Introdução ao Serviço de políticas da organização

O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos de nuvem da sua organização. Como administrador de políticas da organização, você tem permissão para configurar restrições em toda a hierarquia de recursos.

Vantagens

  • Centralizar o controle para configurar limitações sobre como os recursos da sua organização podem ser usados.
  • Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
  • Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.

Casos de uso comuns

Veja a lista de todas as restrições do Serviço de políticas da organização.

Diferenças do Cloud Identity and Access Management

O foco do Cloud Identity and Access Management é o usuário. Com esse produto, o administrador autoriza quem pode executar ações em recursos específicos com base nas permissões.

O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.

Principais conceitos

Política da organização

Uma política da organização é uma configuração de restrições. Você, como administrador de políticas da organização, define uma política como um nó da hierarquia de recursos para aplicar as limitações nesse nó e nos descendentes dele.

Para definir uma política da organização, escolha uma restrição, que é um tipo específico de limitação quanto a um serviço ou grupo de serviços do Google Cloud. Você configura essa restrição com as limitações de sua preferência.

Os descendentes do nó da hierarquia de recursos de destino herdam a política da organização. Ao aplicar uma política da organização ao nó raiz da organização, você promove a aplicação efetiva dessa política e a configuração de restrições em toda a organização.

Conceitos de políticas da organização

Restrições

Uma restrição é um tipo específico de limitação quanto a um serviço ou uma lista de serviços do Google Cloud. Pense na restrição como um esquema que define quais comportamentos são controlados. Esse esquema é então aplicado a um nó da hierarquia de recursos como uma política da organização, que implementa as regras definidas na limitação. O serviço do Google Cloud mapeado para essa restrição e associado ao nó da hierarquia de recursos aplicará as limitações configuradas na política da organização.

Toda restrição tem um tipo: lista ou booleana. As restrições de lista usam uma lista de valores permitidos ou proibidos que você fornece. Por exemplo, uma lista de endereços IP que podem se conectar a uma máquina virtual. Já as restrições booleanas são aplicadas ou não a um determinado recurso e determinam um comportamento específico. Por exemplo, se contas de serviço externas podem ser criadas.

Tipo de restrição Necessidade comercial Configuração da restrição
Lista Restringir a configuração de IPs externos a uma lista de instâncias

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
Booleana Desativar a criação de contas de serviço

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation
  booleanPolicy: {
    enforced: true
  }
}

Cada serviço do Google Cloud analisa os tipos e valores de restrição para determinar o que será limitado. Para saber mais sobre restrições, consulte a página Noções básicas sobre restrições.

Herança

Ao definir uma política da organização em um nó da hierarquia de recursos, todos os descendentes desse nó herdam a política por padrão. Se você definir uma política da organização no nó raiz da organização, a configuração de restrições definida por essa política será transmitida a todas as pastas, projetos e recursos de serviço descendentes.

Um usuário com o papel de administrador de políticas da organização pode definir nós descendentes da hierarquia de recursos com outra política que substitua a herança ou os mescle com base nas regras de avaliação de hierarquia. Isso proporciona um controle preciso sobre como as políticas se aplicam a toda a organização e onde aplicar exceções.

Para saber mais sobre a avaliação da hierarquia, consulte a página Noções básicas sobre hierarquia.

Violações

Uma violação ocorre quando a execução ou o estado de um serviço do Google Cloud contraria a configuração de restrições da política da organização dentro do escopo da hierarquia de recursos. Normalmente, os serviços do GCP aplicam uma limitação para impedir a violação, mas criar uma nova política não funciona de forma retroativa.

Se uma nova política da organização definir uma limitação sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não interromperá seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.

Próximas etapas