Présentation du service de règles d'organisation

Grâce au service de règles d'administration, vous disposez d'un contrôle centralisé et automatisé sur les ressources cloud de votre organisation. En tant qu'administrateur des règles d'administration, vous pourrez configurer des contraintes sur l'ensemble de votre hiérarchie des ressources.

Avantages

  • Centralisez le contrôle pour configurer des restrictions sur l'utilisation des ressources de votre organisation.
  • Définissez et établissez des garde-fous pour que vos équipes de développement puissent respecter les limites de conformité.
  • Aidez les porteurs de projets et leurs équipes à agir rapidement sans craindre de se soustraire à la conformité.

Cas d'utilisation courants

Les règles d'administration vous permettent d'effectuer les opérations suivantes:

Il existe de nombreuses autres contraintes qui vous permettent de contrôler avec précision les ressources de votre organisation. Pour en savoir plus, consultez la liste de toutes les contraintes du service de règles d'administration.

Différences avec Identity and Access Management

Identity and Access Management se concentre sur la réponse à la question qui, et permet à l'administrateur d'autoriser une personne à prendre des mesures sur les ressources spécifiques en fonction des autorisations.

La règle d'administration met l'accent sur la réponse à la question quoi, et permet à l'administrateur de définir des restrictions sur des ressources spécifiques afin de déterminer leur configuration.

Concepts clés

Règle d'administration

Une règle d'administration configure une seule contrainte qui restreint un ou plusieurs services Google Cloud. La règle d'administration est définie sur une ressource d'organisation, de dossier ou de projet pour appliquer la contrainte à cette ressource et à toutes les ressources enfants.

Une règle d'administration contient une ou plusieurs règles qui spécifient comment et si la contrainte doit être appliquée. Par exemple, une règle d'administration peut contenir une règle qui n'applique la contrainte qu'aux ressources avec le tag environment=development, et une autre qui empêche d'appliquer la contrainte à d'autres ressources.

Les descendants de la ressource à laquelle la règle d'administration est associée héritent de la règle d'administration. En appliquant une règle d'administration à la ressource d'administration, l'administrateur peut contrôler l'application de cette règle d'administration et la configuration des restrictions au sein de votre organisation.

Concepts de règle d'administration

Contraintes

Une contrainte est un type de restriction donné appliqué à un service Google Cloud ou à une liste de services Google Cloud. On peut la considérer comme un modèle définissant les comportements à contrôler. Ce plan est ensuite appliqué à une ressource de votre hiérarchie des ressources en tant que règle d'administration, qui met en œuvre les règles définies dans la contrainte. Le service Google Cloud mappé sur cette contrainte et associé à ce nœud de hiérarchie de ressources applique alors les restrictions configurées dans la règle d'administration.

Une contrainte comporte un type, liste ou boolean. Les contraintes de liste évaluent la contrainte avec une liste de valeurs autorisées ou refusées que vous fournissez. Par exemple, la contrainte suivante limite les adresses IP pouvant se connecter à une machine virtuelle:

name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
      - projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME

Les contraintes booléennes sont appliquées ou non à une ressource donnée, et régissent un comportement spécifique. Par exemple, la contrainte suivante détermine si des comptes de service externes peuvent être créés:

name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Les tags permettent d'appliquer des contraintes de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser les tags et l'application conditionnelle de contraintes pour fournir un contrôle centralisé des ressources de votre hiérarchie.

Par exemple, la contrainte suivante désactive Cloud Logging pour les ressources comportant le tag environment=development, mais l'active partout ailleurs:

name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
  rules:
  - condition:
      expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
      title: ""
    enforce: true
  - enforce: false

Chaque service Google Cloud évalue les valeurs et les types de contraintes pour déterminer ce qui doit être restreint. Pour en savoir plus sur les contraintes, consultez la page Comprendre les contraintes.

Règles d'administration personnalisées

Règles d'administration personnalisées peuvent autoriser ou limiter la création et la mise à jour des ressources de la même manière que les règles d'administration prédéfinies, mais permettent aux administrateurs de configurer des conditions en fonction de paramètres de requête et d'autres métadonnées.

Vous pouvez créer des règles d'administration personnalisées avec des contraintes qui limitent les opérations sur certaines ressources de service, telles que les ressources NodePool Dataproc. Pour obtenir la liste des ressources de service compatibles avec les contraintes personnalisées, consultez la section Services compatibles avec les contraintes personnalisées.

Pour en savoir plus sur l'utilisation des règles d'administration personnalisées, consultez la page Créer et gérer des règles d'administration personnalisées.

Héritage

Lorsqu'une règle d'administration est définie sur une ressource, tous les descendants de cette ressource héritent par défaut de la règle d'administration. Si vous définissez une règle d'administration sur la ressource Organisation, la configuration des restrictions définie par cette règle sera transmise à tous les dossiers descendants, projets et ressources de service.

Un utilisateur disposant du rôle Administrateur de règle d'administration peut définir des nœuds de hiérarchie des ressources descendants avec une autre règle d'administration qui écrase l'héritage ou les fusionne en fonction des règles d'évaluation hiérarchique. Cela permet de contrôler précisément l'application des règles d'administration dans votre organisation et le lieu où vous souhaitez créer des exceptions.

Pour en savoir plus sur l'évaluation hiérarchique, consultez la page Comprendre le processus d'évaluation hiérarchique.

Cas de non-respect des règles

Un non-respect survient lorsqu'un service Google Cloud agit ou se trouve dans un état opposé à la configuration de restriction de la règle d'administration définie dans le champ d'application de sa hiérarchie des ressources. Les services Google Cloud appliquent des contraintes pour empêcher le non-respect des règles, mais l'application de nouvelles règles d'administration n'est généralement pas rétroactive. Si une contrainte liée à une règle d'administration est appliquée de manière rétroactive, elle est libellée comme telle sur la page Contraintes liées aux règles d'administration.

Si une nouvelle règle d'administration définit une restriction applicable à une action ou un état dans lequel un service est déjà intégré, le système considère bien qu'il y a violation de la règle mais le service n'arrête pas son comportement d'origine. Vous devrez traiter ce non-respect manuellement. Cela évite le risque qu'une nouvelle règle d'administration arrête complètement la continuité de votre activité.

Étapes suivantes