Usar políticas de organización personalizadas

Google Cloud La política de organización te ofrece un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de restricciones llamadas "restricciones" que se aplican a losGoogle Cloud recursos y a los elementos descendientes de esos recursos en la Google Cloud jerarquía de recursos. Puedes aplicar políticas de organización a nivel de organización, carpeta o proyecto.

La política de organización proporciona restricciones predefinidas para varios servicios deGoogle Cloud . Sin embargo, si quieres tener un control más granular y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear políticas de organización personalizadas.

Ventajas

  • Seguridad, cumplimiento y gobierno: puedes usar políticas de organización personalizadas de la siguiente manera:
    • Para cumplir los requisitos de seguridad, puedes exigir el uso de claves de encriptado gestionadas por el cliente (CMEK).
    • Puedes restringir cualquier campo que se transfiera al crear o actualizar un repositorio.

Herencia de políticas

De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que se aplican. Por ejemplo, si aplicas una política a una carpeta, Google Cloud se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.

Precios

El servicio de políticas de organización, incluidas las políticas de organización predefinidas y personalizadas, se ofrece sin coste económico.

Antes de empezar

  1. Habilita Artifact Registry e instala Google Cloud CLI.
  2. (Opcional) Configura los valores predeterminados de los comandos de gcloud CLI.
  3. Si necesitas claves de cifrado gestionadas por el cliente (CMEK) para cifrar el contenido del repositorio, crea y habilita una clave en Cloud KMS para el repositorio.
  4. Asegúrate de que conoces el ID de tu organización.

Roles obligatorios

Para obtener los permisos que necesitas para gestionar las políticas de la organización, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para gestionar las políticas de la organización. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las políticas de la organización, se necesitan los siguientes permisos:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Crear una restricción personalizada

Una restricción personalizada se define en un archivo YAML mediante los recursos, los métodos, las condiciones y las acciones que admite el servicio en el que se aplica la política de la organización. Las condiciones de tus restricciones personalizadas se definen mediante el lenguaje de expresión común (CEL). Para obtener más información sobre cómo crear condiciones en restricciones personalizadas con CEL, consulta la sección sobre CEL del artículo Crear y gestionar restricciones personalizadas.

Artifact Registry admite restricciones personalizadas que se aplican a los métodos CREATE y UPDATE del recurso REPOSITORY.

Crea un archivo YAML para una restricción personalizada similar a la siguiente:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- artifactregistry.googleapis.com/Repository
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Haz los cambios siguientes:

  • ORGANIZATION_ID: el ID de tu organización, como 123456789.

  • CONSTRAINT_NAME: el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada debe empezar por custom. y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo, custom.enableDockerRemotes. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo. Por ejemplo, organizations/123456789/customConstraints/custom.enableDockerRemotes.

  • CONDITION: una condición CEL que se escribe en una representación de un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres. Consulta la sección Recursos admitidos para obtener más información sobre los recursos disponibles para escribir condiciones, como (resource.mode == 'REMOTE' && resource.format == 'DOCKER') || (resource.mode != 'REMOTE').

  • ACTION: la acción que se debe llevar a cabo si se cumple la condición condition. Puede ser ALLOW o DENY.

  • DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.

  • DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres, como All remote repositories must be Docker format.

Para obtener más información sobre cómo crear una restricción personalizada, consulta Definir restricciones personalizadas.

Configurar una restricción personalizada

Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Sustituye CONSTRAINT_PATH por la ruta completa a tu archivo de restricciones personalizadas. Por ejemplo, /home/user/customconstraint.yaml. Una vez completado el proceso, las restricciones personalizadas estarán disponibles como políticas de organización en la lista de Google Cloud políticas de organización. Para verificar que la restricción personalizada existe, usa el comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Sustituye ORGANIZATION_ID por el ID del recurso de tu organización. Para obtener más información, consulta Ver políticas de la organización.

Aplicar una política de organización personalizada

Para aplicar una restricción, crea una política de organización que haga referencia a ella y, a continuación, aplica esa política de organización a un Google Cloud recurso.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el selector de proyectos, elige el proyecto para el que quieras definir la política de organización.
  3. En la lista de la página Políticas de organización, selecciona la restricción para ver la página Detalles de la política correspondiente.
  4. Para configurar la política de la organización de este recurso, haz clic en Gestionar política.
  5. En la página Editar política, selecciona Anular política del recurso superior.
  6. Haz clic en Añadir regla.
  7. En la sección Aplicación, selecciona si quieres activar o desactivar la aplicación de esta política de la organización.
  8. Opcional: Para que la política de la organización dependa de una etiqueta, haz clic en Añadir condición. Ten en cuenta que, si añades una regla condicional a una política de organización, debes añadir al menos una regla incondicional o la política no se podrá guardar. Para obtener más información, consulta Configurar una política de organización con etiquetas.
  9. Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones gestionadas antiguas. Para obtener más información, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.
  10. Para finalizar y aplicar la política de organización, haz clic en Definir política. La política tarda hasta 15 minutos en aplicarse.

gcloud

Para crear una política de organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Haz los cambios siguientes:

  • PROJECT_ID: el proyecto en el que quieras aplicar la restricción.
  • CONSTRAINT_NAME: el nombre que has definido para tu restricción personalizada. Por ejemplo, custom.enableDockerRemotes.

Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando: 

    gcloud org-policies set-policy POLICY_PATH

Sustituye POLICY_PATH por la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.

Probar la política de organización personalizada

En el siguiente ejemplo de creación de un repositorio remoto, se da por hecho que se ha creado y aplicado una política de organización personalizada en la creación de repositorios para permitir únicamente la creación de repositorios remotos con formato Docker.

Intenta crear un repositorio remoto de Python en el proyecto:

  gcloud artifacts repositories create REMOTE-REPOSITORY-NAME \
      --project=PROJECT_ID \
      --repository-format=python \
      --location=LOCATION \
      --description="DESCRIPTION" \
      --mode=remote-repository \
      --remote-repo-config-desc="REMOTE-REPOSITORY-DESCRIPTION" \
      --disable-vulnerability-scanning \
      --remote-python-repo=UPSTREAM

Marcas opcionales para autenticarte en el repositorio upstream:

  • --remote-username=USERNAME

  • --remote-password-secret-version=SECRET_VERSION

    Haz los cambios siguientes:

  • REMOTE-REPOSITORY-NAME con el nombre del repositorio. Los nombres de los repositorios deben ser únicos en cada ubicación de repositorio de un proyecto.

  • PROJECT_ID por el ID del proyecto. Si se omite esta marca, se usará el proyecto actual o el predeterminado.

  • LOCATION con la ubicación regional o multirregional del repositorio. Puedes omitir esta marca si defines un valor predeterminado. Para ver una lista de las ubicaciones admitidas, ejecuta el comando gcloud artifacts locations list.

  • DESCRIPTION con una descripción opcional del repositorio. No incluyas datos sensibles, ya que las descripciones de los repositorios no están cifradas.

  • REMOTE-REPOSITORY-DESCRIPTION con una descripción de la configuración del repositorio externo de este repositorio remoto.

  • USERNAME Opcionalmente, si usas la autenticación, con tu nombre de usuario para autenticarte en el repositorio upstream.

  • SECRET_VERSION opcionalmente, si usas la autenticación, con la versión secreta que contiene la contraseña de tu repositorio upstream.

  • UPSTREAM con el nombre predefinido del upstream, la ruta del repositorio de Artifact Registry o la URL definida por el usuario del repositorio upstream.

    En el caso de los repositorios upstream de Artifact Registry, el formato de la ruta del repositorio debe ser similar al siguiente: projects/UPSTREAM_PROJECT_ID/locations/REGION/repositories/UPSTREAM_REPOSITORY.

    Para obtener información sobre los upstream predefinidos disponibles y los upstream definidos por el usuario admitidos, consulta Formatos admitidos.

  • --disable-vulnerability-scanning: es una marca opcional que configura tu repositorio para inhabilitar el análisis automático de vulnerabilidades.

  • --allow-vulnerability-scanning: es una marca opcional que configura tu repositorio para permitir el análisis automático de vulnerabilidades. Para obtener más información, consulta Habilitar o inhabilitar el análisis automático.

    Por ejemplo, el siguiente comando crea un repositorio remoto llamado my-repo en la región us-east1 del proyecto Google Cloud my-project y puede autenticarse en el repositorio upstream con el nombre de usuario my-username y la versión del secreto projects/my-project/secrets/my-secret/versions/1.

    gcloud artifacts repositories create my-repo \
    --project=my-project \
    --repository-format=python \
    --location=us-east1 \
    --description="Remote Python repository" \
    --mode=remote-repository \
    --remote-repo-config-desc="PyPI" \
    --remote-username=my-username \
    --remote-password-secret-version=projects/my-project/secrets/my-secret/versions/1 \
    --remote-python-repo=PYPI

El resultado es el siguiente:

Operation denied by custom org policies: ["customConstraints/custom.enableDockerRemotes": "All remote repositories must be Docker format."]

Recursos compatibles con Artifact Registry

Artifact Registry admite restricciones personalizadas en todos los campos, excepto en labels, para las operaciones de creación y actualización del recurso repository.

Ejemplos de políticas de organización personalizadas para casos prácticos habituales

En la siguiente tabla se muestra la sintaxis de algunas políticas de organización personalizadas que pueden resultarte útiles:

Descripción Sintaxis de las restricciones
Inhabilitar la creación de repositorios remotos 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.disableRemotes
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.mode in ['STANDARD', 'VIRTUAL']"
    actionType: ALLOW
    displayName: Disable remote repository creation
    description: All repositories must be standard or virtual mode.
Implementar la inmutabilidad de las etiquetas en repositorios con formato Docker 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.format == 'DOCKER' && !resource.dockerConfig.immutableTags"
    actionType: DENY
    displayName: Enforce tag immutability
    description: All new Docker repositories must have tag immutability enabled.
Requerir una clave CMEK 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.kmsKeyName.contains('projects/my-project/')"
    actionType: ALLOW
    displayName: Enforce the use of a CMEK key from my-project
    description: All repositories must be created with a CMEK key from my-project.

Siguientes pasos