Introduzione al servizio Criteri dell'organizzazione

Il servizio Criteri dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse cloud della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi configurare i vincoli nell'intera gerarchia delle risorse.

Vantaggi

• Centralizza il controllo per configurare limitazioni sull'utilizzo delle risorse della tua organizzazione.
• Definisci e stabilisci dei sistemi di protezione per i tuoi team di sviluppo in modo che rimangano nei limiti di conformità.
• Aiuta i proprietari dei progetti e i loro team a muoversi rapidamente senza preoccuparsi di violare la conformità.

Casi d'uso comuni

I criteri dell'organizzazione ti consentono di:

• Limita la condivisione delle risorse in base al dominio.
• Limita l'utilizzo degli account di servizio Identity and Access Management (IAM).
• Limita la posizione fisica delle risorse appena create.

Esistono molti altri vincoli che ti consentono di avere un controllo granulare sulle risorse della tua organizzazione. Per ulteriori informazioni, consulta l'elenco di tutti i vincoli del servizio di criteri dell'organizzazione.

Differenze rispetto a Identity and Access Management

Identity and Access Management si concentra su chi e consente all'amministratore di authorize chi può intervenire su risorse specifiche in base alle autorizzazioni.

Organization Policy si concentra su cosa e consente all'amministratore di impostare limitazioni su risorse specifiche per determinare in che modo possono essere configurate.

Come funzionano le norme dell'organizzazione

Un criterio dell'organizzazione configura un singolo vincolo che limita uno o più servizi Google Cloud . Il criterio dell'organizzazione viene impostato su una risorsa dell'organizzazione, della cartella o del progetto per applicare il vincolo a quella risorsa e a eventuali risorse secondarie.

Un criterio dell'organizzazione contiene una o più regole che specificano come e se applicare la limitazione. Ad esempio, un criterio dell'organizzazione potrebbe contenere una regola che applica il vincolo solo alle risorse con tag environment=development e un'altra regola che impedisce l'applicazione del vincolo ad altre risorse.

I discendenti della risorsa a cui è allegato il criterio dell'organizzazione ereditano il criterio dell'organizzazione. Se applica un criterio dell'organizzazione alla risorsa dell'organizzazione, l'amministratore dei criteri dell'organizzazione può controllare l'applicazione di questo criterio e la configurazione delle restrizioni nell'intera organizzazione.

Vincoli

Un vincolo è un tipo particolare di limitazione per un Google Cloud servizio o un elenco di Google Cloud servizi. Pensa alla limitazione come a un'impronta che definisce i comportamenti controllati. Ad esempio, puoi limitare le risorse del progetto dall'accesso alle risorse di archiviazione di Compute Engine utilizzando il vincolo compute.storageResourceUseRestrictions.

Questo progetto di riferimento viene poi impostato su una risorsa nella gerarchia delle risorse come criterio dell'organizzazione, che applica le regole definite nella limitazione. Il servizio Google Cloud mappato a questo vincolo e associato a quella risorsa applica le limitazioni configurate nel criterio dell'organizzazione.

Un criterio dell'organizzazione è definito in un file YAML o JSON dal vincolo applicato e, facoltativamente, dalle condizioni in cui viene applicato. Ogni criterio dell'organizzazione applica esattamente un vincolo in modalità attiva, in modalità di prova o in entrambe.

I vincoli predefiniti hanno un tipo di vincolo di tipo elenco o booleano, che determina i valori che possono essere utilizzati per verificare l'applicazione. Il servizio di applicazioneGoogle Cloud valuterà il tipo e il valore del vincolo per determinare la limitazione applicata.

I vincoli personalizzati sono funzionalmente simili ai vincoli booleani e possono essere applicati o meno.

I vincoli gestiti hanno parametri di tipo elenco o booleano. I parametri disponibili vengono determinati dal servizio Google Cloud di applicazione.

Vincoli di elenco

Un vincolo dell'elenco è un vincolo predefinito che consente o meno un elenco di valori definito in un criterio dell'organizzazione. Questo elenco di valori è expressed as a hierarchy subtree string. La stringa dell'albero secondario specifica il tipo di risorsa a cui si applica. Ad esempio, la limitazione dell'elencoconstraints/compute.trustedImageProjects accetta un elenco di ID progetto nel formatoprojects/PROJECT_ID.

Ai valori può essere assegnato un prefisso nel formato prefix:value per i vincoli che li supportano, il che conferisce al valore un significato aggiuntivo:

• is:: applica un confronto con il valore esatto. Si tratta dello stesso comportamento che si verifica quando non è presente un prefisso ed è obbligatorio quando il valore include un colon.

• under:: applica un confronto al valore e a tutti i relativi valori secondari. Se una risorsa è consentita o negata con questo prefisso, anche le relative risorse figlio sono consentite o negate. Il valore fornito deve essere l'ID di un'organizzazione, di una cartella o di una risorsa di progetto.

• in:: applica un confronto a tutte le risorse che includono questo valore. Ad esempio, puoi aggiungere in:us-locations all'elenco di valori non consentiti del vincolo constraints/gcp.resourceLocations per bloccare tutte le località incluse nella regione us.

Se non viene fornito alcun elenco di valori o se il criterio dell'organizzazione è impostato su quello predefinito gestito da Google, viene applicato il comportamento predefinito del vincolo, che consente o nega tutti i valori.

Il seguente criterio dell'organizzazione applica un vincolo dell'elenco che consente alle istanze VM Compute Engine vm-1 e vm-2 in organizations/1234567890123 di accedere agli indirizzi IP esterni:

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

Vincoli booleani

Una limitazione booleana è una limitazione predefinita che viene applicata o meno. Ad esempio, la limitazione predefinita constraints/compute.disableSerialPortAccess ha due possibili stati:

• Applicazione forzata: il vincolo viene applicato e l'accesso alla porta seriale non è consentito.
• Non applicata: il vincolo disableSerialPortAccess non viene applicato o controllato, pertanto l'accesso alla porta seriale è consentito.

Se il criterio dell'organizzazione è impostato sul valore predefinito gestito da Google, viene applicato il comportamento predefinito per il vincolo.

Il seguente criterio dell'organizzazione applica un vincolo predefinito che disattiva la creazione di account di servizio esterni in organizations/1234567890123:

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Vincoli gestiti

I vincoli gestiti sono vincoli creati sulla piattaforma Criteri dell'organizzazione personalizzati. La piattaforma di criteri dell'organizzazione personalizzata consente di progettare i criteri dell'organizzazione con maggiore flessibilità e con informazioni più approfondite grazie agli strumenti di Policy Intelligence.

I vincoli gestiti sono progettati per sostituire i vincoli predefiniti equivalenti. Se il vincolo predefinito equivalente ha un tipo di vincolo booleano, il vincolo gestito può essere applicato o meno nello stesso modo. Ad esempio, il seguente criterio dell'organizzazione applica iam.managed.disableServiceAccountCreation, che è il vincolo equivalente a iam.disableServiceAccountCreation:

name: organizations/1234567890123/policies/iam.managed.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

Se il vincolo predefinito equivalente ha un tipo di elenco di vincoli, il vincolo gestito supporta la definizione di parametri che definiscono le risorse e i comportamenti limitati dal vincolo. Ad esempio, il seguente criterio dell'organizzazione applica una limitazione gestita che consente di aggiungere solo i domini example.com e altostrat.com ai Contatti essenziali per organizations/1234567890123:

name: organizations/1234567890123/policies/essentialcontacts.managed.allowedContactDomains
spec:
   rules:
     - enforce: true
       parameters:
          allowedDomains:
               - @example.com
               - @altostrat.com

Per scoprire di più sull'utilizzo dei vincoli gestiti, consulta Utilizzo dei vincoli.

Vincoli personalizzati

I vincoli personalizzati consentono o limitano la creazione e gli aggiornamenti delle risorse nello stesso modo dei vincoli booleani, ma consentono agli amministratori di configurare le condizioni in base ai parametri di richiesta e ad altri metadati. Puoi utilizzare gli strumenti di Policy Intelligence per testare e analizzare le norme dell'organizzazione personalizzate.

Per un elenco delle risorse di servizio che supportano i vincoli personalizzati, consulta Servizi supportati dai vincoli personalizzati.

Per scoprire di più sull'utilizzo dei criteri dell'organizzazione personalizzati, consulta Creare e gestire criteri dell'organizzazione personalizzati.

Criteri dell'organizzazione in modalità di prova

Un criterio dell'organizzazione in modalità di prova viene creato e applicato in modo simile agli altri criteri dell'organizzazione e le violazioni del criterio vengono registrate in un log di controllo, ma le azioni in violazione non vengono negate.

Puoi utilizzare i criteri dell'organizzazione in modalità di prova per monitorare l'impatto delle modifiche ai criteri sui tuoi flussi di lavoro prima che vengano applicati. Per ulteriori informazioni, consulta Creare un criterio dell'organizzazione in modalità di prova.

Criteri dell'organizzazione condizionali

I tag forniscono un modo per applicare in modo condizionale i vincoli a seconda che una risorsa abbia un tag specifico. Puoi utilizzare i tag e l'applicazione condizionale dei vincoli per fornire un controllo centralizzato delle risorse nella gerarchia.

Per ulteriori informazioni sui tag, consulta la panoramica dei tag. Per scoprire come impostare un criterio dell'organizzazione condizionale utilizzando i tag, consulta Impostazione di un criterio dell'organizzazione con tag.

Ereditarietà

Quando un criterio dell'organizzazione viene impostato su una risorsa, per impostazione predefinita tutti i discendenti di quella risorsa ereditano il criterio dell'organizzazione. Se imposti un criterio dell'organizzazione nella risorsa dell'organizzazione, la configurazione delle restrizioni definite dal criterio verrà trasmessa a tutte le cartelle, i progetti e le risorse di servizio discendenti.

Puoi impostare un criterio dell'organizzazione su una risorsa secondaria che sovrascriva l'ereditarietà o che erediti il criterio dell'organizzazione della risorsa principale. In quest'ultimo caso, i due criteri dell'organizzazione vengono uniti in base alle regole di valutazione della gerarchia. In questo modo puoi controllare con precisione in che modo i criteri dell'organizzazione vengono applicati in tutta l'organizzazione e dove vuoi che vengano fatte delle eccezioni.

Per scoprire di più, consulta Informazioni sulla valutazione della gerarchia.

Violazioni

Si parla di violazione quando un servizio Google Cloud agisce o è in uno stato contrario alla configurazione delle limitazioni dei criteri dell'organizzazione nell'ambito della gerarchia delle risorse.I servizi Google Cloud applicheranno vincoli per impedire le violazioni, ma in genere l'applicazione di nuovi criteri dell'organizzazione non è retroattiva. Se un vincolo del criterio dell'organizzazione viene applicato in modo retroattivo, verrà etichettato come tale nella pagina dei vincoli dei criteri dell'organizzazione.

Se un nuovo criterio dell'organizzazione imposta una limitazione su un'azione o indica che un servizio è già attivo, il criterio è considerato in violazione, ma il servizio non interromperà il comportamento originale. Dovrai risolvere questa violazione manualmente. In questo modo, eviti il rischio che i nuovi criteri dell'organizzazione interrompa completamente la continuità della tua attività.

Policy Intelligence

Policy Intelligence è una suite di strumenti progettati per aiutarti a gestire i criteri di sicurezza. Questi strumenti possono aiutarti a comprendere l'utilizzo delle risorse, a comprendere e migliorare i criteri di sicurezza esistenti e a evitare errori di configurazione dei criteri.

Alcuni strumenti di Policy Intelligence sono progettati specificamente per aiutarti a testare e analizzare le norme del servizio di norme dell'organizzazione. Ti consigliamo di testare e eseguire prove di tutte le modifiche ai criteri dell'organizzazione. Con Policy Intelligence, puoi svolgere attività come:

• Testa le modifiche ai criteri e ai vincoli dell'organizzazione e identifica le risorse non conformi ai criteri proposti (Anteprima).
• Crea un criterio dell'organizzazione di prova per monitorare l'impatto di una modifica del criterio sui tuoi flussi di lavoro.
• Esegui l'analisi dei criteri dell'organizzazione esistenti per capire quali risorse Google Cloud sono coperte da quale criterio dell'organizzazione.

Per scoprire di più su questi e altri strumenti di Policy Intelligence, consulta la panoramica di Policy Intelligence.

Passaggi successivi

• Leggi la pagina Creare e gestire le risorse organizzazione per scoprire come acquisire una risorsa organizzazione.
• Scopri come definire i criteri dell'organizzazione.
• Esplora le soluzioni che puoi realizzare con i vincoli dei criteri dell'organizzazione.