Introduzione al servizio Criteri dell'organizzazione

Il servizio Criteri dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse cloud della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi configurare i vincoli in tutta la gerarchia delle risorse.

Vantaggi

• Centralizza il controllo per configurare limitazioni sull'utilizzo delle risorse della tua organizzazione.
• Definisci e stabilisci sistemi di protezione per i tuoi team di sviluppo in modo che rimangano nei limiti di conformità.
• Aiuta i proprietari dei progetti e i loro team a progredire velocemente senza preoccuparsi di provocare danni conformità.

Casi d'uso comuni

I criteri dell'organizzazione ti consentono di:

• Limita la condivisione delle risorse in base al dominio.
• Limita l'utilizzo degli account di servizio Identity and Access Management (IAM).
• Limita la posizione fisica delle risorse appena create.

Esistono molti altri vincoli che ti consentono di avere un controllo granulare sulle risorse della tua organizzazione. Per ulteriori informazioni, consulta elenco di tutti i vincoli del Servizio Criteri dell'organizzazione.

Differenze rispetto a Identity and Access Management

Identity and Access Management si concentra su chi e consente all'amministratore di autorizzare che possono intervenire su risorse specifiche in base alle autorizzazioni.

Organization Policy si concentra su cosa e consente all'amministratore di impostare limitazioni su risorse specifiche per determinare in che modo possono essere configurate.

Come funzionano i criteri dell'organizzazione

Un criterio dell'organizzazione configura un singolo vincolo che limita una o più servizi Google Cloud. Il criterio dell'organizzazione viene impostato su una risorsa dell'organizzazione, della cartella o del progetto per applicare il vincolo a quella risorsa e a eventuali risorse secondarie.

Un criterio dell'organizzazione contiene una o più regole che specificano come e se applicare il vincolo. Ad esempio, un criterio dell'organizzazione potrebbe contenere una regola che applica il vincolo solo alle risorse con tag environment=development e un'altra regola che impedisce l'applicazione del vincolo ad altre risorse.

I discendenti della risorsa a cui è associato il criterio dell'organizzazione ereditano il criterio dell'organizzazione. Se applica un criterio dell'organizzazione alla risorsa dell'organizzazione, l'amministratore dei criteri dell'organizzazione può controllare l'applicazione di questo criterio e la configurazione delle restrizioni nell'intera organizzazione.

Vincoli

Un vincolo è un particolare tipo di limitazione nei confronti di un Servizio Google Cloud o un elenco di servizi Google Cloud. Pensa del vincolo come modello che definisce quali comportamenti vengono controllati. Ad esempio, puoi impedire alle risorse di progetto di accedere a Compute Engine di archiviazione usando il vincolo compute.storageResourceUseRestrictions.

Questo progetto base viene poi applicato a una risorsa nella gerarchia delle risorse come criterio dell'organizzazione, che implementa le regole definite nel vincolo. Il servizio Google Cloud mappato a questo vincolo e associato al nodo della gerarchia delle risorse applicherà le limitazioni configurate nel criterio dell'organizzazione.

Un criterio dell'organizzazione viene definito in un file YAML o JSON dal vincolo e, facoltativamente, in base alle condizioni in cui il vincolo in modo forzato. Ogni criterio dell'organizzazione applica esattamente un vincolo in modalità attiva, in modalità di prova o in entrambe.

Un vincolo ha un tipo di applicazione forzata di tipo elenco o booleano, che determina i valori che possono essere utilizzati per verificare l'applicazione forzata. Il servizio Google Cloud di applicazione valuterà il tipo e il valore del vincolo per determinare la limitazione.

Vincoli di elenco

Un vincolo di elenco consente o disabilita un elenco di valori definiti in un criterio dell'organizzazione. Questo elenco di valori è espresso come stringa di sottoalbero della gerarchia. La stringa del sottoalbero specifica il tipo di risorsa a cui si applica. Per Ad esempio, il vincolo dell'elenco constraints/compute.trustedImageProjects utilizza un elenco di ID progetto nel formato projects/PROJECT_ID.

Ai valori può essere assegnato un prefisso nel formato prefix:value per i vincoli che li supportano, il che conferisce al valore un significato aggiuntivo:

• is:: applica un confronto con il valore esatto. È lo stesso un comportamento come non avente un prefisso ed è obbligatorio quando il valore include un I due punti.

• under:: applica un confronto al valore e a tutti i relativi valori secondari. Se se una risorsa è consentita o negata con questo prefisso, anche le relative risorse figlio consentito o non consentito. Il valore fornito deve essere l'ID di un'organizzazione una cartella o una risorsa di progetto.

• in:: applica un confronto a tutte le risorse che includono questo valore. Ad esempio, puoi aggiungere in:us-locations all'elenco di valori non consentiti del vincolo constraints/gcp.resourceLocations per bloccare tutte le località incluse nella regione us.

Se non viene fornito alcun elenco di valori o se il criterio dell'organizzazione è impostato su Per impostazione predefinita, viene gestito da Google, il comportamento predefinito del vincolo , che consente o nega tutti i valori.

Il seguente criterio dell'organizzazione applica una limitazione che consente alle istanze VM Compute Engine vm-1 e vm-2 in organizations/1234567890123 di accedere agli indirizzi IP esterni:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Vincoli booleani

Un vincolo booleano viene applicato o non applicato. Ad esempio, il vincolo predefinito constraints/compute.disableSerialPortAccess ha due possibili stati:

• Applicato: il vincolo viene applicato in modo forzato e l'accesso alle porte seriali non è consentito.
• Non applicato: il vincolo disableSerialPortAccess non è applicato o è selezionata, quindi l'accesso alle porte seriali è consentito.

Se il criterio dell'organizzazione è impostato sul valore predefinito gestito da Google, viene applicato il comportamento predefinito per il vincolo.

Il seguente criterio dell'organizzazione applica un vincolo che disattiva la creazione di account di servizio esterni in organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Criteri dell'organizzazione personalizzati

I criteri dell'organizzazione personalizzati possono consentire o limitare la creazione e gli aggiornamenti delle risorse allo stesso modo dei criteri dell'organizzazione predefiniti, ma consentono agli amministratori di configurare le condizioni in base ai parametri di richiesta e ad altri metadati.

Puoi creare criteri dell'organizzazione personalizzati con vincoli che limitano operazioni su alcune risorse di servizio, come Dataproc NodePool Google Cloud. Per un elenco delle risorse di servizio che supportano vincoli personalizzati, vedi Servizi supportati da vincoli personalizzati.

Per scoprire di più sull'uso dei criteri personalizzati dell'organizzazione, consulta Creazione e gestione dei criteri personalizzati dell'organizzazione.

Criterio dell'organizzazione in modalità dry run

Un criterio dell'organizzazione in modalità di prova viene creato e applicato in modo simile agli altri criteri dell'organizzazione e le violazioni del criterio vengono registrate in un log di controllo, ma le azioni in violazione non vengono negate.

Puoi utilizzare i criteri dell'organizzazione in modalità di prova per monitorare l'impatto delle modifiche ai criteri sui tuoi flussi di lavoro prima che vengano applicati. Per ulteriori informazioni, consulta Creare un criterio dell'organizzazione in modalità di prova.

Criteri dell'organizzazione condizionali

I tag forniscono un modo per applicare in modo condizionale i vincoli a seconda che un oggetto risorsa ha un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei vincoli per fornire un controllo centralizzato delle risorse nella gerarchia.

Per saperne di più sui tag, consulta la Panoramica dei tag. Per scoprire come impostare un criterio condizionale dell'organizzazione utilizzando i tag, consulta Impostazione di un criterio dell'organizzazione con i tag.

Ereditarietà

Quando un criterio dell'organizzazione viene impostato su una risorsa, per impostazione predefinita tutti i discendenti di quella risorsa ereditano il criterio dell'organizzazione. Se imposti un criterio dell'organizzazione nella risorsa dell'organizzazione, la configurazione delle restrizioni definite dal criterio verrà trasmessa a tutte le cartelle, i progetti e le risorse di servizio discendenti.

Puoi impostare un criterio dell'organizzazione su una risorsa discendente che sovrascrive l'ereditarietà o sovrascrive il criterio dell'organizzazione dell'account principale risorsa. In quest'ultimo caso, i due criteri dell'organizzazione vengono uniti in base alle regole di valutazione della gerarchia. In questo modo puoi controllare con precisione in che modo i criteri dell'organizzazione vengono applicati in tutta l'organizzazione e dove vuoi che vengano fatte delle eccezioni.

Per scoprire di più sulla valutazione della gerarchia, consulta la pagina Informazioni sulla gerarchia.

Violazioni

Si tratta di una violazione quando un servizio Google Cloud agisce o è in uno stato contrario alla configurazione delle limitazioni delle norme dell'organizzazione nell'ambito della gerarchia delle risorse. I servizi Google Cloud applicheranno i vincoli evitare violazioni, ma in genere l'applicazione di nuovi criteri dell'organizzazione non retroattiva. Se un vincolo dei criteri dell'organizzazione è retroattivo verrà etichettato come tale nei Vincoli dei criteri dell'organizzazione .

Se un nuovo criterio dell'organizzazione imposta una limitazione su un'azione o indica che un servizio è già attivo, il criterio è considerato in violazione, ma il servizio non interromperà il comportamento originale. Dovrai risolvere questo problema la violazione manuale. In questo modo si evita il rischio di un nuovo criterio dell'organizzazione interrompendo completamente la continuità aziendale.

Policy Intelligence

Policy Intelligence è una suite di strumenti progettati per aiutarti a gestire i criteri di sicurezza. Questi strumenti possono aiutarti a comprendere l'utilizzo delle risorse, a comprendere e migliorare i criteri di sicurezza esistenti e a evitare errori di configurazione dei criteri.

Alcuni strumenti Policy Intelligence sono progettati specificamente per aiutare Testare e analizzare i criteri del servizio Criteri dell'organizzazione. Ti consigliamo di testare e eseguire prove di tutte le modifiche ai criteri della tua organizzazione. Con Policy Intelligence, puoi eseguire attività come le seguenti:

• Testa le modifiche ai criteri e ai vincoli dell'organizzazione e identifica le risorse non conformi ai criteri proposti (Anteprima).
• Identifica le risorse non conformi per le modifiche ai criteri e ai vincoli dell'organizzazione (anteprima)
• Crea un criterio dell'organizzazione di prova per monitorare l'impatto di una modifica dei criteri sui tuoi flussi di lavoro.
• Analizza i criteri dell'organizzazione esistenti per capire quali risorse Google Cloud sono coperte da ciascun criterio dell'organizzazione.

Per scoprire di più su questi strumenti e altre informazioni su Policy Intelligence consulta la panoramica di Policy Intelligence.

Passaggi successivi

• Leggi la pagina Creare e gestire le organizzazioni per scoprire come acquisire una risorsa organizzazione.
• Scopri come creare e gestire i criteri dell'organizzazione con la console Google Cloud.
• Scopri come definire i criteri dell'organizzazione utilizzando i vincoli.
• Esplora le soluzioni che puoi realizzare con i vincoli dei criteri dell'organizzazione.