Creazione e gestione di vincoli personalizzati

La policy dell'organizzazioneGoogle Cloud offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore delle policy dell'organizzazione, puoi definire una policy dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorseGoogle Cloud e ai discendenti di queste risorse nella gerarchia delle risorseGoogle Cloud . Puoi applicare le policy dell'organizzazione a livello di organizzazione, cartella o progetto.

La policy dell'organizzazione fornisce vincoli predefiniti per vari serviziGoogle Cloud . Tuttavia, se vuoi un maggiore controllo dalle policy dell'organizzazione, puoi creare policy dell'organizzazione personalizzate.

Questo documento descrive come visualizzare, creare e gestire le policy dell'organizzazione personalizzate in qualità di amministratore. Con le policy dell'organizzazione personalizzate, puoi personalizzare il controllo sui campi specifici limitati dalle policy della tua organizzazione.

Prima di iniziare

• Per saperne di più su cosa sono le policy e i vincoli dell'organizzazione e su come funzionano, consulta la pagina Introduzione al servizio Policy dell'organizzazione.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:

• Amministratore delle policy dell'organizzazione (roles/orgpolicy.policyAdmin)
• Per abilitare le API Google Cloud : Consumer servizi (roles/serviceusage.serviceUsageConsumer)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Puoi delegare l'amministrazione delle policy dell'organizzazione aggiungendo condizioni IAM al binding del ruolo Amministratore policy dell'organizzazione. Per controllare le risorse in cui un'entità può gestire le policy dell'organizzazione, puoi rendere l'associazione di ruolo condizionale a un particolare tag. Per saperne di più, consulta la pagina Utilizzo dei vincoli.

Vincoli personalizzati

Un vincolo personalizzato è definito in un file YAML, che specifica le risorse, i metodi, le condizioni e le azioni soggette al vincolo. Il comportamento dei vincoli personalizzati e i parametri supportati sono specifici per ogni servizio. Le condizioni per i vincoli personalizzati vengono definite utilizzando il Common Expression Language (CEL).

Configura un vincolo personalizzato

Puoi creare un vincolo personalizzato e configurarlo per l'utilizzo nelle policy dell'organizzazione utilizzando la console Google Cloud o Google Cloud CLI.

Aggiornare un vincolo personalizzato

Puoi aggiornare un vincolo personalizzato modificandolo nella consoleGoogle Cloud o creando un nuovo file YAML e utilizzando di nuovo il comando gcloud CLI set-custom-constraint. Non esiste il controllo delle versioni dei vincoli personalizzati, pertanto questo sovrascrive il vincolo personalizzato esistente. Se il vincolo personalizzato è già applicato, il vincolo personalizzato aggiornato ha effetto immediato.

Eliminare un vincolo personalizzato

Puoi eliminare un vincolo personalizzato utilizzando la console Google Cloud o Google Cloud CLI.

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Se elimini un vincolo personalizzato, tutte le policy create utilizzando questo vincolo continuano a esistere, ma vengono ignorate. Non puoi creare un altro vincolo personalizzato con lo stesso nome di un vincolo personalizzato eliminato.

Testare e analizzare le modifiche alla policy dell'organizzazione

Ti consigliamo di testare e provare tutte le modifiche alle norme della tua organizzazione per capire in che modo influiscono sul tuo ambiente.

Policy Simulator per i criteri dell'organizzazione ti aiuta a comprendere l'effetto di un vincolo e di un criterio dell'organizzazione sul tuo ambiente attuale. Utilizzando questo strumento, puoi esaminare tutte le configurazioni delle risorse per vedere dove si verificano le violazioni, prima che il criterio venga applicato al tuo ambiente di produzione. Per istruzioni dettagliate, vedi Testa le modifiche alla policy dell'organizzazione con Policy Simulator.

Quando comprendi l'effetto attuale, puoi creare un criterio dell'organizzazione in modalità di prova per comprendere l'impatto e le potenziali violazioni di un criterio nei prossimi 30 giorni. Una policy dell'organizzazione in modalità dry run è un tipo di policy dell'organizzazione in cui le violazioni della policy vengono registrate nel log di controllo, ma le azioni che violano la policy non vengono rifiutate. Puoi creare una policy dell'organizzazione in modalità di prova da un vincolo personalizzato utilizzando la console Google Cloud o Google Cloud CLI. Per istruzioni dettagliate, vedi Creare una policy dell'organizzazione in modalità dry run.

Forza l'applicazione di una policy dell'organizzazione personalizzata

Una volta configurato, un vincolo personalizzato funziona in modo identico ai vincoli booleani predefiniti. Google Cloud Controlla prima i vincoli personalizzati quando valuta se una richiesta utente è consentita. Se una delle policy personalizzate dell'organizzazione nega la richiesta, quest'ultima viene rifiutata. Poi, Google Cloud controlla i criteri dell'organizzazione predefiniti applicati a quella risorsa.

Vincolo di esempio

Puoi definire vincoli personalizzati simili a quelli predefiniti forniti da Google. Un tipico file YAML di vincolo personalizzato ha un aspetto simile al seguente:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if
AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

Il servizio Criteri dell'organizzazione utilizza Common Expression Language (CEL) per valutare le condizioni sui vincoli personalizzati. CEL è un linguaggio open source non Turing completo che implementa la semantica comune per la valutazione delle espressioni.

Ogni servizio che supporta i vincoli personalizzati rende disponibile un insieme particolare di risorse e i campi di queste risorse. I campi disponibili sono fortemente tipizzati e possono essere referenziati direttamente da vincoli personalizzati.

Puoi creare condizioni CEL che fanno riferimento ai campi delle risorse di servizio in base al tipo di campo. Organization Policy Service supporta un sottoinsieme di tipi di dati, espressioni e macro CEL. Le sezioni seguenti elencano i tipi di dati disponibili e le espressioni e le macro comuni che funzionano con questi tipi di dati.

• Numero intero
• Stringa
• Booleano
• Elenca
• Mappa

Per informazioni dettagliate su quali espressioni e macro sono disponibili per ogni servizio, vedi Servizi supportati per i vincoli personalizzati.

Il seguente esempio JSON mostra ciascuno dei potenziali tipi di campi a cui puoi fare riferimento utilizzando i vincoli personalizzati:

{
  "integerValue": 1,
  "stringValue": "A text string",
  "booleanValue": true,
  "nestedValue": {
    "nestedStringValue": "Another text string"
  },
  "listValue": ["foo", "bar"],
  "mapValue": {
    "costCenter": "123"
  }
}

Per ogni espressione CEL, il vincolo personalizzato viene applicato quando la condizione restituisce il valore true. Puoi combinare le espressioni con and (&&) e or (||) per creare una query complessa. Quando crei il file YAML o JSON per il vincolo personalizzato, racchiudi l'intera query tra virgolette doppie (").

Numero intero

I campi interi, come integerValue nell'esempio precedente, consentono di utilizzare gli operatori di confronto nelle condizioni. Ad esempio:

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

Stringa

I campi stringa, come stringValue nell'esempio precedente, possono essere valutati utilizzando un valore letterale stringa, un'espressione regolare o un'espressione CEL. Ad esempio:

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

I campi nidificati, come nestedStringValue nell'esempio precedente, devono essere riferiti con il percorso completo. Ad esempio:

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

Booleano

I campi booleani, come booleanValue nell'esempio precedente, contengono un valore booleano, che è true o false.

Elenco

I campi elenco, come listValue nell'esempio precedente, possono essere valutati in base alle dimensioni dell'elenco, ai contenuti dell'elenco e all'esistenza di un particolare elemento in qualsiasi punto dell'elenco.

Ad esempio:

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

Mappa

I campi della mappa, come mapValue nell'esempio precedente, sono coppie chiave-valore che possono essere valutate in base all'esistenza e al valore di determinati elementi.

Ad esempio:

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

Risoluzione dei problemi relativi ai vincoli personalizzati

Le sezioni seguenti descrivono i problemi comuni relativi alla creazione di vincoli personalizzati e introducono soluzioni alternative per questi problemi.

Errori di tipo di metodo

I vincoli personalizzati vengono creati con un elenco di metodi da applicare, in genere CREATE o sia CREATE che UPDATE. Se specifichi un tipo di metodo non supportato da una risorsa, ad esempio il metodo UPDATE per le risorse immagine Compute Engine, non puoi salvare il vincolo personalizzato.

Tag non valutati

I tag sulle risorse di organizzazione, cartella o progetto sono supportati dai vincoli personalizzati. Per saperne di più sui servizi che supportano i tag, consulta la documentazione specifica del servizio.

Limitazioni tra servizi

Alcuni servizi, come Compute Engine, coinvolgono un gran numero di risorse correlate. Il messaggio di errore per una violazione dei criteri dell'organizzazione personalizzati viene visualizzato quando si verifica la violazione, anche se il vincolo personalizzato riguarda un servizio diverso.

Ad esempio, un'azione Dataproc potrebbe essere bloccata da un vincolo personalizzato sulle risorse Compute Engine.

Risoluzione dei problemi relativi agli errori CEL

Organization Policy Service compila e convalida le condizioni che crei, restituendo un errore se la condizione non è sintatticamente corretta. Se non riesci a creare o salvare un vincolo personalizzato, probabilmente si è verificato un errore di sintassi CEL non valido, che devi risolvere prima.

Nella console Google Cloud , gli errori di sintassi CEL non validi verranno contrassegnati con un'icona error Errore. Se evidenzi questa icona, viene visualizzata una descrizione comando contenente ulteriori informazioni sull'errore di sintassi.

Alcune condizioni potrebbero essere compilate, ma causare un errore quando Google Cloud tenta di applicare i vincoli. Ad esempio, se configuri un vincolo con una condizione che tenta di accedere a un indice di elenco o a una chiave di mappa che non esiste, il vincolo non viene applicato e restituisce un errore al momento dell'applicazione, e blocca qualsiasi tentativo di creare la risorsa.

Le sezioni seguenti descrivono gli errori CEL comuni e le potenziali soluzioni alternative per questi errori.

Espressione non valida o mancata corrispondenza del tipo

Una condizione creata con espressioni non valide o mancata corrispondenza dei tipi restituisce un errore quando tenti di configurare il vincolo personalizzato. Ad esempio, dato il seguente vincolo personalizzato non valido, che confronta una stringa con un numero intero:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Se provi a configurare questo vincolo utilizzando Google Cloud CLI, viene generato un errore:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

Nella console Google Cloud , gli errori di sintassi CEL non validi verranno contrassegnati con un'icona error Errore. Se evidenzi questa icona, viene visualizzata una descrizione comando contenente ulteriori informazioni sull'errore di sintassi.

Il servizio Policy dell'organizzazione compila e convalida le condizioni che crei, restituendo un errore se la condizione non è sintatticamente corretta. Tuttavia, alcune condizioni potrebbero essere compilate, ma restituire un errore quando Google Cloud tenta di applicare i vincoli. Ad esempio, se configuri un vincolo con una condizione che tenta di accedere a un indice di elenco o a una chiave di mappa inesistente, il vincolo non va a buon fine e restituisce un errore al momento dell'applicazione, bloccando qualsiasi tentativo di creare la risorsa.

Quando crei condizioni che dipendono da elementi di elenchi o mappe, ti consigliamo di iniziare la condizione con un controllo che garantisca che sia valida in tutti i casi. Ad esempio, controlla list.size() prima di fare riferimento a un particolare elemento dell'elenco o utilizza has() prima di fare riferimento a un elemento della mappa.

Servizi supportati

Ogni servizio definisce l'insieme di campi di vincoli personalizzati che possono essere utilizzati per applicare le policy dell'organizzazione alle risorse del servizio. Per un elenco dei servizi che supportano i vincoli personalizzati, consulta Servizi che supportano i vincoli personalizzati.

Per saperne di più sulla configurazione di uno scanner delle policy dell'organizzazione, consulta Risultati delle vulnerabilità delle policy dell'organizzazione.

Applicazione di tag obbligatori alle risorse

Passaggi successivi

• Scopri di più sui vincoli.
• Scopri di più sulle opzioni aggiuntive che puoi utilizzare per personalizzare le tue policy.
• Scopri come impostare i criteri dell'organizzazione in base ai tag.
• Consulta la libreria di norme personalizzate dell'organizzazione su GitHub.
• Scopri di più sulla convalida e sul monitoraggio delle policy dell'organizzazione con Config Validator.