Il servizio Criteri dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse cloud della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, potrai configurare vincoli nell'intera gerarchia delle risorse.
Vantaggi
- Centralizza il controllo per configurare limitazioni sull'utilizzo delle risorse dell'organizzazione.
- Definisci e stabilisci dei sistemi di protezione per consentire ai tuoi team di sviluppo di rimanere entro i confini della conformità.
- Aiuta i proprietari dei progetti e i loro team a muoversi rapidamente senza preoccuparsi di violare la conformità.
Casi d'uso comuni
I criteri dell'organizzazione ti consentono di:
- Limita la condivisione delle risorse in base al dominio.
- Limita l'utilizzo degli account di servizio Identity and Access Management.
- Limita la località fisica delle risorse appena create.
Esistono molti altri vincoli che offrono un controllo granulare sulle risorse dell'organizzazione. Per ulteriori informazioni, consulta l'elenco di tutti i vincoli del servizio Criteri dell'organizzazione.
Differenze rispetto a Identity and Access Management
Identity and Access Management è incentrato su chi e consente all'amministratore di autorizzare l'utente a intervenire su risorse specifiche in base alle autorizzazioni.
Il criterio dell'organizzazione è incentrato su cosa e consente all'amministratore di impostare limitazioni su risorse specifiche per determinarne la configurazione.
Concetti principali
Criteri dell'organizzazione
Un criterio dell'organizzazione configura un singolo vincolo che limita uno o più servizi Google Cloud. Il criterio dell'organizzazione è impostato su un'organizzazione, una cartella o una risorsa di progetto per applicare il vincolo su quella risorsa e su qualsiasi risorsa figlio.
Un criterio dell'organizzazione contiene una o più regole che specificano come e se applicare il vincolo. Ad esempio, un criterio dell'organizzazione potrebbe contenere una regola che applica il vincolo solo alle risorse con tag environment=development e un'altra regola che impedisce l'applicazione del vincolo su altre risorse.
I discendenti della risorsa a cui è associato il criterio dell'organizzazione ereditano il criterio dell'organizzazione. Se applichi un criterio dell'organizzazione alla risorsa dell'organizzazione, l'amministratore dei criteri dell'organizzazione può controllare l'applicazione di quel criterio e la configurazione delle restrizioni all'interno dell'organizzazione.
Vincoli
Un vincolo è un tipo particolare di limitazione per un servizio Google Cloud o un elenco di servizi Google Cloud. Pensa al vincolo come a un progetto che definisce quali comportamenti vengono controllati. Questo progetto viene quindi applicato a una risorsa nella gerarchia delle risorse come criterio dell'organizzazione, che implementa le regole definite nel vincolo. Il servizio Google Cloud mappato a quel vincolo e associato al nodo della gerarchia delle risorse applicherà quindi le restrizioni configurate all'interno del criterio dell'organizzazione.
Un vincolo può avere un tipo, ovvero elenco o boolean. Elenca i vincoli per valutarli con un elenco di valori consentiti o negati da te forniti. Ad esempio, il seguente vincolo limita gli indirizzi IP che possono connettersi a una macchina virtuale:
name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
- projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME
I vincoli booleani vengono applicati o meno per una determinata risorsa e regolano un comportamento specifico. Ad esempio, il seguente vincolo determina se è possibile creare account di servizio esterni:
name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
I tag forniscono un modo per applicare in modo condizionale i vincoli a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei vincoli per fornire un controllo centralizzato delle risorse nella gerarchia.
Ad esempio, il vincolo seguente disabilita Cloud Logging per le risorse
contrassegnate con environment=development, ma lo abilita ovunque:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
rules:
- condition:
expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
title: ""
enforce: true
- enforce: false
Ogni servizio Google Cloud valuta i tipi e i valori dei vincoli per determinare cosa deve essere limitato. Per ulteriori informazioni sui vincoli, consulta la pagina Informazioni sui vincoli.
Criteri dell'organizzazione personalizzati
I criteri dell'organizzazione personalizzati possono consentire o limitare la creazione e l'aggiornamento delle risorse nello stesso modo dei criteri dell'organizzazione predefiniti, ma consentono agli amministratori di configurare condizioni in base ai parametri della richiesta e ad altri metadati.
Puoi creare criteri dell'organizzazione personalizzati con vincoli che limitano le operazioni su determinate risorse di servizio, ad esempio le risorse NodePool di Dataproc. Per un elenco delle risorse di servizio che supportano i vincoli personalizzati, consulta Servizi supportati dai vincoli personalizzati.
Per scoprire di più sull'utilizzo dei criteri dell'organizzazione personalizzati, vedi Creazione e gestione dei criteri dell'organizzazione personalizzati.
Ereditarietà
Quando un criterio dell'organizzazione viene impostato su una risorsa, tutti i discendenti di quella risorsa ereditano il criterio dell'organizzazione per impostazione predefinita. Se imposti un criterio dell'organizzazione sulla risorsa dell'organizzazione, la configurazione delle restrizioni definite da tale criterio verrà trasmessa a tutte le cartelle, i progetti e le risorse di servizio discendenti.
Un utente con il ruolo Amministratore criteri organizzazione può impostare nodi della gerarchia delle risorse discendenti con un altro criterio dell'organizzazione che sovrascriva l'ereditarietà o li unisce in base alle regole di valutazione della gerarchia. Ciò fornisce un controllo preciso su come i criteri dell'organizzazione si applicano in tutta l'organizzazione e su dove si desidera che vengano applicate le eccezioni.
Per saperne di più sulla valutazione della gerarchia, consulta la pagina Informazioni sulla gerarchia.
Violazioni
Una violazione si verifica quando un servizio Google Cloud agisce o si trova in uno stato in contrasto con la configurazione delle limitazioni dei criteri dell'organizzazione nell'ambito della sua gerarchia delle risorse. I servizi Google Cloud applicheranno vincoli per prevenire le violazioni, ma l'applicazione di nuovi criteri dell'organizzazione in genere non è retroattiva. Se un vincolo del criterio dell'organizzazione viene applicato in modo retroattivo, verrà etichettato come tale nella pagina Vincoli dei criteri dell'organizzazione.
Se un nuovo criterio dell'organizzazione imposta una limitazione su un'azione o uno stato in cui un servizio è già presente, il criterio viene considerato in violazione, ma il servizio non ne interrompe il comportamento originale. Dovrai risolvere questa violazione manualmente. In questo modo si evita il rischio che un nuovo criterio dell'organizzazione causi completamente la continuità aziendale.
Passaggi successivi
- Leggi la pagina Creazione e gestione delle organizzazioni per scoprire come acquisire una risorsa dell'organizzazione.
- Scopri come creare e gestire i criteri dell'organizzazione con la console Google Cloud.
- Scopri come definire i criteri dell'organizzazione utilizzando i vincoli.
- Esplora le soluzioni che puoi realizzare con i vincoli dei criteri dell'organizzazione.