El servicio de políticas de organización te permite controlar los recursos en la nube de tu organización de forma centralizada y programática. Como administrador de políticas de organización, puedes configurar restricciones en toda tu jerarquía de recursos.
Ventajas
- Centraliza el control para configurar restricciones sobre cómo se pueden usar los recursos de tu organización.
- Define y establece límites para que tus equipos de desarrollo cumplan las normativas.
- Ayuda a los propietarios de proyectos y a sus equipos a avanzar rápidamente sin preocuparse por incumplir las normas.
Casos prácticos habituales
Las políticas de la organización te permiten hacer lo siguiente:
- Limitar el uso compartido de recursos en función del dominio.
- Limita el uso de las cuentas de servicio de Gestión de Identidades y Accesos (IAM).
- Restringe la ubicación física de los recursos recién creados.
Hay muchas más restricciones que te permiten controlar con precisión los recursos de tu organización. Para obtener más información, consulta la lista de todas las restricciones del servicio de políticas de organización.
Diferencias con Gestión de Identidades y Accesos
Gestión de Identidades y Accesos se centra en quién y permite al administrador autorizar quién puede realizar acciones en recursos específicos en función de los permisos.
Las políticas de la organización se centran en qué y permiten al administrador definir restricciones en recursos específicos para determinar cómo se pueden configurar.
Cómo funcionan las políticas de organización
Una política de organización configura una sola restricción que limita uno o varios servicios. Google Cloud La política de la organización se define en un recurso de organización, carpeta o proyecto para aplicar la restricción en ese recurso y en cualquier recurso secundario.
Una política de la organización contiene una o varias reglas que especifican cómo y si se debe aplicar la restricción. Por ejemplo, una política de organización puede contener una regla que aplique la restricción solo a los recursos etiquetados con environment=development y otra regla que impida que se aplique a otros recursos.
Los descendientes del recurso al que se adjunta la política de organización heredan la política de organización. Al aplicar una política de organización al recurso de organización, el administrador de la política de organización puede controlar la aplicación de esa política y la configuración de las restricciones en toda la organización.
Restricciones
Una restricción es un tipo concreto de restricción contra un Google Cloud servicio o una lista de Google Cloud servicios. Piensa en la restricción como un plano que define qué comportamientos se controlan. Por ejemplo, puedes impedir que los recursos de un proyecto accedan a los recursos de almacenamiento de Compute Engine mediante la restricción compute.storageResourceUseRestrictions.
A continuación, este blueprint se define en un recurso de tu jerarquía de recursos como una política de organización, que aplica las reglas definidas en la restricción. El servicio Google Cloud asignado a esa restricción y asociado a ese recurso aplica las restricciones configuradas en la política de organización.
Una política de la organización se define en un archivo YAML o JSON mediante la restricción que aplica y, opcionalmente, mediante las condiciones en las que se aplica la restricción. Cada política de organización aplica exactamente una restricción en modo activo, en modo de prueba o en ambos.
Las restricciones gestionadas tienen parámetros de lista o booleanos que determina el servicio que aplica la restricción. Google Cloud
Las restricciones personalizadas son funcionalmente similares a las restricciones gestionadas con parámetros booleanos y se aplican o no.
Las restricciones gestionadas antiguas tienen una o varias reglas de lista o reglas booleanas basadas en el tipo de restricción. Las reglas de lista son un conjunto de valores permitidos o denegados. Las reglas booleanas pueden permitir todos los valores, denegar todos los valores o determinar si se aplica o no una restricción.
Restricciones gestionadas
Las restricciones gestionadas se han diseñado para sustituir a las restricciones gestionadas antiguas equivalentes, pero con más flexibilidad y más información valiosa de las herramientas de Estadísticas de políticas. Estas restricciones tienen una estructura similar a las restricciones de políticas de organización personalizadas, pero las gestiona Google.
Si la restricción gestionada antigua equivalente tiene un tipo de restricción booleano, la restricción gestionada se puede aplicar o no de la misma forma. Por ejemplo, la siguiente política de la organización aplica iam.managed.disableServiceAccountCreation, que es la restricción equivalente a iam.disableServiceAccountCreation:
name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
rules:
- enforce: true
Si la restricción gestionada antigua equivalente tiene el tipo de restricción "lista", la restricción gestionada admite la definición de parámetros que definen los recursos y los comportamientos que están restringidos por la restricción. Por ejemplo, la siguiente política de organización aplica una restricción gestionada que solo permite añadir los dominios example.com y altostrat.com a los contactos esenciales de organizations/1234567890123:
name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
rules:
- enforce: true
parameters:
allowedDomains:
- @example.com
- @altostrat.com
Para obtener más información sobre cómo usar las restricciones gestionadas, consulta el artículo Usar restricciones.
Restricciones personalizadas
Al igual que las restricciones gestionadas, las restricciones personalizadas permiten o restringen la creación y las actualizaciones de recursos. Sin embargo, tu organización gestiona las restricciones personalizadas en lugar de Google. Puede usar las herramientas de Estadísticas de políticas para probar y analizar sus políticas de organización personalizadas.
Para ver una lista de los recursos de servicio que admiten restricciones personalizadas, consulta Servicios compatibles con restricciones personalizadas.
Para obtener más información sobre cómo usar políticas de organización personalizadas, consulta el artículo Crear y gestionar políticas de organización personalizadas.
Para ver una lista de restricciones personalizadas de ejemplo, consulta la biblioteca de políticas de organización personalizadas en GitHub.
Restricciones gestionadas (versión antigua)
Las restricciones gestionadas antiguas tienen un tipo de restricción de lista o booleano, que determina los valores que se pueden usar para comprobar la aplicación. El servicioGoogle Cloud aplicará el tipo y el valor de la restricción para determinar la restricción que se aplica.
Estas restricciones antiguas se denominaban restricciones predefinidas.
Reglas de la lista
Las restricciones gestionadas antiguas con reglas de lista permiten o no una lista de valores
definidos en una política de organización. Estas restricciones antiguas se conocían anteriormente como restricciones de lista. La lista de valores permitidos o denegados se expresa como una cadena de subárbol de jerarquía. La cadena de subárbol especifica el tipo de recurso al que se aplica. Por ejemplo, la restricción gestionada antigua constraints/compute.trustedImageProjects toma una lista de IDs de proyecto con el formato projects/PROJECT_ID.
Los valores pueden tener un prefijo con el formato prefix:value para las restricciones que los admitan, lo que les da un significado adicional:
is:: aplica una comparación con el valor exacto. Este comportamiento es el mismo que si no se incluyera ningún prefijo y es obligatorio cuando el valor incluye dos puntos.under:: aplica una comparación al valor y a todos sus valores secundarios. Si se permite o se deniega el acceso a un recurso con este prefijo, también se permitirá o se denegará el acceso a sus recursos secundarios. El valor proporcionado debe ser el ID de una organización, una carpeta o un proyecto.in:: aplica una comparación a todos los recursos que incluyen este valor. Por ejemplo, puedes añadirin:us-locationsa la lista de elementos denegados de la restricciónconstraints/gcp.resourceLocationspara bloquear todas las ubicaciones incluidas en la regiónus.
Si no se proporciona ninguna lista de valores o la política de la organización se define como el valor predeterminado gestionado por Google, se aplicará el comportamiento predeterminado de la restricción, que permite o deniega todos los valores.
La siguiente política de organización aplica una restricción gestionada antigua que permite que las instancias de máquina virtual de Compute Engine vm-1 y vm-2 de organizations/1234567890123 accedan a direcciones IP externas:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
Reglas booleanas
Una restricción gestionada antigua con una regla booleana se aplica o no se aplica. Por ejemplo, constraints/compute.disableSerialPortAccess tiene dos estados posibles:
- Obligatorio: la restricción se aplica y no se permite el acceso al puerto serie.
- No aplicada: la restricción
disableSerialPortAccessno se aplica ni se comprueba, por lo que se permite el acceso al puerto serie.
Si la política de la organización se define como el valor predeterminado gestionado por Google, se aplicará el comportamiento predeterminado de la restricción.
Estas restricciones antiguas se conocían anteriormente como restricciones booleanas.
La siguiente política de organización aplica una restricción gestionada antigua que inhabilita la creación de cuentas de servicio externas en organizations/1234567890123:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Políticas de organización en modo de prueba de funcionamiento
Las políticas de la organización en modo de prueba se crean y se aplican de forma similar a otras políticas de la organización, y las infracciones de la política se registran en la auditoría, pero las acciones infractoras no se deniegan.
Puedes usar las políticas de la organización en modo de prueba para monitorizar cómo afectarían los cambios en las políticas a tus flujos de trabajo antes de que se apliquen. Para obtener más información, consulta Crear una política de organización en modo de prueba.
Políticas de organización condicionales
Las etiquetas permiten aplicar restricciones de forma condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de restricciones para controlar de forma centralizada los recursos de tu jerarquía.
Para obtener más información sobre las etiquetas, consulta el artículo Descripción general de las etiquetas. Para saber cómo definir una política de organización condicional mediante etiquetas, consulta el artículo Configurar una política de organización con etiquetas.
Herencia
Cuando se define una política de organización en un recurso, todos los descendientes de ese recurso heredan la política de organización de forma predeterminada. Si defines una política de empresa en el recurso de empresa, la configuración de las restricciones definidas por esa política se aplicará a todas las carpetas, los proyectos y los recursos de servicio descendientes.
Puedes definir una política de la organización en un recurso descendiente que sobrescriba la herencia o que herede la política de la organización del recurso superior. En este último caso, las dos políticas de la organización se combinan según las reglas de evaluación de la jerarquía. De esta forma, puedes controlar con precisión cómo se aplican las políticas de tu organización en toda la organización y dónde quieres que se hagan excepciones.
Para obtener más información, consulta Información sobre la evaluación jerárquica.
Infracciones
Una infracción se produce cuando un Google Cloud servicio actúa o se encuentra en un estado que es contrario a la configuración de restricción de la política de la organización dentro del ámbito de su jerarquía de recursos. Google Cloud Los servicios aplicarán restricciones para evitar infracciones, pero la aplicación de nuevas políticas de la organización no suele ser retroactiva. Si una restricción de política de organización se aplica retroactivamente, se indicará en la página Restricciones de políticas de organización.
Si una nueva política de organización establece una restricción en una acción o un estado en el que ya se encuentra un servicio, se considera que la política infringe las normas, pero el servicio no dejará de comportarse como lo hacía originalmente. Deberá solucionar esta infracción manualmente. De esta forma, se evita el riesgo de que una nueva política de la organización interrumpa por completo la continuidad de tu negocio.
Policy Intelligence
Policy Intelligence es un conjunto de herramientas diseñadas para ayudarte a gestionar las políticas de seguridad. Estas herramientas pueden ayudarte a comprender el uso de los recursos, a entender y mejorar las políticas de seguridad actuales, y a evitar errores de configuración de las políticas.
Algunas herramientas de Policy Intelligence se han diseñado específicamente para ayudar a probar y analizar las políticas del servicio de políticas de la organización. Te recomendamos que pruebes y simules todos los cambios en las políticas de tu organización. Con Policy Intelligence, puedes hacer tareas como las siguientes:
- Prueba los cambios en las políticas y restricciones de la organización, e identifica los recursos que no cumplen la política propuesta (Vista previa).
- Crea una política de organización de prueba de funcionamiento para monitorizar cómo afectaría un cambio de política a tus flujos de trabajo.
- Analizar las políticas de organización actuales para saber qué recursos están cubiertos por qué política de organización Google Cloud
Para obtener más información sobre estas herramientas y otras herramientas de Estadísticas de políticas, consulta el resumen de Estadísticas de políticas.
Pasos siguientes
- Consulta la página Crea y gestiona recursos de la organización para saber cómo adquirir un recurso de organización.
- Consulta cómo definir políticas de la organización.
- Consulta las soluciones que puedes implementar con las restricciones de las políticas de la organización.