Access Management

Cloud Identity and Access Management se concentre sur la réponse à la question qui, et permet à l'administrateur d'autoriser une personne à prendre des mesures sur les ressources spécifiques en fonction des autorisations.

La règle d'administration met l'accent sur la réponse à la question quoi, et permet à l'administrateur de définir des restrictions sur des ressources spécifiques afin de déterminer leur configuration.

Concepts clés

Règle d'administration

Une règle d'administration est une configuration de restrictions. En tant qu'administrateur de règles d'administration, vous définissez une règle d'administration et vous la définissez sur un nœud de hiérarchie des ressources afin d'appliquer les restrictions sur ce nœud de hiérarchie des ressources et ses descendants.

Afin de définir une règle d'administration, vous choisissez une contrainte, qui est un type particulier de restriction vis-à-vis d'un service GCP ou d'un groupe de services GCP. Vous configurez cette contrainte avec les restrictions que vous souhaitez.

Les descendants du nœud de la hiérarchie des ressources ciblé héritent de la règle d'administration. En appliquant une règle d'administration au nœud d'organisation racine, vous pouvez contrôler efficacement l'application de cette règle d'administration et la configuration des restrictions dans l'ensemble de votre organisation.

Concepts de règle d'administration

Contraintes

Une contrainte est un type particulier de restriction sur un service GCP ou une liste de services GCP. On peut la considérer comme un modèle définissant les comportements à contrôler. Ce modèle est ensuite appliqué à un nœud de hiérarchie des ressources en tant que règle d'administration, qui met en œuvre les règles définies dans la contrainte. Le service GCP mappé sur cette contrainte et associé à ce nœud de hiérarchie de ressources applique alors les restrictions configurées dans la règle d'administration.

Une contrainte comporte un type, liste ou booléen. Les contraintes de liste évaluent la contrainte à l'aide d'une liste de valeurs autorisées ou refusées que vous fournissez, telles qu'une liste blanche d'adresses IP pouvant se connecter à une machine virtuelle. Les contraintes booléennes sont appliquées ou non pour une ressource donnée et régissent un comportement spécifique, par exemple la possibilité de créer des comptes de service externes.

Type de contrainte Besoin Configuration de la contrainte
List Limiter la configuration des adresses IP externes à une liste d'instances

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
Booléen Désactiver la création de comptes de service

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation
  booleanPolicy: {
    enforced: true
  }
}

Chaque service GCP évalue les valeurs et les types de contrainte pour déterminer ce qui doit être restreint. Pour en savoir plus sur les contraintes, consultez la page Comprendre les contraintes.

Héritage

Lorsqu'une règle d'administration est définie sur un nœud de hiérarchie des ressources, tous les descendants de ce nœud de hiérarchie des ressources héritent de la règle d'administration par défaut. Si vous définissez une règle d'administration sur le nœud d'organisation racine, tous les dossiers enfants, projets et sous-projets héritent de la configuration de ces restrictions telle que définie par la règle.

Un utilisateur disposant du rôle Administrateur de règle d'administration peut définir des nœuds de hiérarchie des ressources descendants avec une autre règle d'administration qui écrase l'héritage ou les fusionne en fonction des règles d'évaluation hiérarchique. Cela permet de contrôler précisément l'application des règles d'administration dans votre organisation et le lieu où vous souhaitez créer des exceptions.

Pour en savoir plus sur l'évaluation hiérarchique, consultez la page Comprendre le processus d'évaluation hiérarchique.

Cas de non-respect des règles

Un non-respect survient lorsqu'un service GCP agit ou se trouve dans un état opposé à la configuration de la restriction de la règle d'administration dans le champ d'application de sa hiérarchie des ressources. Normalement, les services GCP appliquent une contrainte pour empêcher le non-respect, mais l'application d'une nouvelle règle d'administration n'est pas rétroactive.

Si une nouvelle règle d'administration définit une restriction applicable à une action ou un état dans lequel un service est déjà intégré, la règle est considérée comme non conforme, mais le service n'arrêtera pas son comportement d'origine. Vous devrez traiter ce non-respect manuellement. Cela évite le risque qu'une nouvelle règle d'administration arrête complètement la continuité de votre activité.

Étapes suivantes

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation relative à Resource Manager