Avaliação da hierarquia

Quando define uma política da organização num recurso, todos os descendentes desse recurso herdam a política da organização por predefinição. Se definir uma política da organização no recurso da organização, todas as restrições são herdadas por todos os recursos secundários.

Pode definir a mesma política da organização com uma configuração diferente nos recursos secundários, que vai substituir ou unir-se à política herdada com base nas regras de avaliação da hierarquia e no tipo de restrição definido na política da organização.

Antes de começar

Hierarquia de exemplo

No seguinte diagrama da hierarquia de recursos, cada recurso define uma política da organização que aplica uma restrição gerida legada e define se a política herda a política do respetivo recurso principal. As formas coloridas representam os valores que a política da organização permite ou recusa.

Diagrama de herança

Uma restrição é um tipo específico de restrição que é aplicada num Cloud de Confiance serviço ou numa lista de Cloud de Confiance serviços. No exemplo anterior, a Restrição representa a predefinição da restrição, que define o comportamento quando a restrição não está definida numa política da organização. A predefinição da restrição neste exemplo permite todos os valores. Os nós abaixo definem políticas da organização que substituem a predefinição da restrição ao permitir ou recusar valores.

A política em vigor em cada nó é avaliada com base nas regras de herança. Se não for definida uma política da organização, o recurso herda o comportamento predefinido da restrição. Se definir uma política da organização, a sua política é usada em alternativa. No exemplo anterior, o Nó da organização define uma política que permite vermelho quadrado e verde círculo.

Os recursos que estão na hierarquia abaixo do Nó da organização são avaliados da seguinte forma:

  1. O Recurso 1 define uma política que define inheritFromParent como TRUE e permite losango azul. A política do Nó da organização é herdada e unida à política definida no Recurso 1. A política em vigor é avaliada para permitir quadrado vermelho , círculo verde e losango azul.

  2. O Recurso 2 define uma política que define inheritFromParent como TRUE e recusa verde círculo. Os valores de recusa têm sempre precedência durante a conciliação de políticas. A política do Nó da organização é herdada e unida à política definida no Recurso 2. A política em vigor é avaliada para permitir apenas vermelho quadrado.

  3. O Recurso 3 define uma política que define inheritFromParent como FALSE e permite amarelo hexágono. A política do Nó da organização não é herdada, pelo que a política em vigor é avaliada para permitir apenas amarelo hexágono.

  4. O Recurso 4 define uma política que define inheritFromParent como FALSE e inclui o valor restoreDefault. A política do Nó da organização não é herdada e é usado o comportamento predefinido da restrição , pelo que a política em vigor é avaliada para permitir todos os valores.

Regras de avaliação da hierarquia

As seguintes regras regem a forma como uma política da organização é avaliada num determinado recurso. Precisa da função de **Administrador de políticas da organização** para definir a política da organização.

Restrições aplicadas automaticamente

Se uma política da organização não for aplicada, é herdada do respetivo antepassado mais baixo onde uma política da organização é aplicada. Se não for aplicada nenhuma política da organização em qualquer parte da hierarquia de antepassados, é aplicado o comportamento predefinido da restrição gerido pela Google.

Se o comportamento predefinido de uma restrição da política da organização gerido pela Google restringir uma operação, essa operação é restringida mesmo que nunca tenha definido explicitamente uma política da organização. Para permitir essas operações, tem de criar políticas da organização que substituam a política principal.

Para ver uma lista de restrições da política da organização que têm um comportamento predefinido gerido pela Google que restringe as operações, consulte o artigo Restrições da política da organização.

Herança

Um recurso que tem uma política da organização definida por predefinição substitui qualquer política definida pelos respetivos recursos principais na hierarquia. No entanto, se um recurso tiver definido inheritFromParent = true, a política em vigor do recurso principal é herdada, unida e conciliada para avaliar a política em vigor resultante. Por exemplo:

  • Uma pasta recusa o valor projects/123.
  • Um projeto nessa pasta recusa o valor projects/456.

As duas políticas são unidas e, neste caso, resultam numa política em vigor que recusa projects/123 e projects/456.

Herança do comportamento predefinido

O comportamento predefinido nunca é unido. Quando uma política é definida, substitui sempre qualquer comportamento predefinido. Por exemplo:

  • A constraints/iam.allowServiceAccountCredentialLifetimeExtension está definida como DENY por predefinição ao nível da organização.
  • Para esta restrição, um projeto diretamente abaixo dessa organização permite o valor SomeServiceAccount.

Uma vez que o comportamento predefinido nunca é unido e é sempre substituído, isto resulta numa política em vigor que permite SomeServiceAccount. Em contraste, se a política fosse definida explicitamente como DENY ao nível da organização, aplicar-se-ia a regra "o valor DENY tem precedência" e a política em vigor seria DENY.

Não permitir herança

Se um recurso tiver uma política que inclua inheritFromParent = false, não herda a política da organização do respetivo principal. Em alternativa, o recurso herda o comportamento predefinido da restrição, a menos que defina uma política com valores permitidos ou recusados.

Conciliação de conflitos de políticas

Quando um recurso herda políticas da organização, as políticas herdadas são unidas e conciliadas com a política da organização do recurso principal. Ao avaliar políticas da organização com regras de listas, os valores DENY têm sempre precedência. Por exemplo:

  • Uma pasta recusa o valor projects/123.
  • Um projeto nessa pasta permite o valor projects/123.

As políticas são unidas e o valor DENY tem precedência. A política em vigor recusa todos os valores e é avaliada da mesma forma, quer o recurso principal quer o recurso secundário recuse o valor. Recomendamos que não inclua um valor nas listas de valores permitidos e recusados. Se o fizer, pode dificultar a compreensão das suas políticas.

As políticas da organização com regras booleanas não unem nem conciliam políticas. Se for especificada uma política num recurso, esse valor TRUE ou FALSE é usado para determinar a política em vigor. Por exemplo:

  • Uma pasta define enforced: true para constraints/iam.managed.disableServiceAccountCreation.

  • Um projeto nessa pasta define enforced: false para constraints/iam.managed.disableServiceAccountCreation.

O valor enforced: true definido na pasta é ignorado porque enforced: false está definido no próprio projeto. A política da organização não é aplicada nesse projeto.

Repor política predefinida

Ao invocar RestoreDefault, a política da organização usa o comportamento predefinido da restrição para este recurso. Os recursos secundários também herdam este comportamento.