Configura las restricciones de las políticas de la organización para los registros de flujo de VPC

En esta página, se proporciona información sobre las restricciones de la política de la organización que puedes configurar para los registros de flujo de VPC.

Los administradores pueden habilitar o inhabilitar los registros de flujo de VPC. Según la configuración predeterminada, no se imponen restricciones a la hora de habilitar o inhabilitar los registros de flujo de VPC.

Un administrador de políticas de la organización puede usar la restricción constraints/compute.requireVpcFlowLogs para requerir que los registros de flujo de VPC estén habilitados para todas las subredes dentro del alcance de la política con una tasa de muestreo especificada. La política se aplica cuando creas subredes o actualizas la configuración de los registros de flujo de VPC en las subredes. Las subredes preexistentes no se ven afectadas si sus configuraciones de registros de flujo de VPC no se actualizan.

Antes de comenzar

Permisos de IAM

La principal que crea las restricciones debe tener el rol de administrador de políticas de la organización (roles/orgpolicy.policyAdmin).

Las principales que ven las restricciones deben tener el permiso orgpolicy.policy.get en el recurso apropiado. Por ejemplo, el rol de visualizador de políticas de la organización (roles/orgpolicy.policyViewer) incluye el permiso orgpolicy.policy.get.

Información general de la política de la organización

Si no has trabajado con restricciones de políticas de la organización, consulta las siguientes páginas:

Planifica tus restricciones

Puedes crear restricciones en los siguientes niveles de la jerarquía de recursos:

  • Organización
  • Carpeta
  • Proyecto

De forma predeterminada, todos los nodos secundarios heredan la restricción creada en un nodo. Sin embargo, un administrador de políticas de la organización de una carpeta determinada puede decidir si esa carpeta determinada se hereda de sus superiores, por lo que la herencia no es automática. Para obtener más información, consulta Herencia en Información sobre la evaluación de la jerarquía.

Tasas de muestreo para los registros de flujo de VPC

Puedes usar la restricción constraints/compute.requireVpcFlowLogs para asegurarte de que las siguientes tasas de muestreo estén configuradas en las subredes.

Valor de la política Tasa de muestreo
ESSENTIAL Mayor o igual que 0.1 (10%) y menor que 0.5 (50%)
LIGHT Mayor o igual que 0.5 (50%) y menor que 1.0 (100%)
COMPREHENSIVE Igual a 1.0 (100%)

Estos valores de políticas se pueden combinar. Consulta la siguiente tabla para ver ejemplos.

Tasa de muestreo Valores que se deben incluir en la restricción
Al menos 0.1 (10%) ESSENTIAL, LIGHT y COMPREHENSIVE
Al menos 0.5 (50%) LIGHT y COMPREHENSIVE
1.0 (100%) COMPREHENSIVE

Configura la restricción de los registros de flujo de VPC

Console

Para obtener más información sobre cómo configurar una restricción mediante la consola de Google Cloud, consulta Personaliza las políticas de restricciones de listas.

  1. Ve a la página de la política Exigir políticas predefinidas para los registros de flujo de VPC en la consola de Google Cloud:

    Ir a la política de la organización

  2. Haz clic en Editar.

  3. En la página Editar, elige un valor para Se aplica a:

    • Heredar política del superior: Si configuras políticas de un proyecto o carpeta, la política del alcance superior se hereda. Si configuras políticas para una organización, la política no se activa.

    • Predeterminado administrado por Google: Inhabilita la política, incluso si está habilitada en el permiso superior.

    • Personalizar: Te permite habilitar y configurar la política para todas las subredes en el permiso actual.

  4. En Aplicación de la política, elige Reemplazar.

    La opción Combinar con superior no está permitida para los registros de flujo de VPC.

  5. En la sección Reglas, haz clic en Agregar regla.

  6. En Valores de la política, elige Personalizado.

    No se permiten otros valores en los registros de flujo de VPC.

  7. En Tipo de política, elige Permitir.

  8. En la sección Valores personalizados, ingresa uno de los valores que representen la tasa de muestreo que deseas configurar.

    Si necesitas especificar más de un valor para configurar la tasa de muestreo que deseas, haz clic en Nuevo valor de la política y, luego, ingresa el siguiente valor. Repite el proceso si necesitas especificar un tercer valor.

  9. Haz clic en Guardar.

gcloud

Para obtener más información sobre cómo configurar una restricción mediante Google Cloud CLI, consulta Configura la aplicación forzosa en el recurso de la organización.

  1. Obtén la política actual del recurso de la organización con el comando describe: Este comando muestra la política aplicada directamente a este recurso. Si no se configura una política, el comando muestra un error NOT_FOUND.

    gcloud org-policies describe \
        compute.requireVpcFlowLogs \
        [ --organization=ID | --folder=ID | --project=ID ]
    

    Reemplaza lo siguiente:

    • ID: El ID de la organización, la carpeta o el proyecto al que deseas aplicar la restricción.
  2. Configura la política en la organización con el comando set-policy. Este comando reemplaza cualquier política conectada actualmente al recurso.

    1. Crea un archivo temporal /tmp/policy.yaml para almacenar la política:

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
       spec:
         rules:
         - values:
             allowedValues:
             - POLICY_VALUES
       

      Reemplaza lo siguiente:

      • RESOURCE_TYPE: El tipo de recurso al que deseas aplicar la política. Las opciones válidas son organizations, folders o projects.

      • ID: El ID de la organización, la carpeta o el proyecto al que deseas aplicar la restricción.

      • POLICY_VALUES: Los valores que representan la tasa de muestreo que deseas configurar. Puedes combinar varios valores. A fin de obtener más información, consulta Tasas de muestreo para los registros de flujo de VPC.

      Esta restricción de ejemplo requiere una tasa de muestreo de al menos un 10% a nivel organizacional:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - ESSENTIAL
           - LIGHT
           - COMPREHENSIVE
      

      Esta restricción de ejemplo requiere una tasa de muestreo de al menos un 50% a nivel de organización:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - LIGHT
           - COMPREHENSIVE
      
      

      Esta restricción de ejemplo requiere una tasa de muestreo del 100% a nivel de la organización:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - COMPREHENSIVE
      
    2. Ejecuta el comando set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml
       

  3. Consulta la política vigente actual con describe --effective. Este comando muestra la política de la organización como se evalúa en este punto de la jerarquía de recursos con la herencia incluida.

    gcloud org-policies describe \
        compute.requireVpcFlowLogs --effective \
        [ --organization=ID | --folder=ID | --project=ID ]
    

Los efectos de configurar un requisito para los registros de flujo de VPC

Configurar una política de la organización con la restricción constraints/compute.requireVpcFlowLogs significa que es posible que veas errores si creas una subred o actualizas la configuración de los registros de flujo de VPC de una subred existente y la configuración no cumple los requisitos de la política.

Si ves errores, es posible que necesites saber cómo se establece la restricción para que puedas crear una configuración válida. Si no tienes suficientes permisos de IAM para ver la restricción, comunícate con el administrador de la organización.

La política no afecta a las subredes que se crearon antes de establecer la política, siempre y cuando la configuración de los registros de flujo de VPC no esté actualizada.

Efectos sobre la creación de subredes

Cuando se crea una subred nueva dentro del alcance de la política, se aplica lo siguiente:

  • Si los registros de flujo de VPC se habilitan de manera explícita con una tasa de muestreo que cumpla con los requisitos de la política, la subred se crea con los registros de flujo de VPC habilitados y la tasa de muestreo solicitada.

  • Si los registros de flujo de VPC se habilitan de manera explícita con una tasa de muestreo que no cumple con los requisitos de la política, se muestra un error y no se crea la subred.

  • Si los registros de flujo de VPC se inhabilitan de forma explícita, se muestra un error y no se crea la subred.

  • Si los registros de flujo de VPC no están configurados y la tasa de muestreo no está configurada, se crea una subred con los registros de flujo de VPC habilitados y la tasa de muestreo mínima requerida por la política. Por ejemplo, si la política se configura con los valores de la política de LIGHT y COMPREHENSIVE, la tasa de muestreo se establece en 0.5 (50%).

Efectos en las actualizaciones de la subred

Cuando se actualiza una subred existente en el alcance de la política, se aplica lo siguiente:

  • Si la actualización habilita los registros de flujo de VPC o si ya están habilitados, y la tasa de muestreo se establece en un valor que cumple con los requisitos de la política, la subred se actualiza con los registros de flujo de VPC habilitados con la tasa de muestreo solicitada.

  • Si la actualización habilita los registros de flujo de VPC o si ya están habilitados, y la tasa de muestreo se establece en un valor que no cumple con los requisitos de la política, se muestra un error y la subred no se actualiza.

  • Si la actualización inhabilita los registros de flujo de VPC, se muestra un error y la subred no se actualiza.

  • Si la actualización no habilita o inhabilita los registros de flujo de VPC y la tasa de muestreo tampoco está configurada, se ignora la política y se actualiza la subred.

Efectos sobre la creación de redes de VPC en modo automático

Cuando se crea una red de VPC en modo automático, se crea una subred de forma automática en cada región. Si la red está dentro del alcance de una política de registros de flujo de VPC, los registros de flujo de VPC están habilitados en las subredes con la tasa de muestreo mínima definida por la política. Por ejemplo, si la política se configura con los valores de la política LIGHT y COMPREHENSIVE, la tasa de muestreo se establece en 0.5 (50%).

¿Qué sigue?