Introducción al Servicio de políticas de la organización

El Servicio de políticas de la organización te brinda un control centralizado y programático sobre los recursos en la nube de tu organización. Como administrador de políticas de la organización, puedes configurar restricciones en toda la jerarquía de recursos.

Beneficios

  • Centralice el control para configurar restricciones en el uso cómo se pueden usar los recursos.
  • Define y establece barreras de seguridad para que tus equipos de desarrollo se mantengan dentro de los límites de cumplimiento.
  • Ayuda a los propietarios de proyectos y sus equipos a moverse con rapidez sin preocuparse por romper el cumplimiento.

Casos de uso habituales

Las políticas de la organización te permiten hacer lo siguiente:

Existen muchas más restricciones que te permiten controlar de forma detallada los recursos de tu organización. Para obtener más información, consulta la lista de todas las restricciones del Servicio de políticas de la organización.

Diferencias con Identity and Access Management

Identity and Access Management se enfoca en el quién y permite que el administrador autorice quién puede realizar acciones en recursos específicos en función de los permisos.

La política de la organización se enfoca en el qué y permite al administrador establecer restricciones en recursos específicos para determinar cómo se pueden configurar.

Cómo funcionan las políticas de la organización

Una política de la organización configura una única restricción que restringe una o más servicios de Google Cloud. La política de la organización se establece en una organización, una carpeta o un recurso de proyecto para aplicar la restricción en ese recurso y en cualquier recurso secundario.

Una política de la organización contiene una o más reglas que especifican cómo y si aplicar la restricción. Por ejemplo, una política de la organización podría contienen una regla que aplique la restricción solo a los recursos etiquetados environment=development y otra regla que impide que la restricción que se está aplicando a otros recursos.

Los elementos subordinados del recurso al que se adjunta la política de la organización hereden la política de la organización. Si aplicas una organización al recurso de la organización, el administrador de políticas la aplicación de esa política de la organización y la configuración de restricciones en la organización.

Conceptos de políticas de la organización

Limitaciones

Una restricción es un tipo particular de limitación contra un servicio de Google Cloud o una lista de servicios de Google Cloud. Piensa en la restricción como un plano técnico que define qué comportamientos se controlan. Por ejemplo, puedes restringir el acceso de los recursos del proyecto a los recursos de almacenamiento de Compute Engine con la restricción compute.storageResourceUseRestrictions.

Luego, este modelo se aplica a un recurso de tu jerarquía de recursos como una política de la organización, que implementa las reglas definidas en la restricción. El servicio de Google Cloud asignado a esa restricción y asociado con ese nodo de la jerarquía de recursos impondrá las restricciones en la política de la organización.

Una política de la organización se define en un archivo YAML o JSON por la restricción que aplica y, de forma opcional, por las condiciones en las que se aplica la restricción. Cada política de la organización aplica exactamente una restricción en el modo activo, el modo de ejecución de prueba o ambos.

Una restricción tiene un tipo de aplicación de lista o booleano, que determina la valores que se pueden usar para verificar la aplicación forzosa. El servicio de aplicación forzosa de Google Cloud evaluará el tipo y el valor de la restricción para determinar la restricción.

Enumera restricciones

Una restricción de lista permite o deniega una lista de valores que se define en un política de la organización. Esta lista de valores se expresa como una cadena de subárbol de jerarquías. La cadena del subárbol especifica el tipo de recurso al que se aplica. Para Por ejemplo, la restricción de lista constraints/compute.trustedImageProjects toma una lista de IDs de proyectos con el formato projects/PROJECT_ID.

Los valores pueden tener un prefijo con el formato prefix:value para las restricciones que respaldarlos, lo que le otorga un significado adicional al valor:

  • is:: Aplica una comparación con el valor exacto. Este es el mismo comportamiento que se adopta cuando no se tiene un prefijo, y se requiere cuando el valor incluye dos puntos.

  • under:: Aplica una comparación al valor y todos sus valores secundarios. Si cuando un recurso se permite o rechaza con este prefijo, sus recursos secundarios también se permiten o rechazan. El valor proporcionado debe ser el ID de una organización, carpeta o recurso de proyecto.

  • in:: Aplica una comparación a todos los recursos que incluyen este valor. Por ejemplo, puedes agregar in:us-locations a la lista de ubicaciones rechazadas de la restricción constraints/gcp.resourceLocations para bloquear todas las ubicaciones que se incluyen en la región us.

Si no se proporciona una lista de valores o la política de la organización se establece en de forma predeterminada administrada por Google, el comportamiento predeterminado de la restricción efecto, que permite o rechaza todos los valores.

La siguiente política de la organización aplica una restricción que permite que las instancias de VM de Compute Engine vm-1 y vm-2 en organizations/1234567890123 accedan a direcciones IP externas:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Restricciones booleanas

Una restricción booleana se aplica de manera forzosa o no. Por ejemplo, la restricción predefinida constraints/compute.disableSerialPortAccess tiene dos estados posibles:

  • Aplicado: la restricción se aplica de manera forzosa y el acceso al puerto en serie no por lo que está permitido.
  • No aplicada: La restricción disableSerialPortAccess no se aplica de manera forzosa o para que se permita el acceso al puerto en serie.

Si la política de la organización se establece como predeterminada administrada por Google, el se aplica el comportamiento predeterminado de la restricción.

La siguiente política de la organización aplica una restricción que inhabilita la creación de cuentas de servicio externas en organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Políticas de la organización personalizadas

Las políticas de organización personalizadas pueden permitir o restringir la creación y actualización de recursos de la misma manera que lo hacen las políticas de organización predefinidas, pero permiten a los administradores configurar condiciones según los parámetros de solicitud y otros metadatos.

Puedes crear políticas de la organización personalizadas con restricciones que limitan las operaciones en ciertos recursos de servicio, como los recursos NodePool de Dataproc. Para obtener una lista de los recursos de servicio que admiten restricciones personalizadas, consulta Servicios compatibles con restricciones personalizadas.

Para obtener más información sobre el uso de políticas de la organización personalizadas, consulta Crea y administra políticas de la organización personalizadas.

Política de la organización en modo de ejecución de prueba

Una política de la organización en modo de ejecución de prueba se crea y aplica de manera similar a otras políticas de la organización, y los incumplimientos de la política se registran en la auditoría, pero las acciones que incumplen la política no se rechazan.

Puedes usar la política de la organización en el modo de ejecución de prueba para supervisar cómo los cambios en la política afectarían tus flujos de trabajo antes de que se apliquen. Para obtener más información, consulta Crea una política de la organización en el modo de ejecución de prueba.

Políticas de la organización condicionales

Las etiquetas proporcionan una forma de aplicar restricciones condicionalmente en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de restricciones para proporcionar un control centralizado de los recursos de tu jerarquía.

Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas. Para aprender a establecer una política de la organización condicional con etiquetas, consulta Configura una política de la organización con etiquetas.

Herencia

Cuando se configura una política de la organización en un recurso, todos sus elementos subordinados recurso heredan la política de la organización de forma predeterminada. Si estableces un política de la organización en el recurso de la organización, la configuración del las restricciones definidas por esa política se transmitirán proyectos, carpetas y recursos de servicio.

Puedes establecer una política de la organización en un recurso secundario que reemplace la herencia o herede la política de la organización del recurso superior. En este último caso, las dos políticas de la organización se fusionan las reglas de evaluación de jerarquías. Esto proporciona un control preciso de la forma en que las políticas de la organización se aplican en toda tu organización y en las que quieras excepciones.

Para obtener más información sobre la evaluación de jerarquías, consulta Cómo comprender la jerarquía. .

Incumplimientos

Un incumplimiento es cuando un servicio Google Cloud actúa o está en un estado contrario a la configuración de restricción de políticas de la organización dentro del alcance de su jerarquía de recursos. Los servicios de Google Cloud impondrán restricciones para evitar infracciones, pero la aplicación de las políticas de la organización nuevas en general no es retroactiva. Si una restricción de la política de la organización se aplicará de forma forzosa, y se etiquetará como tal en las Restricciones de las políticas de la organización .

Si una nueva política de la organización establece una restricción para una acción o indica que un servicio ya está en servicio, se considera que la política está en incumplimiento, pero el servicio no detendrá su comportamiento original. Deberás abordar este incumplimiento de forma manual. Esto previene el riesgo de que una nueva política de la organización cierre por completo la continuidad de tu negocio.

Policy Intelligence

es un paquete de herramientas diseñadas para ayudarte a las políticas de seguridad de Google Cloud. Estas herramientas pueden ayudarte a comprender el uso de los recursos, comprender y mejorar las políticas de seguridad existentes de configuración incorrecta.

Algunas herramientas de Policy Intelligence están diseñadas específicamente para ayudar probar y analizar las políticas del Servicio de políticas de la organización. Te recomendamos que pruebes y realizar una prueba de validación de todos los cambios en las políticas de la organización. Con la Información sobre políticas, puedes realizar tareas como las siguientes:

Para obtener más información sobre estas herramientas y otras herramientas de Policy Intelligence, consulta Descripción general de Policy Intelligence.

Próximos pasos