O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos Cloud de Confiance da sua organização. Como administrador de políticas da organização, você pode configurar restrições em toda a hierarquia de recursos.
Benefícios
- Centralize o controle para configurar restrições sobre como os recursos da sua organização podem ser usados.
- Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
- Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.
Casos de uso comuns
As políticas da organização permitem que você faça o seguinte:
- Limite o compartilhamento de recursos com base no domínio.
- Limite o uso de contas de serviço do Identity and Access Management (IAM).
Há muitas outras restrições que dão a você um controle minucioso dos recursos da organização. Para mais informações, consulte a lista de todas as restrições da política da organização.
Diferenças do Identity and Access Management
O foco do gerenciamento de identidade e acesso é o usuário. Com esse produto, o administrador autoriza quem pode executar ações em recursos específicos com base nas permissões.
O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.
Como a política da organização funciona
Uma política da organização configura uma única restrição que limita um ou mais Cloud de Confiance serviços. A política da organização é definida em um recurso de organização, pasta ou projeto para aplicar a restrição a esse recurso e a todos os recursos filhos.
Uma política da organização contém uma ou mais regras que especificam como e se a restrição deve ser aplicada. Por exemplo, uma política da organização pode conter uma regra que aplica a restrição apenas a recursos marcados como environment=development e outra regra que impede que a restrição seja aplicada a outros recursos.
Os descendentes do recurso a que a política da organização está anexada herdam a política da organização. Ao aplicar uma política da organização ao recurso da organização, o administrador da política da organização pode controlar a aplicação dessa política e a configuração de restrições em toda a organização.
Restrições
Uma restrição é um tipo específico de limitação aplicada a um
Cloud de Confiance serviço ou a uma lista
de Cloud de Confiance serviços. Pense na restrição como um esquema que define quais comportamentos são controlados. Por exemplo, é possível restringir o acesso de recursos de projetos a recursos de armazenamento do Compute Engine usando a restrição compute.storageResourceUseRestrictions.
Esse esquema é definido em um recurso na hierarquia de recursos como uma política da organização, que aplica as regras definidas na restrição. O Cloud de Confiance serviço mapeado para essa restrição e associado a esse recurso aplica as restrições configuradas na política da organização.
Uma política da organização é definida em um arquivo YAML ou JSON pela restrição que ela aplica e, opcionalmente, pelas condições em que a restrição é aplicada. Cada política da organização aplica exatamente uma restrição no modo ativo, no modo de simulação ou em ambos.
As restrições gerenciadas legadas têm uma ou mais regras de lista ou regras booleanas com base no tipo de restrição. As regras de lista são uma coleção de valores permitidos ou negados. As regras booleanas podem permitir todos os valores, negar todos os valores ou determinar se uma restrição é aplicada ou não.
Restrições gerenciadas (legado)
As restrições gerenciadas legadas têm um tipo de restrição de lista ou booleano, que determina os valores que podem ser usados para verificar a aplicação. O serviço de aplicação Cloud de Confiance avalia o tipo e o valor da restrição para determinar a restrição que é aplicada.
Essas restrições legadas eram conhecidas anteriormente como restrições predefinidas.
Regras da lista
As restrições gerenciadas legadas com regras de lista permitem ou não uma lista de valores definidos em uma política da organização. Essas restrições legadas eram conhecidas anteriormente como restrições de lista. A lista de valores permitidos ou negados é expressa como uma string de subárvore de hierarquia. Com a string de subárvore, é feita a especificação do tipo de recurso a que se aplica. Por exemplo, a restrição gerenciada legada
constraints/compute.trustedImageProjects usa uma lista de IDs de projetos no
formato projects/PROJECT_ID.
É possível especificar que todos os valores sejam permitidos, que todos os valores sejam negados ou que uma lista específica de valores seja permitida ou negada. Quando você especifica uma lista de valores permitidos ou negados, a política da organização avalia implicitamente que apenas esses valores são permitidos ou negados. Por exemplo, se você tiver uma restrição que
permite apenas projects/PROJECT_ID, todos os outros valores serão
negados implicitamente.
Os valores podem receber um prefixo no formato prefix:value para restrições que oferecem suporte a eles, o que fornece o significado extra de valor:
is:- aplica uma comparação com o valor exato. Esse é o mesmo comportamento de quando não há um prefixo e é obrigatório quando o valor inclui o sinal de dois pontos.under:- aplica uma comparação ao valor e todos os valores derivados. Se um recurso for permitido ou negado com esse prefixo, os recursos filhos também serão permitidos ou negados. O valor fornecido precisa ser o ID de uma organização, pasta ou recurso de projeto.in:- aplica uma comparação a todos os recursos que incluem esse valor. Por exemplo, é possível adicionarin:us-locationsà lista negada daconstraints/gcp.resourceLocationsrestrição para bloquear todos os locais incluídos na regiãous.
Se nenhuma lista de valores for fornecida ou se a política da organização estiver definida como o padrão gerenciado pelo Google, o comportamento padrão da restrição entrará em vigor, o que permite ou nega todos os valores.
A política da organização a seguir aplica uma restrição gerenciada legada que permite que as instâncias de VM do Compute Engine vm-1 e vm-2 em organizations/1234567890123 acessem endereços IP externo:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
Regras booleanas
Uma restrição gerenciada legada com uma regra booleana é aplicada ou não. Por exemplo, constraints/compute.disableSerialPortAccess tem dois estados possíveis:
- Aplicada: a restrição é aplicada e o acesso à porta serial não é permitido.
- Não aplicada: a restrição
disableSerialPortAccessnão é aplicada nem verificada, portanto, o acesso à porta serial é permitido.
Se a política da organização estiver definida como o padrão gerenciado pelo Google, o comportamento padrão da restrição entrará em vigor.
Essas restrições legadas eram conhecidas anteriormente como restrições booleanas.
A política da organização a seguir aplica uma restrição gerenciada legada que desativa a criação de contas de serviço externas em organizations/1234567890123:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Políticas condicionais da organização
As tags fornecem uma maneira de aplicar restrições condicionalmente com base no fato de um recurso ter ou não uma tag específica. É possível usar tags e aplicação condicional de restrições para fornecer controle centralizado dos recursos na hierarquia.
Para mais informações sobre tags, consulte Visão geral de tags. Para saber como definir uma política condicional da organização usando tags, consulte Definir o escopo das políticas da organização com tags.
Herança
Quando uma política da organização é definida em um recurso, todos os descendentes desse recurso herdam a política da organização por padrão. Se você definir uma política da organização no recurso da organização, a configuração de restrições definida por essa política será transmitida a todas as pastas, projetos e recursos de serviço descendentes.
É possível definir uma política da organização em um recurso descendente que substitui a herança ou herda a política da organização do recurso pai. As políticas da organização que aplicam restrições gerenciadas legadas são mescladas com base nas regras de avaliação da hierarquia. Esse sistema oferece controle preciso sobre como as políticas da organização são aplicadas em toda a organização e onde você quer que as exceções sejam feitas.
Para saber mais, consulte Avaliação da hierarquia.
Violações
Uma violação ocorre quando um Cloud de Confiance serviço atua ou está em um estado que contraria a configuração de restrições da política da organização dentro do escopo da hierarquia de recursos. Cloud de Confiance Os serviços vão aplicar restrições para evitar violações, mas a aplicação de novas políticas da organização geralmente não é retroativa. Se uma restrição de política da organização for aplicada retroativamente aplicada, ela será rotulada como tal na página Restrições da Política da Organização.
Se uma nova política da organização definir uma restrição sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não vai interromper seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.
Próximas etapas
Veja as soluções que podem ser aplicadas às restrições da política da organização.