Administra recursos de Memorystore for Redis Cluster con restricciones personalizadas

Google Cloud La política de la organización te brinda un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de limitaciones llamadas restricciones que se aplican a los Google Cloud recursos y a sus subordinados de en la Google Cloud jerarquía de recursos de. Puedes aplicar políticas de la organización a nivel de la organización, carpeta o proyecto.

La política de la organización proporciona restricciones predefinidas para varios Google Cloud servicios. Sin embargo, si deseas un control más detallado y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear políticas de la organización personalizadas.

Cuando implementas una política de la organización personalizada, aplicas configuraciones y restricciones coherentes. Esto garantiza que tus instancias de Memorystore for Redis Cluster cumplan con las prácticas recomendadas de seguridad y los requisitos reglamentarios.

Beneficios

Puedes usar una política de la organización personalizada para permitir o denegar recursos específicos de Memorystore for Redis Cluster. Por ejemplo, si una solicitud para crear o actualizar un clúster de Redis no satisface la validación de restricciones personalizadas según lo establece la política de la organización, la solicitud fallará y se devolverá un error a la persona que llama.

Herencia de políticas

De forma predeterminada, las políticas de la organización se heredan según los subordinados de los recursos en los que se aplica la política. Por ejemplo, si aplicas una política en una carpeta, Google Cloud aplica la política en todos los proyectos en ella. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta Reglas de evaluación de la jerarquía.

Precios

El Servicio de políticas de la organización, que incluye las políticas de la organización predefinidas y personalizadas, se ofrece sin cargo.

Limitaciones

Al igual que todas las restricciones de políticas de la organización, los cambios de política no se aplican de forma retroactiva a las instancias existentes.

  • Una política nueva no afecta la configuración de las instancias existentes.
  • La configuración de una instancia existente sigue siendo válida, a menos que cambies la configuración de la instancia de un estado de cumplimiento a uno de no cumplimiento con la Google Cloud consola de, Google Cloud CLI o RPC.
  • Una actualización de mantenimiento programada no genera la aplicación de una política, ya que el mantenimiento no cambia la configuración de las instancias.

Antes de comenzar

  1. Configura tu proyecto.
    1. Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. Instala Google Cloud CLI.

    5. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

    6. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

      gcloud init

    7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    8. Verify that billing is enabled for your Google Cloud project.

    9. Instala Google Cloud CLI.

    10. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

    11. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

      gcloud init
    12. Asegúrate de conocer tu ID de organización.

Roles obligatorios

Para obtener los permisos que necesitas a fin de administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en el recurso de organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

También debes agregar los roles obligatorios para crear Memorystore for Redis Cluster a tu cuenta de usuario. Consulta Configura el acceso a los recursos de Memorystore for Redis Cluster.

Crea una restricción personalizada

Puedes crear una restricción personalizada con un archivo YAML para definir los recursos, los métodos, las condiciones y las acciones que están sujetos a la restricción. Estos son específicos del servicio en el que aplicas la política de la organización. Las condiciones para tus restricciones personalizadas se deben definir con Common Expression Language. Consulta la página de GitHub sobre Common Expression Language (CEL). Para obtener más información para crear condiciones en restricciones personalizadas con CEL, consulta la sección CEL de Crea y administra restricciones personalizadas.

Usa la siguiente plantilla para crear un archivo YAML para una restricción personalizada:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- redis.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Reemplaza los valores que se indican a continuación:

  • ORGANIZATION_ID: el ID de la organización, como 123456789.

  • CONSTRAINT_NAME: el nombre que deseas para tu nueva restricción personalizada. Una restricción personalizada debe comenzar con custom. y solo puede incluir letras mayúsculas, minúsculas o números, por ejemplo, custom.restrictFiveShardClusters. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo, por ejemplo, organizations/123456789/customConstraints/custom.allowConstraint.

  • RESOURCE_NAME: el nombre (no el URI) del recurso de Memorystore for Redis Cluster que contiene el objeto y el campo que deseas restringir. Por ejemplo, redis.googleapis.com/Cluster.

  • CONDITION: Es una condición de CEL que se escribe en una representación de un recurso de servicio compatible. La longitud máxima de este campo es de 1,000 caracteres. Consulta Recursos admitidos y obtén más información sobre los recursos disponibles para escribir condiciones. Por ejemplo, "resource.shardCount == 5".

  • ACTION: Es la acción que se realiza si se cumple condition. Puede ser ALLOW o DENY.

  • DISPLAY_NAME: un nombre descriptivo para la restricción. La longitud máxima de este campo es 200 caracteres.

  • DESCRIPTION: una descripción fácil de usar de la restricción que se mostrará como un mensaje de error cuando se infringe la política. La longitud máxima de este campo es 2000 caracteres.

Para obtener más información sobre cómo crear una restricción personalizada, consulta Crea y administra políticas personalizadas de la organización.

Configura una restricción personalizada

Después de crear el archivo YAML de una nueva restricción personalizada, debes configurarla con el objetivo de que esté disponible para las políticas de la organización de tu empresa.

Para configurar una restricción personalizada, usa el el gcloud org-policies set-custom-constraint comando:

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

Reemplaza CONSTRAINT_PATH por la ruta de acceso completa al archivo de la restricción personalizada. Por ejemplo, /home/user/customconstraint.yaml. Después de configurar tus restricciones personalizadas, estarán disponibles como políticas de la organización en la lista correspondiente de Google Cloud políticas de la organización.

Para verificar que la restricción personalizada exista, usa el gcloud org-policies list-custom-constraints comando:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Reemplaza ORGANIZATION_ID por el ID del recurso de tu organización. Para obtener más información, consulta Visualiza las políticas de la organización.

Aplica de manera forzosa una política de la organización personalizada

Puedes aplicar una restricción cuando creas una política de la organización que haga referencia a ella y, luego, aplicas esa política a un recurso de Google Cloud .

Consola

  1. En la consola de Google Cloud , ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el selector de proyectos, elige el proyecto cuya política de la organización quieres configurar.
  3. En la lista de la página Políticas de la organización, selecciona una restricción para ver la página Detalles de la política de esa restricción.
  4. Si deseas configurar las políticas de la organización para este recurso, haz clic en Administrar política.
  5. En la página Editar política, selecciona Anular la política del elemento superior.
  6. Haz clic en Agregar una regla.
  7. En la sección Aplicación, selecciona si quieres que se aplique o no esta política de la organización.
  8. Opcional: Para que la política de la organización sea condicional en una etiqueta, haz clic en Agregar condición. Ten en cuenta que, si agregas una regla condicional a una política de la organización , debes agregar una regla sin condición como mínimo; de lo contrario, la política no se puede guardar. Para obtener más información, consulta Define el alcance de las políticas de la organización con etiquetas.
  9. Haz clic en Probar cambios para simular el efecto de la política de la organización. Para obtener más información, consulta Prueba los cambios en políticas de la organización con Policy Simulator.
  10. Para aplicar la política de la organización en modo de ejecución de prueba, haz clic en Establecer política de ejecución de prueba. Para obtener más información, consulta Prueba las políticas de la organización.
  11. Luego de verificar que la política de la organización en el modo de ejecución de prueba funciona según lo previsto, configura la política activa haciendo clic en Configurar política.

gcloud

  1. Para crear una política de la organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción: 
    2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

    Reemplaza los valores que se indican a continuación:

    • PROJECT_ID: Es el proyecto en el que quieres aplicar tu restricción.
    • CONSTRAINT_NAME: Es el nombre que definiste para tu restricción personalizada. Por ejemplo: custom.restrictFiveShardClusters.
  2. Para aplicar la política de la organización en el modo de ejecución de prueba, ejecuta el comando siguiente con la marca dryRunSpec: 
    3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    Reemplaza POLICY_PATH por la ruta de acceso completa al archivo YAML de la política de la organización. La política tarda hasta 15 minutos en aplicarse.

  3. Luego de verificar que la política de la organización en modo de ejecución de prueba funciona según lo previsto, configura la política activa con el comando org-policies set-policy y la marca spec: 
    4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    Reemplaza POLICY_PATH por la ruta de acceso completa al archivo YAML de la política de la organización. La política tarda hasta 15 minutos en aplicarse.

Prueba una restricción personalizada

Para probar una restricción personalizada, ejecuta un comando de gcloud que intente crear un clúster de Redis.

Por ejemplo, supongamos que una restricción limita la creación de clústeres de Redis con cinco fragmentos. Para probar esta restricción, puedes ejecutar el comando gcloud redis clusters create con shard-count establecido en 5, como se muestra en el siguiente fragmento:


gcloud redis clusters create redis-cluster-test \
    --replica-count=0 \
    --region=us-east1 \
    --project=my-project \
    --network=projects/my-project/global/networks/default \
    --node-type=redis-shared-core-nano
    --shard-count=5 \

El resultado es similar a este:

Operation denied by custom org policies: ["customConstraints/custom.restrictFiveShardClusters": "Prevent users from creating Redis clusters with five shards."]

Operaciones y recursos admitidos de Memorystore for Redis Cluster

Los siguientes campos de restricción personalizada de Memorystore for Redis Cluster están disponibles para usarse cuando creas o actualizas un recurso de Memorystore for Redis Cluster.

  • Clúster de Memorystore for Redis Cluster
    • resource.authorizationMode
    • resource.deletionProtectionEnabled
    • resource.name
    • resource.nodeType
    • resource.persistenceConfig.aofConfig.appendFsync
    • resource.persistenceConfig.mode
    • resource.persistenceConfig.rdbConfig.rdbSnapshotPeriod
    • resource.persistenceConfig.rdbConfig.rdbSnapshotStartTime
    • resource.pscConfigs.network
    • resource.redisConfigs
    • resource.replicaCount
    • resource.shardCount
    • resource.transitEncryptionMode

Ejemplos de restricciones personalizadas

En la siguiente tabla, se proporciona un ejemplo de restricción personalizada que limita los clústeres de Redis con cinco fragmentos:

Descripción Sintaxis de la restricción
Limita los clústeres de Redis con cinco fragmentos 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictFiveShardClusters
    resourceTypes:
    - redis.googleapis.com/Cluster
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.shardCount == 5"
    actionType: DENY
    displayName: Restrict five shard Redis clusters
    description: Prevent users from creating Redis clusters with five shards.

¿Qué sigue?