Trusted Cloud La política de organización te ofrece un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de restricciones llamadas "restricciones" que se aplican a losTrusted Cloud recursos y a los elementos descendientes de esos recursos en la Trusted Cloud by S3NS jerarquía de recursos. Puedes aplicar políticas de organización a nivel de organización, carpeta o proyecto.
La política de organización proporciona restricciones predefinidas para varios servicios deTrusted Cloud . Sin embargo, si quieres tener un control más granular y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear restricciones personalizadas y aplicarlas en una política de organización personalizada.
Herencia de políticas
De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que se aplican. Por ejemplo, si aplicas una política a una carpeta, Trusted Cloud se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.
Recursos admitidos de Cloud Armor
En el caso de los recursos de Google Cloud Armor, puedes definir restricciones personalizadas en los siguientes recursos y campos.
Política de seguridad:
compute.googleapis.com/SecurityPolicy- Nombre:
resource.name - Descripción:
resource.description - Reglas:
resource.rules[]- Acción del encabezado:
resource.headerAction - Encabezados de solicitud que se van a añadir:
resource.headerAction.requestHeadersToAdds[]- Nombre del encabezado:
resource.requestHeadersToAdds.requestHeadersToAdds[].headerName - Valor del encabezado:
resource.requestHeadersToAdds.requestHeadersToAdds[].headerValue
- Nombre del encabezado:
- Objeto de comparación:
resource.rules[].match - Expresión versionada:
resource.rules[].versionedExpr - Configuración:
resource.rules[].config- Intervalos de IP de origen:
resource.rules[].config.srcIpRanges[]
- Intervalos de IP de origen:
- Expresión:
resource.rules[].expr - Opciones de expresión:
resource.rules[].exprOptions- Opciones de reCAPTCHA:
resource.rules[].exprOption.recaptchaOptions - Claves de sitio de token de acción:
resource.rules[].exprOption.recaptchaOptions.actionTokenSiteKeys - Claves de sitio del token de sesión:
resource.rules[].exprOption.recaptchaOptions.sessionTokenSiteKeys
- Opciones de reCAPTCHA:
- Coincidencia de red:
resource.rules[].networkMatch - Coincidencia de campo definido por el usuario:
resource.rules[].userDefinedFieldMatch- Nombre:
resource.rules[].userDefinedFieldMatch.name - Valores:
resource.rules[].userDefinedFieldMatch.values
- Nombre:
- Intervalos de IP de origen:
resource.rules[].srcIpRanges - Intervalos de IP de destino:
resource.rules[].destIpRanges - Protocolos IP:
resource.rules[].ipProtocols - Puertos de origen:
resource.rules[].srcPorts - Puertos de destino:
resource.rules[].destPorts - Códigos de región de origen:
resource.rules[].srcRegionCodes - ASNs de origen:
resource.rules[].srcAsns - Configuración de WAF preconfigurada:
resource.rules[].preconfiguredWafConfig - Exclusiones:
resource.rules[].preconfiguredWafConfig.exclusions[]- Conjunto de reglas de destino:
resource.rules[].preconfiguredWafConfig.exclusions[].targetRuleSet - IDs de reglas de segmentación:
resource.rules[].preconfiguredWafConfig.exclusions[].targetRuleIds[] - Encabezados de solicitud que se deben excluir:
resource.rules[].preconfiguredWafConfig.exclusions[].requestHeadersToExclude[] - Valor:
resource.rules[].preconfiguredWafConfig.exclusions[].requestHeadersToExclude[].val - Operación:
resource.rules[].preconfiguredWafConfig.exclusions[].requestHeadersToExclude[].op - Solicitar cookies que se deben excluir:
resource.rules[].preconfiguredWafConfig.exclusions[].requestCookiesToExclude[] - Valor:
resource.rules[].preconfiguredWafConfig.exclusions[].requestCookiesToExclude[].val - Operación:
resource.rules[].preconfiguredWafConfig.exclusions[].requestCookiesToExclude[].op - Parámetros de consulta de la solicitud que se deben excluir:
resource.rules[].preconfiguredWafConfig.exclusions[].requestQueryParamsToExclude[] - Valor:
resource.rules[].preconfiguredWafConfig.exclusions[].requestQueryParamsToExclude[].val - Operación:
resource.rules[].preconfiguredWafConfig.exclusions[].requestQueryParamsToExclude[].op - URIs de solicitud que se deben excluir:
resource.rules[].preconfiguredWafConfig.exclusions[].requestUrisToExclude[] - Valor:
resource.rules[].preconfiguredWafConfig.exclusions[].requestUrisToExclude[].val - Operación:
resource.rules[].preconfiguredWafConfig.exclusions[].requestUrisToExclude[].op
- Conjunto de reglas de destino:
- Opciones de redirección:
resource.rules[].redirectOptions[] - Tipo:
resource.rules[].redirectOptions[].type - Objetivo:
resource.rules[].redirectOptions[].target - Opciones de límite de frecuencia:
resource.rules[].rateLimitOptions[] - Umbral de límite de frecuencia:
resource.rules[].rateLimitOptions[].rateLimitThreshold- Recuento:
resource.rules[].rateLimitOptions[].rateLimitThreshold.count - Intervalo en segundos:
resource.rules[].rateLimitOptions[].rateLimitThreshold.intervalSec
- Recuento:
- Acción de confirmación:
resource.rules[].rateLimitOptions[].conformAction - Superar la acción:
resource.rules[].rateLimitOptions[].exceedAction - Superar las opciones de redirección:
resource.rules[].rateLimitOptions[].exceedRedirectOptions- Tipo:
resource.rules[].rateLimitOptions[].exceedRedirectOptions.type - Objetivo:
resource.rules[].rateLimitOptions[].exceedRedirectOptions.target
- Tipo:
- Estado de la llamada a procedimiento remoto de la acción Exceed:
resource.rules[].rateLimitOptions[].exceedActionRpcStatus- Código:
resource.rules[].rateLimitOptions[].exceedActionRpcStatus.code - Mensaje:
resource.rules[].rateLimitOptions[].exceedActionRpcStatus.message
- Código:
- Implementar obligatoriamente en la clave:
resource.rules[].rateLimitOptions[].enforceOnKey - Implementar obligatoriamente en el nombre de la clave:
resource.rules[].rateLimitOptions[].enforceOnKeyName - Aplicación obligatoria de configuraciones de claves:
resource.rules[].rateLimitOptions[].enforceOnKeyConfigs- Implementar obligatoriamente en el tipo de clave:
resource.rules[].rateLimitOptions[].enforceOnKeyConfigs.enforceOnKeyType - Implementar obligatoriamente en el nombre de la clave:
resource.rules[].rateLimitOptions[].enforceOnKeyConfigs.enforceOnKeyName
- Implementar obligatoriamente en el tipo de clave:
- Umbral de bloqueo:
resource.rules[].rateLimitOptions[].banThreshold- Recuento:
resource.rules[].rateLimitOptions[].banThreshold.count - Intervalo en segundos:
resource.rules[].rateLimitOptions[].banThreshold.intervalSec
- Recuento:
- Duración de la suspensión en segundos:
resource.rules[].rateLimitOptions[].banDurationSec - Destino de la redirección:
resource.rules[].redirectTarget - Número de regla:
resource.rules[].ruleNumber
- Acción del encabezado:
- Configuración de protección adaptativa:
resource.adaptiveProtectionConfig- Configuración de la defensa contra ataques DDoS de capa 7:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig - Habilitar:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.enable - Visibilidad de la regla:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.ruleVisibility - Configuraciones de umbral:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[]- Nombre:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].name - Umbral de carga de implementación automática:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].autoDeployLoadThreshold - Umbral de confianza de la implementación automática:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].autoDeployConfidenceThreshold - Umbral de implementación automática de la referencia afectada:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].autoDeployImpactedBaselineThreshold - Segundos de vencimiento del despliegue automático:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].autoDeployExpirationSec - Umbral de carga de detección:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].detectionLoadThreshold - CPS absoluta de detección:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].detectionAbsoluteQps - Detección en relación con la CPS de referencia:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].detectionRelativeToBaselineQps - Configuraciones de granularidad del tráfico:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].trafficGranularityConfigs[] - Tipo:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].trafficGranularityConfigs[].type - Valor:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].trafficGranularityConfigs[].value - Habilita cada valor único:
resource.adaptiveProtectionConfig.layer7DdosDefenseConfig.thresholdConfigs[].trafficGranularityConfigs[].enableEachUniqueValue
- Nombre:
- Configuración de despliegue automático:
resource.adaptiveProtectionConfig.autoDeployConfig - Umbral de carga:
resource.adaptiveProtectionConfig.autoDeployConfig.loadThreshold - Umbral de confianza:
resource.adaptiveProtectionConfig.autoDeployConfig.confidenceThreshold - Umbral de referencia afectado:
resource.adaptiveProtectionConfig.autoDeployConfig.impactedBaselineThreshold - Segundos de vencimiento:
resource.adaptiveProtectionConfig.autoDeployConfig.expirationSec
- Configuración de la defensa contra ataques DDoS de capa 7:
- Configuración de opciones avanzadas:
resource.advancedOptionsConfig- Análisis JSON:
resource.advancedOptionsConfig,jsonParsing - Configuración personalizada de JSON:
resource.advancedOptionsConfig,jsonCustomConfig - Tipos de contenido:
resource.advancedOptionsConfig,jsonCustomConfig.contentTypes[] - Nivel de registro:
resource.advancedOptionsConfig.logLevel - Encabezados de solicitud de IP de usuario:
resource.advancedOptionsConfig.userIpRequestHeaders[]
- Análisis JSON:
- Configuración de la protección contra DDoS:
resource.ddosProtectionConfig- Protección contra DDoS:
resource.ddosProtectionConfig.ddosProtection
- Protección contra DDoS:
- Configuración de las opciones de reCAPTCHA:
resource.recaptchaOptionsConfig- Redirigir clave del sitio:
resource.recaptchaOptionsConfig.redirectSiteKey
- Redirigir clave del sitio:
- Tipo:
resource.type - Campos definidos por el usuario:
resource.userDefinedFields[]- Nombre:
resource.userDefinedFields[].name - Base:
resource.userDefinedFields[].base - Desplazamiento:
resource.userDefinedFields[].offset - Tamaño:
resource.userDefinedFields[].size - Máscara:
resource.userDefinedFields[].mask
- Nombre:
- Nombre:
Servicio de seguridad de la red perimetral:
compute.googleapis.com/NetworkEdgeSecurityService- Nombre:
resource.name - Descripción:
resource.description - Política de seguridad:
resource.securityPolicy
- Nombre:
Definir restricciones personalizadas
Una restricción personalizada se define mediante los recursos, los métodos, las condiciones y las acciones que admite el servicio en el que se aplica la política de la organización. Las condiciones de tus restricciones personalizadas se definen mediante el lenguaje de expresión común (CEL). Para obtener más información sobre cómo crear condiciones en restricciones personalizadas mediante CEL, consulta la sección sobre CEL del artículo Crear y gestionar políticas de la organización.
Antes de empezar
-
Si aún no lo has hecho, configura la autenticación.
La autenticación es el proceso por el que se verifica tu identidad para acceder a Trusted Cloud by S3NS servicios y APIs.
Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud
-
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud init - Set a default region and zone.
REST
Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initPara obtener más información, consulta el artículo Autenticación para usar REST de la documentación sobre autenticación de Trusted Cloud .
Roles obligatorios
Para obtener los permisos que necesitas para gestionar las políticas de la organización de los recursos de Cloud Armor, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:
-
Administrador de políticas de organización (
roles/orgpolicy.policyAdmin) en el recurso de organización -
Para probar las restricciones:
-
Administrador de seguridad de Compute (
roles/compute.securityAdmin) en el proyecto -
Usuario de cuenta de servicio (
roles/iam.serviceAccountUser) en el proyecto
-
Administrador de seguridad de Compute (
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para gestionar las políticas de la organización de los recursos de Cloud Armor. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para gestionar las políticas de la organización de los recursos de Cloud Armor, se necesitan los siguientes permisos:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Configurar una restricción personalizada
Puedes crear una restricción personalizada y configurarla para usarla en políticas de organización mediante la Trusted Cloud consola o la CLI de Google Cloud.
Consola
En la Trusted Cloud consola, ve a la página Políticas de la organización.
Selecciona el selector de proyectos en la parte superior de la página.
En el selector de proyectos, selecciona el recurso para el que quieras definir la política de la organización.
Haz clic en Restricción personalizada.
En el cuadro Nombre visible, introduce un nombre descriptivo para la restricción. Este campo tiene una longitud máxima de 200 caracteres. No utilices información personal identificable ni datos sensibles en los nombres de las restricciones, ya que podrían exponerse en mensajes de error.
En el cuadro ID de la restricción, introduce el nombre que quieras para la nueva restricción personalizada. Una restricción personalizada debe empezar por
custom.y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo,custom.requireSecurityPolicyWithStandardJsonParsing. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo. Por ejemplo,organizations/123456789/customConstraints/custom..En el cuadro Descripción, introduce una descripción de la restricción que sea fácil de entender para que se muestre como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.
En el cuadro Tipo de recurso, selecciona el nombre del recurso REST que contenga el objeto y el campo que quieras restringir. Trusted Cloud Por ejemplo,
compute.googleapis.com/SecurityPolicy.En Método de aplicación, selecciona si quieres aplicar la restricción solo al método REST
CREATEo a los métodos RESTCREATEyUPDATE.Para definir una condición, haz clic en Editar condición.
En el panel Añadir condición, crea una condición de CEL que haga referencia a un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres.
Haz clic en Guardar.
En Acción, seleccione si quiere permitir o denegar el método evaluado si se cumple la condición anterior.
Haz clic en Crear restricción.
Cuando haya introducido un valor en cada campo, aparecerá a la derecha la configuración YAML equivalente de esta restricción personalizada.
gcloud
Para crear una restricción personalizada con la CLI de Google Cloud, crea un archivo YAML.
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resource_types: compute.googleapis.com/RESOURCE_NAME method_types: – METHOD1 – METHOD2 condition: "CONDITION" action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTION
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización, como123456789.CONSTRAINT_NAME: el nombre que quieras para tu nueva restricción personalizada. Una restricción personalizada debe empezar porcustom.y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo,custom.requireSecurityPolicyWithStandardJsonParsing. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo. Por ejemplo,organizations/123456789/customConstraints/custom.RESOURCE_NAME: nombre (no URI) del recurso REST de la API de Compute Engine que contiene el objeto y el campo que quieres restringir. Por ejemplo,SecurityPolicy.METHOD1,METHOD2,...: lista de métodos RESTful para los que se debe aplicar la restricción. Puede serCREATEoCREATEyUPDATE.CONDITION: una condición CEL que se escribe en una representación de un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres. Consulta los recursos admitidos para obtener más información sobre los recursos con los que puedes escribir condiciones.ACTION: la acción que se debe llevar a cabo si se cumple la condicióncondition. Puede serALLOWoDENY.DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.
Para obtener más información sobre cómo crear una restricción personalizada, consulta Definir restricciones personalizadas.
Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comandogcloud org-policies set-custom-constraint:gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATHpor la ruta completa a tu archivo de restricciones personalizadas. Por ejemplo,/home/user/customconstraint.yaml. Una vez completado el proceso, las restricciones personalizadas estarán disponibles como políticas de organización en la lista de Trusted Cloud by S3NS políticas de organización. Para verificar que la restricción personalizada existe, usa el comandogcloud org-policies list-custom-constraints:gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_IDpor el ID de tu recurso de organización. Para obtener más información, consulta Ver políticas de la organización.Aplicar una restricción personalizada
Para aplicar una restricción, crea una política de organización que haga referencia a ella y, a continuación, aplica esa política de organización a un Trusted Cloud by S3NS recurso.Consola
- En la Trusted Cloud consola, ve a la página Políticas de la organización.
- En el selector de proyectos, elige el proyecto para el que quieras definir la política de organización.
- En la lista de la página Políticas de organización, selecciona la restricción para ver la página Detalles de la política correspondiente.
- Para configurar la política de la organización de este recurso, haz clic en Gestionar política.
- En la página Editar política, selecciona Anular política del recurso superior.
- Haz clic en Añadir regla.
- En la sección Aplicación, selecciona si quieres activar o desactivar la aplicación de esta política de la organización.
- Opcional: Para que la política de la organización dependa de una etiqueta, haz clic en Añadir condición. Ten en cuenta que, si añades una regla condicional a una política de organización, debes añadir al menos una regla incondicional o la política no se podrá guardar. Para obtener más información, consulta Configurar una política de organización con etiquetas.
- Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones gestionadas antiguas. Para obtener más información, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.
- Para finalizar y aplicar la política de organización, haz clic en Definir política. La política tarda hasta 15 minutos en aplicarse.
gcloud
Para crear una política de organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Haz los cambios siguientes:
-
PROJECT_ID: el proyecto en el que quieras aplicar la restricción. -
CONSTRAINT_NAME: el nombre que has definido para tu restricción personalizada. Por ejemplo,custom.requireSecurityPolicyWithStandardJsonParsing
Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_PATH
Sustituye
POLICY_PATHpor la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.Ejemplo: Crear una restricción que requiera que todas las políticas de seguridad tengan habilitado el análisis JSON estándar
Esta restricción impide que se creen políticas de seguridad si no tienen habilitado el análisis JSON estándar.
gcloud
Crea un archivo de restricciones
requireStandardJsonParsing.yamlcon la siguiente información.name: organizations/ORGANIZATION_ID/customConstraints/custom.requireStandardJsonParsing resource_types: compute.googleapis.com/SecurityPolicy condition: "resource.advancedOptionsConfig.jsonParsing != 'STANDARD'" action_type: DENY method_types: [CREATE, UPDATE] display_name: Security policies must have standard JSON parsing enabled.
Sustituye
ORGANIZATION_IDpor el ID de tu organización.Define la restricción personalizada.
gcloud org-policies set-custom-constraint requireStandardJsonParsing.yaml
Crea un archivo de política
requireStandardJsonParsing-policy.yamlcon la información que se proporciona en el siguiente ejemplo y aplica la restricción a nivel de proyecto. También puedes definir esta restricción a nivel de organización o de carpeta.name: projects/PROJECT_ID/policies/custom.requireStandardJsonParsing spec: rules: – enforce: true
Sustituye
PROJECT_IDpor el ID del proyecto.Aplica la política.
gcloud org-policies set-policy requireStandardJsonParsing-policy.yaml
Para probar la restricción, crea una política de seguridad sin el campo de análisis JSON.
gcloud compute security-policies create my-policy \ --type=CLOUD_ARMOREl resultado debería ser similar al siguiente:
ERROR: (gcloud.compute.securityPolicies.create) Could not fetch resource: - Operation denied by custom org policy: [customConstraints/custom.requireStandardJsonParsing] : Security policies must have standard JSON parsing enabled.
Precios
El servicio de políticas de organización, incluidas las políticas de organización predefinidas y personalizadas, se ofrece sin coste económico.
Siguientes pasos
- Introducción al servicio de políticas de organización
- Crear y gestionar políticas de organización
- Restricciones de las políticas de organización
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-08-21 (UTC).
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Me falta la información que necesito","missingTheInformationINeed","thumb-down"],["Es demasiado complicado o hay demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Está obsoleto","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema de muestras o código","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[[["Google Cloud Organization Policy enables centralized control over an organization's resources by defining restrictions called constraints, which can be enforced at the organization, folder, or project level."],["Organization policies are inherited by descendant resources by default, but this behavior can be modified, and administrators can use predefined constraints or create custom constraints for granular control over specific resource fields."],["Custom constraints, defined by resources, methods, conditions, and actions, use Common Expression Language (CEL) to define conditions and can be enforced on REST `CREATE` or `UPDATE` methods, to be tested and set via the console or gcloud."],["Managing organization policies for Google Cloud Armor resources requires specific IAM roles, including the Organization Policy Administrator, and permissions to create, delete, list, update, get, and set policies."],["Custom constraints can be set up to enforce specific requirements such as mandating standard JSON parsing for security policies, where the system can be tested to verify they are being enforced."]]],[]] -