Introdução ao serviço de políticas da organização

O serviço de políticas da organização dá-lhe um controlo centralizado e programático sobre os recursos da nuvem da sua organização. Enquanto administrador de políticas da organização, pode configurar restrições em toda a hierarquia de recursos.

Vantagens

• Centralize o controlo para configurar restrições sobre a forma como os recursos da sua organização podem ser usados.
• Defina e estabeleça restrições para que as suas equipas de desenvolvimento permaneçam dentro dos limites de conformidade.
• Ajudar os proprietários de projetos e as respetivas equipas a avançarem rapidamente sem se preocuparem com a violação da conformidade.

Exemplos de utilização comuns

As políticas da organização permitem-lhe fazer o seguinte:

• Limite a partilha de recursos com base no domínio.
• Limite a utilização de contas de serviço da gestão de identidade e de acesso (IAM).
• Restrinja a localização física dos recursos recém-criados.

Existem muitas mais restrições que lhe dão um controlo detalhado dos recursos da sua organização. Para mais informações, consulte a lista de todas as restrições do serviço de políticas de organização.

Diferenças em relação à gestão de identidade e de acesso

A gestão de identidade e de acesso centra-se em quem e permite ao administrador autorizar quem pode realizar ações em recursos específicos com base em autorizações.

A política da organização centra-se no quê e permite que o administrador defina restrições em recursos específicos para determinar como podem ser configurados.

Como funciona a política da organização

Uma política da organização configura uma única restrição que restringe um ou mais Google Cloud serviços. A política da organização é definida num recurso de organização, pasta ou projeto para aplicar a restrição nesse recurso e em quaisquer recursos subordinados.

Uma política de organização contém uma ou mais regras que especificam como e se a restrição deve ser aplicada. Por exemplo, uma política da organização pode conter uma regra que aplique a restrição apenas a recursos etiquetados com environment=development e outra regra que impeça a aplicação da restrição a outros recursos.

Os descendentes do recurso ao qual a política da organização está anexada herdam a política da organização. Ao aplicar uma política da organização ao recurso da organização, o administrador da política da organização pode controlar a aplicação dessa política da organização e a configuração de restrições em toda a organização.

Restrições

Uma restrição é um tipo específico de restrição contra um Google Cloud serviço ou uma lista de Google Cloud serviços. Pense na restrição como um plano que define os comportamentos controlados. Por exemplo, pode restringir o acesso dos recursos do projeto aos recursos de armazenamento do Compute Engine através da restrição compute.storageResourceUseRestrictions.

Em seguida, este plano é definido num recurso na sua hierarquia de recursos como uma política de organização, que aplica as regras definidas na restrição. O serviço Google Cloud mapeado para essa restrição e associado a esse recurso aplica as restrições configuradas na política da organização.

Uma política de organização é definida num ficheiro YAML ou JSON pela restrição que aplica e, opcionalmente, pelas condições em que a restrição é aplicada. Cada política da organização aplica exatamente uma restrição no modo ativo, no modo de teste ou em ambos.

As restrições geridas têm parâmetros booleanos ou de lista que são determinados pelo serviço de aplicação. Google Cloud

As restrições personalizadas são funcionalmente semelhantes às restrições geridas com parâmetros booleanos e são aplicadas ou não aplicadas.

As restrições geridas antigas têm uma ou mais regras de lista ou regras booleanas com base no tipo de restrição. As regras de listas são uma coleção de valores permitidos ou recusados. As regras booleanas podem permitir todos os valores, recusar todos os valores ou determinar se uma restrição é aplicada ou não.

Restrições geridas

As restrições geridas foram concebidas para substituir as restrições geridas antigas equivalentes, mas com flexibilidade adicional e estatísticas mais detalhadas das ferramentas de inteligência de políticas. Estas restrições têm uma estrutura semelhante às restrições de políticas da organização personalizadas, mas são geridas pela Google.

Se a restrição gerida antiga equivalente tiver um tipo de restrição booleano, a restrição gerida pode ser aplicada ou não da mesma forma. Por exemplo, a seguinte política da organização aplica iam.managed.disableServiceAccountCreation, que é a restrição equivalente a iam.disableServiceAccountCreation:

name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Se a restrição gerida antiga equivalente tiver um tipo de restrição de lista, a restrição gerida suporta a definição de parâmetros que definem os recursos e os comportamentos restritos pela restrição. Por exemplo, a seguinte política de organização aplica uma restrição gerida que só permite que os domínios example.com e altostrat.com sejam adicionados aos contactos essenciais para organizations/1234567890123:

name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
   rules:
     - enforce: true
       parameters:
          allowedDomains:
               - @example.com
               - @altostrat.com

Para saber mais sobre a utilização de restrições geridas, consulte o artigo Usar restrições.

Restrições personalizadas

Tal como as restrições geridas, as restrições personalizadas permitem ou restringem a criação e as atualizações de recursos. No entanto, as restrições personalizadas são geridas pela sua organização em vez de pela Google. Pode usar as ferramentas de inteligência de políticas para testar e analisar as suas políticas organizacionais personalizadas.

Para ver uma lista dos recursos de serviço que suportam restrições personalizadas, consulte o artigo Serviços suportados por restrições personalizadas.

Para saber como usar políticas de organização personalizadas, consulte o artigo Criar e gerir políticas de organização personalizadas.

Para ver uma lista de restrições personalizadas de exemplo, consulte a biblioteca de políticas organizacionais personalizadas no GitHub.

Restrições geridas (antigas)

As restrições geridas antigas têm um tipo de restrição de lista ou booleano, que determina os valores que podem ser usados para verificar a aplicação. O serviço de aplicação vai avaliar o tipo e o valor da restrição para determinar a restrição que é aplicada.Google Cloud

Estas restrições antigas eram anteriormente conhecidas como restrições predefinidas.

Regras de listas

As restrições geridas antigas com regras de listas permitem ou não permitem uma lista de valores definidos numa política da organização. Estas restrições antigas eram anteriormente conhecidas como restrições de listas. A lista de valores permitidos ou recusados é expressa como uma string de subárvore de hierarquia. A string de subárvore especifica o tipo de recurso ao qual se aplica. Por exemplo, a restrição gerida antiga constraints/compute.trustedImageProjects aceita uma lista de IDs de projetos no formato projects/PROJECT_ID.

Pode atribuir um prefixo aos valores no formato prefix:value para restrições que os suportem, o que confere ao valor um significado adicional:

• is: - aplica uma comparação com o valor exato. Este é o mesmo comportamento que não ter um prefixo e é necessário quando o valor inclui dois pontos.

• under: - aplica uma comparação ao valor e a todos os respetivos valores secundários. Se um recurso for permitido ou recusado com este prefixo, os respetivos recursos secundários também são permitidos ou recusados. O valor fornecido tem de ser o ID de um recurso de organização, pasta ou projeto.

• in:: aplica uma comparação a todos os recursos que incluem este valor. Por exemplo, pode adicionar in:us-locations à lista recusada da restrição constraints/gcp.resourceLocations para bloquear todas as localizações incluídas na região us.

Se não for fornecida uma lista de valores ou a política da organização estiver definida como a predefinição gerida pela Google, o comportamento predefinido da restrição entra em vigor, o que permite todos os valores ou nega todos os valores.

A seguinte política da organização aplica uma restrição gerida antiga que permite que as instâncias de VM do Compute Engine vm-1 e vm-2 em organizations/1234567890123 acedam a endereços IP externos:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Regras booleanas

Uma restrição gerida antiga com uma regra booleana é aplicada ou não. Por exemplo, constraints/compute.disableSerialPortAccess tem dois estados possíveis:

• Aplicada: a restrição é aplicada e o acesso à porta de série não é permitido.
• Não aplicada: a restrição disableSerialPortAccess não é aplicada nem verificada, pelo que o acesso à porta de série é permitido.

Se a política da organização estiver definida como a predefinição gerida pela Google, o comportamento predefinido da restrição entra em vigor.

Estas restrições antigas eram anteriormente conhecidas como restrições booleanas.

A seguinte política da organização aplica uma restrição gerida antiga que desativa a criação de contas de serviço externas em organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Políticas da organização no modo de execução de ensaio

Uma política da organização no modo de execução de ensaio é criada e aplicada de forma semelhante a outras políticas da organização, e as violações da política são registadas em registos de auditoria, mas as ações que violam a política não são recusadas.

Pode usar as políticas da organização no modo de teste para monitorizar o impacto das alterações às políticas nos seus fluxos de trabalho antes de serem aplicadas. Para mais informações, consulte o artigo Crie uma política de organização no modo de teste.

Políticas da organização condicionais

As etiquetas oferecem uma forma de aplicar condicionalmente restrições com base no facto de um recurso ter uma etiqueta específica. Pode usar etiquetas e a aplicação condicional de restrições para fornecer um controlo centralizado dos recursos na sua hierarquia.

Para mais informações sobre etiquetas, consulte o artigo Vista geral das etiquetas. Para saber como definir uma política de organização condicional através de etiquetas, consulte o artigo Definir uma política de organização com etiquetas.

Herança

Quando uma política da organização é definida num recurso, todos os descendentes desse recurso herdam a política da organização por predefinição. Se definir uma política da organização no recurso da organização, a configuração das restrições definidas por essa política é transmitida a todas as pastas, projetos e recursos de serviços descendentes.

Pode definir uma política da organização num recurso descendente que substitui a herança ou herda a política da organização do recurso principal. As políticas da organização que aplicam restrições geridas antigas são unidas com base nas regras de avaliação da hierarquia. Este sistema oferece um controlo preciso da forma como as políticas da sua organização se aplicam em toda a organização e onde quer que sejam feitas exceções.

Para saber mais, consulte o artigo Compreender a avaliação da hierarquia.

Violações

Uma violação ocorre quando um Google Cloud serviço age ou está num estado que é contrário à configuração de restrição da política da organização no âmbito da respetiva hierarquia de recursos. Google Cloud Os serviços aplicam restrições para evitar violações, mas a aplicação de novas políticas da organização não é, normalmente, retroativa. Se uma restrição de política da organização for aplicada retroativamente, é etiquetada como tal na página restrições de políticas da organização.

Se uma nova política de organização definir uma restrição numa ação ou num estado em que um serviço já se encontra, a política é considerada em violação, mas o serviço não interrompe o respetivo comportamento original. Tem de resolver esta violação manualmente. Isto evita o risco de uma nova política da organização encerrar completamente a continuidade da sua empresa.

Inteligência de políticas

A inteligência de políticas é um conjunto de ferramentas concebidas para ajudar a gerir as políticas de segurança. Estas ferramentas podem ajudar a compreender a utilização de recursos, compreender e melhorar as políticas de segurança existentes e evitar configurações incorretas de políticas.

Algumas ferramentas de inteligência de políticas foram concebidas especificamente para ajudar a testar e analisar as políticas do serviço de políticas da organização. Recomendamos que teste e faça uma simulação de todas as alterações às políticas da sua organização. Com a inteligência das políticas, pode realizar tarefas como as seguintes:

• Testar alterações às políticas e restrições da organização e identificar recursos que não estão em conformidade com a política proposta (pré-visualização)
• Crie uma política da organização de execução de ensaio para monitorizar como uma alteração à política afetaria os seus fluxos de trabalho
• Analise as políticas da organização existentes para compreender que Google Cloud recursos são abrangidos por que política da organização

Para saber mais acerca destas ferramentas e de outras ferramentas de inteligência de políticas, consulte o artigo Vista geral da inteligência de políticas.

Passos seguintes

• Leia a página Criar e gerir recursos da organização para saber como adquirir um recurso da organização.
• Saiba como definir políticas da organização.
• Explore as soluções que pode alcançar com restrições de políticas da organização.