Usar políticas personalizadas da organização para políticas de permissão

Nesta página, mostramos como usar restrições personalizadas do serviço de políticas da organização para restringir operações específicas nos seguintes recursos do Google Cloud :

  • iam.googleapis.com/AllowPolicy

Para saber mais sobre políticas da organização, consulte Políticas personalizadas da organização.

Sobre políticas da organização e restrições

O serviço de políticas da organização do Google Cloud oferece controle centralizado e programático sobre os recursos da sua organização. Um administrador de políticas da organização pode definir políticas da organização, ou seja, conjuntos de restrições que se aplicam aos recursos doGoogle Cloud e aos elementos que descendem dele na hierarquia de recursos doGoogle Cloud . É possível aplicar políticas da organização no nível de projetos, de pastas ou da organização.

Uma política da organização oferece restrições gerenciadas e integradas para vários serviços do Google Cloud . No entanto, para ter controle mais granular e personalizável sobre os campos específicos restritos nas políticas da organização, também é possível criar restrições personalizadas e usá-las nessas políticas.

Herança de políticas

Por padrão, as políticas da organização são herdadas pelos elementos que descendem dos recursos em que elas são aplicadas. Por exemplo, se você aplicar uma política a uma pasta, o Google Cloud vai aplicá-la a todos os projetos dessa pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação de hierarquia.

Vantagens

É possível usar políticas da organização personalizadas que se referem a atributos do IAM para controlar como as políticas de permissão podem ser modificadas. Especificamente, é possível controlar o seguinte:

  • Quem pode receber funções
  • Quem pode ter as funções revogadas
  • Quais funções podem ser concedidas
  • Quais funções podem ser revogadas

Por exemplo, é possível impedir que papéis que contêm a palavra admin sejam concedidos a principais com um endereço de e-mail que termina em @gmail.com.

Limitações

  • As políticas da organização personalizadas no modo de teste que se referem a atributos do IAM têm algumas limitações. Especificamente, os registros de auditoria para violações que envolvem o método setIamPolicy podem não ter os seguintes campos:

    • resourceName
    • serviceName
    • methodName

  • Os registros de auditoria não são gerados para todas as violações de políticas da organização personalizadas relacionadas ao IAM. Ou seja, se uma política personalizada da organização causar a falha de uma operação setIamPolicy no recurso da organização, oGoogle Cloud não vai gerar um registro de auditoria para esse evento.

  • As políticas personalizadas da organização que fazem referência a atributos do IAM não afetam o seguinte:

  • Os usuários podem receber convites para se tornarem proprietários, mesmo que você tenha uma política de organização personalizada que impeça a concessão da função de proprietário (roles/owner). No entanto, embora a política da organização personalizada não impeça o envio de um convite, ela impede que os usuários convidados recebam a função de proprietário. Se os usuários convidados tentarem aceitar o convite, eles vão encontrar um erro e não vão receber a função de proprietário.

  • Algumas ações no Google Cloud, como criar recursos ou ativar APIs, envolvem a concessão automática de um papel a um agente de serviço ou a uma conta de serviço padrão. Se uma ação envolver a concessão automática de um papel e uma política da organização impedir que ele seja concedido, toda a operação poderá falhar.

    Se você encontrar esse problema, use tags para desativar temporariamente a restrição que impede a concessão da função. Em seguida, faça a ação. Depois que a ação for concluída, reative a restrição.

Antes de começar

  • Se você quiser testar políticas da organização personalizadas que se referem a recursos do IAM, crie um novo projeto. Testar essas políticas da organização em um projeto atual pode interromper os fluxos de trabalho de segurança.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Funções exigidas

Para receber as permissões necessárias para gerenciar políticas da organização, peça ao administrador que conceda a você os seguintes papéis do IAM:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para gerenciar políticas da organizações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para gerenciar as políticas da organização:

  • orgpolicy.* na organização
  • Teste as políticas da organização descritas nesta página: resourcemanager.projects.setIamPolicy no projeto

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Configurar uma restrição personalizada

Uma restrição personalizada é definida em um arquivo YAML pelos recursos, métodos, condições e ações compatíveis com o serviço em que você está aplicando a política da organização. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL). Para saber como criar condições em restrições personalizadas usando a CEL, consulte a seção CEL em Como criar e gerenciar restrições personalizadas.

Console

Para criar uma restrição personalizada, faça o seguinte:

  1. No console do Google Cloud , acesse a página Políticas da organização.

    Acessar a página Políticas da organização

  2. No seletor de projetos, selecione o projeto em que você quer definir a política da organização.
  3. Clique em Restrição personalizada.
  4. Na caixa Nome de exibição, insira um nome legível para a restrição. Esse nome é usado em mensagens de erro e pode ser usado para identificação e depuração. Não use PII ou dados sensíveis em nomes de exibição, porque eles podem ser expostos em mensagens de erro. Esse campo pode ter até 200 caracteres.
  5. Na caixa ID da restrição, insira o nome que você quer para a nova restrição personalizada. Uma restrição personalizada só pode conter letras (maiúsculas e minúsculas) ou números, por exemplo, custom.disableGkeAutoUpgrade. Esse campo pode conter até 70 caracteres, sem contar o prefixo (custom.), por exemplo, organizations/123456789/customConstraints/custom. Não inclua PII ou dados sensíveis no ID da restrição, porque eles podem ser expostos em mensagens de erro.
  6. Na caixa Descrição, insira uma descrição legível da restrição. Essa descrição é usada como uma mensagem de erro quando a política é violada. Inclua detalhes sobre o motivo da violação e como resolver o problema. Não inclua PII ou dados sensíveis na descrição, porque eles podem ser expostos em mensagens de erro. Esse campo pode conter até 2.000 caracteres.
  7. Na caixa Tipo de recurso, selecione o nome do recurso REST do Google Cloud que contém o objeto e o campo que você quer restringir. Por exemplo, container.googleapis.com/NodePool. A maioria dos tipos de recursos aceita até 20 restrições personalizadas. Se você tentar criar mais restrições personalizadas, a operação vai falhar.
  8. Em Método de aplicação, selecione se quer aplicar a restrição em um método REST CREATE ou em ambos os métodos CREATE e UPDATE. Se você aplicar a restrição com o método UPDATE em um recurso que a viola, as mudanças nesse recurso serão bloqueadas pela política da organização, a menos que a mudança resolva a violação.

    9. Nem todos os serviços do Google Cloud aceitam os dois métodos. Para ver os métodos compatíveis com cada serviço, encontre o serviço em Serviços compatíveis.

  9. Para definir uma condição, clique em Editar condição.
    1. No painel Adicionar condição, crie uma condição de CEL que se refira a um recurso de serviço compatível, por exemplo, resource.management.autoUpgrade == false. Esse campo pode ter até 1.000 caracteres. Para detalhes sobre o uso da CEL, consulte Common Expression Language. Para mais informações sobre os recursos de serviço que você pode usar nas restrições personalizadas, consulte Serviços compatíveis com restrição personalizada.
    2. Clique em Salvar.
  10. Em Ação, selecione se você quer permitir ou negar o método avaliado quando a condição é atendida.

    11. A ação de negação significa que a operação para criar ou atualizar o recurso será bloqueada se a condição for avaliada como verdadeira.

    A ação de permissão significa que a operação para criar ou atualizar o recurso só é permitida se a condição for avaliada como verdadeira. Todos os outros casos, exceto os listados explicitamente na condição, estão bloqueados.

  11. Clique em Criar restrição.

    12. Quando você digita um valor em cada campo, a configuração YAML equivalente à restrição personalizada aparece à direita.

gcloud

  1. Para criar uma restrição personalizada, crie um arquivo YAML com o seguinte formato: 
    2.       name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
      resourceTypes:
      - RESOURCE_NAME
      methodTypes:
      - CREATE
    - UPDATE     
      condition: "CONDITION"
      actionType: ACTION
      displayName: DISPLAY_NAME
      description: DESCRIPTION

    Substitua:

    • ORGANIZATION_ID: o ID da organização, como 123456789.
    • CONSTRAINT_NAME: o nome da sua nova restrição personalizada. Uma restrição personalizada só pode conter letras (maiúsculas e minúsculas) ou números, por exemplo, custom.denyProjectIAMAdmin. Esse campo pode ter até 70 caracteres.
    • RESOURCE_NAME: o nome totalmente qualificado do recurso Google Cloud que contém o objeto e o campo que você quer restringir. Por exemplo, iam.googleapis.com/AllowPolicy.
    • CONDITION: uma condição CEL gravada em uma representação de um recurso de serviço compatível. Esse campo pode conter até 1.000 caracteres. Por exemplo, resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin'])).

      • Para mais informações sobre os recursos disponíveis para gravação de condições, consulte Recursos compatíveis.

    • ACTION: a ação a ser realizada se o condition for atendido. Os valores possíveis são ALLOW e DENY.

      • A ação "permitir" significa que, se a condição for avaliada como verdadeira, a operação para criar ou atualizar o recurso será permitida. Isso também significa que todos os outros casos, exceto o listado explicitamente na condição, estão bloqueados.

      A ação de negação significa que, se a condição for avaliada como verdadeira, a operação para criar ou atualizar o recurso será bloqueada.

    • DISPLAY_NAME: um nome legível para a restrição. Esse campo pode ter até 200 caracteres.
    • DESCRIPTION: uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada. Esse campo pode conter até 2.000 caracteres.
  2. Depois de criar o arquivo YAML para uma nova restrição personalizada, faça a configuração necessária para disponibilizá-la para as políticas da organização. Para configurar uma restrição personalizada, use o comando gcloud org-policies set-custom-constraint: 
    3.         gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    Substitua CONSTRAINT_PATH pelo caminho completo do arquivo de restrição personalizada. Por exemplo, /home/user/customconstraint.yaml.

    Após a conclusão, as restrições personalizadas vão estar disponíveis como políticas da organização na lista de políticas da organização do Google Cloud .

  3. Para verificar se a restrição personalizada existe, use o comando gcloud org-policies list-custom-constraints: 
    4.       gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    Substitua ORGANIZATION_ID pelo ID do recurso da organização.

    Para mais informações, consulte Como visualizar políticas da organização.

Aplicar uma política personalizada da organização

Para aplicar uma restrição, crie uma política da organização que faça referência a ela e aplique essa política a um recurso do Google Cloud .

Console

  1. No console do Google Cloud , acesse a página Políticas da organização.

    Acessar a página Políticas da organização

  2. No seletor de projetos, selecione o projeto em que você quer definir a política da organização.
  3. Na lista da página Políticas da organização, selecione uma restrição para acessar a página Detalhes da política associada.
  4. Para configurar a política da organização nesse recurso, clique em Gerenciar política.
  5. Na página Editar política, selecione Substituir a política do recurso pai.
  6. Clique em Adicionar uma regra.
  7. Na seção Aplicação, selecione se essa política da organização é aplicada ou não.
  8. Opcional: para tornar a política da organização condicional em uma tag, clique em Adicionar condição. Se você adicionar uma regra condicional a uma política da organização, inclua pelo menos uma regra não condicional para que a política seja salva. Para mais informações, consulte Como definir uma política da organização com tags.
  9. Clique em Testar mudanças para simular o efeito da política da organização. Para mais informações, consulte Testar mudanças na política da organização com o Simulador de política.
  10. Para aplicar a política da organização no modo de simulação, clique em Definir política de simulação. Para mais informações, consulte Criar uma política da organização no modo de simulação.
  11. Depois de verificar se a política da organização no modo de simulação funciona como esperado, clique em Definir política para definir a política ativa.

gcloud

  1. Para criar uma política da organização com regras booleanas, crie um arquivo YAML para a política que faça referência à restrição: 
    2.         name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
        spec:
          rules:
          - enforce: true
        
        dryRunSpec:
          rules:
          - enforce: true

    Substitua:

    • PROJECT_ID: o projeto em que você quer aplicar a restrição.
    • CONSTRAINT_NAME: o nome definido para a restrição personalizada. Por exemplo, custom.denyProjectIAMAdmin.
  2. Para aplicar a política da organização no modo de teste, execute o seguinte comando com a flag dryRunSpec: 
    3.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=dryRunSpec

    Substitua POLICY_PATH pelo caminho completo para o arquivo YAML da política da organização. A política leva até 15 minutos para entrar em vigor.

  3. Depois de verificar se a política da organização no modo de simulação funciona conforme o esperado, defina a política ativa com o comando org-policies set-policy e a flag spec: 
    4.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=spec

    Substitua POLICY_PATH pelo caminho completo para o arquivo YAML da política da organização. A política leva até 15 minutos para entrar em vigor.

Testar a política personalizada da organização

Opcionalmente, defina a política da organização ao configurar a política e tente realizar uma ação que ela precisa impedir.

Criar a restrição

  1. Salve o seguinte arquivo como constraint-deny-project-iam-admin.

    name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

    Substitua os seguintes valores:

    • ORG_ID: o ID numérico da sua Google Cloud organização.
    • MEMBER_EMAIL_ADDRESS: o endereço de e-mail do principal que você quer usar para testar a restrição personalizada. Enquanto a restrição estiver ativa, esse principal não poderá receber o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto em que você aplicou a restrição.

  2. Aplique a restrição:

    gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml

  3. Verifique se a restrição existe:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Criar a política

  1. Salve o seguinte arquivo como policy-deny-project-iam-admin.yaml:

    name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
spec:
  rules:
  - enforce: true

    Substitua PROJECT_ID pelo ID do seu projeto.

  2. Aplique a política:

    gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml

  3. Verifique se a política existe:

    gcloud org-policies list --project=PROJECT_ID

Depois de aplicar a política, aguarde cerca de dois minutos para que o Google Cloud comece a aplicar a política.

Testar a política

Tente conceder o papel de administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) ao principal cujo endereço de e-mail você incluiu na restrição personalizada. Antes de executar o comando, substitua os seguintes valores:

  • PROJECT_ID: o ID do projeto do Google Cloud em que você aplicou a restrição.
  • EMAIL_ADDRESS: o endereço de e-mail do principal especificado ao criar a restrição de política da organização.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

A saída é esta:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

Exemplos de políticas personalizadas da organização para casos de uso comuns

A tabela a seguir mostra a sintaxe de algumas restrições personalizadas para casos de uso comuns.

Os exemplos a seguir usam as macros all e exists do CEL. Para mais informações sobre essas macros, consulte Macros para avaliar listas.

Descrição Sintaxe de restrição
Bloquear a capacidade de conceder uma função específica. 
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
Permitir apenas a concessão de funções específicas. 
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
Impedir que papéis que começam com roles/storage. sejam concedidos. 
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
Impedir que os papéis com admin no nome sejam revogados. 
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
Permitir que apenas principais específicos recebam papéis. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
Impedir que papéis sejam revogados de principais específicos. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
Impedir que participantes com endereços de e-mail que terminam em @gmail.com recebam papéis. 
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
Permitir que apenas papéis específicos sejam concedidos e apenas a principais específicos. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
Impedir que os papéis do Cloud Storage sejam concedidos a allUsers e allAuthenticatedUsers. 
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
Impedir que identidades fora da sua organização recebam papéis. 
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles
Permitir que apenas contas de serviço recebam papéis. 
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles
Impedir a remoção de agentes serviço gerenciado pelo Google das vinculações de papéis. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfGoogleManagedServiceAgents
resource_types: iam.googleapis.com/AllowPolicy
method_types:
  - REMOVE_GRANT
condition: |-
  resource.bindings.all(
      binding,
      binding.members.all(member,
        MemberTypeMatches(member, ['iam.googleapis.com/ServiceAgent'])
      )
    )
action_type: DENY
display_name: Deny Removal Of Google-Managed Service Agents
description: Restricts the removal of Google-managed service agents from role bindings. Please reach out to your organization admins for if you have any questions.

Políticas condicionais da organização

É possível tornar uma política da organização personalizada condicional usando tags. Por exemplo, imagine que você escreveu a seguinte restrição personalizada para impedir que qualquer papel que comece com roles/storage. seja concedido:

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

Para aplicar a restrição de forma condicional, crie uma política da organização como esta:

name: organizations/ORG_ID/policies/custom.dontgrantStorageRoles
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORG_ID/environment', 'dev')"
    enforce: true
  - enforce: false

Essa política da organização impede que papéis que começam com roles/storage. sejam concedidos em qualquer recurso que também tenha a tag environment=dev.

Recursos compatíveis com o Identity and Access Management

O IAM oferece suporte ao recurso AllowPolicy. Esse recurso tem o atributo resources.bindings, que é retornado para todos os métodos que modificam a política de permissão de um recurso. Todos os métodos que modificam a política de permissão de um recurso terminam com setIamPolicy.

O atributo resource.bindings tem a seguinte estrutura, em que BINDINGS é uma matriz de vinculações de papéis que foram modificadas durante uma mudança para uma política de permissão:

{
  "bindings": {
    BINDINGS
  }
}

Cada vinculação em resource.bindings tem a seguinte estrutura, em que ROLE é o nome do papel na vinculação de papel e MEMBERS é uma lista de identificadores de todos os principais que foram adicionados ou removidos da vinculação de papel:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

Para conferir os formatos que os identificadores principais podem ter, consulte Identificadores principais.

Só é possível avaliar o atributo resource.bindings e os campos dele usando as funções compatíveis. Outros operadores e funções, como ==, !=, in, contains, startsWith e endsWith, não são compatíveis.

Funções compatíveis

Use as seguintes funções CEL para avaliar papéis e membros individuais em uma vinculação.

Para avaliar todas as vinculações na matriz bindings ou todos os membros na matriz members, use as macros all e exists. Para mais informações, consulte Macros para avaliar listas nesta página.

Você também pode usar os operadores lógicos && (and) e || (or) para gravar condições de várias partes.

Função Descrição
RoleNameMatches(
  role,
  roleNames: list
)   bool

Retorna true se o papel role corresponder totalmente a no mínimo um dos papéis listados em roleNames.

Parâmetros
role: o papel a ser avaliado.
roleNames: uma lista de nomes de papéis a serem comparados.
Exemplo

Retorna true se o role no binding especificado for roles/storage.admin ou roles/compute.admin: 

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)   bool

Retorna true se o papel role começar com pelo menos uma das strings listadas em rolePrefixes.

Parâmetros
role: o papel a ser avaliado.
rolePrefixes: uma lista de strings para corresponder ao início da função.
Exemplo

Retornará true se o role no binding especificado começar com roles/storage: 

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)   bool

Retorna true se a função role terminar com pelo menos uma das strings listadas em roleSuffixes.

Parâmetros
role: o papel a ser avaliado.
roleSuffixes: uma lista de strings para corresponder ao final do papel.
Exemplo

Retorna true se o role no binding especificado terminar com .admin: 

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)   bool

Retorna true se o papel role contiver no mínimo uma das strings listadas em roleSubstrings.

Parâmetros
role: o papel a ser avaliado.
roleSubstrings: uma lista de strings para corresponder a qualquer parte do papel.
Exemplo

Retorna true se o role no binding especificado contiver a string admin: 

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)   bool

Retornará true se o membro member corresponder totalmente a no mínimo um dos membros listados em memberNames.

Se o identificador de member for um endereço de e-mail, essa função vai avaliar o endereço e todos os aliases dele.

Parâmetros
member: o membro a ser avaliado.
memberNames: uma lista de nomes de membros para correspondência.
Exemplo

Retorna true se o membro member for rosario@example.com: 

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectStartsWith(
  member,
  memberPrefixes: list
)   bool

Retorna true se o membro member começar com pelo menos uma das strings listadas em memberPrefixes.

Se o identificador de member for um endereço de e-mail, essa função vai avaliar o endereço e todos os aliases dele.

Parâmetros
member: o membro a ser avaliado.
memberPrefixes: uma lista de strings para corresponder ao início do nome do membro.
Exemplo

Retorna true se o membro member começar com user:prod-: 

MemberSubjectStartsWith(member, ['user:prod-'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)   bool

Retorna true se o membro member terminar com pelo menos uma das strings listadas em memberSuffixes.

Se o identificador de member for um endereço de e-mail, essa função vai avaliar o endereço e todos os aliases dele.

Parâmetros
member: o membro a ser avaliado.
memberSuffixes: uma lista de strings para corresponder ao final do nome do membro.
Exemplo

Retorna true se o membro member terminar com @example.com: 

MemberSubjectEndsWith(member, ['@example.com'])
MemberInPrincipalSet(
  member,
  principalSets: list
)   bool

Retorna true se o membro pertencer a pelo menos um dos conjuntos de principais listados.

Parâmetros
member: o membro a ser avaliado.

principalSets: uma lista de conjuntos de principais. Para que a função seja avaliada como true, o membro precisa estar em pelo menos um desses conjuntos de principais.

O único conjunto de principais compatível é o da organização, que tem o formato //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID. Quando usado na função MemberInPrincipalSet, esse conjunto principal inclui os seguintes principais:

  • Todas as identidades em todos os domínios associados ao seu ID de cliente do Google Workspace
  • Todos os pools de identidades da força de trabalho na sua organização
  • Todas as contas de serviço e os pools de identidades de carga de trabalho em qualquer projeto da organização
  • Todos os agentes de serviço associados aos recursos da sua organização.
Exemplo

Retorna true se o membro member pertencer à organização @example.com, que tem o ID 123456789012: 

MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
MemberTypeMatches(
  member,
  principalType: list
)   bool

Retorna true se o membro for um dos tipos principais listados.

Parâmetros
member: o membro a ser avaliado.
principalType: uma lista de tipos de principais. Para que a função seja avaliada como true, o membro precisa ser um dos tipos principais listados. Para saber quais tipos de principais são compatíveis, consulte Tipos de principais compatíveis com MemberTypeMatches.
Exemplo

Retorna true se o membro member tiver o tipo principal iam.googleapis.com/WorkspacePrincipal ou iam.googleapis.com/WorkspaceGroup: 

MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

Macros para avaliar listas

Use as macros all e exists para avaliar uma expressão de condição em uma lista de itens.

Macro Descrição
list.all(
  item,
  conditionExpression
)   bool

Retorna true se conditionExpression for avaliado como true para cada item em list.

Essa macro é usada normalmente para políticas personalizadas da organização com o actionType ALLOW. Por exemplo, você pode usar essa macro para garantir que uma ação só seja permitida se todos os principais modificados atenderem à condição.

Parâmetros
list: a lista de itens a serem avaliados.
item: o item da lista a ser avaliado. Por exemplo, se você chamar esse método na lista resource.bindings, use o valor binding.
conditionExpression: a expressão de condição para avaliar cada item.
Exemplo

Retorna true se todas as vinculações em resource.bindings tiverem papéis que começam com roles/storage.. Retorna false se alguma das vinculações tiver papéis que não começam com roles/storage.: 

resource.bindings.all(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))
list.exists(
  item,
  conditionExpression
)   bool

Retorna true se conditionExpression for avaliado como true para qualquer item em list.

Essa macro é normalmente usada para políticas personalizadas da organização com o actionType DENY. Por exemplo, use essa macro para garantir que uma ação seja negada se qualquer um dos principais modificados atender à condição.

Parâmetros
list: a lista de itens a serem avaliados.
item: o item da lista a ser avaliado. Por exemplo, se você chamar esse método na lista resource.bindings, use o valor binding.
conditionExpression: a expressão de condição para avaliar cada item.
Exemplo

Retorna true se alguma das vinculações em resource.bindings tiver papéis que começam com roles/storage.. Retorna false se nenhuma das vinculações tiver papéis que comecem com roles/storage.: 

resource.bindings.exists(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

Condições com listas aninhadas

Em geral, se a condição incluir listas aninhadas, use a mesma macro para todas as listas.

Veja estes exemplos:

  • Se a política tiver actionType ALLOW, use a macro all nas listas members e bindings para garantir que as modificações na política só sejam permitidas se todos os membros em todas as vinculações modificadas atenderem à condição.
  • Se a política tiver o actionType DENY, use a macro exists para as listas members e bindings. Assim, as modificações na política não serão permitidas se qualquer membro em qualquer vinculação modificada satisfizer a condição.

Misturar macros em uma única condição pode resultar em uma condição que não se comporta como você pretendia.

Por exemplo, imagine que você queira impedir que papéis sejam concedidos a membros fora da organização example.com. A organização example.com tem o ID 123456789012.

Para atingir essa meta, escreva a seguinte condição:

Não recomendado: condição mal configurada

"resource.bindings.all(
  binding,
  binding.members.exists(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

Essa condição parece impedir que papéis sejam concedidos a membros fora da organização example.com. No entanto, a condição será avaliada como true se qualquer membro em cada uma das vinculações de função modificadas estiver na organização example.com. Como resultado, ainda é possível conceder funções a membros fora da organização example.com se você também conceder a mesma função a um membro na organização example.com.

Por exemplo, a condição é avaliada como true para o seguinte conjunto de vinculações, mesmo que um dos membros não esteja na organização example.com:

 "bindings": [
    {
      "members": [
        "user:raha@altostrat.com",
        "user:jie@example.com"
      ],
      "role": "roles/resourcemanager.projectCreator"
    }
  ],

Em vez disso, escreva uma condição como esta:

Recomendado: condição configurada corretamente

"resource.bindings.all(
  binding,
  binding.members.all(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

Usar a macro all para a matriz members.bindings e a matriz resource.bindings garante que a condição seja avaliada como true somente se todos os membros em todas as vinculações estiverem no conjunto principal example.com.

Tipos de principais compatíveis com MemberTypeMatches

A função MemberTypeMatches exige que você especifique qual tipo de principal o membro especificado precisa corresponder.

A tabela a seguir lista os tipos de principais que podem ser inseridos e uma descrição do que cada um representa. Ela também lista os identificadores principais que correspondem a cada tipo de principal. Esses identificadores são os valores usados nas políticas do IAM.

Tipo principal Descrição Identificadores principais
iam.googleapis.com/ConsumerPrincipal Uma Conta do Google pessoal. Os endereços de e-mail dessas contas geralmente terminam em gmail.com. user:USER_EMAIL_ADDRESS
iam.googleapis.com/WorkspacePrincipal Uma Conta do Google que faz parte de uma conta do Cloud Identity ou do Google Workspace. Elas também são chamadas de contas de usuário gerenciadas. user:USER_EMAIL_ADDRESS
iam.googleapis.com/ConsumerGroup Um grupo do Google criado por uma Conta do Google de consumidor. Esses grupos não são de propriedade de uma conta do Cloud Identity ou do Google Workspace. Os endereços de e-mail desses grupos geralmente terminam em googlegroups.com. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/WorkspaceGroup Um grupo do Google de propriedade de uma conta do Cloud Identity ou do Google Workspace. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/Domain Uma conta do Cloud Identity ou do Google Workspace. domain:DOMAIN
iam.googleapis.com/WorkforcePoolPrincipal Um único principal em um pool de identidade da força de trabalho. principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkforcePoolPrincipalSet Um conjunto de principais que contém um conjunto de identidades em um pool de identidades da força de trabalho. Por exemplo, um conjunto principal que contém todos os principais em um pool de identidades da força de trabalho.
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
iam.googleapis.com/WorkloadPoolPrincipal Uma única identidade em um pool de identidades de carga de trabalho principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkloadPoolPrincipalSet Um conjunto de principais que contém um conjunto de identidades em um pool de identidades da carga de trabalho. Por exemplo, um conjunto principal que contém todos os principais em um pool de identidades de carga de trabalho.
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
iam.googleapis.com/ServiceAccount

Qualquer conta de serviço. Uma conta de serviço é um tipo especial de conta que representa uma carga de trabalho, e não um usuário humano.

No contexto da função MemberTypeMatches, esse tipo principal não inclui agentes de serviço.

serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS
iam.googleapis.com/ServiceAgent Qualquer agente de serviço. Um agente de serviço é um tipo especial de conta de serviço que Google Cloud cria e gerencia. Quando recebem papéis nos seus projetos, os agentes de serviço permitem que os serviços do Google Cloud realizem ações em seu nome. serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS
iam.googleapis.com/PublicPrincipals Os principais allUsers e allAuthenticatedUsers.
  • allUsers
  • allAuthenticatedUsers
iam.googleapis.com/ProjectRoleReference Principais definidos com base no papel concedido a eles. Esses principais também são chamados de valores de conveniência.
  • projectOwner:PROJECT_ID
  • projectEditor:PROJECT_ID
  • projectViewer:PROJECT_ID
iam.googleapis.com/ResourcePrincipal Um recurso com uma identidade integrada. Qualquer um dos identificadores principais listados em Identificadores principais para recursos únicos.
iam.googleapis.com/ResourcePrincipalSet Recursos com identidades integradas que compartilham determinadas características, como tipo ou ancestral. Qualquer um dos identificadores listados em Identificadores principais para conjuntos de recursos.

A seguir