Introdução ao serviço de políticas da organização

O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos de nuvem da sua organização. Como administrador de políticas da organização, você tem permissão para configurar limitações em toda a hierarquia de recursos.

Vantagens

  • Centralizar o controle para configurar limitações sobre como os recursos da sua organização podem ser usados.
  • Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
  • Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.

Casos comuns de uso

Veja a lista de todas as restrições do Serviço de políticas da organização.

Diferenças do Cloud Identity and Access Management

O foco do Cloud Identity and Access Management é o usuário. Com ele, o administrador autoriza quem pode executar ações em recursos específicos com base nas permissões.

O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.

Principais conceitos

Política da organização

Uma política da organização é uma configuração de limitações. Você, como administrador de políticas da organização, define uma política da organização e a posiciona em um nó da hierarquia de recursos para aplicar as limitações nesse nó e abaixo dele.

Para definir uma política da organização, você escolhe uma restrição, que é um tipo específico de limitação contra um serviço do GCP ou um grupo de serviços do GCP. Você configura essa restrição com as limitações de sua preferência.

Os descendentes do nó da hierarquia de recursos de destino herdam a política da organização. Ao aplicar uma política da organização ao nó da organização raiz, você pode efetivamente promover a aplicação dessa política e a configuração de limitações em toda a organização.

Conceitos de políticas da organização

Restrições

Uma restrição é um tipo específico de limitação contra um serviço do GCP ou uma lista de serviços do GCP. Pense na restrição como um esquema que define quais comportamentos são controlados. Esse esquema é então aplicado a um nó da hierarquia de recursos como uma política da organização, que implementa as regras definidas na restrição. O serviço do GCP atribuído a essa restrição e associado a esse nó da hierarquia de recursos aplicará as limitações configuradas na política da organização.

Toda restrição tem um tipo: lista ou booleana. As restrições de lista usam uma lista de valores permitidos ou proibidos que você fornece. Por exemplo, uma lista de endereços IP que podem se conectar a uma máquina virtual. Já as restrições booleanas são aplicadas ou não a um determinado recurso e determinam um comportamento específico. Por exemplo, se contas de serviço externas podem ser criadas.

Tipo de restrição Necessidade comercial Configuração da restrição
Lista Restringir a configuração de IPs externos a uma lista de instâncias

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
Booleana Desativar a criação de contas de serviço

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation
  booleanPolicy: {
    enforced: true
  }
}

Cada serviço do GCP avalia tipos e valores de restrição para determinar o que será limitado. Para saber mais sobre restrições, consulte a página Noções básicas sobre restrições.

Herança

Ao definir uma política da organização em um nó da hierarquia de recursos, todos os descendentes desse nó herdam a política da organização por padrão. Se você definir uma política da organização no nó raiz da organização, a configuração de limitações definida por essa política será transmitida a todas as pastas, projetos e subprojetos descendentes.

Um usuário com o papel Administrador de políticas da organização pode definir nós de hierarquia de recursos descendentes com outra política da organização que substitua a herança ou as mescle com base nas regras de avaliação de hierarquia. Isso proporciona um controle preciso sobre como as políticas da organização se aplicam em toda a organização e onde você quer aplicar exceções.

Para saber mais sobre a avaliação da hierarquia, consulte a página Noções básicas sobre a hierarquia.

Violações

Uma violação ocorre quando a atuação ou o estado de um serviço do GCP contraria a configuração de limitações da política da organização dentro do escopo da hierarquia de recursos. Normalmente, os serviços do GCP aplicarão uma restrição para impedir a violação, mas a aplicação de uma nova política da organização não é retroativa.

Se uma nova política da organização definir uma limitação sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não interromperá seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.

Próximas etapas

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Resource Manager