Introduzione al servizio Criteri dell'organizzazione

Il servizio Criteri dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse cloud della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi configurare i vincoli nell'intera gerarchia delle risorse.

Vantaggi

• Centralizza il controllo per configurare limitazioni sull'utilizzo delle risorse della tua organizzazione.
• Definisci e stabilisci dei sistemi di protezione per i tuoi team di sviluppo in modo che rimangano nei limiti di conformità.
• Aiuta i proprietari dei progetti e i loro team a muoversi rapidamente senza preoccuparsi di violare la conformità.

Casi d'uso comuni

I criteri dell'organizzazione ti consentono di:

• Limita la condivisione delle risorse in base al dominio.
• Limita l'utilizzo degli account di servizio Identity and Access Management (IAM).
• Limita la posizione fisica delle risorse appena create.

Esistono molti altri vincoli che ti consentono di avere un controllo granulare sulle risorse della tua organizzazione. Per ulteriori informazioni, consulta l'elenco di tutti i vincoli del servizio di criteri dell'organizzazione.

Differenze rispetto a Identity and Access Management

Identity and Access Management si concentra su chi e consente all'amministratore di autorizzare chi può intervenire su risorse specifiche in base alle autorizzazioni.

Organization Policy si concentra su cosa e consente all'amministratore di impostare limitazioni su risorse specifiche per determinare in che modo possono essere configurate.

Come funzionano i criteri dell'organizzazione

Un criterio dell'organizzazione configura un singolo vincolo che limita uno o più servizi Google Cloud. Il criterio dell'organizzazione viene impostato su una risorsa dell'organizzazione, della cartella o del progetto per applicare il vincolo a quella risorsa e a eventuali risorse secondarie.

Un criterio dell'organizzazione contiene una o più regole che specificano come e se applicare la limitazione. Ad esempio, un criterio dell'organizzazione potrebbe contenere una regola che applica il vincolo solo alle risorse con tag environment=development e un'altra regola che impedisce l'applicazione del vincolo ad altre risorse.

I discendenti della risorsa a cui è associato il criterio dell'organizzazione ereditano il criterio dell'organizzazione. Se applica un criterio dell'organizzazione alla risorsa dell'organizzazione, l'amministratore dei criteri dell'organizzazione può controllare l'applicazione di questo criterio e la configurazione delle restrizioni nell'intera organizzazione.

Vincoli

Un vincolo è un particolare tipo di limitazione per un servizio Google Cloud o un elenco di servizi Google Cloud. Pensa alla limitazione come a un'impronta che definisce i comportamenti controllati. Ad esempio, puoi limitare le risorse del progetto dall'accesso alle risorse di archiviazione di Compute Engine utilizzando il vincolo compute.storageResourceUseRestrictions.

Questo progetto base viene poi applicato a una risorsa nella gerarchia delle risorse come criterio dell'organizzazione, che implementa le regole definite nel vincolo. Il servizio Google Cloud mappato a questo vincolo e associato al nodo della gerarchia delle risorse applicherà le limitazioni configurate all'interno del criterio dell'organizzazione.

Un criterio dell'organizzazione è definito in un file YAML o JSON dal vincolo applicato e, facoltativamente, dalle condizioni in cui viene applicato. Ogni criterio dell'organizzazione applica esattamente un vincolo in modalità attiva, in modalità di prova o in entrambe.

Un vincolo ha un tipo di applicazione forzata di tipo elenco o booleano, che determina i valori che possono essere utilizzati per verificare l'applicazione forzata. Il servizio Google Cloud di applicazione valuterà il tipo e il valore del vincolo per determinare la limitazione.

Vincoli di elenco

Un vincolo dell'elenco consente o meno un elenco di valori definiti in un criterio dell'organizzazione. Questo elenco di valori è espresso come stringa di sottoalbero della gerarchia. La stringa dell'albero secondario specifica il tipo di risorsa a cui si applica. Ad esempio, la limitazione dell'elenco constraints/compute.trustedImageProjects accetta un elenco di ID progetto sotto forma di projects/PROJECT_ID.

Ai valori può essere assegnato un prefisso nel formato prefix:value per i vincoli che li supportano, il che conferisce al valore un significato aggiuntivo:

• is:: applica un confronto con il valore esatto. Si tratta dello stesso comportamento che si ottiene se non viene specificato un prefisso ed è obbligatorio quando il valore include due punti.

• under:: applica un confronto al valore e a tutti i relativi valori secondari. Se una risorsa è consentita o negata con questo prefisso, lo sono anche le risorse figlio. Il valore fornito deve essere l'ID di un'organizzazione, di una cartella o di una risorsa di progetto.

• in:: applica un confronto a tutte le risorse che includono questo valore. Ad esempio, puoi aggiungere in:us-locations all'elenco di valori non consentiti del vincolo constraints/gcp.resourceLocations per bloccare tutte le località incluse nella regione us.

Se non viene fornito alcun elenco di valori o se il criterio dell'organizzazione è impostato su quello predefinito gestito da Google, viene applicato il comportamento predefinito del vincolo, che consente o nega tutti i valori.

Il seguente criterio dell'organizzazione applica una limitazione che consente alle istanze VM Compute Engine vm-1 e vm-2 in organizations/1234567890123 di accedere agli indirizzi IP esterni:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Vincoli booleani

Un vincolo booleano viene applicato o meno. Ad esempio, il vincolo predefinito constraints/compute.disableSerialPortAccess ha due possibili stati:

• Applicazione forzata: il vincolo viene applicato e l'accesso alla porta seriale non è consentito.
• Non applicata: il vincolo disableSerialPortAccess non viene applicato o controllato, pertanto l'accesso alla porta seriale è consentito.

Se il criterio dell'organizzazione è impostato sul valore predefinito gestito da Google, viene applicato il comportamento predefinito per il vincolo.

Il seguente criterio dell'organizzazione applica un vincolo che disattiva la creazione di account di servizio esterni in organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Criteri dell'organizzazione personalizzati

I criteri dell'organizzazione personalizzati possono consentire o limitare la creazione e gli aggiornamenti delle risorse allo stesso modo dei criteri dell'organizzazione predefiniti, ma consentono agli amministratori di configurare le condizioni in base ai parametri di richiesta e ad altri metadati. Puoi utilizzare gli strumenti di Policy Intelligence per testare e analizzare i criteri dell'organizzazione personalizzati.

Puoi creare criteri dell'organizzazione personalizzati con vincoli che limitano le operazioni su determinate risorse di servizio, ad esempio le risorse NodePool Per un elenco delle risorse di servizio che supportano i vincoli personalizzati, consulta Servizi supportati dai vincoli personalizzati.

Per scoprire di più sull'utilizzo dei criteri dell'organizzazione personalizzati, consulta Creare e gestire criteri dell'organizzazione personalizzati.

Vincoli gestiti

I vincoli gestiti sono vincoli predefiniti creati sulla piattaforma dei criteri dell'organizzazione personalizzati. La piattaforma dei criteri dell'organizzazione personalizzata consente di progettare i criteri dell'organizzazione con maggiore flessibilità e con maggiori informazioni provenienti dagli strumenti di Policy Intelligence.

Per scoprire di più sull'utilizzo dei vincoli gestiti, consulta Utilizzo dei vincoli.

Criteri dell'organizzazione in modalità di prova

Un criterio dell'organizzazione in modalità di prova viene creato e applicato in modo simile agli altri criteri dell'organizzazione e le violazioni del criterio vengono registrate in un log di controllo, ma le azioni in violazione non vengono negate.

Puoi utilizzare i criteri dell'organizzazione in modalità di prova per monitorare l'impatto delle modifiche ai criteri sui tuoi flussi di lavoro prima che vengano applicati. Per ulteriori informazioni, consulta Creare un criterio dell'organizzazione in modalità di prova.

Criteri dell'organizzazione condizionali

I tag forniscono un modo per applicare in modo condizionale i vincoli a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei vincoli per fornire un controllo centralizzato delle risorse nella gerarchia.

Per ulteriori informazioni sui tag, consulta la panoramica dei tag. Per scoprire come impostare un criterio dell'organizzazione condizionale utilizzando i tag, consulta Impostazione di un criterio dell'organizzazione con tag.

Ereditarietà

Quando un criterio dell'organizzazione viene impostato su una risorsa, per impostazione predefinita tutti i discendenti di quella risorsa ereditano il criterio dell'organizzazione. Se imposti un criterio dell'organizzazione nella risorsa dell'organizzazione, la configurazione delle restrizioni definite dal criterio verrà trasmessa a tutte le cartelle, i progetti e le risorse di servizio discendenti.

Puoi impostare un criterio dell'organizzazione su una risorsa secondaria che sovrascriva l'ereditarietà o erediti il criterio dell'organizzazione della risorsa principale. In quest'ultimo caso, i due criteri dell'organizzazione vengono uniti in base alle regole di valutazione della gerarchia. In questo modo puoi controllare con precisione in che modo i criteri dell'organizzazione vengono applicati in tutta l'organizzazione e dove vuoi che vengano fatte delle eccezioni.

Per scoprire di più, consulta Informazioni sulla valutazione della gerarchia.

Violazioni

Si tratta di una violazione quando un servizio Google Cloud agisce o è in uno stato contrario alla configurazione delle limitazioni delle norme dell'organizzazione nell'ambito della gerarchia delle risorse. I servizi Google Cloud applicheranno vincoli per impedire violazioni, ma l'applicazione dei nuovi criteri dell'organizzazione in genere non è retroattiva. Se un vincolo dei criteri dell'organizzazione viene applicato in modo retroattivo, verrà etichettato come tale nella pagina dei vincoli dei criteri dell'organizzazione.

Se un nuovo criterio dell'organizzazione imposta una limitazione su un'azione o indica che un servizio è già attivo, il criterio è considerato in violazione, ma il servizio non interromperà il comportamento originale. Dovrai risolvere questa violazione manualmente. In questo modo, eviti il rischio che i nuovi criteri dell'organizzazione interrompa completamente la continuità della tua attività.

Policy Intelligence

Policy Intelligence è una suite di strumenti progettati per aiutarti a gestire i criteri di sicurezza. Questi strumenti possono aiutarti a comprendere l'utilizzo delle risorse, a comprendere e migliorare i criteri di sicurezza esistenti e a evitare errori di configurazione dei criteri.

Alcuni strumenti di Policy Intelligence sono progettati specificamente per aiutarti a testare e analizzare i criteri del servizio di norme dell'organizzazione. Ti consigliamo di testare e eseguire prove di tutte le modifiche ai criteri della tua organizzazione. Con Policy Intelligence, puoi svolgere attività come:

• Testa le modifiche ai criteri e ai vincoli dell'organizzazione e identifica le risorse non conformi ai sensi del criterio proposto (Anteprima).
• Crea un criterio di dry run dell'organizzazione per monitorare l'impatto di una modifica dei criteri sui tuoi flussi di lavoro
• Analizza i criteri dell'organizzazione esistenti per capire quali risorse Google Cloud sono coperte da ciascun criterio dell'organizzazione

Per scoprire di più su questi e su altri strumenti di Policy Intelligence, consulta la panoramica di Policy Intelligence.

Passaggi successivi

• Consulta la pagina Creare e gestire le risorse organizzazione per scoprire come acquisire una risorsa organizzazione.
• Scopri come definire i criteri dell'organizzazione.
• Esplora le soluzioni che puoi realizzare. con i vincoli delle norme dell'organizzazione.