O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos de nuvem da sua organização. Como administrador de políticas da organização, você tem permissão para configurar restrições em toda a hierarquia de recursos.
Benefícios
- Centralizar o controle para configurar limitações sobre como os recursos da sua organização podem ser usados.
- Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
- Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.
Casos de uso comuns
As políticas da organização permitem:
- limite o compartilhamento de recursos com base no domínio;
- limite o uso de contas de serviço do gerenciamento de identidade e acesso;
- restrinja a localização física dos recursos recém-criados.
Há muitas outras restrições que dão a você um controle minucioso dos recursos da organização. Para mais informações, consulte a lista de todas as restrições de serviço de políticas da organização.
Diferenças do gerenciamento de identidade e acesso
O foco do gerenciamento de identidade e acesso é o usuário. Com esse produto, o administrador autoriza quem pode executar ações em recursos específicos com base nas permissões.
O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.
Principais conceitos
Política da organização
Uma política da organização configura uma única restrição que restringe um ou mais serviços do Google Cloud. A política da organização é definida em uma organização, pasta ou recurso de projeto para aplicar a restrição a esse recurso e a qualquer recurso filho.
Uma política da organização contém uma ou mais regras que especificam como e
se aplicar a restrição. Por exemplo, uma política da organização pode
conter uma regra que aplica a restrição apenas em recursos marcados com
environment=development e outra que impede que a restrição
seja aplicada em outros recursos.
Os descendentes do recurso ao qual a política da organização está anexada herdam a política. Ao aplicar uma política da organização ao recurso da organização, o administrador dela pode controlar a aplicação dessa política e a configuração de restrições em toda a organização.
Restrições
Uma restrição é um tipo específico de limitação quanto a um serviço ou uma lista de serviços do Google Cloud. Pense na restrição como um esquema que define quais comportamentos são controlados. Esse esquema é então aplicado a um recurso na hierarquia de recursos como uma política da organização, que implementa as regras definidas na restrição. O serviço do Google Cloud mapeado para essa restrição e associado ao nó da hierarquia de recursos aplicará as limitações configuradas na política da organização.
Toda restrição tem um tipo: lista ou boolean. As restrições de lista avaliam a restrição com uma lista de valores permitidos ou negados fornecidos por você. Por exemplo, a restrição a seguir restringe os endereços IP que podem se conectar a uma máquina virtual:
name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
- projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME
As restrições booleanas são ou não aplicadas a um determinado recurso e regem um comportamento específico. Por exemplo, a restrição a seguir determina se as contas de serviço externas podem ser criadas:
name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Com as tags, é possível aplicar restrições condicionalmente se um recurso tiver uma tag específica. É possível usar tags e a aplicação condicional de restrições para fornecer controle centralizado dos recursos na hierarquia.
Por exemplo, a restrição a seguir desativa o Cloud Logging em recursos
marcados com environment=development, mas o ativa em todos os outros lugares:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
rules:
- condition:
expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
title: ""
enforce: true
- enforce: false
Cada serviço do Google Cloud analisa os tipos e valores de restrição para determinar o que será limitado. Para saber mais sobre restrições, consulte a página Noções básicas sobre restrições.
Políticas da organização personalizadas
As políticas da organização personalizadas podem permitir ou restringir a criação e a atualização de recursos da mesma forma que as políticas predefinidas da organização, mas permitem que os administradores configurem condições com base em parâmetros de solicitação e outros metadados.
É possível criar políticas personalizadas da organização com restrições que restringem as operações em determinados recursos de serviço, como os recursos NodePool do Dataproc. Para conferir uma lista de recursos de serviço com suporte a restrições personalizadas, consulte
Serviços compatíveis com restrições personalizadas.
Para saber mais sobre como usar políticas personalizadas da organização, consulte Como criar e gerenciar políticas personalizadas da organização.
Herança
Quando uma política da organização é definida em um recurso, todos os descendentes desse recurso herdam a política por padrão. Se você definir uma política da organização no recurso da organização, a configuração de restrições definida por essa política será transmitida por todas as pastas, projetos e recursos de serviço descendentes.
Um usuário com o papel de administrador de políticas da organização pode definir nós descendentes da hierarquia de recursos com outra política que substitua a herança ou os mescle com base nas regras de avaliação de hierarquia. Isso proporciona um controle preciso sobre como as políticas da organização se aplicam em toda a organização e onde você quer aplicar exceções.
Para saber mais sobre a avaliação da hierarquia, consulte a página Noções básicas sobre a hierarquia.
Violações
Uma violação ocorre quando a execução ou o estado de um serviço do Google Cloud contraria a configuração de restrições da política da organização dentro do escopo da hierarquia de recursos. Os serviços do Google Cloud aplicarão restrições para evitar violações, mas a aplicação de novas políticas da organização geralmente não é retroativa. Se uma restrição de política da organização for aplicada retroativamente, ela será rotulada como tal na página Restrições da Política da Organização.
Se uma nova política da organização definir uma limitação sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não interromperá seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.
Próximas etapas
- Leia a página Como criar e gerenciar organizações para saber como adquirir um recurso da organização.
- Saiba como criar e gerenciar políticas da organização com o Console do Google Cloud.
- Saiba como definir políticas da organização usando restrições.
- Veja as soluções que podem ser aplicadas às restrições da política da organização.