El Servicio de políticas de la organización te brinda un control centralizado y programático sobre los recursos en la nube de tu organización. Como administrador de políticas de la organización, puedes configurar restricciones en toda la jerarquía de recursos.
Beneficios
- Centraliza el control para configurar restricciones sobre cómo se pueden usar los recursos de tu organización.
- Define y establece barreras de seguridad para que tus equipos de desarrollo se mantengan dentro de los límites de cumplimiento.
- Ayuda a los propietarios de proyectos y sus equipos a moverse con rapidez sin preocuparse por romper el cumplimiento.
Casos de uso habituales
Las políticas de la organización te permiten hacer lo siguiente:
- Limita el uso compartido de recursos según el dominio.
- Limita el uso de las cuentas de servicio de Identity and Access Management (IAM).
- Restringe la ubicación física de los recursos recién creados.
Existen muchas más restricciones que te brindan un control detallado de los recursos de tu organización. Para obtener más información, consulta la lista de todas las restricciones del Servicio de políticas de la organización.
Diferencias con Identity and Access Management
La administración de identidades y accesos se enfoca en el quién y permite que el administrador autorice quién puede tomar medidas sobre recursos específicos en función de los permisos.
La política de la organización se enfoca en el qué y permite al administrador establecer restricciones en recursos específicos para determinar cómo se pueden configurar.
Cómo funciona la política de la organización
Una política de la organización configura una sola restricción que limita uno o más servicios de Google Cloud . La política de la organización se establece en un recurso de organización, carpeta o proyecto para aplicar la restricción en ese recurso y en cualquier recurso secundario.
Una política de la organización contiene una o más reglas que especifican cómo y si se debe aplicar la restricción. Por ejemplo, una política de la organización podría contener una regla que aplique la restricción solo a los recursos etiquetados como environment=development y otra regla que impida que se aplique la restricción a otros recursos.
Los descendientes del recurso al que se adjunta la política de la organización heredan la política de la organización. Cuando se aplica una política de la organización al recurso de la organización, el administrador de políticas de la organización puede controlar la aplicación de esa política y la configuración de restricciones en toda la organización.
Limitaciones
Una restricción es un tipo particular de restricción contra un Google Cloud servicio o una lista de Google Cloud servicios. Piensa en la restricción como un plano técnico que define qué comportamientos se controlan. Por ejemplo, puedes restringir el acceso de los recursos del proyecto a los recursos de almacenamiento de Compute Engine con la restricción compute.storageResourceUseRestrictions.
Luego, este plano se establece en un recurso de tu jerarquía de recursos como una política de la organización, que aplica las reglas definidas en la restricción. El servicio Google Cloud asignado a esa restricción y asociado con ese recurso aplica las restricciones configuradas dentro de la política de la organización.
Una política de la organización se define en un archivo YAML o JSON por la restricción que aplica y, de forma opcional, por las condiciones en las que se aplica la restricción. Cada política de la organización aplica exactamente una restricción en modo activo, modo de ejecución de prueba o ambos.
Las restricciones administradas tienen parámetros de lista o booleanos que determina el servicio de aplicación de Google Cloud .
Las restricciones personalizadas son funcionalmente similares a las restricciones administradas con parámetros booleanos y se aplican o no.
Las restricciones administradas heredadas tienen una o más reglas de lista o reglas booleanas según el tipo de restricción. Las reglas de lista son una colección de valores permitidos o denegados. Las reglas booleanas pueden permitir todos los valores, rechazar todos los valores o determinar si se aplica una restricción.
Restricciones administradas
Las restricciones administradas están diseñadas para reemplazar las restricciones administradas heredadas equivalentes, pero con mayor flexibilidad y más estadísticas de las herramientas de Policy Intelligence. Estas restricciones tienen una estructura similar a las restricciones de políticas de la organización personalizadas, pero Google las administra.
Si la restricción administrada heredada equivalente tiene un tipo de restricción booleano, la restricción administrada se puede aplicar o no de la misma manera. Por ejemplo, la siguiente política de la organización aplica iam.managed.disableServiceAccountCreation, que es la restricción equivalente a iam.disableServiceAccountCreation:
name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
rules:
- enforce: true
Si la restricción administrada heredada equivalente tiene un tipo de restricción de lista, la restricción administrada admite la definición de parámetros que definen los recursos y los comportamientos que restringe la restricción. Por ejemplo, la siguiente política de la organización aplica una restricción administrada que solo permite que los dominios example.com y altostrat.com se agreguen a los contactos esenciales de organizations/1234567890123:
name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
rules:
- enforce: true
parameters:
allowedDomains:
- @example.com
- @altostrat.com
Para obtener más información sobre el uso de restricciones administradas, consulta Usa restricciones.
Restricciones personalizadas
Al igual que las restricciones administradas, las restricciones personalizadas permiten o restringen la creación y actualización de recursos. Sin embargo, tu organización administra las restricciones personalizadas en lugar de Google. Puedes usar las herramientas de Policy Intelligence para probar y analizar tus políticas de la organización personalizadas.
Para obtener una lista de los recursos de servicio que admiten restricciones personalizadas, consulta Servicios compatibles con restricciones personalizadas.
Para obtener más información sobre el uso de políticas de la organización personalizadas, consulta Crea y administra políticas de la organización personalizadas.
Para obtener una lista de ejemplos de restricciones personalizadas, consulta la biblioteca de políticas de la organización personalizadas en GitHub.
Restricciones administradas (heredadas)
Las restricciones administradas heredadas tienen un tipo de restricción de lista o booleano, que determina los valores que se pueden usar para verificar la aplicación. El servicio de aplicación deGoogle Cloud evaluará el tipo y el valor de la restricción para determinar la restricción que se aplica.
Estas restricciones heredadas se conocían anteriormente como restricciones predefinidas.
Reglas de la lista
Las restricciones administradas heredadas con reglas de lista permiten o rechazan una lista de valores que se definen en una política de la organización. Anteriormente, estas restricciones heredadas se conocían como restricciones de lista. La lista de valores permitidos o denegados se expresa como una cadena de subárbol de jerarquía. La string de subárbol especifica el tipo de recurso al que se aplica. Por ejemplo, la restricción administrada heredada constraints/compute.trustedImageProjects toma una lista de IDs de proyectos con el formato projects/PROJECT_ID.
A los valores se les puede asignar un prefijo con el formato prefix:value para las restricciones que los admiten, lo que le da al valor un significado adicional:
is:: Aplica una comparación con el valor exacto. Este es el mismo comportamiento que se adopta cuando no se tiene un prefijo, y se requiere cuando el valor incluye dos puntos.under:: Aplica una comparación con el valor y todos sus valores secundarios. Si se permite o se niega un recurso con este prefijo, se hará lo mismo con sus recursos secundarios. El valor proporcionado debe ser el ID de un recurso de organización, carpeta o proyecto.in:: Aplica una comparación a todos los recursos que incluyen este valor. Por ejemplo, puedes agregarin:us-locationsa la lista de elementos rechazados de la restricciónconstraints/gcp.resourceLocationspara bloquear todas las ubicaciones incluidas en la regiónus.
Si no se proporciona una lista de valores o si la política de la organización se establece en el valor predeterminado administrado por Google, se aplica el comportamiento predeterminado de la restricción, que permite todos los valores o los rechaza todos.
La siguiente política de la organización aplica una restricción heredada administrada que permite que las instancias de VM de Compute Engine vm-1 y vm-2 en organizations/1234567890123 accedan a direcciones IP externas:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
Reglas booleanas
Una restricción administrada heredada con una regla booleana se aplica de forma forzosa o no. Por ejemplo, constraints/compute.disableSerialPortAccess tiene dos estados posibles:
- Enforced: La restricción se aplica de forma forzosa y no se permite el acceso al puerto en serie.
- No se aplica de forma forzosa: La restricción
disableSerialPortAccessno se verifica ni se aplica de forma forzosa, por lo que se permite el acceso al puerto en serie.
Si la política de la organización se establece en el valor predeterminado administrado por Google, se aplicará el comportamiento predeterminado de la restricción.
Estas restricciones heredadas se conocían anteriormente como restricciones booleanas.
La siguiente política de la organización aplica una restricción administrada heredada que inhabilita la creación de cuentas de servicio externas en organizations/1234567890123:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Políticas de la organización en modo de ejecución de prueba
Una política de la organización en modo de prueba de validación se crea y aplica de manera similar a otras políticas de la organización, y los incumplimientos de la política se registran en el registro de auditoría, pero no se rechazan las acciones que incumplen la política.
Puedes usar las políticas de la organización en el modo de ejecución de prueba para supervisar cómo los cambios en las políticas afectarían tus flujos de trabajo antes de que se apliquen. Para obtener más información, consulta Crea una política de la organización en modo de ejecución de prueba.
Políticas de la organización condicionales
Las etiquetas proporcionan una forma de aplicar restricciones de manera condicional en función de si un recurso tiene una etiqueta específica. Puedes usar etiquetas y la aplicación condicional de restricciones para proporcionar un control centralizado de los recursos en tu jerarquía.
Para obtener más información sobre las etiquetas, consulta Descripción general de las etiquetas. Para aprender a establecer una política de la organización condicional con etiquetas, consulta Configura una política de la organización con etiquetas.
Herencia
Cuando se establece una política de la organización en un recurso, todos los elementos subordinados de ese recurso heredan la política de la organización de forma predeterminada. Si estableces una política de la organización en el recurso de organización, la configuración de restricciones definidas por esa política se transmitirá a través de todas las carpetas, proyectos y recursos de servicio descendientes.
Puedes establecer una política de la organización en un recurso descendiente que reemplace la herencia o herede la política de la organización del recurso principal. En el último caso, las dos políticas de la organización se combinan según las reglas de evaluación de jerarquía. Esto proporciona un control preciso de cómo se aplican las políticas de la organización en toda tu organización y dónde deseas que se hagan las excepciones.
Para obtener más información, consulta Comprende la evaluación de jerarquías.
Incumplimientos
Un incumplimiento se produce cuando un servicio de Google Cloud actúa o se encuentra en un estado contrario a la configuración de restricción de la política de la organización dentro del alcance de su jerarquía de recursos.Los servicios de Google Cloud impondrán restricciones para evitar incumplimientos, pero la aplicación de nuevas políticas de la organización no suele ser retroactiva. Si una restricción de política de la organización se aplica de manera retroactiva, se etiquetará como tal en la página Restricciones de las políticas de la organización.
Si una política de la organización nueva establece una restricción en una acción o estado en el cual ya hay un servicio, se considera que la política se está incumpliendo, pero el servicio no detendrá su comportamiento original. Deberás abordar este incumplimiento de forma manual. Esto previene el riesgo de que una nueva política de la organización cierre por completo la continuidad de tu negocio.
Policy Intelligence
Policy Intelligence es un paquete de herramientas diseñado para ayudarte a administrar las políticas de seguridad. Estas herramientas pueden ayudarte a comprender el uso de recursos, mejorar las políticas de seguridad existentes y evitar errores de configuración de políticas.
Algunas herramientas de Policy Intelligence están diseñadas específicamente para ayudar a probar y analizar las políticas del Servicio de políticas de la organización. Te recomendamos que pruebes y realices una ejecución de prueba de todos los cambios en las políticas de tu organización. Con Policy Intelligence, puedes realizar tareas como las siguientes:
- Probar los cambios en las políticas y restricciones de la organización, y, luego, identificar los recursos que no cumplen con la política propuesta (Vista previa)
- Crea una política de organización de prueba de validación para supervisar cómo un cambio en la política afectaría tus flujos de trabajo
- Analiza las políticas de la organización existentes para comprender qué recursos de Google Cloud están cubiertos por qué política de la organización.
Para obtener más información sobre estas herramientas y otras herramientas de Policy Intelligence, consulta Descripción general de Policy Intelligence.
Próximos pasos
- Lee la página sobre cómo crear y administrar recursos de la organización para obtener información sobre la adquisición de recursos de la organización.
- Obtén más información para definir políticas de la organización.
- Explora las soluciones que puedes alcanzar con restricciones de políticas de la organización.