Gestionar recursos de VPC mediante políticas de organización personalizadas

Google Cloud La política de organización te ofrece un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de restricciones llamadas "restricciones" que se aplican a losGoogle Cloud recursos y a los elementos descendientes de esos recursos en la Google Cloud jerarquía de recursos. Puedes aplicar políticas de organización a nivel de organización, carpeta o proyecto.

La política de organización proporciona restricciones predefinidas para varios servicios deGoogle Cloud . Sin embargo, si quieres tener un control más granular y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear restricciones personalizadas y usarlas en una política de organización personalizada.

Herencia de políticas

De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que se aplican. Por ejemplo, si aplicas una política a una carpeta, Google Cloud se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.

Recursos compatibles con la nube privada virtual

En el caso de las VPCs, puede definir restricciones personalizadas en los siguientes recursos y campos.

  • Red: compute.googleapis.com/Network
    • Nombre: resource.name
    • Descripción: resource.description
    • Modo: resource.autoCreateSubnetworks
    • Ajuste de MTU: resource.mtu
    • Orden de aplicación del cortafuegos: resource.networkFirewallPolicyEnforcementOrder
    • Ajuste interno de IPv6: resource.enableUlaInternalIpv6
    • Intervalo de IPv6 interno: resource.internalIpv6Range
    • Modo de enrutamiento: resource.routingConfig.routingMode
  • Subred: compute.googleapis.com/Subnetwork
    • Nombre: resource.name
    • Descripción: resource.description
    • Red: resource.network
    • Intervalo CIDR de IPs: resource.ipCidrRange
    • Intervalos de direcciones IP secundarias: resource.secondaryIpRanges[]
      • Nombre del intervalo:resource.secondaryIpRanges[].rangeName
      • Intervalo CIDR de IPs: resource.secondaryIpRanges[].ipCidrRange
    • Tipo de pila: resource.stackType
    • Tipo de acceso IPv6: resource.ipv6AccessType
    • Ajuste Acceso privado de Google: resource.privateIpGoogleAccess
    • Propósito de la subred: resource.purpose
    • Rol: resource.role
    • Registros de flujo de VPC:
      • Configuración de registro: resource.logConfig.enable
      • Intervalo de agregación: resource.logConfig.aggregationInterval
      • Frecuencia de muestreo: resource.logConfig.flowSampling
      • Metadatos: resource.logConfig.metadata
      • Campos de metadatos: resource.logConfig.metadataFields[]
      • Expresión de filtro: resource.logConfig.filterExpr
  • Ruta: compute.googleapis.com/Route
    • Nombre: resource.name
    • Descripción: resource.description
    • Red: resource.network
    • Etiquetas: resource.tags
    • Intervalo de destino: resource.destRange
    • Prioridad: resource.priority
    • Instancia del siguiente salto: resource.nextHopInstance
    • Dirección IP del siguiente salto: resource.nextHopIp
    • Pasarela del siguiente salto: resource.nextHopGateway
    • Balanceador de carga de red de paso a través interno de siguiente salto: resource.nextHopIlb
    • Túnel VPN del siguiente salto: resource.nextHopVpnTunnel
  • Replicación de paquetes: compute.googleapis.com/PacketMirroring
    • Nombre: resource.name
    • Descripción: resource.description
    • URL de la red: resource.network.url
    • Prioridad: resource.priority
    • URL del balanceador de carga interno del recopilador: resource.collectorIlb.url
    • Recursos replicados:
      • URL de las subredes: resource.mirroredResources.subnetworks[].url
      • URL de las instancias: resource.mirroredResources.instances[].url
      • Etiquetas: resource.mirroredResources.tags[]
    • Filtro:
      • Intervalos CIDR: resource.filter.cidrRanges[]
      • Protocolos IP: resource.filter.IPProtocols[]
      • Dirección: resource.filter.direction
    • Habilitar: resource.enable

Antes de empezar

  • Si aún no lo has hecho, configura la autenticación. La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    2. Set a default region and zone.

    REST

    Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

      Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .

Roles obligatorios

Para obtener los permisos que necesitas para gestionar las políticas de la organización de los recursos de VPC, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para gestionar las políticas de la organización de los recursos de VPC. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las políticas de la organización de los recursos de VPC, se necesitan los siguientes permisos:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Configurar una restricción personalizada

Una restricción personalizada se define mediante los recursos, los métodos, las condiciones y las acciones que admite el servicio en el que se aplica la política de la organización. Las condiciones de tus restricciones personalizadas se definen mediante el lenguaje de expresión común (CEL). Para obtener más información sobre cómo crear condiciones en restricciones personalizadas con CEL, consulta la sección sobre CEL del artículo Crear y gestionar restricciones personalizadas.

Puedes crear una restricción personalizada y configurarla para usarla en políticas de organización mediante la Google Cloud consola o la CLI de Google Cloud.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. Selecciona el selector de proyectos en la parte superior de la página.

  3. En el selector de proyectos, selecciona el recurso para el que quieras definir la política de la organización.

  4. Haz clic en Restricción personalizada.

  5. En el cuadro Nombre visible, introduce un nombre descriptivo para la restricción. Este campo tiene una longitud máxima de 200 caracteres. No utilices información personal identificable ni datos sensibles en los nombres de las restricciones, ya que podrían exponerse en mensajes de error.

  6. En el cuadro ID de la restricción, introduce el nombre que quieras para la nueva restricción personalizada. Una restricción personalizada debe empezar por custom. y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo, custom.createCustomNetworks. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo. Por ejemplo, organizations/123456789/customConstraints/custom..

  7. En el cuadro Descripción, introduce una descripción de la restricción que sea fácil de entender para que se muestre como mensaje de error cuando se incumpla la política. Este campo tiene una longitud máxima de 2000 caracteres.

  8. En el cuadro Tipo de recurso, selecciona el nombre del recurso REST que contenga el objeto y el campo que quieras restringir. Google Cloud Por ejemplo, compute.googleapis.com/Network.

  9. En Método de aplicación, selecciona si quieres aplicar la restricción al método REST CREATE.

  10. Para definir una condición, haz clic en Editar condición.

    1. En el panel Añadir condición, crea una condición de CEL que haga referencia a un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres.

    2. Haz clic en Guardar.

  11. En Acción, seleccione si quiere permitir o denegar el método evaluado si se cumple la condición anterior.

  12. Haz clic en Crear restricción.

Cuando haya introducido un valor en cada campo, aparecerá a la derecha la configuración YAML equivalente de esta restricción personalizada.

gcloud

Para crear una restricción personalizada con la CLI de Google Cloud, cree un archivo YAML para la restricción personalizada:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: compute.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Haz los cambios siguientes:

  • ORGANIZATION_ID: el ID de tu organización, como 123456789.

  • CONSTRAINT_NAME: el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada debe empezar por custom. y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo, custom.createCustomNetworks. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo. Por ejemplo, organizations/123456789/customConstraints/custom..

  • RESOURCE_NAME: nombre (no URI) del recurso REST de la API de Compute Engine que contiene el objeto y el campo que quieres restringir. Por ejemplo, Network.

  • CONDITION: una condición CEL que se escribe en una representación de un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres. Consulta los recursos admitidos para obtener más información sobre los recursos con los que puedes escribir condiciones.

  • ACTION: la acción que se debe llevar a cabo si se cumple la condición condition. Puede ser ALLOW o DENY.

  • DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.

  • DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.

Para obtener más información sobre cómo crear una restricción personalizada, consulta Definir restricciones personalizadas.

Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Sustituye CONSTRAINT_PATH por la ruta completa a tu archivo de restricciones personalizadas. Por ejemplo, /home/user/customconstraint.yaml. Una vez completado el proceso, las restricciones personalizadas estarán disponibles como políticas de organización en la lista de Google Cloud políticas de organización. Para verificar que la restricción personalizada existe, usa el comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Sustituye ORGANIZATION_ID por el ID del recurso de tu organización. Para obtener más información, consulta Ver políticas de la organización.

Aplicar una restricción personalizada

Para aplicar una restricción, crea una política de organización que haga referencia a ella y, a continuación, aplica esa política de organización a un Google Cloud recurso.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el selector de proyectos, elige el proyecto para el que quieras definir la política de organización.
  3. En la lista de la página Políticas de organización, selecciona la restricción para ver la página Detalles de la política correspondiente.
  4. Para configurar la política de la organización de este recurso, haz clic en Gestionar política.
  5. En la página Editar política, selecciona Anular política del recurso superior.
  6. Haz clic en Añadir regla.
  7. En la sección Aplicación, selecciona si quieres activar o desactivar la aplicación de esta política de la organización.
  8. Opcional: Para que la política de la organización dependa de una etiqueta, haz clic en Añadir condición. Ten en cuenta que, si añades una regla condicional a una política de organización, debes añadir al menos una regla incondicional o la política no se podrá guardar. Para obtener más información, consulta Configurar una política de organización con etiquetas.
  9. Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones gestionadas antiguas. Para obtener más información, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.
  10. Para finalizar y aplicar la política de organización, haz clic en Definir política. La política tarda hasta 15 minutos en aplicarse.

gcloud

Para crear una política de organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Haz los cambios siguientes:

  • PROJECT_ID: el proyecto en el que quieras aplicar la restricción.
  • CONSTRAINT_NAME: el nombre que has definido para tu restricción personalizada. Por ejemplo, custom.createCustomNetworks.

Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando: 

    gcloud org-policies set-policy POLICY_PATH

Sustituye POLICY_PATH por la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.

Ejemplo: Crear una restricción que limite las redes al modo personalizado

gcloud

  1. Crea un archivo de restricciones onlyCustomNetwork.yaml con la siguiente información. Sustituye ORGANIZATION_ID por el ID de tu organización.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyCustomNetwork
resourceTypes: compute.googleapis.com/Network
condition: "resource.autoCreateSubnetworks == false"
actionType: ALLOW
methodTypes: CREATE
displayName: Restrict creation of networks to custom mode networks
description: Only custom mode networks allowed.

  2. Define la restricción personalizada.

    gcloud org-policies set-custom-constraint onlyCustomNetwork.yaml

  3. Crea un archivo de política onlyCustomNetwork-policy.yaml con la siguiente información. En este ejemplo, aplicamos esta restricción a nivel de proyecto, pero también puedes hacerlo a nivel de organización o de carpeta. Sustituye PROJECT_ID por el ID de tu proyecto.

          name: projects/PROJECT_ID/policies/custom.onlyCustomNetwork
      spec:
        rules:
enforce: true

  4. Aplica la política.

    gcloud org-policies set-policy onlyCustomNetwork-policy.yaml

  5. Prueba la restricción intentando crear una red de VPC en modo automático.

    gcloud compute networks create vpc1
    --project=PROJECT_ID \
    --subnet-mode=auto

    El resultado debería ser similar al siguiente:

    ERROR: (gcloud.compute.networks.create) Could not fetch resource:
- Operation denied by custom org policy: [customConstraints/custom.createOnlyCustomNetwork] : Only custom mode networks allowed.

Ejemplos de restricciones personalizadas para casos prácticos habituales

En las siguientes secciones se muestra la sintaxis de algunas restricciones personalizadas que pueden resultarte útiles.

Requerir que las redes tengan un intervalo IPv6 interno

name: organizations/ORGANIZATION_ID/customConstraints/custom.networkInternalIpv6Range
resourceTypes: compute.googleapis.com/Network
condition: "resource.enableUlaInternalIpv6 == true"
actionType: ALLOW
methodTypes: CREATE
displayName: Require networks to have an internal IPv6 range
description: Networks must have a ULA internal IPv6 range configured

Requerir que las subredes usen intervalos en 10.0.0.0/8

name: organizations/ORGANIZATION_ID/customConstraints/custom.subnetRangeUse10Slash8
resourceTypes: compute.googleapis.com/Subnetwork
condition: "resource.ipCidrRange.startsWith('10.')"
actionType: ALLOW
methodTypes: CREATE
displayName: Require subnets to use ranges in 10.0.0.0/8
description: Subnetwork's primary IPv4 range must come from 10.0.0.0/8

Requerir que las rutas next-hop-ilb se especifiquen por dirección IP

Requerir que las rutas que usen next-hop-ilb se especifiquen mediante la dirección IP en lugar del nombre de recurso de la regla de reenvío.

name: organizations/ORGANIZATION_ID/customConstraints/custom.routeNextHopIlbByIpAddress
resourceTypes: compute.googleapis.com/Route
condition: "!resource.nextHopIlb.contains('forwardingRules')"
actionType: ALLOW
methodTypes: CREATE
displayName: Require defining next-hop-ilb by IP address
description: Next hops that are an internal load balancer must be specified by IP address instead of resource name.

Requerir la replicación de paquetes para replicar solo el tráfico TCP

name: organizations/ORGANIZATION_ID/customConstraints/custom.packetMirroringTcpFilter
resourceTypes: compute.googleapis.com/PacketMirroring
condition: "resource.filter.IPProtocols.size() == 1 && resource.filter.IPProtocols[0] == 'tcp'"
actionType: ALLOW
methodTypes:
  - CREATE
  - UPDATE
displayName: Require policies to mirror TCP protocol only.
description: Packet mirroring must mirror all TCP traffic and no other protocols.

Precios

El servicio de políticas de organización, incluidas las políticas de organización predefinidas y personalizadas, se ofrece sin coste económico.

Limitaciones

  • Las restricciones personalizadas solo se aplican al método CREATE de los recursos de ruta.

Siguientes pasos