Comprende la evaluación de jerarquías

Cuando configuras una política de la organización en un nodo de la jerarquía de recursos, todos los elementos subordinados de ese nodo heredan la política de la organización de forma predeterminada. Si configuras una política de la organización en el nodo de la organización raíz, todas las carpetas, proyectos y recursos secundarios heredan esas restricciones.

Puedes establecer la misma política de la organización con una configuración diferente en los nodos secundarios, que se reemplazarán o se combinarán con la política heredada según las reglas de evaluación de jerarquías.

Antes de comenzar

Ejemplo de una jerarquía

En el siguiente diagrama de la jerarquía de recursos, cada nodo configura una política de la organización y define si esta hereda la política del nodo superior. Las formas coloreadas representan los valores que la política de la organización admite o rechaza.

Diagrama de herencias

Una Restricción es una definición de los comportamientos que controla una política de la organización. En el ejemplo anterior, la Restricción representa la configuración predeterminada de la restricción, que define el comportamiento cuando no hay una política de la organización para la restricción. La restricción predeterminada en este ejemplo permite a todos los valores. Los nodos debajo de él definen las políticas de la organización que anulan el valor predeterminado de la restricción, ya que permiten o rechazan los valores.

La política vigente en cada nodo se evalúa en función de las reglas de herencia. Si no se configura una política de la organización, el nodo heredará el comportamiento predeterminado de la restricción. En cambio, si configuras una política de la organización, se usa tu política. En el ejemplo anterior, el Nodo de la organización define una política que permite el cuadrado rojo y el círculo verde .

Los nodos de los recursos que están debajo del Nodo de la organización en la jerarquía se evalúan de la siguiente manera:

  1. El Recurso 1 define una política que configura inheritFromParent como TRUE y permite el diamante azul . La política del Nodo de la organización se hereda y se combina con la política establecida en el Recurso 1. La política vigente se evalúa para permitir cuadrado rojo, círculo verde y diamante azul.

  2. El Recurso 2 define una política que configura inheritFromParent como TRUE y rechaza el círculo verde . Los valores de denegación siempre tienen prioridad durante la conciliación de políticas. La política del Nodo de la organización se hereda y se combina con la política establecida en el Recurso 2. La política vigente se evalúa para permitir solo el cuadrado rojo.

  3. El Recurso 3 define una política que establece inheritFromParent en FALSE y permite el hexágono amarillo . La política del Nodo de la organización no se hereda, por lo que la política vigente solo permite el hexágono amarillo .

  4. El Recurso 4 define una política que establece inheritFromParent en FALSE y, además, incluye el valor restoreDefault. La política del Nodo de la organización no se hereda y se usa el comportamiento de la restricción predeterminado, por lo que la política vigente permite todos los valores.

Reglas de evaluación de la jerarquía

Las siguientes reglas rigen cómo se evalúa la política de la organización en un recurso determinado. Necesitas la función de administrador de políticas de la organización para configurar la política de la organización.

No se configuró una política de la organización

Si no configuras una política de la organización, el nodo de un recurso heredará una de su superior. Si no hay ninguna política establecida en la jerarquía principal, se aplicará de forma forzosa el comportamiento de la restricción predeterminado.

Herencia

El nodo de un recurso que tiene configurada una política de la organización de forma predeterminada reemplaza cualquier política que hayan configurado los nodos superiores en la jerarquía. Sin embargo, si en el nodo de un recurso se configuró inheritFromParent = true, la política vigente del recurso superior se hereda, se combina y se concilia para evaluar la política resultante vigente. Por ejemplo:

  • Una carpeta rechaza el valor projects/123.
  • Un proyecto dentro de esa carpeta rechaza el valor projects/456.

Las dos políticas se combinan y, en este caso, dan como resultado una política vigente que rechaza projects/123 y projects/456.

Inhabilita la herencia

Si un nodo de la jerarquía de recursos tiene una política que incluye inheritFromParent = false, no hereda la política de la organización de su superior. En su lugar, el nodo hereda el comportamiento de la restricción predeterminado, a menos que configures una política con valores admitidos o rechazados.

Concilia conflictos de políticas

Cuando un nodo secundario hereda políticas de la organización basadas en restricciones de listas, las políticas heredadas se combinan y se concilian con la política de la organización del nodo. En la evaluación de las políticas de listas, los valores DENY siempre prevalecen. Por ejemplo:

  • Una carpeta rechaza el valor projects/123.
  • Un proyecto dentro de esa carpeta admite el valor projects/123.

Las políticas se combinan y el valor DENY prevalece. La política vigente rechaza todos los valores y evaluará, de la misma forma, si el nodo superior o secundario rechaza el valor. Es mejor no incluir un mismo valor en las listas de los recursos admitidos y rechazados. Esto puede hacer que la comprensión de tus políticas se torne dificultosa.

Las políticas de la organización que derivan de boolean constraints no combinan ni concilian políticas. Si se especifica una política en el nodo de un recurso, ese valor TRUE o FALSE se usa para determinar la política vigente. Por ejemplo:

  • Una carpeta configura enforced: true en constraints/compute.disableSerialPortAccess.

  • Un proyecto dentro de esa carpeta configura enforced: false en constraints/compute.disableSerialPortAccess.

Se ignora el valor enforced: true configurado en la carpeta, ya que enforced: false se configura en el proyecto mismo. La política de la organización no aplicará la restricción de forma forzosa en ese proyecto.

Restablece la política predeterminada

Cuando invocas RestoreDefault, la política de la organización usará el comportamiento de la restricción predeterminado en el nodo de esta jerarquía de recursos. Los nodos secundarios también heredarán este comportamiento.