Présentation du service de règles d'administration

Grâce au service de règles d'administration, vous disposez d'un contrôle centralisé et automatisé sur les ressources cloud de votre organisation. En tant qu'administrateur des règles d'administration, vous pourrez configurer des restrictions sur l'ensemble de votre hiérarchie des ressources.

Avantages

  • Centralisez le contrôle pour configurer des restrictions sur l'utilisation des ressources de votre organisation.
  • Définissez et établissez des garde-fous pour que vos équipes de développement puissent respecter les limites de conformité.
  • Aidez les porteurs de projets et leurs équipes à agir rapidement sans craindre de se soustraire à la conformité.

Cas d'utilisation courants

Consultez la liste de toutes les contraintes du service de règles d'administration.

Différences avec Cloud Identity and Access Management

Cloud Identity and Access Management se concentre sur la réponse à la question qui, et permet à l'administrateur d'autoriser une personne à prendre des mesures sur les ressources spécifiques en fonction des autorisations.

La règle d'administration met l'accent sur la réponse à la question quoi, et permet à l'administrateur de définir des restrictions sur des ressources spécifiques afin de déterminer leur configuration.

Concepts clés

Règle d'administration

Une règle d'administration est une configuration de restrictions. En tant qu'administrateur de règles d'administration, vous définissez une règle d'administration et vous la définissez sur un nœud de hiérarchie des ressources afin d'appliquer les restrictions sur ce nœud de hiérarchie des ressources et ses descendants.

Pour définir une règle d'administration, vous devez choisir une contrainte, qui constitue un type de restriction spécifique à un service Google Cloud ou à un groupe de services Google Cloud. Vous configurez cette contrainte avec les restrictions que vous souhaitez.

Les descendants du nœud de la hiérarchie des ressources ciblé héritent de la règle d'administration. En appliquant une règle d'administration au nœud d'organisation racine, vous pouvez contrôler efficacement l'application de cette règle d'administration et la configuration des restrictions dans l'ensemble de votre organisation.

Concepts de règle d'administration

Contraintes

Une contrainte est un type de restriction donné appliqué à un service Google Cloud ou à une liste de services Google Cloud. On peut la considérer comme un modèle définissant les comportements à contrôler. Ce modèle est ensuite appliqué à un nœud de hiérarchie des ressources en tant que règle d'administration, qui met en œuvre les règles définies dans la contrainte. Le service Google Cloud mappé sur cette contrainte et associé à ce nœud de hiérarchie des ressources applique alors les restrictions configurées dans la règle d'administration.

Une contrainte comporte un type, liste ou booléen. Les contraintes de liste évaluent la contrainte à l'aide d'une liste de valeurs autorisées ou refusées que vous fournissez, telles qu'une liste blanche d'adresses IP pouvant se connecter à une machine virtuelle. Les contraintes booléennes sont appliquées ou non pour une ressource donnée et régissent un comportement spécifique, par exemple la possibilité de créer des comptes de service externes.

Type de contrainte Besoin Configuration de la contrainte
Liste Limiter la configuration des adresses IP externes à une liste d'instances

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
Booléen Désactiver la création de comptes de service

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation
  booleanPolicy: {
    enforced: true
  }
}

Chaque service Google Cloud évalue les valeurs et les types de contraintes pour déterminer ce qui doit être restreint. Pour en savoir plus sur les contraintes, consultez la page Comprendre les contraintes.

Héritage

Lorsqu'une règle d'administration est définie sur un nœud de hiérarchie des ressources, tous les descendants de ce nœud de hiérarchie des ressources héritent de la règle d'administration par défaut. Si vous définissez une règle d'administration sur le nœud d'organisation racine, tous les dossiers enfants, projets et ressources de service héritent de la configuration de ces restrictions telle que définie par la règle.

Un utilisateur disposant du rôle Administrateur de règle d'administration peut définir des nœuds de hiérarchie des ressources descendants avec une autre règle d'administration qui écrase l'héritage ou les fusionne en fonction des règles d'évaluation hiérarchique. Cela permet de contrôler précisément l'application des règles d'administration dans votre organisation et le lieu où vous souhaitez créer des exceptions.

Pour en savoir plus sur l'évaluation hiérarchique, consultez la page Comprendre le processus d'évaluation hiérarchique.

Cas de non-respect des règles

Un non-respect survient lorsqu'un service Google Cloud agit ou se trouve dans un état opposé à la configuration de la restriction de la règle d'administration définie dans le champ d'application de sa hiérarchie des ressources. Normalement, les services GCP appliquent une contrainte pour empêcher le non-respect, mais l'application d'une nouvelle règle d'administration n'est pas rétroactive.

Si une nouvelle règle d'administration définit une restriction applicable à une action ou un état dans lequel un service est déjà intégré, la règle est considérée comme non conforme, mais le service n'arrêtera pas son comportement d'origine. Vous devrez traiter ce non-respect manuellement. Cela évite le risque qu'une nouvelle règle d'administration arrête complètement la continuité de votre activité.

Étapes suivantes