Configure restrições da política da organização para registros de fluxo de VPC
Nesta página, você encontra informações sobre as restrições da política da organização que podem ser configuradas para os registros de fluxo de VPC.
Os administradores podem ativar ou desativar os registros de fluxo de VPC. Por padrão, não há restrições impostas para ativar ou desativar os registros de fluxo de VPC.
Um administrador de política da organização pode usar a restrição constraints/compute.requireVpcFlowLogs para exigir que os registros de fluxo de VPC estejam ativados para todas as sub-redes no escopo da política com uma taxa de amostragem especificada. A política é aplicada ao criar
sub-redes ou atualizar a configuração de registros de fluxo de VPC nas
sub-redes. As sub-redes atuais não serão afetadas se as
configurações dos registros de fluxo de VPC delas não forem atualizadas.
Antes de começar
Permissões IAM
O principal que cria as restrições precisa ter o papel Administrador da política da organização (roles/orgpolicy.policyAdmin).
Os principais que visualizam as restrições precisam ter a permissão orgpolicy.policy.get
no recurso apropriado. Por exemplo, o papel de Leitor da política da organização (roles/orgpolicy.policyViewer) inclui a permissão orgpolicy.policy.get.
Histórico da política da organização
Se você nunca trabalhou com restrições de política da organização, consulte as seguintes páginas:
Planejar as restrições
É possível criar restrições nos seguintes níveis da hierarquia de recursos:
- Organização
- Pasta
- Projeto
Por padrão, uma restrição criada em um nó é herdada por todos os nós filhos. No entanto, um Administrador de política da organização para uma determinada pasta pode decidir se uma determinada pasta é herdada dos pais. Portanto, a herança não é automática. Para mais informações, consulte Herança em Noções básicas sobre a avaliação da hierarquia.
Taxas de amostragem para registros de fluxo de VPC
É possível usar a restrição constraints/compute.requireVpcFlowLogs para garantir
que as seguintes taxas de amostragem estejam
configuradas em sub-redes.
| Valor da política | Taxa de amostragem |
|---|---|
ESSENTIAL |
Maior ou igual a 0,1 (10%) e menor que 0,5 (50%). |
LIGHT |
Maior ou igual a 0,5 (50%) e menor que 1,0 (100%). |
COMPREHENSIVE |
Igual a 1.0 (100%) |
Esses valores de política podem ser combinados. Veja exemplos na tabela a seguir.
| Taxa de amostragem | Valores a serem incluídos na restrição |
|---|---|
| Pelo menos 0.1 (10%) | ESSENTIAL, LIGHT e COMPREHENSIVE |
| Pelo menos 0.5 (50%) | LIGHT e COMPREHENSIVE |
| 1.0 (100%) | COMPREHENSIVE |
Configurar a restrição de registros de fluxo de VPC
Console
Para mais informações sobre como configurar uma restrição usando o console do Google Cloud, consulte Como personalizar políticas para restrições de lista.
Acesse a página Exigir políticas predefinidas para os registros de fluxo de VPC no console do Google Cloud:
Clique em Editar.
Na página Editar, selecione um valor para Aplicável a:
Herdar a política do pai: se você estiver configurando políticas para um projeto ou uma pasta, a política do escopo pai será herdada. Se você estiver configurando políticas para uma organização, a política não será ativada.
Padrão gerenciado pelo Google: desativa a política, mesmo se ela estiver ativada no escopo pai.
Personalizar: permite ativar e configurar a política para todas as sub-redes no escopo atual.
Em Aplicação da política, selecione Substituir.
A opção Mesclar com pai não é permitida para registros de fluxo de VPC.
Na seção Regras, clique em Adicionar regra.
Em Valores da política, selecione Personalizada.
Não são permitidos outros valores para registros de fluxo de VPC.
Em Tipo de política, selecione Permitir.
Na seção Valores personalizados, insira um dos valores que representa a taxa de amostragem que você quer configurar.
Se você precisar especificar mais de um valor para configurar a taxa de amostragem que quiser, clique em Novo valor da política e insira o próximo valor. Repita se você precisar especificar um terceiro valor.
Clique em Salvar.
gcloud
Saiba mais sobre como configurar uma restrição usando a Google Cloud CLI em Configurar a aplicação no recurso da organização.
Consiga a política atual no recurso da organização usando o comando
describe: Este comando retorna a política aplicada diretamente a este recurso: Se uma política não for definida, o comando retornará um erroNOT_FOUND.gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]Substitua:
ID: o ID da organização, pasta ou projeto a que você quer aplicar a restrição.
Defina a política no projeto usando o comando
set-policy. Esse comando substitui qualquer política atualmente anexada ao recurso.Crie um arquivo temporário
/tmp/policy.yamlpara armazenar a política:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUESSubstitua:
RESOURCE_TYPE: o tipo de recurso a que você quer aplicar a política. As opções válidas sãoorganizations,foldersouprojects.ID: o ID da organização, pasta ou projeto a que você quer aplicar a restrição.POLICY_VALUES: os valores que representam a taxa de amostragem que você quer configurar. Combine vários valores. Para mais informações, consulte Taxas de amostragem de registros de fluxo de VPC.
Este exemplo de restrição requer uma taxa de amostragem de pelo menos 10% no nível organizacional:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVEEste exemplo de restrição requer uma taxa de amostragem de pelo menos 50% no nível organizacional:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVEEste exemplo de restrição requer uma taxa de amostragem de 100% no nível organizacional:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVEExecute o comando
set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Veja a política efetiva atual usando
describe --effective. Esse comando retorna a política da organização conforme é avaliada neste momento na hierarquia de recursos com herança incluída.gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
Efeitos da definição de um requisito para registros de fluxo de VPC
Configurar uma política da organização com a restrição constraints/compute.requireVpcFlowLogs significa que poderá haver erros se você criar uma sub-rede ou atualizar a configuração dos registros de fluxo de VPC de uma sub-rede existente e a configuração não atender os requisitos da
política.
Se você encontrar erros, talvez seja necessário saber como a restrição está definida para criar uma configuração válida. Se você não tiver permissões do IAM suficientes para visualizar a restrição, entre em contato com o administrador da organização.
As sub-redes que são criadas antes da definição da política não são afetadas pela política, desde que a configuração dos registros de fluxo de VPC dela não seja atualizada.
Efeitos na criação de sub-redes
Ao criar uma nova sub-rede no escopo da política, considere o seguinte:
Se os registros de fluxo de VPC forem ativados explicitamente com uma taxa de amostragem que atenda aos requisitos da política, a sub-rede será criada com os registros de fluxo de VPC ativados e a taxa de amostragem solicitada.
Se os registros de fluxo de VPC forem ativados explicitamente com uma taxa de amostragem que não atenda aos requisitos da política, um erro será retornado e a sub-rede não será criada.
Se os registros de fluxo de VPC forem desativados explicitamente, um erro será retornado e a sub-rede não será criada.
Se os registros de fluxo de VPC não estiverem definidos e a taxa de amostragem também não for definida, uma sub-rede será criada com os registros de fluxo de VPC ativados e a taxa mínima de amostragem exigida pela política. Por exemplo, se a política for configurada com valores de política
LIGHTeCOMPREHENSIVE, a taxa de amostragem será definida como0.5(50%).
Efeitos nas atualizações de sub-rede
Ao atualizar uma sub-rede atual no escopo da política, observe o seguinte:
Se a atualização ativar os registros de fluxo de VPC ou se os registros de fluxo de VPC já estiverem ativados e a taxa de amostragem estiver definida como um valor que atenda aos requisitos da política, a sub-rede será atualizada com os registros de fluxo de VPC ativados com a taxa de amostragem solicitada.
Se a atualização ativar os registros de fluxo de VPC ou se os registros de fluxo de VPC já estiverem ativados e a taxa de amostragem estiver definida como um valor que não atende aos requisitos da política, um erro será retornado e a sub-rede não será atualizado.
Se a atualização desativar os registros de fluxo de VPC, um erro será retornado e a sub-rede não será atualizada.
Se a atualização não ativar ou desativar os registros de fluxo de VPC e a taxa de amostragem também não for definida, a política será ignorada e a sub-rede será atualizada.
Efeitos na criação de rede VPC de modo automático
Quando uma rede VPC de modo automático é criada, uma sub-rede é criada automaticamente em cada região. Se a rede estiver no escopo de uma política de registros de fluxo de VPC, os registros de fluxo de VPC serão ativados nas sub-redes com a taxa de amostragem mínima definida pela política. Por exemplo, se a política for configurada com valores de política de LIGHT e COMPREHENSIVE, a taxa de amostragem será definida como 0.5 (50%).