Configurar restricciones de políticas de organización para registros de flujo de VPC
En esta página se proporciona información sobre las restricciones de políticas de la organización que puede configurar para las subredes en los registros de flujo de VPC.
Los administradores pueden habilitar o inhabilitar los registros de flujo de VPC. De forma predeterminada, no se imponen restricciones para habilitar o inhabilitar los registros de flujo de VPC.
Un administrador de políticas de la organización puede usar la restricción constraints/compute.requireVpcFlowLogs para exigir que los registros de flujo de VPC estén habilitados en todas las subredes del ámbito de la política con una frecuencia de muestreo especificada. La política se aplica al crear subredes o al actualizar la configuración de Registros de flujo de VPC en subredes. Las subredes que ya existían no se verán afectadas si no se actualizan sus configuraciones de registros de flujo de VPC.
Antes de empezar
Permisos de gestión de identidades y accesos
La entidad que cree las restricciones debe tener el rol Administrador de políticas de organización (roles/orgpolicy.policyAdmin).
Las entidades que consulten las restricciones deben tener el permiso orgpolicy.policy.get
en el recurso correspondiente. Por ejemplo, el rol Lector de políticas de organización
(roles/orgpolicy.policyViewer) incluye el permiso orgpolicy.policy.get.
Información general sobre las políticas de organización
Si no has trabajado antes con restricciones de políticas de la organización, consulta las siguientes páginas:
Planificar las restricciones
Puede crear restricciones en los siguientes niveles de la jerarquía de recursos:
- Organización
- Carpeta
- Proyecto
De forma predeterminada, una restricción creada en un nodo se hereda en todos los nodos secundarios. Sin embargo, un administrador de políticas de organización de una carpeta determinada puede decidir si esa carpeta hereda de sus carpetas superiores, por lo que la herencia no es automática. Para obtener más información, consulta Herencia en Información sobre la evaluación de la jerarquía.
Tasas de muestreo de registros de flujo de VPC
Puedes usar la restricción constraints/compute.requireVpcFlowLogs para asegurarte de que las siguientes frecuencias de muestreo estén configuradas en las subredes.
| Valor de la política | Frecuencia de muestreo |
|---|---|
ESSENTIAL |
Mayor o igual que 0,1 (10%) e inferior a 0,5 (50%) |
LIGHT |
Mayor o igual que 0,5 (50%) y menor que 1,0 (100%) |
COMPREHENSIVE |
Igual a 1,0 (100%) |
Estos valores de política se pueden combinar. En la siguiente tabla se muestran algunos ejemplos.
| Frecuencia de muestreo | Valores que se incluirán en la restricción. |
|---|---|
| Al menos 0,1 (10%) | ESSENTIAL, LIGHT y COMPREHENSIVE |
| Al menos 0,5 (50%) | LIGHT y COMPREHENSIVE |
| 1,0 (100%) | COMPREHENSIVE |
Configurar la restricción de registros de flujo de VPC
Consola
Para obtener más información sobre cómo configurar una restricción mediante la consolaGoogle Cloud , consulta Personalizar políticas de restricciones de lista.
Ve a la página de la política Require predefined policies for VPC flow logs (Requerir políticas predefinidas para los registros de flujo de VPC) en la consola deGoogle Cloud :
Haz clic en Editar.
En la página Editar, selecciona un valor para Se aplica a:
Heredar política del recurso superior: si estás configurando políticas para un proyecto o una carpeta, se hereda la política del ámbito superior. Si estás configurando políticas para una organización, la política no se activará.
Valor predeterminado gestionado por Google: inhabilita la política, aunque esté habilitada en el ámbito superior.
Personalizar: te permite habilitar y configurar la política para todas las subredes del ámbito actual.
En Implementación de la política, selecciona Sustituir.
La opción Combinar con el elemento superior no está permitida en los registros de flujo de VPC.
En la sección Reglas, haz clic en Añadir regla.
En Valores de la política, selecciona Personalizado.
No se permiten otros valores para los registros de flujo de VPC.
En Tipo de política, selecciona Permitir.
En la sección Valores personalizados, introduzca uno de los valores que represente la frecuencia de muestreo que quiera configurar.
Si necesitas especificar más de un valor para configurar la frecuencia de muestreo que quieras, haz clic en Nuevo valor de política e introduce el siguiente valor. Repite el proceso si necesitas especificar un tercer valor.
Haz clic en Guardar.
gcloud
Para obtener más información sobre cómo configurar una restricción con la CLI de Google Cloud, consulta Configurar la aplicación en el recurso de organización.
Obtén la política actual del recurso de organización con el comando
describe. Este comando devuelve la política aplicada directamente a este recurso. Si no se define ninguna política, el comando devuelve un errorNOT_FOUND.gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]Haz los cambios siguientes:
ID: el ID de la organización, la carpeta o el proyecto al que quieras aplicar la restricción.
Define la política en la organización con el comando
set-policy. Este comando sobrescribe cualquier política asociada al recurso.Crea un archivo temporal
/tmp/policy.yamlpara almacenar la política:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUESHaz los cambios siguientes:
RESOURCE_TYPE: el tipo de recurso al que quieras aplicar la política. Las opciones válidas sonorganizations,foldersoprojects.ID: el ID de la organización, la carpeta o el proyecto al que quieras aplicar la restricción.POLICY_VALUES: los valores que representan la frecuencia de muestreo que quieres configurar. Puedes combinar varios valores. Para obtener más información, consulta Tasas de muestreo de los registros de flujo de VPC.
Esta restricción de ejemplo requiere una frecuencia de muestreo de al menos el 10% a nivel de organización:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVEEsta restricción de ejemplo requiere una frecuencia de muestreo de al menos el 50% a nivel de organización:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVEEsta restricción de ejemplo requiere una frecuencia de muestreo del 100% a nivel de organización:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVEEjecuta el comando
set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Consulta la política vigente con
describe --effective. Este comando devuelve la política de organización tal como se evalúa en este punto de la jerarquía de recursos, incluida la herencia.gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
Efectos de definir un requisito para los registros de flujo de VPC
Si configuras una política de organización con la restricción constraints/compute.requireVpcFlowLogs, es posible que se produzcan errores si creas una subred o actualizas la configuración de Registros de flujo de VPC de una subred que ya tengas y la configuración no cumple los requisitos de la política.
Si ve errores, puede que necesite saber cómo se configura la restricción para poder crear una configuración válida. Si no tienes suficientes permisos de gestión de identidades y accesos para ver la restricción, ponte en contacto con el administrador de tu organización.
Las subredes que se creen antes de que se defina la política no se verán afectadas por ella, siempre que no se actualice su configuración de registros de flujo de VPC.
Efectos en la creación de subredes
Cuando se crea una subred en el ámbito de la política, se aplican las siguientes condiciones:
Si los registros de flujo de VPC se habilitan explícitamente con una frecuencia de muestreo que cumpla los requisitos de la política, la subred se creará con los registros de flujo de VPC habilitados y la frecuencia de muestreo solicitada.
Si los registros de flujo de VPC se habilitan explícitamente con una frecuencia de muestreo que no cumpla los requisitos de la política, se devolverá un error y no se creará la subred.
Si los registros de flujo de VPC están inhabilitados explícitamente, se devuelve un error y no se crea la subred.
Si no se ha definido VPC Flow Logs y tampoco se ha definido la frecuencia de muestreo, se creará una subred con VPC Flow Logs habilitado y la frecuencia de muestreo mínima que requiere la política. Por ejemplo, si la política se configura con los valores
LIGHTyCOMPREHENSIVE, la frecuencia de muestreo se establece en0.5(50%).
Efectos en las actualizaciones de subredes
Cuando actualices una subred que ya esté en el ámbito de la política, se aplicará lo siguiente:
Si la actualización habilita los registros de flujo de VPC o si ya estaban habilitados y la frecuencia de muestreo se establece en un valor que cumple los requisitos de la política, la subred se actualiza con los registros de flujo de VPC habilitados con la frecuencia de muestreo solicitada.
Si la actualización habilita los registros de flujo de VPC o si ya estaban habilitados y la frecuencia de muestreo se establece en un valor que no cumple los requisitos de la política, se devuelve un error y la subred no se actualiza.
Si la actualización inhabilita los registros de flujo de VPC, se devuelve un error y la subred no se actualiza.
Si la actualización no habilita ni inhabilita los registros de flujo de VPC y tampoco se define la frecuencia de muestreo, se ignorará la política y se actualizará la subred.
Efectos en la creación de redes de VPC en modo automático
Cuando se crea una red de VPC en modo automático, se crea automáticamente una subred en cada región. Si la red está incluida en el ámbito de una política de registros de flujo de VPC, estos se habilitan en las subredes con la frecuencia de muestreo mínima definida por la política. Por ejemplo, si la política se configura con los valores LIGHT y COMPREHENSIVE, la frecuencia de muestreo se establece en 0.5 (50%).
Efectos en la configuración de registros de flujo de VPC
Si una subred está incluida en el ámbito de la política, no se permite el filtrado de registros para asegurarse de que la configuración de Registros de flujo de VPC cumple los requisitos de la política.