Restringe el uso de recursos

En esta página, se proporciona una descripción general de Restringe el uso de servicios de recursos restricción de políticas de la organización, que permite a los administradores de empresas controlar qué Los servicios de Google Cloud pueden usarse dentro de sus recursos en la jerarquía de recursos. Esta restricción solo se puede aplicar en servicios con recursos que son subordinados directos de una organización, una carpeta o un proyecto recurso. Por ejemplo, Compute Engine y Cloud Storage.

La restricción Restrict Resource Service Usage excluye y no funcionará con ciertos servicios que son dependencias esenciales para Google Cloud como Identity and Access Management (IAM), Cloud Logging y Cloud Monitoring Para ver la lista de servicios de recursos en la nube compatibles por esta restricción, consulta Restringe los servicios compatibles con el uso de recursos.

Los administradores pueden usar esta restricción para definir servicios de recursos de Google Cloud permitidos dentro de un contenedor de recursos, como una organización, una carpeta o un proyecto. Por ejemplo, permite storage.googleapis.com dentro del proyecto X o rechazar compute.googleapis.com dentro de la carpeta Y. Esta restricción también determina Disponibilidad de la consola de Google Cloud.

La restricción Restrict Resource Service Usage puede usarse en dos maneras mutuamente excluyentes:

  • Lista de bloqueo: se permiten los recursos de cualquier servicio que no se haya denegado.

  • Lista de entidades permitidas: Se rechazan los recursos de cualquier servicio que no está permitido.

La restricción Restrict Resource Service Usage controla el entorno de ejecución. acceso a todos los recursos dentro del alcance. Cuando la política de la organización que contiene se actualiza, se aplica de inmediato a todos los accesos a todos los recursos dentro del alcance de la política, con coherencia eventual.

Recomendamos que los administradores gestionen cuidadosamente las actualizaciones de las políticas de la organización. con esta restricción. Para implementar este cambio de política de forma más segura, usando etiquetas para aplicar la restricción de forma condicional. Para obtener más información, consulta Configura una política de la organización con etiquetas.

Cuando se restringe un servicio por esta política, algunos servicios de Google Cloud que dependen directamente del servicio restringido se restringirán como en la nube. Esto solo se aplica a los servicios que administran los mismos recursos de clientes. Por ejemplo, Google Kubernetes Engine (GKE) tiene una dependencia en Compute Engine. Cuando se restringe Compute Engine, GKE también restringido.

Disponibilidad de la consola de Google Cloud

Los servicios restringidos en la consola de Google Cloud se comportan de la siguiente manera:

  • No puedes navegar a un producto usando el Menú
  • Los servicios restringidos no aparecen en los resultados de la búsqueda de la consola de Google Cloud.
  • Cuando navegas a la página de la consola de Google Cloud de un servicio restringido, como como desde un vínculo o favorito, aparecerá un mensaje de error.

Usa la restricción Restrict Resource Service Usage

Las restricciones de las políticas de la organización se pueden establecer a nivel de organización, carpeta y a nivel de proyecto. Cada política se aplica a todos los recursos dentro de su de la jerarquía de recursos, pero se puede anular en los niveles inferiores del recurso en la nube.

Para obtener más información sobre la evaluación de políticas, consulta Comprende la evaluación de jerarquías.

Configura la política de la organización

Si deseas establecer, cambiar o borrar una política de la organización, debes tener la función de Administrador de políticas de la organización.

Console

Para establecer una política de la organización que incluya Restrict Resource Service Usage, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el selector de proyectos, elige el recurso en el que deseas establecer la política de la organización.

  3. En la tabla de políticas de la organización, selecciona Restringe el uso de servicios de recursos.

  4. Haz clic en Administrar política.

  5. En Se aplica a, selecciona Anular la política del superior.

  6. En Aplicación de la política, elige cómo aplicar la herencia a esta política.

    1. Si deseas heredar la política de la organización del recurso superior y combinarla con esta, selecciona Combinar con superior.

    2. Si deseas anular las políticas de una organización existente, selecciona Reemplazar.

  7. Haz clic en Agregar una regla.

  8. En Valores de la política, selecciona Personalizar.

  9. En Tipo de política, selecciona Rechazar para la lista de bloqueo o Permitir para la lista de bloqueo. lista de entidades permitidas.

  10. En Valores personalizados, agrega el servicio que deseas bloquear o permitir. la lista.

    1. Por ejemplo, para bloquear Cloud Storage, podrías ingresar storage.googleapis.com.

    2. Para agregar más servicios, haz clic en Agregar valor.

  11. Para aplicar la política, haz clic en Establecer política.

gcloud

Las políticas de la organización se pueden configurar a través de Google Cloud CLI. Para aplicar una política de la organización que incluya la política Restrict Resource Service Service primero crea un archivo YAML con la política que se actualizará:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
   rules:
   - values:
       deniedValues:
       - file.googleapis.com
       - bigquery.googleapis.com
       - storage.googleapis.com

Reemplaza ORGANIZATION_ID por el ID del recurso de tu organización. Para establecer esta política en un recurso, ejecuta el siguiente comando:

gcloud beta resource-manager org-policies set-policy \
  --project='PROJECT_ID' /tmp/policy.yaml

Reemplaza PROJECT_ID por el ID del proyecto del recurso en el que quieres aplicar esta política de la organización.

Para obtener información sobre el uso de restricciones en las políticas de la organización, consulta la página sobre cómo usar restricciones.

Restringe los recursos sin etiquetar

Puedes usar etiquetas y políticas de la organización condicionales para restringir cualquier recurso que no usan una etiqueta en particular. Si estableces una política de la organización un recurso que restringe servicios y lo hace condicional a la presencia de una etiqueta de recurso, no se podrán usar recursos secundarios que desciendan de ese recurso, a menos que que se te haya etiquetado. De esta manera, los recursos deben configurarse de acuerdo con tu de administración de identidades antes de poder usarlas.

Para restringir recursos de organizaciones, carpetas o proyectos sin etiquetar, puedes usar el Operador lógico ! en una consulta condicional cuando se crea tu organización .

Por ejemplo, para permitir el uso de sqladmin.googleapis.com solo en proyectos. que tengan la etiqueta sqladmin=enabled, puedes crear una política de la organización que rechaza sqladmin.googleapis.com en proyectos que no tienen la etiqueta sqladmin=enabled

  1. Cómo crear una etiqueta que identifica si los recursos han tenido administración adecuada se aplicó. Por ejemplo, puedes crear una etiqueta con la clave sqlAdmin y el valor enabled, para indicar que este recurso debe permitir el uso de la API de Cloud SQL Admin. Por ejemplo:

    Crea una clave y un valor de etiqueta

  2. Haz clic en el nombre de la etiqueta recién creada. Necesitas el nombre con espacio de nombres de la clave de etiqueta, que aparece en Ruta de la clave de la etiqueta, en los próximos pasos para crear una estado.

  3. Crea una política de la organización Restrict Resource Service Usage a nivel. del recurso de tu organización para denegar el acceso a la API de Cloud SQL Admin. Por ejemplo:

    Crea una política de la organización para restringir recursos

  4. Agrega una condición a la política de la organización anterior y especifica que la política se aplicará si la etiqueta de administración no está presente. El operador lógico NOT no es compatible con el creador de condiciones, por lo que esta condición debe crearse. en el editor de condiciones. Por ejemplo:

    Compila una política de la organización condicional

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Ahora, un proyecto debe adjuntar o heredar la etiqueta sqlAdmin=enabled. antes de que tus desarrolladores puedan usar la API de Cloud SQL Admin con ese proyecto.

Para obtener más información sobre cómo crear políticas de la organización condicionales, consulta Configura una política de la organización con etiquetas.

Crea una política de la organización en modo de prueba de validación

Una política de la organización en modo de ejecución de prueba es un tipo de política de la organización en la que los incumplimientos de la política se registran como auditorías, pero no rechazada. Puedes crear una política de la organización en modo de prueba de validación con el Restringe el uso de servicios de recursos para supervisar cómo afectaría tu organización antes de aplicar la política activa. Para obtener más información, consulta Crea una política de la organización en modo de prueba de validación.

Mensaje de error

Si configuras una política de la organización para denegar el servicio A dentro del en la jerarquía B, cuando un cliente intenta usar el servicio A dentro de la jerarquía de recursos B la operación falla. Se muestra un error que describe el motivo por este error. Además, se genera una entrada de AuditLog para una mayor supervisión. alertas o depuración.

Ejemplo de mensaje de error

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Ejemplos de registros de auditoría de Cloud

Captura de pantalla de una entrada de registro de auditoría de ejemplo