Google Cloud La política de organización te ofrece un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de restricciones llamadas restricciones que se aplican a losGoogle Cloud recursos y a los elementos descendientes de esos recursos en la Google Cloud jerarquía de recursos. Puedes aplicar políticas de organización a nivel de organización, carpeta o proyecto.
La política de organización proporciona restricciones predefinidas para varios servicios deGoogle Cloud . Sin embargo, si quieres tener más control sobre las políticas de tu organización, puedes crear políticas de organización personalizadas.
En esta página se describe cómo ver, crear y gestionar políticas de organización personalizadas. Los administradores crean políticas de organización personalizadas para tener un control más granular y personalizable sobre los campos específicos que restringen las políticas de tu organización.
Antes de empezar
- Para obtener más información sobre qué son las políticas de organización y las restricciones, y cómo funcionan, consulta la introducción al servicio de políticas de organización.
Roles obligatorios
Para obtener los permisos que necesitas para gestionar las políticas de la organización, pide a tu administrador que te conceda los siguientes roles de IAM en la organización:
-
Administrador de políticas de organización (
roles/orgpolicy.policyAdmin) -
Para habilitar las APIs de Google Cloud :
Consumidor de Uso de Servicio (
roles/serviceusage.serviceUsageConsumer)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Puedes delegar la administración de las políticas de organización añadiendo condiciones de gestión de identidades y accesos a la vinculación del rol de administrador de políticas de organización. Para controlar los recursos en los que una entidad puede gestionar las políticas de la organización, puedes hacer que la vinculación de roles dependa de una etiqueta concreta. Para obtener más información, consulta Usar restricciones.
Restricciones personalizadas
Las restricciones personalizadas se crean en un archivo YAML que especifica los recursos, los métodos, las condiciones y las acciones que están sujetos a la restricción. Son específicas del servicio en el que estés aplicando la política de la organización. Las condiciones de tu restricción personalizada se definen mediante el lenguaje de expresión común (CEL).
Configurar una restricción personalizada
Puedes crear una restricción personalizada y configurarla para usarla en políticas de organización mediante la Google Cloud consola o la CLI de Google Cloud.
Consola
En la Google Cloud consola, ve a la página Políticas de la organización.
Selecciona el selector de proyectos en la parte superior de la página.
En el selector de proyectos, selecciona el recurso para el que quieras definir la política de la organización.
Haz clic en Restricción personalizada.
En el cuadro Nombre visible, introduce un nombre descriptivo para la restricción. Este campo tiene una longitud máxima de 200 caracteres. No uses información personal identificable ni datos sensibles en los nombres visibles, ya que podrían mostrarse en mensajes de error.
En el cuadro ID de la restricción, introduce el nombre que quieras para la nueva restricción personalizada. Una restricción personalizada debe empezar por
custom.y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo,custom.disableGkeAutoUpgrade. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo, por ejemplo,organizations/123456789/customConstraints/custom.. No incluyas IPI ni datos sensibles en el ID de la restricción, ya que podría exponerse en mensajes de error.En el cuadro Descripción, introduce una descripción de la restricción que sea fácil de entender para que se muestre como mensaje de error cuando se incumpla la política. Este campo tiene una longitud máxima de 2000 caracteres. No incluyas IPI ni datos sensibles en la descripción, ya que podrían exponerse en mensajes de error.
En el cuadro Tipo de recurso, seleccione el nombre del recurso REST Google Cloud que contiene el objeto y el campo que quiere restringir. Por ejemplo,
container.googleapis.com/NodePool. La mayoría de los tipos de recursos pueden tener un máximo de 20 restricciones personalizadas por recurso. Si intentas crear una restricción personalizada para un recurso que ya tiene el número máximo de restricciones personalizadas, la operación fallará.En Método de implementación obligatoria, seleccione si quiere implementar la restricción en un método
CREATEde REST o en los métodosCREATEyUPDATE. No todos los Google Cloud servicios admiten ambos métodos. Para ver los métodos admitidos de cada servicio, busca el servicio en Servicios admitidos.Para definir una condición, haz clic en Editar condición.
En el panel Añadir condición, crea una condición CEL que haga referencia a un recurso de servicio compatible, por ejemplo,
resource.management.autoUpgrade == false. Este campo tiene una longitud máxima de 1000 caracteres. Para obtener más información sobre el uso de CEL, consulta Lenguaje de expresión común. Para obtener más información sobre los recursos de servicio que puedes usar en tus restricciones personalizadas, consulta Servicios admitidos en restricciones personalizadas.Haz clic en Guardar.
En Acción, seleccione si quiere permitir o denegar el método evaluado si se cumple la condición anterior.
La acción de denegación significa que la operación para crear o actualizar el recurso se bloquea si la condición se evalúa como verdadera.
La acción de permitir significa que la operación para crear o actualizar el recurso solo se permite si la condición se evalúa como verdadera. Se bloquean todos los demás casos, excepto los que se incluyan explícitamente en la condición.
Haz clic en Crear restricción.
Cuando haya introducido un valor en cada campo, aparecerá a la derecha la configuración YAML equivalente de esta restricción personalizada.
gcloud
Para crear una restricción personalizada con la CLI de Google Cloud, cree un archivo YAML para la restricción personalizada:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización, como123456789.CONSTRAINT_NAME: el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada debe empezar porcustom.y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo,custom.disableGkeAutoUpgrade. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo, por ejemplo,organizations/123456789/customConstraints/custom..RESOURCE_NAME: nombre completo del recurso RESTGoogle Cloud que contiene el objeto y el campo que quieres restringir. Por ejemplo,container.googleapis.com/NodePool. La mayoría de los tipos de recursos pueden tener un máximo de 20 restricciones personalizadas por recurso. Si intentas crear una restricción personalizada para un recurso que ya tiene el número máximo de restricciones personalizadas, la operación fallará. Para obtener más información sobre los recursos de servicio que puede usar en sus restricciones personalizadas, consulte Servicios admitidos en restricciones personalizadas.METHOD1,METHOD2: una lista de métodos RESTful para los que se debe aplicar la restricción. Puede serCREATEoCREATEyUPDATE. No todos los Google Cloud servicios admiten ambos métodos. Para ver los métodos admitidos de cada servicio, busca el servicio en Servicios admitidos.CONDITION: una condición de CEL que hace referencia a un recurso de servicio compatible, por ejemplo,"resource.management.autoUpgrade == false". Este campo tiene una longitud máxima de 1000 caracteres. Para obtener más información sobre el uso de CEL, consulta Lenguaje de expresión común.ACTION: la acción que se debe llevar a cabo si se cumple la condicióncondition. Puede serALLOWoDENY.La acción de denegación significa que, si la condición se evalúa como verdadera, se bloquea la operación para crear o actualizar el recurso.
La acción de permitir significa que, si la condición se evalúa como verdadera, se permite la operación para crear o actualizar el recurso. Esto también significa que se bloquearán todos los demás casos, excepto el que se haya incluido explícitamente en la condición.
DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.
Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH por la ruta completa a tu archivo de restricciones personalizadas. Por ejemplo, /home/user/customconstraint.yaml.
Una vez completado el proceso, las restricciones personalizadas estarán disponibles como políticas de organización en la lista de Google Cloud políticas de organización.
Para verificar que la restricción personalizada existe, usa el comando gcloud org-policies list-custom-constraints:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID por el ID del recurso de tu organización.
Para obtener más información, consulta Ver políticas de la organización.Actualizar una restricción personalizada
Para actualizar una restricción personalizada, edítala en laGoogle Cloud consola o crea un archivo YAML y vuelve a usar el comando set-custom-constraint gcloud CLI. No hay control de versiones de las restricciones personalizadas, por lo que se sobrescribe la restricción personalizada. Si la restricción personalizada ya se ha aplicado, la restricción personalizada actualizada se aplicará de inmediato.
Consola
En la Google Cloud consola, ve a la página Políticas de la organización.
Selecciona el selector de proyectos en la parte superior de la página.
En el selector de proyectos, selecciona el recurso para el que quieras actualizar la política de la organización.
Selecciona la restricción que quieras editar en la lista de la página Políticas de organización. Debería aparecer la página Detalles de la política de esa restricción.
Haz clic en Editar restricción.
Cambia el nombre visible, la descripción, el método de aplicación, la condición y la acción. No puedes cambiar el ID de la restricción ni el tipo de recurso una vez que se haya creado la restricción.
Haz clic en Guardar cambios.
gcloud
Para editar una restricción personalizada con la CLI de Google Cloud, crea un archivo YAML que contenga los cambios que quieras hacer:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización, como123456789.CONSTRAINT_NAME: el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada debe empezar porcustom.y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo,custom.disableGkeAutoUpgrade. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo, por ejemplo,organizations/123456789/customConstraints/custom..RESOURCE_NAME: nombre completo del recurso RESTGoogle Cloud que contiene el objeto y el campo que quieres restringir. Por ejemplo,container.googleapis.com/NodePool. Para obtener más información sobre los recursos de servicio que puedes usar en tus restricciones personalizadas, consulta Servicios admitidos en restricciones personalizadas.METHOD1,METHOD2: una lista de métodos RESTful para los que se debe aplicar la restricción. Puede serCREATEoCREATEyUPDATE. No todos los Google Cloud servicios admiten ambos métodos. Para ver los métodos admitidos de cada servicio, busca el servicio en Servicios admitidos.CONDITION: una condición de CEL que hace referencia a un recurso de servicio compatible, por ejemplo,"resource.management.autoUpgrade == false". Este campo tiene una longitud máxima de 1000 caracteres. Para obtener más información sobre el uso de CEL, consulta Lenguaje de expresión común.ACTION: la acción que se debe llevar a cabo si se cumple la condicióncondition. Puede serALLOWoDENY.DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.
Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH por la ruta completa a tu archivo de restricciones personalizadas. Por ejemplo, /home/user/customconstraint.yaml.
Una vez completado el proceso, las restricciones personalizadas estarán disponibles como políticas de organización en la lista de Google Cloud políticas de organización.
Para verificar que la restricción personalizada existe, usa el comando gcloud org-policies list-custom-constraints:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID por el ID del recurso de tu organización.
Para obtener más información, consulta Ver políticas de la organización.Eliminar una restricción personalizada
Puedes eliminar una restricción personalizada mediante la Google Cloud consola o la CLI de Google Cloud.
Consola
En la Google Cloud consola, ve a la página Políticas de la organización.
Selecciona el selector de proyectos en la parte superior de la página.
En el selector de proyectos, selecciona el recurso del que quieras eliminar la política de la organización.
Selecciona la restricción que quieras eliminar de la lista de la página Políticas de organización. Debería aparecer la página Detalles de la política de esa restricción.
Haz clic en Eliminar.
Para confirmar que quieres eliminar la restricción, haz clic en Eliminar.
gcloud
Para eliminar una restricción personalizada, usa el comando de org-policies delete-custom-constraintgcloud CLI:
gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
--organization=ORGANIZATION_ID
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de tu organización, como123456789.CONSTRAINT_NAME: el nombre de tu restricción personalizada. Por ejemplo,custom.disableGkeAutoUpgrade
El resultado debería ser similar al siguiente:
Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]
Si elimina una restricción personalizada, las políticas que se hayan creado con esa restricción seguirán existiendo, pero se ignorarán. No puedes crear otra restricción personalizada con el mismo nombre que una restricción personalizada eliminada.
Probar y analizar los cambios en las políticas de la organización
Te recomendamos que pruebes y simules todos los cambios en las políticas de tu organización para entender mejor el estado de tu entorno y cómo le afectan los cambios.
El simulador de políticas de la organización te ayuda a entender el efecto de una restricción y una política de la organización en tu entorno actual. Con esta herramienta, puedes revisar todas las configuraciones de recursos para ver dónde se producen infracciones antes de que se apliquen en tu entorno de producción. Para obtener instrucciones detalladas, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.
Cuando conozcas el efecto actual, podrás crear una política de la organización en modo de prueba para entender el impacto y las posibles infracciones de una política durante los próximos 30 días. Una política de la organización en modo de prueba es un tipo de política de la organización en el que las infracciones de la política se registran en un registro de auditoría, pero no se deniegan las acciones infractoras. Puedes crear una política de organización en modo de prueba desde una restricción personalizada mediante la Google Cloud consola o la CLI de Google Cloud. Para obtener instrucciones detalladas, consulta Crear una política de organización en modo de prueba.
Aplicar una política de organización personalizada
Una vez que se ha configurado una restricción personalizada, funciona de forma idéntica a las restricciones booleanas predefinidas. Google Cloud comprueba primero las restricciones personalizadas al evaluar si se permite una solicitud de usuario. Si alguna de las políticas de la organización personalizada deniega la solicitud, esta se rechaza. A continuación, Google Cloud comprueba si se han aplicado políticas de organización predefinidas en ese recurso.
Para aplicar una restricción, crea una política de organización que haga referencia a ella y, a continuación, aplica esa política de organización a un Google Cloud recurso.Consola
- En la Google Cloud consola, ve a la página Políticas de la organización.
- En el selector de proyectos, elige el proyecto para el que quieras definir la política de organización.
- En la lista de la página Políticas de organización, selecciona la restricción para ver la página Detalles de la política correspondiente.
- Para configurar la política de la organización de este recurso, haz clic en Gestionar política.
- En la página Editar política, selecciona Anular política del recurso superior.
- Haz clic en Añadir regla.
- En la sección Aplicación, selecciona si quieres activar o desactivar la aplicación de esta política de la organización.
- Opcional: Para que la política de la organización dependa de una etiqueta, haz clic en Añadir condición. Ten en cuenta que, si añades una regla condicional a una política de organización, debes añadir al menos una regla incondicional o la política no se podrá guardar. Para obtener más información, consulta Configurar una política de organización con etiquetas.
- Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones gestionadas antiguas. Para obtener más información, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.
- Para finalizar y aplicar la política de organización, haz clic en Definir política. La política tarda hasta 15 minutos en aplicarse.
gcloud
Para crear una política de organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Haz los cambios siguientes:
-
PROJECT_ID: el proyecto en el que quieras aplicar la restricción. -
CONSTRAINT_NAME: el nombre que has definido para tu restricción personalizada. Por ejemplo,custom.disableGkeAutoUpgrade
Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_PATH
Sustituye POLICY_PATH por la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.
Ejemplo de restricción
Puedes definir restricciones personalizadas similares a las predefinidas que proporciona Google. Un archivo YAML de restricción personalizada típico tiene un aspecto similar al siguiente:
name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if AutoUpgrade is not enabled where this custom constraint is enforced.
lenguaje de expresión común
El servicio de política de organización usa el lenguaje de expresión común (CEL) para evaluar las condiciones de las restricciones personalizadas. CEL es un lenguaje de código abierto no Turing completo que implementa semánticas comunes para la evaluación de expresiones.
Cada servicio que admite restricciones personalizadas pone a disposición un conjunto concreto de sus recursos y los campos de estos recursos. Los campos disponibles tienen un tipo definido y las restricciones personalizadas pueden hacer referencia a ellos directamente.
Puedes crear condiciones de CEL que hagan referencia a campos de recursos de servicio en función del tipo de campo. El servicio de políticas de la organización admite un subconjunto de tipos de datos, expresiones y macros de CEL. En las siguientes secciones se enumeran los tipos de datos disponibles y las expresiones y macros habituales que funcionan con ellos.
Para obtener información sobre las expresiones y macros disponibles para cada servicio, consulta el artículo Servicios compatibles con restricciones personalizadas.
En el siguiente ejemplo de JSON se muestra cada uno de los tipos de campos que puede hacer referencia mediante restricciones personalizadas:
{
integerValue: 1
stringValue: "A text string"
booleanValue: true
nestedValue: {
nestedStringValue: "Another text string"
}
listValue: [foo, bar]
mapValue["costCenter"] == "123"
}
En cada expresión CEL, la restricción personalizada se aplica cuando la condición se evalúa como true. Puedes combinar expresiones con los operadores "y" (&&) y "o" (||) para crear una consulta compleja. Cuando crees el archivo YAML o JSON de tu restricción personalizada, incluye la consulta completa entre comillas dobles (").
Entero
Los campos de números enteros, como integerValue en el ejemplo anterior, permiten usar operadores de comparación en las condiciones. Por ejemplo:
resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10
Cadena
Los campos de cadena, como stringValue en el ejemplo anterior, se pueden evaluar mediante un literal de cadena, una expresión regular o una expresión CEL. Por ejemplo:
resource.stringValue == "abc"
// stringValue is exactly "abc".
resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".
resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".
resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".
resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".
Los campos anidados, como nestedStringValue en el ejemplo anterior, deben
hacerse referencia con la ruta completa. Por ejemplo:
resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".
Booleano
Los campos booleanos, como booleanValue en el ejemplo anterior, contienen un valor booleano, que puede ser true o false.
Lista
Los campos de lista, como listValue en el ejemplo anterior, se pueden evaluar por el tamaño de la lista, el contenido de la lista y si un elemento concreto existe en cualquier parte de la lista.
Por ejemplo:
resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".
resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".
resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".
Mapa
Los campos de mapa, como mapValue en el ejemplo anterior, son pares clave-valor que se pueden evaluar en función de la existencia y el valor de elementos concretos.
Por ejemplo:
has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".
Solucionar errores de CEL
Si se crea una condición con expresiones no válidas o con tipos que no coinciden, se devolverá un error cuando intentes configurar la restricción personalizada. Por ejemplo, dada la siguiente restricción personalizada no válida, que compara una cadena con un número entero:
name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.
Se produce un error si intentas configurar esa restricción con la CLI de Google Cloud:
ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
| resource.config.masterConfig.numInstances == "mismatch"
| ..........................................^.
En la Google Cloud consola, los errores de sintaxis de CEL no válidos se marcarán con un icono de error. Si resaltas este icono, se mostrará una descripción emergente con más información sobre el error de sintaxis.
Organization Policy Service compila y valida las condiciones que creas, y devuelve un error si la condición no tiene una sintaxis correcta. Sin embargo, hay ciertas condiciones que se compilan, pero que provocan un error cuando Google Cloud intenta aplicar las restricciones. Por ejemplo, si configura una restricción con una condición que intenta acceder a un índice de lista o a una clave de mapa que no existe, la restricción falla y devuelve un error en el momento de la aplicación, y bloquea cualquier intento de crear el recurso.
Cuando crees condiciones que dependan de elementos de listas o mapas, te recomendamos que empieces la condición con una comprobación que asegure que la condición es válida en todos los casos. Por ejemplo, comprueba list.size() antes de hacer referencia a un elemento de una lista concreta o usa has() antes de hacer referencia a un elemento de un mapa.
Servicios admitidos
Cada servicio define el conjunto de campos de restricciones personalizadas que se pueden usar para aplicar políticas de organización a sus recursos. Para ver una lista de los servicios que admiten restricciones personalizadas, consulta Servicios compatibles con restricciones personalizadas.
Para obtener más información sobre cómo configurar un escáner de políticas de la organización, consulta Resultados de vulnerabilidades de las políticas de la organización.
Siguientes pasos
- Consulta información detallada sobre las restricciones.
- Consulta las opciones adicionales que puedes usar para personalizar tus políticas.
- Consulta cómo definir políticas de organización en función de las etiquetas.
- Consulta la biblioteca de políticas de organizaciones personalizadas en GitHub.
- Consulta información sobre cómo validar y monitorizar políticas de la organización con Config Validator.