Como restringir o uso de recursos

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, você terá uma visão geral da restrição de uso de recursos (RUR, na sigla em inglês), uma política de governo que permite aos administradores corporativos controlar quais serviços do Google Cloud podem ser usados dentro da hierarquia de recursos do Google Cloud. O RUR só pode ser aplicado a serviços com recursos descendentes diretos de um recurso de uma organização, pasta ou projeto. Por exemplo, Compute Engine e Cloud Storage.

O RUR exclui e não funciona com determinados serviços que são dependências essenciais para produtos do Google Cloud, como o Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring. Veja a lista de serviços de recursos do Cloud excluídos por essa restrição em Como restringir serviços não compatíveis de uso de recursos.

A política da RUR é implementada como uma restrição de política da organização chamada Restringir o uso do serviço de recurso. Os administradores podem usar essa restrição para definir restrições hierárquicas nos serviços de recursos permitidos do Google Cloud em um contêiner de recursos, como uma organização, uma pasta ou um projeto. Por exemplo, permita storage.googleapis.com no projeto X ou negue compute.googleapis.com na pasta Y.

A restrição Restringir o uso do serviço de recurso pode ser usada de duas formas mutuamente exclusivas:

  • Lista de bloqueio: recursos de qualquer serviço que não tenha sido negado são permitidos.

  • Lista de permissões: os recursos de qualquer serviço que não seja permitido são negados.

A restrição Restringir o uso do serviço de recurso controla o acesso ao ambiente de execução para todos os recursos no escopo. Quando uma política de RUR é atualizada, ela é aplicada imediatamente a todos os acessos a todos os recursos no escopo da política, com consistência posterior.

Recomendamos que os administradores gerenciem cuidadosamente as atualizações das políticas de RUR. É possível lançar essa alteração de política com mais segurança usando tags para aplicar a restrição condicionalmente. Para mais informações, consulte Como configurar uma política da organização com tags.

Quando um serviço é restrito por essa política, alguns serviços do Google Cloud que têm uma dependência direta do serviço restrito também são restritos. Isso só é válido para serviços que gerenciam os mesmos recursos do cliente. Por exemplo, o Google Kubernetes Engine (GKE) depende do Compute Engine. Quando o Compute Engine é restrito, o GKE também é.

Como usar a restrição "Restringir o uso do serviço de recurso"

As políticas de RUR são restrições de política da organização, que podem ser definidas no nível da organização, da pasta e do projeto. Cada política se aplica a todos os recursos na hierarquia de recursos correspondente, mas pode ser substituída em níveis inferiores na hierarquia de recursos.

Para mais informações sobre avaliação de política, consulte Noções básicas sobre avaliação de hierarquia.

Como definir a política da organização

Para definir, alterar ou excluir uma política da organização, você precisa ter o papel Administrador da Política da organização.

Console

Para definir uma política da organização que inclua uma restrição Restringir o uso do serviço de recurso, faça o seguinte:

  1. Acesse a página "Políticas da organização" no Console do Google Cloud.

Acessar as políticas da organização

  1. No seletor de projetos, na parte superior da tela, escolha o recurso para o qual você quer definir a política.

  2. Na tabela de políticas da organização, selecione Restringir o uso do serviço de recurso.

  3. Clique em Editar.

  4. Em É aplicável a, selecione Personalizar.

  5. Em Aplicação da política, escolha como aplicar a herança a essa política.

    1. Se você quiser herdar a política da organização do recurso pai e mesclá-lo com este, selecione Mesclar com pai.

    2. Se você quiser modificar as políticas da organização existentes, selecione Substituir.

  6. Em Valores da política, selecione Personalizada.

  7. Em Tipo de política, selecione Negar para a lista de proibições ou Permitir para a lista de permissões.

  8. Em Valores personalizados, adicione o serviço que você quer bloquear ou permitir à lista.

    1. Por exemplo, para bloquear o Cloud Storage, insira storage.googleapis.com.

    2. Para adicionar mais serviços, clique em Novo valor da política.

    Como inserir valores de serviço na lista negada

  9. No lado direito da página, revise o resumo da política.

  10. Para aplicar a política, clique em Salvar.

gcloud

As políticas da organização podem ser definidas pelo Google Cloud CLI. Para aplicar uma política da organização que inclua a restrição Restrict Resource Service Usage, primeiro crie um arquivo YAML com a política a ser atualizada:

$ cat /tmp/policy.yaml
constraint: constraints/gcp.restrictServiceUsage
  list_policy:
  denied_values:
    - file.googleapis.com
    - bigquery.googleapis.com
    - storage.googleapis.com

Para definir essa política em um recurso, execute o seguinte comando :

gcloud beta resource-manager org-policies set-policy \
    --project='PROJECT_ID' /tmp/policy.yaml

Em que:

  • PROJECT_ID é o ID do projeto do recurso ao qual você quer aplicar essa política da organização.

Para saber mais sobre o uso de restrições nas políticas da organização, consulte Usando restrições.

Mensagem de erro

Se você definir uma política da organização para negar o serviço A na hierarquia do recurso B, quando um cliente tentar usar o serviço A na hierarquia do recurso B, a operação falhará. Um erro é retornado descrevendo o motivo dessa falha. Além disso, uma entrada AuditLog é gerada para monitoramento, alerta ou depuração.

Exemplo de mensagem de erro

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Exemplo de registros de auditoria do Cloud

Captura de tela do exemplo do registro de auditoria