Introdução ao serviço Política da organização

O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos de nuvem da sua organização. Como administrador de políticas da organização, você pode configurar restrições em toda a hierarquia de recursos.

Vantagens

  • Centralize o controle para configurar restrições sobre como os recursos recursos podem ser usados.
  • Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
  • Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.

Casos de uso comuns

Com as políticas da organização, você pode fazer o seguinte:

Há muitas outras restrições que dão a você um controle minucioso dos recursos da organização. Para mais informações, consulte a lista de todas as restrições de serviço de políticas da organização.

Diferenças do gerenciamento de identidade e acesso

O Identity and Access Management se concentra em quem e permite que o administrador autorize quem pode realizar ações em recursos específicos com base nas permissões.

O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.

Como a política da organização funciona

Uma política da organização configura uma única restrição que limita um ou mais serviços do Google Cloud. A política da organização é definida organização, pasta ou recurso do projeto para aplicar a restrição recurso e qualquer recurso filho.

Uma política da organização contém uma ou mais regras que especificam como. se a restrição deve ser aplicada. Por exemplo, uma política da organização pode conter uma regra que aplique a restrição apenas aos recursos marcados como environment=development e outra que impeça que a restrição seja aplicada a outros recursos.

Descendentes do recurso a que a política da organização está anexada herdam a política da organização. Ao aplicar uma política da organização ao recurso da organização, o administrador de políticas da organização pode controlar a aplicação dessa política e a configuração de restrições em toda a organização.

Conceitos de políticas da organização

Restrições

Uma restrição é um tipo especial de limitação contra uma um serviço do Google Cloud ou uma lista de serviços do Google Cloud. Pense da restrição como um esquema que define quais comportamentos são controlados. Por exemplo, é possível impedir que os recursos do projeto acessem o Compute Engine recursos de armazenamento usando a restrição compute.storageResourceUseRestrictions.

Esse esquema é então aplicado a um recurso na sua hierarquia de recursos como uma política da organização, que implementa as regras definidas na restrição. O serviço do Google Cloud mapeado para essa restrição e associado esse nó da hierarquia de recursos aplicará as restrições na política da organização.

Uma política da organização é definida em um arquivo YAML ou JSON pela restrição são aplicadas e, opcionalmente, pelas condições sob as quais a restrição aplicadas. Cada política da organização aplica exatamente uma restrição na conta modo de teste, teste ou ambos.

Uma restrição tem um tipo de aplicação de lista ou booleana, que determina que podem ser usados para verificar a aplicação. O serviço aplicador do Google Cloud avaliará o tipo e o valor da restrição para determinar a restrição.

Restrições de lista

Uma restrição de lista permite ou não uma lista de valores definidos em um política da organização. A lista de valores é expressa como uma subárvore de hierarquia fio. A string de subárvore especifica o tipo de recurso a que se aplica. Por exemplo, a restrição de lista constraints/compute.trustedImageProjects recebe uma lista de IDs de projeto na forma de projects/PROJECT_ID.

Os valores podem receber um prefixo no formato prefix:value para restrições que apoiá-los, o que dá ao valor um significado adicional:

  • is:: aplica uma comparação com o valor exato. Esse é o mesmo comportamento de não ter um prefixo e é obrigatório quando o valor inclui um dois-pontos.

  • under:: aplica uma comparação ao valor e todos os valores derivados. Se um recurso for permitido ou negado com esse prefixo, seus recursos filhos também serão permitido ou negado. O valor fornecido deve ser o ID de uma organização, pasta ou recurso do projeto.

  • in:: aplica uma comparação a todos os recursos que incluem esse valor. Para exemplo, adicione in:us-locations à lista de domínios negados Restrição constraints/gcp.resourceLocations para bloquear todos os locais que estão incluídos na região us.

Se nenhuma lista de valores for fornecida ou a política da organização estiver definida como padrão gerenciado pelo Google, o comportamento padrão da restrição entrará em vigor, permitindo ou negando todos os valores.

A seguinte política da organização aplica uma restrição que permite Instâncias de VM do Compute Engine vm-1 e vm-2 em organizations/1234567890123 para acessar endereços IP externo:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Restrições booleanas

Uma restrição booleana é aplicada ou não. Por exemplo, a restrição predefinida constraints/compute.disableSerialPortAccess tem dois estados possíveis:

  • Aplicada: a restrição é aplicada e o acesso à porta serial não é permitido.
  • Não aplicada: a restrição disableSerialPortAccess não é aplicada ou está marcada, portanto o acesso à porta serial será permitido.

Se a política da organização for definida para o padrão gerenciado pelo Google, o o comportamento padrão da restrição entra em vigor.

A seguinte política da organização aplica uma restrição que desativa criação de contas de serviço externas em organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Políticas personalizadas da organização

As políticas personalizadas da organização podem permitir ou restringir a criação e as atualizações de recursos da mesma forma que as políticas predefinidas, mas permitem que os administradores configurem condições com base em parâmetros de solicitação e outros metadados.

É possível criar políticas da organização personalizadas com restrições que restringem operações em determinados recursos de serviço, como os recursos NodePool do Dataproc. Para uma lista de recursos de serviço que oferecem suporte a restrições personalizadas, consulte Serviços compatíveis com restrição personalizada.

Para saber mais sobre o uso de políticas personalizadas da organização, consulte Como criar e gerenciar políticas personalizadas da organização.

Política da organização no modo de teste

Uma política da organização no modo de simulação é criada e aplicada de maneira semelhante a outras políticas da organização, e as violações da política são registradas em auditoria, mas as ações de violação não são negadas.

É possível usar a política da organização no modo de teste para monitorar como as políticas mudam afetariam seus fluxos de trabalho antes de serem aplicadas. Para mais informações, consulte Crie uma política da organização no modo de teste.

Políticas organizacionais condicionais

As tags oferecem uma maneira de aplicar restrições condicionalmente com base em tem uma tag específica. É possível usar tags e aplicação condicional de restrições para fornecer controle centralizado dos recursos na hierarquia.

Para mais informações sobre tags, consulte Visão geral de tags. Para saber como definir uma política condicional da organização usando tags, consulte Como definir uma política da organização com tags.

Herança

Quando uma política da organização é definida em um recurso, todos os descendentes desse recurso herdam a política da organização por padrão. Se você definir um política da organização no recurso da organização, depois a configuração restrições definidas por essa política serão transmitidas para todos os pastas, projetos e recursos de serviço.

É possível definir uma política da organização em um recurso descendente que substitui a herança ou herda a política da organização do recurso pai. Nesse último caso, as duas políticas da organização são mescladas com base nas regras de avaliação da hierarquia. Isso proporciona um controle preciso sobre como as políticas se aplicam a toda a organização e onde aplicar exceções.

Para saber mais sobre a avaliação da hierarquia, consulte a página Noções básicas sobre hierarquia.

Violações

Uma violação ocorre quando a execução ou o estado de um serviço do Google Cloud contraria a configuração de restrições da política da organização dentro do escopo da hierarquia de recursos. Os serviços do Google Cloud aplicarão restrições para evitar violações, mas a aplicação de novas políticas da organização geralmente não é retroativa. Se uma restrição de política da organização for retroativa aplicada, ela será identificada como tal nas Restrições de políticas da organização página.

Se uma nova política da organização definir uma restrição sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não interromperá seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.

Policy Intelligence

O Policy Intelligence é um pacote de ferramentas criadas para ajudar você a gerenciar políticas de segurança. Essas ferramentas podem ajudar você a entender o uso de recursos, entender e melhorar as políticas de segurança e evitar configurações incorretas de políticas.

Algumas ferramentas do Policy Intelligence são projetadas especificamente para ajudar a testar e analisar as políticas do serviço de políticas da organização. Recomendamos que você teste e execute todas as mudanças nas políticas da sua organização. Com a Policy Intelligence, é possível realizar tarefas como:

Para saber mais sobre essas e outras ferramentas do Policy Intelligence, consulte Visão geral do Policy Intelligence.

Próximas etapas