Restringir o uso do serviço

Nesta página, você encontra uma visão geral da restrição de política da organização Restringir o uso do serviço, que permite aos administradores corporativos controlar quais serviços doGoogle Cloud podem ser usados na hierarquia de recursos do Google Cloud. Essa restrição só pode ser aplicada a serviços com recursos que são descendentes diretos de um recurso de organização, pasta ou projeto. Por exemplo, o Compute Engine e o Cloud Storage.

A restrição Restringir o uso do serviço de recursos exclui e não funciona com determinados serviços que são dependências essenciais para produtos do Google Cloud , como o Identity and Access Management (IAM), o Cloud Logging e o Cloud Monitoring. Para ver a lista de serviços de recursos da nuvem compatíveis com essa restrição, consulte Serviços que aceitam a restrição de uso.

Os administradores podem usar essa restrição para definir restrições hierárquicas nos serviços de recursos Google Cloud permitidos em um contêiner de recursos, como uma organização, uma pasta ou um projeto. Por exemplo, permita storage.googleapis.com no projeto X ou negue compute.googleapis.com na pasta Y. Essa restrição também determina a disponibilidade do consoleGoogle Cloud .

A restrição Restringir o uso do serviço de recurso pode ser usada de duas formas mutuamente exclusivas:

  • Lista de bloqueio: recursos de qualquer serviço que não tenha sido negado são permitidos.

  • Lista de permissões: os recursos de qualquer serviço que não seja permitido são negados.

A restrição Restringir o uso do serviço de recurso controla o acesso ao ambiente de execução para todos os recursos no escopo. Quando a política da organização que contém essa restrição é atualizada, ela é aplicada imediatamente a todos os acessos aos recursos no escopo da política, com consistência posterior.

Recomendamos que os administradores gerenciem cuidadosamente as atualizações das políticas da organização que contêm essa restrição. É possível lançar essa mudança de política com mais segurança usando tags para aplicar a restrição condicionalmente. Para mais informações, consulte Definir o escopo das políticas da organização com tags.

Quando um serviço é restrito por esta política, alguns Google Cloud serviços que têm uma dependência direta do serviço restrito também são restritos. Isso só se aplica a serviços que gerenciam os mesmos recursos do cliente. Por exemplo, o Google Kubernetes Engine (GKE) tem uma dependência do Compute Engine. Quando o Compute Engine é restrito, o GKE também é.

Google Cloud Disponibilidade do console

Os serviços restritos no console do Google Cloud funcionam da seguinte maneira:

  • Não é possível navegar até um produto usando o menu .
  • Os serviços restritos não aparecem nos resultados da pesquisa do console Google Cloud .
  • Quando você acessa a página do console de um serviço restrito, como por um link ou marcador, uma mensagem de erro aparece. Google Cloud

Como usar a restrição "Restringir o uso do serviço de recurso"

As restrições de política da organização podem ser definidas no nível da organização, da pasta e do projeto. Cada política se aplica a todos os recursos na hierarquia de recursos correspondente, mas pode ser substituída em níveis inferiores da hierarquia.

Para mais informações sobre a avaliação de políticas, consulte Avaliação de hierarquia.

Como definir a política da organização

Para definir, alterar ou excluir uma política da organização, você precisa ter o papel Administrador da Política da organização.

Console

Para definir uma política da organização que inclua uma restrição Restringir o uso do serviço de recurso, faça o seguinte:

  1. No console do Google Cloud , acesse a página Políticas da organização.

    Acessar a página Políticas da organização

  2. No seletor de projetos, selecione o recurso em que você quer definir a política da organização.

  3. Na tabela de políticas da organização, selecione Restringir o uso do serviço de recurso.

  4. Clique em Gerenciar política.

  5. Em É aplicável a, selecione Substituir a política do recurso pai.

  6. Em Aplicação da política, escolha como aplicar a herança a essa política.

    1. Se você quiser herdar a política da organização do recurso pai e mesclá-lo com este, selecione Mesclar com pai.

    2. Se você quiser modificar as políticas da organização existentes, selecione Substituir.

  7. Clique em Adicionar uma regra.

  8. Em Valores da política, selecione Personalizado.

  9. Em Tipo de política, selecione Negar para a lista de proibições ou Permitir para a lista de permissões.

  10. Em Valores personalizados, adicione o serviço que você quer bloquear ou permitir à lista.

    1. Por exemplo, para bloquear o Cloud Storage, digite storage.googleapis.com.

    2. Para adicionar mais serviços, clique em Adicionar valor.

  11. Para aplicar a política, clique em Definir política.

gcloud

As políticas da organização podem ser definidas pela Google Cloud CLI. Para aplicar uma política da organização que inclua a restrição Restringir o uso do serviço, primeiro crie um arquivo YAML com a política a ser atualizada:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
      deniedValues:
      - file.googleapis.com
      - bigquery.googleapis.com
      - storage.googleapis.com

Substitua ORGANIZATION_ID pelo ID do recurso da organização. Para definir essa política na organização, execute o seguinte comando:

gcloud org-policies set-policy /tmp/policy.yaml

Para saber como usar restrições nas políticas da organização, consulte Criar políticas da organização.

Restringir recursos sem tag

É possível usar tags e políticas condicionais da organização para restringir recursos que não estão usando uma tag específica. Se você definir uma política da organização em um recurso que restringe serviços e a condicionar à presença de uma tag, nenhum recurso filho derivado desse recurso poderá ser usado, a menos que tenha sido marcado. Assim, os recursos precisam ser configurados de acordo com seu plano de governança antes de serem usados.

Para restringir recursos não identificados de organização, pasta ou projeto, use o operador lógico ! em uma consulta condicional ao criar a política da organização.

Por exemplo, para permitir o uso de sqladmin.googleapis.com apenas em projetos que tenham a tag sqladmin=enabled, crie uma política da organização que negue sqladmin.googleapis.com em projetos que não tenham a tag sqladmin=enabled.

  1. Crie uma tag que identifique se os recursos tiveram a governança adequada aplicada. Por exemplo, é possível criar uma tag com a chave sqlAdmin e o valor enabled para designar que esse recurso deve permitir o uso da API Cloud SQL Admin. Exemplo:

    Como criar uma chave e um valor de tag

  2. Clique no nome da tag recém-criada. Você vai precisar do nome com namespace da chave de tag, listado em Caminho da chave de tag, nas próximas etapas para criar uma condição.

  3. Crie uma política da organização Restringir o uso do serviço de recursos no nível do recurso da organização para negar o acesso à API Cloud SQL Admin. Exemplo:

    Como criar uma política da organização para restringir recursos

  4. Adicione uma condição à política da organização acima, especificando que ela será aplicada se a tag de governança não estiver presente. O operador lógico NOT indisponível com o criador de condições. Portanto, essa condição precisa ser criada no editor de condições. Exemplo:

    Como criar uma política condicional da organização

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Agora, a tag sqlAdmin=enabled precisa ser anexada ou herdada por um projeto antes que os desenvolvedores possam usar a API Cloud SQL Admin com ele.

Para mais informações sobre como criar políticas condicionais da organização, consulte Definir o escopo das políticas da organização com tags.

Criar uma política da organização no modo de teste

Uma política da organização no modo de simulação é um tipo de política em que as violações são registradas em auditoria, mas as ações violadoras não são negadas. Você pode criar uma política da organização no modo de teste usando a restrição Restringir o uso do serviço de recursos para monitorar como ela afetaria sua organização antes de aplicar a política ativa. Para mais informações, consulte Testar políticas da organização.

Mensagem de erro

Se você definir uma política da organização para negar o serviço A na hierarquia do recurso B, quando um cliente tentar usar o serviço A na hierarquia do recurso B, a operação falhará. Um erro é retornado descrevendo o motivo dessa falha. Além disso, uma entrada AuditLog é gerada para monitoramento, alerta ou depuração.

Exemplo de mensagem de erro

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Exemplo de registros de auditoria do Cloud

Captura de tela do exemplo do registro de auditoria