Descripción general de las políticas de la organización

El Servicio de políticas de la organización te brinda un control centralizado y programático sobre los Cloud de Confiance recursos de tu organización. Como administrador de políticas de la organización, puedes configurar restricciones en toda la jerarquía de recursos.

Beneficios

  • Centraliza el control para configurar restricciones sobre cómo se pueden usar los recursos de tu organización.
  • Define y establece barreras de seguridad para que tus equipos de desarrollo se mantengan dentro de los límites de cumplimiento.
  • Ayuda a los propietarios de proyectos y sus equipos a moverse con rapidez sin preocuparse por romper el cumplimiento.

Casos de uso habituales

Las políticas de la organización te permiten hacer lo siguiente:

Existen muchas más restricciones que te brindan un control detallado de los recursos de tu organización. Para obtener más información, consulta la lista de todas las restricciones de las políticas de la organización.

Diferencias con Identity and Access Management

La administración de identidades y accesos se enfoca en el quién y permite que el administrador autorice quién puede tomar medidas sobre recursos específicos en función de los permisos.

La política de la organización se enfoca en el qué y permite al administrador establecer restricciones en recursos específicos para determinar cómo se pueden configurar.

Cómo funciona la política de la organización

Una política de la organización configura una sola restricción que limita uno o más servicios de Cloud de Confiance . La política de la organización se establece en un recurso de organización, carpeta o proyecto para aplicar la restricción en ese recurso y en cualquier recurso secundario.

Una política de la organización contiene una o más reglas que especifican cómo y si se debe aplicar la restricción. Por ejemplo, una política de la organización podría contener una regla que aplique la restricción solo a los recursos etiquetados como environment=development y otra regla que impida que se aplique la restricción a otros recursos.

Los descendientes del recurso al que se adjunta la política de la organización heredan la política de la organización. Cuando se aplica una política de la organización al recurso de organización, el administrador de políticas de la organización puede controlar la aplicación de esa política y la configuración de restricciones en toda la organización.

Conceptos de políticas de la organización

Limitaciones

Una restricción es un tipo particular de restricción contra un Cloud de Confiance servicio o una lista de Cloud de Confiance servicios. Piensa en la restricción como un plano técnico que define qué comportamientos se controlan. Por ejemplo, puedes restringir el acceso de los recursos del proyecto a los recursos de almacenamiento de Compute Engine con la restricción compute.storageResourceUseRestrictions.

Luego, este plano se establece en un recurso de tu jerarquía de recursos como una política de la organización, que aplica las reglas definidas en la restricción. El servicio Cloud de Confiance asignado a esa restricción y asociado con ese recurso aplica las restricciones configuradas dentro de la política de la organización.

Una política de la organización se define en un archivo YAML o JSON por la restricción que aplica y, de forma opcional, por las condiciones en las que se aplica la restricción. Cada política de la organización aplica exactamente una restricción en modo activo, modo de ejecución de prueba o ambos.

Las restricciones administradas heredadas tienen una o más reglas de lista o reglas booleanas según el tipo de restricción. Las reglas de lista son una colección de valores permitidos o denegados. Las reglas booleanas pueden permitir todos los valores, rechazar todos los valores o determinar si se aplica una restricción.

Restricciones administradas (heredadas)

Las restricciones administradas heredadas tienen un tipo de restricción de lista o booleano, que determina los valores que se pueden usar para verificar la aplicación. El servicio de aplicación de políticasCloud de Confiance evaluará el tipo y el valor de la restricción para determinar la restricción que se aplica.

Estas restricciones heredadas antes se conocían como restricciones predefinidas.

Reglas de la lista

Las restricciones administradas heredadas con reglas de lista permiten o rechazan una lista de valores que se definen en una política de la organización. Anteriormente, estas restricciones heredadas se conocían como restricciones de lista. La lista de valores permitidos o denegados se expresa como una cadena de subárbol de jerarquía. La string de subárbol especifica el tipo de recurso al que se aplica. Por ejemplo, la restricción administrada heredada constraints/compute.trustedImageProjects toma una lista de IDs de proyectos con el formato projects/PROJECT_ID.

Puedes especificar que se permitan todos los valores, que se rechacen todos los valores o que se permita o rechace una lista específica de valores. Cuando especificas una lista de valores permitidos o denegados, la política de la organización evalúa de forma implícita que solo esos valores están permitidos o denegados. Por ejemplo, si tienes una restricción que solo permite projects/PROJECT_ID, todos los demás valores se rechazan de forma implícita.

A los valores se les puede asignar un prefijo con el formato prefix:value para las restricciones que los admiten, lo que le da al valor un significado adicional:

  • is:: Aplica una comparación con el valor exacto. Este es el mismo comportamiento que se adopta cuando no se tiene un prefijo, y se requiere cuando el valor incluye dos puntos.

  • under:: Aplica una comparación con el valor y todos sus valores secundarios. Si se permite o se niega un recurso con este prefijo, se hará lo mismo con sus recursos secundarios. El valor proporcionado debe ser el ID de un recurso de organización, carpeta o proyecto.

  • in:: Aplica una comparación a todos los recursos que incluyen este valor. Por ejemplo, puedes agregar in:us-locations a la lista de elementos rechazados de la restricción constraints/gcp.resourceLocations para bloquear todas las ubicaciones incluidas en la región us.

Si no se proporciona una lista de valores o si la política de la organización se establece en el valor predeterminado administrado por Google, se aplica el comportamiento predeterminado de la restricción, que permite todos los valores o los rechaza todos.

La siguiente política de la organización aplica una restricción administrada heredada que permite que las instancias de VM de Compute Engine vm-1 y vm-2 en organizations/1234567890123 accedan a direcciones IP externas:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Reglas booleanas

Una restricción administrada heredada con una regla booleana se aplica de forma forzosa o no. Por ejemplo, constraints/compute.disableSerialPortAccess tiene dos estados posibles:

  • Enforced: La restricción se aplica de forma forzosa y no se permite el acceso al puerto en serie.
  • No se aplica: La restricción disableSerialPortAccess no se aplica ni se verifica, por lo que se permite el acceso al puerto en serie.

Si la política de la organización se establece en el valor predeterminado administrado por Google, se aplicará el comportamiento predeterminado de la restricción.

Estas restricciones heredadas antes se conocían como restricciones booleanas.

La siguiente política de la organización aplica una restricción heredada administrada que inhabilita la creación de cuentas de servicio externas en organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Políticas de la organización condicionales

Las etiquetas proporcionan una forma de aplicar restricciones de manera condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de restricciones para proporcionar un control centralizado de los recursos en tu jerarquía.

Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas. Para obtener información sobre cómo establecer una política de la organización condicional con etiquetas, consulta Cómo definir el alcance de las políticas de la organización con etiquetas.

Herencia

Cuando se establece una política de la organización en un recurso, todos los elementos subordinados de ese recurso heredan la política de la organización de forma predeterminada. Si estableces una política de la organización en el recurso de organización, la configuración de restricciones definidas por esa política se transmitirá a través de todas las carpetas, proyectos y recursos de servicio descendientes.

Puedes establecer una política de la organización en un recurso descendiente que reemplace la herencia o herede la política de la organización del recurso principal. Las políticas de la organización que aplican restricciones administradas heredadas se combinan según las reglas de evaluación de la jerarquía. Este sistema proporciona un control preciso de cómo se aplican las políticas de la organización en toda tu organización y dónde deseas que se hagan las excepciones.

Para obtener más información, consulta Evaluación de jerarquías.

Incumplimientos

Un incumplimiento se produce cuando un servicio de Cloud de Confiance actúa o se encuentra en un estado contrario a la configuración de restricción de la política de la organización dentro del alcance de su jerarquía de recursos.Los servicios de Cloud de Confiance impondrán restricciones para evitar incumplimientos, pero la aplicación de nuevas políticas de la organización no suele ser retroactiva. Si una restricción de política de la organización se aplica de manera retroactiva, se etiquetará como tal en la página Restricciones de las políticas de la organización.

Si una política de la organización nueva establece una restricción en una acción o estado en el cual ya hay un servicio, se considera que la política se está incumpliendo, pero el servicio no detendrá su comportamiento original. Deberás abordar este incumplimiento de forma manual. Esto previene el riesgo de que una nueva política de la organización cierre por completo la continuidad de tu negocio.

Próximos pasos