Il servizio Policy dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse cloud della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi configurare i vincoli nell'intera gerarchia delle risorse.
Vantaggi
- Centralizza il controllo per configurare le limitazioni sull'utilizzo delle risorse della tua organizzazione.
- Definisci e stabilisci sistemi di protezione per i tuoi team di sviluppo per rimanere entro i limiti di conformità.
- Aiuta i proprietari dei progetti e i loro team a muoversi rapidamente senza preoccuparsi di violare la conformità.
Casi d'uso comuni
Le policy dell'organizzazione ti consentono di:
- Limitare la condivisione delle risorse in base al dominio.
- Limita l'utilizzo degli account di servizio Identity and Access Management (IAM).
- Limitare la posizione fisica delle risorse appena create.
Esistono molti altri vincoli che ti consentono di controllare in modo granulare le risorse della tua organizzazione. Per saperne di più, consulta l'elenco di tutti i vincoli del servizio Policy dell'organizzazione.
Differenze rispetto a Identity and Access Management
Identity and Access Management si concentra su chi e consente all'amministratore di autorizzare chi può intervenire su risorse specifiche in base alle autorizzazioni.
I criteri dell'organizzazione si concentrano sul cosa e consentono all'amministratore di impostare limitazioni su risorse specifiche per determinare come possono essere configurate.
Come funziona la policy dell'organizzazione
Un criterio dell'organizzazione configura un singolo vincolo che limita uno o più servizi Google Cloud . Il criterio dell'organizzazione viene impostato su una risorsa organizzazione, cartella o progetto per applicare il vincolo a quella risorsa e a qualsiasi risorsa figlio.
Una norma dell'organizzazione contiene una o più regole che specificano come e se applicare il vincolo. Ad esempio, un criterio dell'organizzazione potrebbe
contenere una regola che applica il vincolo solo alle risorse taggate
environment=development e un'altra regola che impedisce l'applicazione del vincolo
ad altre risorse.
I discendenti della risorsa a cui è allegata la policy dell'organizzazione ereditano la policy dell'organizzazione. Se applichi un criterio dell'organizzazione alla risorsa organizzazione, l'amministratore dei criteri dell'organizzazione può controllare l'applicazione di questo criterio e la configurazione delle limitazioni nell'intera organizzazione.
Vincoli
Un vincolo è un tipo particolare di limitazione per un
Google Cloud servizio o un elenco
di Google Cloud servizi. Pensa al vincolo come a un progetto che
definisce i comportamenti controllati. Ad esempio, puoi impedire alle risorse del progetto di accedere alle risorse di archiviazione di Compute Engine utilizzando il vincolo compute.storageResourceUseRestrictions.
Questo progetto base viene quindi impostato su una risorsa nella tua gerarchia delle risorse come criterio dell'organizzazione, che applica le regole definite nel vincolo. Il servizio Google Cloud mappato a questo vincolo e associato a questa risorsa applica le limitazioni configurate all'interno del criterio dell'organizzazione.
Un criterio dell'organizzazione è definito in un file YAML o JSON dal vincolo che applica e, facoltativamente, dalle condizioni in cui il vincolo viene applicato. Ogni policy dell'organizzazione applica esattamente un vincolo in modalità attiva, in modalità dry run o in entrambe.
I vincoli gestiti hanno parametri booleani o di elenco determinati dal servizio di applicazione Google Cloud .
I vincoli personalizzati sono funzionalmente simili ai vincoli gestiti con parametri booleani e vengono applicati o meno.
I vincoli gestiti legacy hanno una o più regole di elenco o regole booleane basate sul tipo di vincolo. Le regole di elenco sono una raccolta di valori consentiti o rifiutati. Le regole booleane possono consentire tutti i valori, rifiutare tutti i valori o determinare se un vincolo viene applicato o meno.
Vincoli gestiti
I vincoli gestiti sono progettati per sostituire i vincoli gestiti legacy equivalenti, ma con maggiore flessibilità e informazioni più approfondite dagli strumenti Policy Intelligence. Questi vincoli hanno una struttura simile a quella dei vincoli personalizzati dei criteri dell'organizzazione, ma sono gestiti da Google.
Se il vincolo gestito legacy equivalente ha un tipo di vincolo booleano,
il vincolo gestito può essere applicato o meno nello stesso modo. Ad
esempio, il seguente criterio dell'organizzazione applica
iam.managed.disableServiceAccountCreation, che è il vincolo equivalente
a iam.disableServiceAccountCreation:
name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
rules:
- enforce: true
Se il vincolo gestito legacy equivalente ha un tipo di vincolo di elenco, il vincolo gestito supporta la definizione di parametri che definiscono le risorse e i comportamenti limitati dal vincolo. Ad esempio, il seguente criterio dell'organizzazione applica un vincolo gestito che consente di aggiungere solo i domini example.com e altostrat.com ai contatti essenziali per organizations/1234567890123:
name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
rules:
- enforce: true
parameters:
allowedDomains:
- @example.com
- @altostrat.com
Per scoprire di più sull'utilizzo dei vincoli gestiti, consulta la sezione Utilizzo dei vincoli.
Vincoli personalizzati
Come i vincoli gestiti, i vincoli personalizzati consentono o limitano la creazione e gli aggiornamenti delle risorse. Tuttavia, i vincoli personalizzati sono gestiti dalla tua organizzazione anziché da Google. Puoi utilizzare gli strumenti Policy Intelligence per testare e analizzare le tue norme personalizzate dell'organizzazione.
Per un elenco delle risorse di servizio che supportano i vincoli personalizzati, vedi Servizi supportati dai vincoli personalizzati.
Per scoprire di più sull'utilizzo di norme dell'organizzazione personalizzate, vedi Creare e gestire norme dell'organizzazione personalizzate.
Per un elenco di esempi di vincoli personalizzati, consulta la libreria di policy dell'organizzazione personalizzate su GitHub.
Vincoli gestiti (legacy)
I vincoli gestiti legacy hanno un tipo di vincolo di elenco o booleano, che determina i valori che possono essere utilizzati per verificare l'applicazione forzata. Il servizio Google Cloud di applicazione valuterà il tipo e il valore del vincolo per determinare la limitazione applicata.
Questi vincoli legacy erano precedentemente noti come vincoli predefiniti.
Regole elenco
I vincoli gestiti legacy con regole di elenco consentono o non consentono un elenco di valori
definiti in un criterio dell'organizzazione. Questi vincoli legacy erano
precedentemente noti come vincoli di elenco. L'elenco dei valori consentiti o negati è
espresso come stringa di sottoalbero della gerarchia. La stringa del sottoalbero specifica il tipo
di risorsa a cui si applica. Ad esempio, il vincolo gestito legacy
constraints/compute.trustedImageProjects accetta un elenco di ID progetto nel
formato projects/PROJECT_ID.
Ai valori può essere assegnato un prefisso nel formato prefix:value per i vincoli che
li supportano, il che conferisce al valore un significato aggiuntivo:
is:: applica un confronto con il valore esatto. Questo comportamento è identico a quello che si verifica quando non è presente un prefisso ed è necessario quando il valore include i due punti.under:: applica un confronto al valore e a tutti i relativi valori secondari. Se una risorsa è consentita o negata con questo prefisso, anche le relative risorse figlio sono consentite o negate. Il valore fornito deve essere l'ID di una risorsa di organizzazione, cartella o progetto.in:: applica un confronto a tutte le risorse che includono questo valore. Ad esempio, puoi aggiungerein:us-locationsall'elenco negato del vincoloconstraints/gcp.resourceLocationsper bloccare tutte le località incluse nella regioneus.
Se non viene fornito alcun elenco di valori o se il criterio dell'organizzazione è impostato sul valore predefinito gestito da Google, viene applicato il comportamento predefinito del vincolo, che consente o nega tutti i valori.
Il seguente criterio dell'organizzazione applica un vincolo gestito legacy che
consente alle istanze VM di Compute Engine vm-1 e vm-2 in
organizations/1234567890123 di accedere agli indirizzi IP esterni:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
Regole booleane
Un vincolo gestito legacy con una regola booleana viene applicato o non
applicato. Ad esempio, constraints/compute.disableSerialPortAccess ha due
possibili stati:
- Forzato: il vincolo viene applicato e l'accesso alla porta seriale non è consentito.
- Non applicato: il vincolo
disableSerialPortAccessnon viene applicato o controllato, pertanto l'accesso alla porta seriale è consentito.
Se il criterio dell'organizzazione è impostato sul valore predefinito gestito da Google, viene applicato il comportamento predefinito per il vincolo.
Questi vincoli legacy erano precedentemente noti come vincoli booleani.
Il seguente criterio dell'organizzazione applica un vincolo gestito legacy che
disattiva la creazione di service account esterni in
organizations/1234567890123:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Policy dell'organizzazione in modalità dry run
Un criterio dell'organizzazione in modalità dry run viene creato e applicato in modo simile ad altri criteri dell'organizzazione e le violazioni del criterio vengono registrate nel log di controllo, ma le azioni che violano il criterio non vengono negate.
Puoi utilizzare i criteri dell'organizzazione in modalità di prova per monitorare l'impatto delle modifiche ai criteri sui tuoi flussi di lavoro prima che vengano applicati. Per ulteriori informazioni, vedi Creare una policy dell'organizzazione in modalità di prova.
Policy dell'organizzazione condizionali
I tag forniscono un modo per applicare in modo condizionale i vincoli a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei vincoli per fornire un controllo centralizzato delle risorse nella gerarchia.
Per saperne di più sui tag, vedi Panoramica dei tag. Per scoprire come impostare un criterio dell'organizzazione condizionale utilizzando i tag, vedi Impostazione di un criterio dell'organizzazione con tag.
Ereditarietà
Quando un criterio dell'organizzazione viene impostato su una risorsa, tutti i discendenti di quella risorsa ereditano il criterio dell'organizzazione per impostazione predefinita. Se imposti un criterio dell'organizzazione sulla risorsa organizzazione, la configurazione delle limitazioni definite da questo criterio verrà trasmessa a tutte le cartelle, i progetti e le risorse di servizio discendenti.
Puoi impostare un criterio dell'organizzazione su una risorsa discendente che sovrascrive l'ereditarietà o eredita il criterio dell'organizzazione della risorsa principale. Nel secondo caso, le due policy dell'organizzazione vengono unite in base alle regole di valutazione della gerarchia. In questo modo, puoi controllare con precisione come vengono applicati i criteri dell'organizzazione in tutta l'organizzazione e dove vuoi che vengano apportate eccezioni.
Per saperne di più, consulta la sezione Informazioni sulla valutazione della gerarchia.
Violazioni
Una violazione si verifica quando un servizio Google Cloud agisce o si trova in uno stato che è contrario alla configurazione delle limitazioni dei criteri dell'organizzazione nell'ambito della sua gerarchia delle risorse. Google Cloud I servizi applicheranno i vincoli per prevenire le violazioni, ma l'applicazione di nuovi criteri dell'organizzazione di solito non è retroattiva. Se un vincolo del criterio dell'organizzazione viene applicato retroattivamente, verrà etichettato come tale nella pagina Vincoli dei criteri dell'organizzazione.
Se un nuovo criterio dell'organizzazione impone una limitazione a un'azione o a uno stato in cui si trova già un servizio, il criterio viene considerato in violazione, ma il servizio non interromperà il suo comportamento originale. Dovrai risolvere questa violazione manualmente. In questo modo si evita il rischio che un nuovo criterio dell'organizzazione interrompa completamente la continuità operativa.
Policy Intelligence
Policy Intelligence è una suite di strumenti progettati per aiutarti a gestire le norme di sicurezza. Questi strumenti possono aiutarti a comprendere l'utilizzo delle risorse, a comprendere e migliorare le norme di sicurezza esistenti e a prevenire errori di configurazione delle norme.
Alcuni strumenti di Policy Intelligence sono progettati specificamente per aiutarti a testare e analizzare le norme del servizio di gestione dei criteri dell'organizzazione. Ti consigliamo di testare ed eseguire una prova generale di tutte le modifiche alle norme dell'organizzazione. Con Policy Intelligence, puoi svolgere attività come le seguenti:
- Testa le modifiche alle norme e ai vincoli dell'organizzazione e identifica le risorse non conformi ai criteri proposti (anteprima).
- Crea una policy dell'organizzazione dry run per monitorare l'impatto di una modifica alla policy sui tuoi flussi di lavoro
- Analizza le policy dell'organizzazione esistenti per capire quali risorse Google Cloud sono coperte da quale policy dell'organizzazione.
Per saperne di più su questi strumenti e su altri strumenti di Policy Intelligence, consulta la panoramica di Policy Intelligence.
Passaggi successivi
- Consulta la pagina Creare e gestire le risorse organizzazione per scoprire come acquisire una risorsa organizzazione.
- Scopri come definire i criteri dell'organizzazione.
- Esplora le soluzioni che puoi realizzare con i vincoli delle policy dell'organizzazione.