Il servizio Policy dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione Cloud de Confiance . In qualità di amministratore della policy dell'organizzazione, puoi configurare i vincoli nell'intera gerarchia delle risorse.
Vantaggi
- Centralizza il controllo per configurare le limitazioni sull'utilizzo delle risorse della tua organizzazione.
- Definisci e stabilisci sistemi di protezione per i tuoi team di sviluppo per rimanere entro i limiti di conformità.
- Aiuta i proprietari dei progetti e i loro team a muoversi rapidamente senza il timore di violare la conformità.
Casi d'uso comuni
Le policy dell'organizzazione ti consentono di:
- Limitare la condivisione delle risorse in base al dominio.
- Limita l'utilizzo degli account di servizio Identity and Access Management (IAM).
Esistono molti altri vincoli che ti consentono di controllare in modo granulare le risorse della tua organizzazione. Per saperne di più, consulta l'elenco di tutti i vincoli delle policy dell'organizzazione.
Differenze rispetto a Identity and Access Management
Identity and Access Management si concentra su chi e consente all'amministratore di autorizzare chi può intervenire su risorse specifiche in base alle autorizzazioni.
I criteri dell'organizzazione si concentrano sul cosa e consentono all'amministratore di impostare limitazioni su risorse specifiche per determinare come possono essere configurate.
Come funziona la policy dell'organizzazione
Un criterio dell'organizzazione configura un singolo vincolo che limita uno o più servizi Cloud de Confiance . Il criterio dell'organizzazione viene impostato su una risorsa organizzazione, cartella o progetto per applicare il vincolo a quella risorsa e a qualsiasi risorsa figlio.
Una norma dell'organizzazione contiene una o più regole che specificano come e se applicare il vincolo. Ad esempio, una policy dell'organizzazione potrebbe contenere una regola che applica il vincolo solo alle risorse taggate environment=development e un'altra regola che impedisce l'applicazione del vincolo ad altre risorse.
I discendenti della risorsa a cui è allegata la policy dell'organizzazione ereditano la policy dell'organizzazione. Applicando una policy dell'organizzazione alla risorsa organizzazione, l'amministratore della policy dell'organizzazione può controllare l'applicazione di questa policy e la configurazione delle limitazioni nell'intera organizzazione.
Vincoli
Un vincolo è un tipo particolare di limitazione per un
Cloud de Confiance servizio o un elenco di
servizi Cloud de Confiance . Pensa al vincolo come a un progetto che
definisce i comportamenti controllati. Ad esempio, puoi impedire alle risorse del progetto di accedere alle risorse di archiviazione di Compute Engine utilizzando il vincolo compute.storageResourceUseRestrictions.
Questo progetto base viene quindi impostato su una risorsa nella gerarchia delle risorse come policy dell'organizzazione, che applica le regole definite nel vincolo. Il servizio Cloud de Confiance mappato a questo vincolo e associato a questa risorsa applica le limitazioni configurate nella policy dell'organizzazione.
Una policy dell'organizzazione è definita in un file YAML o JSON dal vincolo che applica e, facoltativamente, dalle condizioni in cui il vincolo viene applicato. Ogni policy dell'organizzazione applica esattamente un vincolo in modalità attiva, in modalità dry run o in entrambe.
I vincoli gestiti legacy hanno una o più regole di elenco o regole booleane basate sul tipo di vincolo. Le regole di elenco sono una raccolta di valori consentiti o rifiutati. Le regole booleane possono consentire tutti i valori, rifiutare tutti i valori o determinare se un vincolo viene applicato o meno.
Vincoli gestiti (legacy)
I vincoli gestiti legacy hanno un tipo di vincolo di elenco o booleano, che determina i valori che possono essere utilizzati per verificare l'applicazione forzata. Il servizio Cloud de Confiance di applicazione valuterà il tipo e il valore del vincolo per determinare la limitazione applicata.
Questi vincoli legacy erano precedentemente noti come vincoli predefiniti.
Regole elenco
I vincoli gestiti legacy con regole di elenco consentono o non consentono un elenco di valori
definiti in un criterio dell'organizzazione. Questi vincoli legacy erano
precedentemente noti come vincoli di elenco. L'elenco dei valori consentiti o negati è
espresso come stringa di sottoalbero della gerarchia. La stringa del sottoalbero specifica il tipo
di risorsa a cui si applica. Ad esempio, il vincolo gestito legacy constraints/compute.trustedImageProjects accetta un elenco di ID progetto nel formato projects/PROJECT_ID.
Puoi specificare che tutti i valori sono consentiti, che tutti i valori sono rifiutati o che un elenco specifico di valori è consentito o rifiutato. Quando specifichi un elenco
di valori consentiti o negati, Organization Policy valuta implicitamente che solo
questi valori sono consentiti o negati. Ad esempio, se hai un vincolo che
consente solo projects/PROJECT_ID, tutti gli altri valori
vengono negati implicitamente.
Ai valori può essere assegnato un prefisso nel formato prefix:value per i vincoli che
li supportano, il che conferisce al valore un significato aggiuntivo:
is:: applica un confronto con il valore esatto. Questo comportamento è lo stesso di quando non è presente un prefisso ed è necessario quando il valore include i due punti.under:: applica un confronto al valore e a tutti i relativi valori secondari. Se una risorsa è consentita o negata con questo prefisso, anche le relative risorse secondarie sono consentite o negate. Il valore fornito deve essere l'ID di una risorsa di organizzazione, cartella o progetto.in:: applica un confronto a tutte le risorse che includono questo valore. Ad esempio, puoi aggiungerein:us-locationsall'elenco negato del vincoloconstraints/gcp.resourceLocationsper bloccare tutte le località incluse nella regioneus.
Se non viene fornito alcun elenco di valori o se il criterio dell'organizzazione è impostato sul valore predefinito gestito da Google, viene applicato il comportamento predefinito del vincolo, che consente o nega tutti i valori.
Il seguente criterio dell'organizzazione applica un vincolo gestito legacy che
consente alle istanze VM di Compute Engine vm-1 e vm-2 in
organizations/1234567890123 di accedere agli indirizzi IP esterni:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
Regole booleane
Un vincolo gestito legacy con una regola booleana viene applicato o non
applicato. Ad esempio, constraints/compute.disableSerialPortAccess ha due
stati possibili:
- Forzato: il vincolo viene applicato e l'accesso alla porta seriale non è consentito.
- Non applicato: il vincolo
disableSerialPortAccessnon viene applicato o controllato, pertanto l'accesso alla porta seriale è consentito.
Se il criterio dell'organizzazione è impostato sul valore predefinito gestito da Google, viene applicato il comportamento predefinito per il vincolo.
Questi vincoli legacy erano precedentemente noti come vincoli booleani.
Il seguente criterio dell'organizzazione applica un vincolo gestito legacy che
disattiva la creazione di service account esterni in
organizations/1234567890123:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Policy dell'organizzazione condizionali
I tag forniscono un modo per applicare in modo condizionale i vincoli a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei vincoli per fornire un controllo centralizzato delle risorse nella gerarchia.
Per saperne di più sui tag, consulta Introduzione ai tag. Per scoprire come impostare una policy dell'organizzazione condizionale utilizzando i tag, vedi Definire l'ambito delle policy dell'organizzazione con i tag.
Ereditarietà
Quando un criterio dell'organizzazione viene impostato su una risorsa, tutti i discendenti di quella risorsa ereditano il criterio dell'organizzazione per impostazione predefinita. Se imposti una policy dell'organizzazione sulla risorsa organizzazione, la configurazione delle limitazioni definite da questa policy verrà trasmessa a tutte le cartelle, i progetti e le risorse di servizio discendenti.
Puoi impostare una policy dell'organizzazione su una risorsa discendente che sovrascrive l'ereditarietà o eredita la policy dell'organizzazione della risorsa principale. Le policy dell'organizzazione che applicano vincoli gestiti legacy vengono unite in base alle regole di valutazione della gerarchia. Questo sistema fornisce un controllo preciso su come vengono applicate le policy della tua organizzazione in tutta l'organizzazione e dove vuoi che vengano apportate eccezioni.
Per saperne di più, consulta Valutazione della gerarchia.
Violazioni
Una violazione si verifica quando un servizio Cloud de Confiance agisce o si trova in uno stato contrario alla configurazione della restrizione dei criteri dell'organizzazione nell'ambito della gerarchia delle risorse.I servizi Cloud de Confiance applicheranno i vincoli per evitare violazioni, ma l'applicazione di nuovi criteri dell'organizzazione di solito non è retroattiva. Se un vincolo del criterio dell'organizzazione viene applicato retroattivamente, verrà etichettato come tale nella pagina Vincoli dei criteri dell'organizzazione.
Se un nuovo criterio dell'organizzazione impone una limitazione a un'azione o a uno stato in cui un servizio si trova già, il criterio viene considerato in violazione, ma il servizio non interromperà il suo comportamento originale. Dovrai risolvere manualmente questa violazione. In questo modo si evita il rischio che un nuovo criterio dell'organizzazione interrompa completamente la continuità operativa.
Passaggi successivi
Esplora le soluzioni che puoi realizzare con i vincoli delle policy dell'organizzazione.