Valutazione della gerarchia

Quando imposti una policy dell'organizzazione su una risorsa, tutti i discendenti di quella risorsa ereditano la policy dell'organizzazione per impostazione predefinita. Se imposti un criterio dell'organizzazione sulla risorsa organizzazione, queste limitazioni vengono ereditate da tutte le risorse figlio.

Puoi impostare la stessa policy dell'organizzazione con una configurazione diversa sulle risorse secondarie, che verrà sovrascritta o unita alla policy ereditata in base alle regole di valutazione della gerarchia e al tipo di vincolo definito nella policy dell'organizzazione.

Prima di iniziare

• Leggi la pagina Informazioni sui vincoli per scoprire che cos'è un vincolo.

• Leggi la panoramica del servizio Policy dell'organizzazione per scoprire come funziona la policy dell'organizzazione.

Gerarchia di esempio

Nel seguente diagramma della gerarchia delle risorse, ogni risorsa imposta un criterio dell'organizzazione che applica un vincolo gestito legacy e definisce se il criterio eredita il criterio della risorsa principale. Le forme colorate rappresentano i valori che il criterio dell'organizzazione consente o nega.

Un vincolo è un particolare tipo di restrizione applicata a un Cloud de Confiance servizio o a un elenco di Cloud de Confiance servizi. Nell'esempio precedente, il vincolo rappresenta il vincolo predefinito, che definisce il comportamento quando il vincolo non è definito in una policy dell'organizzazione. Il vincolo predefinito in questo esempio consente all_inclusive tutti i valori. I nodi sottostanti definiscono le policy dell'organizzazione che sostituiscono il vincolo predefinito consentendo o negando i valori.

L'informativa effettiva su ogni nodo viene valutata in base alle regole di ereditarietà. Se non è impostata una policy dell'organizzazione, la risorsa eredita il comportamento predefinito del vincolo. Se imposti un criterio dell'organizzazione, viene utilizzato il tuo criterio. Nell'esempio precedente, il nodo dell'organizzazione definisce una policy che consente il quadrato rosso square e il cerchio verde circle.

Le risorse che si trovano nella gerarchia sotto il nodo organizzazione vengono valutate nel seguente modo:

1. Risorsa 1 definisce una policy che imposta inheritFromParent su TRUE e consente square rombo blu. La policy del nodo dell'organizzazione viene ereditata e unita alla policy impostata per la risorsa 1. La policy effettiva valuta per consentire square quadrato rosso, circle cerchio verde e square rombo blu.

2. Risorsa 2 definisce una policy che imposta inheritFromParent su TRUE e nega il cerchio verde circle. I valori di negazione hanno sempre la precedenza durante la riconciliazione dei criteri. Il criterio del nodo dell'organizzazione viene ereditato e unito al criterio impostato per la risorsa 2. La policy effettiva viene valutata per consentire solo il quadrato rosso square.

3. Risorsa 3 definisce una policy che imposta inheritFromParent su FALSE e consente l'esagono giallo hexagon. La policy del nodo dell'organizzazione non viene ereditata, quindi la policy effettiva viene valutata in modo da consentire solo l'esagono giallo hexagon.

4. Risorsa 4 definisce una policy che imposta inheritFromParent su FALSE e include il valore restoreDefault. Il criterio del nodo dell'organizzazione non viene ereditato e viene utilizzato il comportamento predefinito del vincolo, pertanto il criterio effettivo valuta per consentire all_inclusive tutti i valori.

Regole di valutazione della gerarchia

Le seguenti regole regolano la modalità di valutazione di una policy dell'organizzazione per una determinata risorsa. Per impostare la policy dell'organizzazione, devi disporre del ruolo Organization Policy Administrator.

Vincoli applicati automaticamente

Se una norma dell'organizzazione non viene applicata, viene ereditata dal predecessore più basso in cui viene applicata una norma dell'organizzazione. Se non viene applicata alcuna policy dell'organizzazione in qualsiasi punto della gerarchia degli antenati, viene applicato il comportamento predefinito gestito da Google del vincolo.

Se il comportamento predefinito gestito da Google di un vincolo dei criteri dell'organizzazione limita un'operazione, questa operazione è limitata anche se non hai mai definito esplicitamente un criterio dell'organizzazione. Per consentire queste operazioni, devi creare policy dell'organizzazione che sostituiscono la policy principale.

Per un elenco dei vincoli delle policy dell'organizzazione con un comportamento predefinito gestito da Google che limita le operazioni, consulta Vincoli delle policy dell'organizzazione.

Ereditarietà

Una risorsa per cui è impostato un criterio dell'organizzazione per impostazione predefinita sostituisce qualsiasi criterio impostato dalle risorse principali nella gerarchia. Tuttavia, se una risorsa ha impostato inheritFromParent = true, il criterio effettivo della risorsa padre viene ereditato, unito e riconciliato per valutare il criterio effettivo risultante. Ad esempio:

• Una cartella nega il valore projects/123.
• Un progetto all'interno di questa cartella nega il valore projects/456.

Le due policy vengono unite e, in questo caso, danno origine a una policy effettiva che nega sia projects/123 sia projects/456.

Ereditare il comportamento predefinito

Il comportamento predefinito non viene mai unito. Quando viene impostato un criterio, questo sostituisce sempre qualsiasi comportamento predefinito. Ad esempio:

• constraints/iam.allowServiceAccountCredentialLifetimeExtension è impostato su DENY per impostazione predefinita a livello di organizzazione.
• Per questo vincolo, un progetto direttamente sotto l'organizzazione consente il valore SomeServiceAccount.

Poiché il comportamento predefinito non viene mai unito e viene sempre sostituito, il risultato è un criterio effettivo che consente SomeServiceAccount. Al contrario, se il criterio fosse impostato esplicitamente su DENY a livello di organizzazione, si applicherebbe la regola "Il valore DENY ha la precedenza" e il criterio effettivo sarebbe DENY.

Non consentire l'ereditarietà

Se una risorsa ha una policy che include inheritFromParent = false, non eredita la policy dell'organizzazione dal relativo elemento padre. La risorsa eredita invece il comportamento predefinito del vincolo, a meno che tu non imposti un criterio con valori consentiti o negati.

Riconciliazione dei conflitti tra criteri

Quando una risorsa eredita i criteri dell'organizzazione, questi vengono unificati e riconciliati con i criteri dell'organizzazione della risorsa padre. Quando valuti le policy dell'organizzazione con le regole di elenco, i valori DENY hanno sempre la precedenza. Ad esempio:

• Una cartella nega il valore projects/123.
• Un progetto all'interno di questa cartella consente il valore projects/123.

I criteri vengono uniti e il valore DENY ha la precedenza. Il criterio effettivo nega tutti i valori e viene valutato allo stesso modo indipendentemente dal fatto che la risorsa principale o secondaria neghi il valore. Ti consigliamo di non includere un valore sia nell'elenco consentiti sia in quello negati. In questo modo, potrebbe essere più difficile comprendere le tue norme.

Le policy dell'organizzazione con regole booleane non vengono unite e riconciliate. Se viene specificata una policy per una risorsa, il valore TRUE o FALSE viene utilizzato per determinare la policy effettiva. Ad esempio:

• Una cartella imposta enforced: true per constraints/iam.managed.disableServiceAccountCreation.

• Un progetto all'interno di questa cartella imposta enforced: false per constraints/iam.managed.disableServiceAccountCreation.

Il valore enforced: true impostato nella cartella viene ignorato perché enforced: false è definito nel progetto stesso. Il criterio dell'organizzazione non è applicato in modo forzato a questo progetto.

Ripristina policy predefinita

Se richiami RestoreDefault, la policy dell'organizzazione utilizza il comportamento predefinito del vincolo per questa risorsa. Anche le risorse figlio ereditano questo comportamento.