O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos de nuvem da sua organização. Como administrador de políticas da organização, é possível configurar restrições em toda a hierarquia de recursos.
Vantagens
- Centralize o controle para configurar restrições sobre o uso dos recursos da organização.
- Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
- Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.
Casos de uso comuns
Com as políticas da organização, você pode fazer o seguinte:
- Limite o compartilhamento de recursos com base no domínio.
- Limitar o uso de contas de serviço do Identity and Access Management (IAM).
- Restringir o local físico de recursos recém-criados.
Há muitas outras restrições que dão a você um controle minucioso dos recursos da organização. Para mais informações, consulte a lista de todas as restrições de serviço de políticas da organização.
Diferenças do gerenciamento de identidade e acesso
O Identity and Access Management se concentra em quem e permite que o administrador autorize quem pode realizar ações em recursos específicos com base nas permissões.
O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.
Como funciona a política da organização
Uma política da organização configura uma única restrição que limita um ou mais serviços do Google Cloud. A política da organização é definida organização, pasta ou recurso do projeto para aplicar a restrição recurso e os recursos filhos.
Uma política da organização contém uma ou mais regras que especificam como.
se a restrição deve ser aplicada. Por exemplo, uma política da organização pode
contêm uma regra que aplica a restrição apenas aos recursos marcados
environment=development e outra regra que impede que a restrição
sendo aplicadas a outros recursos.
Descendentes do recurso a que a política da organização está anexada herdam a política da organização. Aplicando uma organização política ao recurso da organização, o administrador de políticas da organização pode e controla a aplicação dessa política da organização e a configuração restrições em toda a organização.
Restrições
Uma restrição é um tipo especial de limitação contra uma
um serviço do Google Cloud ou uma lista de serviços do Google Cloud. Pense
da restrição como um esquema que define quais comportamentos são controlados.
Por exemplo, é possível impedir que os recursos do projeto acessem o Compute Engine
recursos de armazenamento usando a restrição compute.storageResourceUseRestrictions.
Esse blueprint é então aplicado a um recurso na hierarquia de recursos como uma política da organização, que implementa as regras definidas na restrição. O serviço do Google Cloud mapeado para essa restrição e associado esse nó da hierarquia de recursos aplicará as restrições na política da organização.
Uma política da organização é definida em um arquivo YAML ou JSON pela restrição são aplicadas e, opcionalmente, pelas condições sob as quais a restrição aplicadas. Cada política da organização aplica exatamente uma restrição na conta modo de teste, teste ou ambos.
Uma restrição tem um tipo de aplicação de lista ou booleana, que determina que podem ser usados para verificar a aplicação. O serviço aplicador do Google Cloud avaliará o tipo e o valor da restrição para determinar a restrição.
Restrições de lista
Uma restrição de lista permite ou não uma lista de valores definidos em uma
política da organização. Essa lista de valores é expressa como uma string de subárvore de hierarquia. A string de subárvore especifica o tipo de recurso ao qual se aplica. Para
exemplo, a restrição de lista constraints/compute.trustedImageProjects usa
uma lista de IDs de projeto na forma de projects/PROJECT_ID.
Os valores podem receber um prefixo no formato prefix:value para restrições que
ofereçam suporte a eles, o que dá ao valor um significado extra:
is:: aplica uma comparação com o valor exato. Isto é igual comportamento como não ter um prefixo e é obrigatório quando o valor inclui um dois-pontos.under:: aplica uma comparação ao valor e todos os valores derivados. Se um recurso for permitido ou negado com esse prefixo, seus recursos filhos também serão permitido ou negado. O valor fornecido deve ser o ID de uma organização, pasta ou recurso do projeto.in:: aplica uma comparação a todos os recursos que incluem esse valor. Para exemplo, adicionein:us-locationsà lista de domínios negados Restriçãoconstraints/gcp.resourceLocationspara bloquear todos os locais que estão incluídos na regiãous.
Se nenhuma lista de valores for fornecida ou a política da organização for definida como gerenciado pelo Google, o comportamento padrão da restrição que permite ou nega todos os valores.
A seguinte política da organização aplica uma restrição que permite
Instâncias de VM do Compute Engine vm-1 e vm-2 em organizations/1234567890123
para acessar endereços IP externo:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
Restrições booleanas
Uma restrição booleana é aplicada ou não. Por exemplo, o
A restrição predefinida constraints/compute.disableSerialPortAccess tem dois
estados possíveis:
- Aplicado: a restrição é aplicada e o acesso à porta serial não é permitido.
- Não aplicada: a restrição
disableSerialPortAccessnão é aplicada ou está marcada, portanto o acesso à porta serial será permitido.
Se a política da organização for definida para o padrão gerenciado pelo Google, o o comportamento padrão da restrição entra em vigor.
A seguinte política da organização aplica uma restrição que desativa
criação de contas de serviço externas em organizations/1234567890123:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Políticas personalizadas da organização
As políticas personalizadas da organização podem permitir ou restringir a criação e as atualizações de recursos da mesma forma que as políticas predefinidas da organização, mas permitem que os administradores configurem condições com base em parâmetros de solicitação e outros metadados.
É possível criar políticas da organização personalizadas com restrições
operações em determinados recursos de serviços, como o Dataproc NodePool
do Google Cloud. Para uma lista de recursos de serviço que oferecem suporte a restrições personalizadas, consulte
Serviços compatíveis com restrição personalizada.
Para saber mais sobre como usar políticas personalizadas da organização, consulte Como criar e gerenciar políticas personalizadas da organização.
Política da organização no modo de teste
Uma política da organização no modo de teste é criada e aplicada de maneira semelhante à outras políticas da organização e as violações são registradas em auditoria. e as ações violadoras não sejam negadas.
Use a política da organização no modo de teste para monitorar como as políticas mudam afetariam seus fluxos de trabalho antes de serem aplicadas. Para mais informações, consulte Crie uma política da organização no modo de teste.
Políticas da organização condicionais
As tags oferecem uma maneira de aplicar restrições condicionalmente com base em tem uma tag específica. É possível usar tags e aplicação condicional de restrições para fornecer controle centralizado dos recursos na hierarquia.
Para mais informações sobre tags, consulte Visão geral de tags. Para saber como definir uma política condicional da organização usando tags, consulte Como definir uma política da organização com tags.
Herança
Quando uma política da organização é definida em um recurso, todos os descendentes herdam a política da organização por padrão. Se você definir um política da organização no recurso da organização, depois a configuração restrições definidas por essa política serão transmitidas para todos os pastas, projetos e recursos de serviço.
É possível definir uma política da organização em um recurso descendente que substitui a herança ou herda a política da organização do pai recurso. No último caso, as duas políticas da organização são mescladas as regras de avaliação da hierarquia. Isso proporciona um controle preciso sobre como as políticas se aplicam a toda a organização e onde aplicar exceções.
Para saber mais sobre a avaliação da hierarquia, consulte Noções básicas sobre hierarquia. página.
Violações
Uma violação ocorre quando a execução ou o estado de um serviço do Google Cloud contraria a configuração de restrições da política da organização dentro do escopo da hierarquia de recursos. Os serviços do Google Cloud aplicarão restrições para evitar violações, mas a aplicação de novas políticas da organização geralmente não é retroativa. Se uma restrição de política da organização for retroativa aplicada, ela será identificada como tal nas Restrições de políticas da organização página.
Se uma nova política da organização definir uma restrição sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não interromperá seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.
Policy Intelligence
O Policy Intelligence é um pacote de ferramentas criadas para ajudar você a gerenciar políticas de segurança. Essas ferramentas podem ajudar você a entender o uso de recursos, entender e melhorar as políticas de segurança e evitar configurações incorretas de políticas.
Algumas ferramentas do Policy Intelligence são projetadas especificamente testar e analisar as políticas do serviço de políticas da organização. Recomendamos que você teste e faça uma simulação de todas as alterações nas políticas da organização. Com Policy Intelligence, é possível realizar tarefas como as seguintes:
- Testar as mudanças nas políticas e restrições da organização e identificar os recursos que não estão em conformidade com a política proposta (pré-lançamento).
- Identificar recursos que não estão em conformidade com a política e a restrição da organização mudanças (Pré-lançamento)
- Criar uma simulação da política da organização para monitorar como uma mudança de política afetaria seus fluxos de trabalho
- Analisar as políticas atuais da organização para entender quais recursos do Google Cloud são cobertos por política da organização
Para saber mais sobre essas e outras ferramentas do Policy Intelligence, consulte Visão geral do Policy Intelligence.
Próximas etapas
- Leia a página Como criar e gerenciar organizações para saber como adquirir um recurso da organização.
- Leia sobre como criar e gerenciar políticas da organização com a console do Google Cloud.
- Saiba como definir políticas da organização usando restrições.
- Veja as soluções que podem ser aplicadas às restrições da política da organização.