Restringe el uso de servicios

En esta página, se proporciona una descripción general de la restricción de políticas de la organización Restringe el uso de servicios del recurso , que permite a los administradores empresariales controlar qué Google Cloud Google Cloud jerarquía de recursos. Esta restricción solo se puede aplicar a los servicios con recursos que son descendientes directos de un recurso de organización, carpeta o proyecto. Por ejemplo, Compute Engine y Cloud Storage.

La restricción Restringe el uso de servicios del recurso excluye y no funciona con ciertos servicios que son dependencias esenciales para Google Cloud productos, como Identity and Access Management (IAM), Cloud Logging y Cloud Monitoring. Para obtener la lista de los servicios de recursos en la nube que admite esta restricción, consulta Servicios que admiten la restricción del uso de servicios.

Los administradores pueden usar esta restricción para definir restricciones jerárquicas sobre los servicios de recursos permitidos Google Cloud dentro de un contenedor de recursos, como una organización, una carpeta o un proyecto. Por ejemplo, permitir storage.googleapis.com dentro del proyecto X o denegar compute.googleapis.com dentro de la carpeta Y. Esta restricción también determina Google Cloud la disponibilidad de la consola.

La restricción Restringe el uso de servicios del recurso se puede usar de dos maneras mutuamente excluyentes:

  • Lista de denegación: Se permiten los recursos de cualquier servicio que no esté denegado.

  • Lista de entidades permitidas: Se deniegan los recursos de cualquier servicio que no esté permitido.

La restricción Restringe el uso de servicios del recurso controla el acceso en el tiempo de ejecución a todos los recursos dentro del alcance. Cuando se actualiza la política de la organización que contiene esta restricción, se aplica de inmediato a todo el acceso a todos los recursos dentro del alcance de la política, con coherencia eventual.

Recomendamos que los administradores administren cuidadosamente las actualizaciones de las políticas de la organización que contienen esta restricción. Puedes implementar este cambio de política de forma más segura con etiquetas para aplicar la restricción de forma condicional. Para obtener más información, consulta Define el alcance de las políticas de la organización con etiquetas.

Cuando un servicio está restringido por esta política, algunos Google Cloud servicios que tienen una dependencia directa del servicio restringido también se restringirán. Esto solo se aplica a los servicios que administran los mismos recursos del cliente. Por ejemplo, Google Kubernetes Engine (GKE) tiene una dependencia de Compute Engine. Cuando Compute Engine está restringido, GKE también lo está.

Google Cloud Disponibilidad de la consola

Los servicios restringidos en la Google Cloud consola se comportan de la siguiente manera:

  • No puedes navegar a un producto con el menú.
  • Los servicios restringidos no aparecen en los resultados de la búsqueda de la Google Cloud consola.
  • Cuando navegas a la página de la consola de un servicio restringido Google Cloud , por ejemplo , desde un vínculo o un marcador, aparece un mensaje de error.

Usa la restricción Restringe el uso de servicios del recurso

Las restricciones de políticas de la organización se pueden establecer a nivel de la organización, la carpeta y el proyecto. Cada política se aplica a todos los recursos dentro de su jerarquía de recursos correspondiente, pero se puede anular en niveles inferiores de la jerarquía de recursos.

Para obtener más información sobre la evaluación de políticas, consulta Evaluación de jerarquías.

Configura la política de la organización

Si deseas establecer, cambiar o borrar una política de la organización, debes tener la función de Administrador de políticas de la organización.

Console

Para establecer una política de la organización que incluya una restricción Restringe el uso de servicios del recurso, haz lo siguiente:

  1. En la Google Cloud consola, accede a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el selector de proyectos, selecciona el recurso para el que deseas configurar la política de la organización.

  3. En la tabla de políticas de la organización, selecciona Restringir el uso de servicios.

  4. Haz clic en Administrar política.

  5. En Se aplica a, selecciona Anular la política del elemento superior.

  6. En Aplicación de la política, elige cómo aplicar la herencia a esta política.

    1. Si deseas heredar la política de la organización del recurso superior y combinarla con esta, selecciona Combinar con superior.

    2. Si deseas anular las políticas de la organización existentes, selecciona Reemplazar.

  7. Haz clic en Agregar una regla.

  8. En Valores de la política, selecciona Personalizar.

  9. En Tipo de política, selecciona Rechazar para la lista de denegación o Permitir para la lista de entidades permitidas.

  10. En Valores personalizados, agrega el servicio que deseas bloquear o permitir a la lista.

    1. Por ejemplo, para bloquear Cloud Storage, puedes ingresar storage.googleapis.com.

    2. Para agregar más servicios, haz clic en Agregar valor.

  11. Para aplicar la política, haz clic en Establecer política.

gcloud

Las políticas de la organización se pueden configurar a través de Google Cloud CLI. Para aplicar una política de la organización que incluya la restricción Restringe el uso de servicios del recurso, primero crea un archivo YAML con la política que se actualizará:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
      deniedValues:
      - file.googleapis.com
      - bigquery.googleapis.com
      - storage.googleapis.com

Reemplaza ORGANIZATION_ID por el ID del recurso de tu organización. Para establecer esta política en esa organización, ejecuta el siguiente comando:

gcloud org-policies set-policy /tmp/policy.yaml

Para obtener información sobre el uso de restricciones en las políticas de la organización, consulta Crea políticas de la organización.

Restringe los recursos sin etiquetas

Puedes usar etiquetas y políticas de la organización condicionales para restringir cualquier recurso que no use una etiqueta en particular. Si estableces una política de la organización en un recurso que restringe los servicios y la condicionas a la presencia de una etiqueta, no se podrán usar recursos secundarios que desciendan de ese recurso, a menos que se les haya aplicado una etiqueta. De esta manera, los recursos se deben configurar de acuerdo con tu plan de administración antes de que se puedan usar.

Para restringir los recursos de la organización, la carpeta o el proyecto sin etiquetas, puedes usar el operador lógico ! en una consulta condicional cuando crees tu política de la organización.

Por ejemplo, para permitir el uso de sqladmin.googleapis.com solo en proyectos que tengan la etiqueta sqladmin=enabled, puedes crear una política de la organización que deniegue sqladmin.googleapis.com en proyectos que no tengan la etiqueta sqladmin=enabled.

  1. Crea una etiqueta que identifique si se aplicó la administración adecuada a los recursos. Por ejemplo, puedes crear una etiqueta con la clave sqlAdmin y el valor enabled para designar que este recurso debe permitir el uso de la API de Cloud SQL Admin. Por ejemplo:

    Cómo crear una clave y un valor de etiqueta

  2. Haz clic en el nombre de la etiqueta recién creada. Necesitarás el nombre con espacio de nombres de la clave de etiqueta, que aparece en Ruta de acceso de la clave de etiqueta, en los próximos pasos para crear una condición.

  3. Crea una política de la organización Restringe el uso de servicios a nivel del recurso de tu organización para denegar el acceso a la API de Cloud SQL Admin. Por ejemplo:

    Crea una política de la organización para restringir recursos

  4. Agrega una condición a la política de la organización anterior y especifica que la política se aplica si la etiqueta de administración no está presente. El operador lógico NOT no es compatible con el creador de condiciones, por lo que esta condición se debe compilar en el editor de condiciones. Por ejemplo:

    Cómo compilar una política de la organización condicional

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Ahora, la etiqueta sqlAdmin=enabled se debe adjuntar a un proyecto o heredarse de él para que los desarrolladores puedan usar la API de Cloud SQL Admin con ese proyecto.

Para obtener más información sobre la creación de políticas de la organización condicionales, consulta Define el alcance de las políticas de la organización con etiquetas.

Crea una política de la organización en modo de ejecución de prueba

Una política de la organización en modo de ejecución de prueba es un tipo de política de la organización en la que se registran las violaciones de la política, pero no se deniegan las acciones que las violan. Puedes crear una política de la organización en modo de ejecución de prueba con la restricción Restringe el uso de servicios del recurso para supervisar cómo afectaría a tu organización antes de aplicar la política activa. Para obtener más información, consulta Prueba las políticas de la organización.

Mensaje de error

Si configuras una política de la organización para denegar el servicio A dentro de la jerarquía de recursos B, cuando un cliente intenta usar el servicio A dentro de la jerarquía de recursos B, la operación falla. Se muestra un error que describe el motivo de esta falla. Además, se generará una entrada de AuditLog para una mayor supervisión, alertas o depuración.

Ejemplo de mensaje de error

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Ejemplo de Registros de auditoría de Cloud

Captura de pantalla de una entrada de registro de auditoría de ejemplo