O Serviço de políticas da organização oferece controle centralizado e programático sobre os recursos de nuvem da sua organização. Como administrador de políticas da organização, você pode configurar restrições em toda a hierarquia de recursos.
Vantagens
- Centralizar o controle para configurar restrições sobre como os recursos da sua organização podem ser usados.
- Definir e estabelecer proteções para que suas equipes de desenvolvimento permaneçam dentro dos limites de conformidade.
- Ajudar os proprietários de projetos e suas equipes a se movimentarem rapidamente sem a preocupação de violar a conformidade.
Casos de uso comuns
Com as políticas da organização, você pode fazer o seguinte:
- Limite o compartilhamento de recursos com base no domínio.
- Limite o uso de contas de serviço do Identity and Access Management (IAM).
- Restrinja a localização física dos recursos recém-criados.
Há muitas outras restrições que dão a você um controle minucioso dos recursos da organização. Para mais informações, consulte a lista de todas as restrições de serviço de políticas da organização.
Diferenças do gerenciamento de identidade e acesso
O foco do gerenciamento de identidade e acesso é o usuário. Com esse produto, o administrador autoriza quem pode executar ações em recursos específicos com base nas permissões.
O foco da política da organização é o quê. Ela permite que o administrador defina limitações em recursos específicos para determinar como eles podem ser configurados.
Como a política da organização funciona
Uma política da organização configura uma única restrição que limita um ou mais serviços do Google Cloud . A política da organização é definida em um recurso de organização, pasta ou projeto para aplicar a restrição a esse recurso e a todos os recursos filhos.
Uma política da organização contém uma ou mais regras que especificam como e se a restrição deve ser aplicada. Por exemplo, uma política da organização pode
conter uma regra que aplique a restrição apenas a recursos marcados
environment=development e outra regra que impeça a aplicação da restrição
a outros recursos.
Os descendentes do recurso a que a política da organização está anexada herdam a política. Ao aplicar uma política da organização ao recurso da organização, o administrador de políticas da organização pode controlar a aplicação dessa política e a configuração de restrições em toda a organização.
Restrições
Uma restrição é um tipo específico de limitação contra um
serviço doGoogle Cloud ou uma lista
de serviços do Google Cloud . Pense na restrição como um esquema que define quais comportamentos são controlados. Por exemplo, é possível restringir o acesso dos recursos do projeto aos recursos de armazenamento do Compute Engine usando a restrição compute.storageResourceUseRestrictions.
Esse esquema é então definido em um recurso na sua hierarquia de recursos como uma política da organização, que aplica as regras definidas na restrição. O serviço Google Cloud mapeado para essa restrição e associado a esse recurso aplica as restrições configuradas na política da organização.
Uma política da organização é definida em um arquivo YAML ou JSON pela restrição que ela impõe e, opcionalmente, pelas condições em que a restrição é aplicada. Cada política da organização impõe exatamente uma restrição no modo ativo, de simulação ou ambos.
As restrições gerenciadas têm parâmetros de lista ou booleanos determinados pelo serviço Google Cloud de aplicação.
As restrições personalizadas são funcionalmente semelhantes às restrições gerenciadas com parâmetros booleanos e são aplicadas ou não.
As restrições gerenciadas legadas têm uma ou mais regras de lista ou booleanas com base no tipo de restrição. As regras de lista são um conjunto de valores permitidos ou negados. As regras booleanas podem permitir ou negar todos os valores ou determinar se uma restrição é aplicada ou não.
Restrições gerenciadas
As restrições gerenciadas foram projetadas para substituir as restrições gerenciadas legadas equivalentes, mas com mais flexibilidade e insights das ferramentas de inteligência de políticas. Essas restrições têm uma estrutura semelhante às restrições personalizadas da política da organização, mas são gerenciadas pelo Google.
Se a restrição gerenciada legada equivalente tiver um tipo booleano, a restrição gerenciada poderá ser aplicada ou não da mesma forma. Por exemplo, a política da organização a seguir aplica iam.managed.disableServiceAccountCreation, que é a restrição equivalente a iam.disableServiceAccountCreation:
name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
rules:
- enforce: true
Se a restrição gerenciada legada equivalente tiver um tipo de restrição de lista, a
restrição gerenciada vai permitir definir parâmetros que definem os recursos e
comportamentos restritos pela restrição. Por exemplo, a política da organização a seguir impõe uma restrição gerenciada que permite apenas que os domínios example.com e altostrat.com sejam adicionados aos contatos essenciais para organizations/1234567890123:
name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
rules:
- enforce: true
parameters:
allowedDomains:
- @example.com
- @altostrat.com
Para saber mais sobre o uso de restrições gerenciadas, consulte Como usar restrições.
Restrições personalizadas
Assim como as restrições gerenciadas, as restrições personalizadas permitem ou restringem a criação e as atualizações de recursos. No entanto, as restrições personalizadas são gerenciadas pela sua organização, não pelo Google. Você pode usar as ferramentas da Política de inteligência para testar e analisar suas políticas personalizadas da organização.
Para ver uma lista de recursos de serviço que aceitam restrições personalizadas, consulte Serviços compatíveis com restrição personalizada.
Para saber mais sobre como usar políticas personalizadas da organização, consulte Como criar e gerenciar políticas personalizadas da organização.
Para ver uma lista de exemplos de restrições personalizadas, consulte a biblioteca de políticas personalizadas da organização no GitHub.
Restrições gerenciadas (legado)
As restrições gerenciadas legadas têm um tipo de restrição de lista ou booleano, que determina os valores que podem ser usados para verificar a aplicação. O serviço aplicador doGoogle Cloud vai avaliar o tipo e o valor da restrição para determinar a limitação que será aplicada.
Essas restrições legadas eram conhecidas como restrições predefinidas.
Listar regras
As restrições gerenciadas legadas com regras de lista permitem ou não uma lista de valores
definidos em uma política da organização. Essas restrições legadas eram conhecidas como restrições de lista. A lista de valores permitidos ou negados é expressa como uma string de subárvore de hierarquia. Com a string de subárvore, é feita a especificação do tipo de recurso a que se aplica. Por exemplo, a restrição gerenciada legada
constraints/compute.trustedImageProjects usa uma lista de IDs de projeto na
forma de projects/PROJECT_ID.
Os valores podem receber um prefixo no formato prefix:value para restrições que os aceitam, o que dá ao valor um significado adicional:
is:: aplica uma comparação com o valor exato. Esse é o mesmo comportamento de quando não há um prefixo e é obrigatório quando o valor inclui o sinal de dois pontos.under:: aplica uma comparação ao valor e todos os valores derivados. Se um recurso for permitido ou negado com esse prefixo, os recursos filhos também serão permitidos ou negados. O valor fornecido precisa ser o ID de um recurso de organização, pasta ou projeto.in:: aplica uma comparação a todos os recursos que incluem esse valor. Por exemplo, é possível adicionarin:us-locationsà lista negada da restriçãoconstraints/gcp.resourceLocationspara bloquear todos os locais incluídos na regiãous.
Se nenhuma lista de valores for fornecida ou se a política da organização estiver definida como o padrão gerenciado pelo Google, o comportamento padrão da restrição entrará em vigor, permitindo ou negando todos os valores.
A política da organização a seguir aplica uma restrição gerenciada legada que
permite que as instâncias de VM do Compute Engine vm-1 e vm-2 em
organizations/1234567890123 acessem endereços IP externo:
name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- is:projects/project_a/zones/us-central1-a/instances/vm-1
- is:projects/project_b/zones/us-central1-a/instances/vm-2
Regras booleanas
Uma restrição gerenciada legada com uma regra booleana é aplicada ou não. Por exemplo, constraints/compute.disableSerialPortAccess tem dois estados possíveis:
- Aplicada: a restrição é aplicada e o acesso à porta serial não é permitido.
- Não aplicada: a restrição
disableSerialPortAccessnão é aplicada nem verificada, portanto, o acesso à porta serial é permitido.
Se a política da organização estiver definida como o padrão gerenciado pelo Google, o comportamento padrão da restrição será aplicado.
Essas restrições legadas eram conhecidas como restrições booleanas.
A política da organização a seguir impõe uma restrição gerenciada legada que
desativa a criação de contas de serviço externas em
organizations/1234567890123:
name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
Políticas da organização no modo de teste
Uma política da organização no modo de simulação é criada e aplicada de maneira semelhante a outras políticas da organização, e as violações da política são registradas em auditoria, mas as ações violadoras não são negadas.
É possível usar as políticas da organização no modo de simulação para monitorar como as mudanças afetariam seus fluxos de trabalho antes da aplicação. Para mais informações, consulte Criar uma política da organização no modo de simulação.
Políticas condicionais da organização
Com as tags, é possível aplicar restrições condicionalmente com base no fato de um recurso ter ou não uma tag específica. Você pode usar tags e aplicação condicional de restrições para fornecer controle centralizado dos recursos na sua hierarquia.
Para mais informações sobre tags, consulte Visão geral de tags. Para saber como definir uma política condicional da organização usando tags, consulte Como definir uma política da organização com tags.
Herança
Quando uma política da organização é definida em um recurso, todos os descendentes dele herdam a política por padrão. Se você definir uma política da organização no recurso da organização, a configuração de restrições definida por essa política será transmitida a todas as pastas, projetos e recursos de serviço descendentes.
É possível definir uma política da organização em um recurso descendente que substitua a herança ou herde a política da organização do recurso pai. No último caso, as duas políticas da organização são mescladas com base nas regras de avaliação da hierarquia. Isso proporciona um controle preciso sobre como as políticas da organização se aplicam a toda a organização e onde aplicar exceções.
Para saber mais, consulte Noções básicas sobre a avaliação da hierarquia.
Violações
Uma violação ocorre quando um serviço do Google Cloud age ou está em um estado que contraria a configuração de restrições da política da organização dentro do escopo da hierarquia de recursos.Os serviços do Google Cloud aplicam restrições para evitar violações, mas a aplicação de novas políticas da organização geralmente não é retroativa. Se uma restrição de política da organização for aplicada retroativamente, ela será rotulada como tal na página Restrições da política da organização.
Se uma nova política da organização definir uma limitação sobre uma ação ou estado em que um serviço já se encontra, a política será considerada violadora, mas o serviço não interromperá seu comportamento original. Será preciso tratar essa violação manualmente. Isso evita o risco de que uma nova política da organização interrompa completamente a continuidade do seu negócio.
Policy Intelligence
O Policy Intelligence é um pacote de ferramentas criadas para ajudar você a gerenciar políticas de segurança. Essas ferramentas podem ajudar você a entender o uso de recursos, entender e melhorar as políticas de segurança e evitar configurações incorretas de políticas.
Algumas ferramentas do Policy Intelligence são projetadas especificamente para ajudar a testar e analisar as políticas do serviço de política da organização. Recomendamos que você teste e simule todas as mudanças nas políticas da organização. Com a inteligência de políticas, é possível realizar tarefas como as seguintes:
- Teste as mudanças nas políticas e restrições da organização e identifique os recursos que não estão em conformidade com a política proposta (Prévia).
- Crie uma política da organização de simulação para monitorar como uma mudança na política afetaria seus fluxos de trabalho.
- Analise as políticas da organização atuais para entender quais recursos do Google Cloud são cobertos por qual política da organização.
Para saber mais sobre essas e outras ferramentas do Policy Intelligence, consulte Visão geral do Policy Intelligence.
Próximas etapas
- Leia a página Como criar e gerenciar recursos da organização para saber como adquirir um recurso da organização.
- Saiba como definir políticas da organização.
- Veja as soluções que podem ser aplicadas às restrições da política da organização.