Introdução ao serviço Política da organização

O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos de nuvem da sua organização. Como administrador de políticas da organização, você tem permissão para configurar restrições em toda a hierarquia de recursos.

Vantagens

  • Centralizar o controle para configurar limitações sobre como os recursos da sua organização podem ser usados.
  • Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
  • Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.

Casos de uso comuns

As políticas da organização são constituídas de restrições que permitem que você:

Há muitas outras restrições que dão a você um controle minucioso dos recursos da organização. Para mais informações, consulte a lista de todas as restrições de serviço de políticas da organização.

Diferenças do gerenciamento de identidade e acesso

O foco do gerenciamento de identidade e acesso é o usuário. Com esse produto, o administrador autoriza quem pode executar ações em recursos específicos com base nas permissões.

O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.

Principais conceitos

Política da organização

Uma política da organização é uma configuração de limitações. Como administrador da política da organização, você define uma política da organização e a configura em organizações, pastas e projetos para que as restrições sejam aplicadas nesse recurso e nos descendentes dele.

Para definir uma política da organização, escolha uma restrição, que é um tipo específico de limitação quanto a um serviço ou grupo de serviços do Google Cloud. Você configura essa restrição com as limitações de sua preferência.

Os descendentes do nó da hierarquia de recursos de destino herdam a política da organização. Ao aplicar uma política da organização ao nó raiz da organização, você promove a aplicação efetiva dessa política e a configuração de restrições em toda a organização.

Conceitos de políticas da organização

Restrições

Uma restrição é um tipo específico de limitação quanto a um serviço ou uma lista de serviços do Google Cloud. Pense na restrição como um esquema que define quais comportamentos são controlados. Esse esquema é então aplicado a um nó da hierarquia de recursos como uma política da organização, que implementa as regras definidas na limitação. O serviço do Google Cloud mapeado para essa restrição e associado ao nó da hierarquia de recursos aplicará as limitações configuradas na política da organização.

Toda restrição tem um tipo: lista ou booleana. As restrições de lista usam uma lista de valores permitidos ou proibidos que você fornece. Por exemplo, uma lista de endereços IP que podem se conectar a uma máquina virtual. Já as restrições booleanas são aplicadas ou não a um determinado recurso e determinam um comportamento específico. Por exemplo, se contas de serviço externas podem ser criadas.

Tipo de restrição Necessidade comercial Configuração da restrição
List Restringir a configuração de IPs externos a uma lista de instâncias

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/compute.vmExternalIpAccess"
  listPolicy: {
  allowedValues: [
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME,
    projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
    ]
  }
}
Booleano Desativar criação de conta de serviço

resource: "organizations/ORGANIZATION_ID"
policy: {
  constraint: "constraints/iam.disableServiceAccountCreation"
  booleanPolicy: {
    enforced: true
  }
}

Cada serviço do Google Cloud analisa os tipos e valores de restrição para determinar o que será limitado. Para saber mais sobre restrições, consulte a página Noções básicas sobre restrições.

Herança

Ao definir uma política da organização em um nó da hierarquia de recursos, todos os descendentes desse nó herdam a política por padrão. Se você definir uma política da organização no nó raiz da organização, a configuração de restrições definida por essa política será transmitida a todas as pastas, projetos e recursos de serviço descendentes.

Um usuário com o papel de administrador de políticas da organização pode definir nós descendentes da hierarquia de recursos com outra política que substitua a herança ou os mescle com base nas regras de avaliação de hierarquia. Isso proporciona um controle preciso sobre como as políticas da organização se aplicam em toda a organização e onde você quer aplicar exceções.

Para saber mais sobre a avaliação da hierarquia, consulte a página Noções básicas sobre a hierarquia.

Violações

Uma violação ocorre quando a execução ou o estado de um serviço do Google Cloud contraria a configuração de restrições da política da organização dentro do escopo da hierarquia de recursos. Os serviços do Google Cloud aplicarão restrições para evitar violações, mas a aplicação de novas políticas da organização geralmente não é retroativa. Se uma restrição de política da organização for aplicada retroativamente, ela será rotulada como tal na página Restrições da Política da Organização.

Se uma nova política da organização definir uma limitação sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não interromperá seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.

Próximas etapas