Como criar e gerenciar restrições personalizadas

Com a política da organização doGoogle Cloud , você controla de forma centralizada e programática os recursos da sua organização. Um administrador de políticas da organização pode definir políticas da organização, ou seja, conjuntos de restrições que se aplicam aos recursos doGoogle Cloud e aos elementos que descendem dele na hierarquia de recursos doGoogle Cloud . É possível aplicar políticas da organização no nível da organização, de pastas ou de projetos.

A política da organização fornece restrições predefinidas para diversos serviços doGoogle Cloud . No entanto, se você quiser mais controle das políticas da organização, crie políticas personalizadas.

Neste documento, descrevemos como visualizar, criar e gerenciar políticas personalizadas da organização como administrador. Com as políticas personalizadas da organização, é possível personalizar o controle sobre os campos específicos restritos pelas políticas da organização.

Antes de começar

• Para mais informações sobre o que são políticas e restrições da organização e como elas funcionam, consulte Introdução ao serviço de políticas da organização.

Funções exigidas

Para receber as permissões necessárias para gerenciar políticas da organização, peça ao administrador que conceda a você os seguintes papéis do IAM na organização:

• Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
• Para ativar as APIs Google Cloud : Consumidor de uso do serviço (roles/serviceusage.serviceUsageConsumer)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

É possível delegar a administração das políticas da organização adicionando Condições do IAM à vinculação de função de administrador de políticas da organização. Para controlar os recursos em que um principal pode gerenciar políticas da organização, condicione a vinculação de função a uma tag específica. Para mais informações, consulte Como usar restrições.

Restrições personalizadas

Uma restrição personalizada é definida em um arquivo YAML, que especifica os recursos, métodos, condições e ações sujeitos à restrição. O comportamento da restrição personalizada e os parâmetros aceitos são específicos de cada serviço. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL).

Configurar uma restrição personalizada

É possível criar uma restrição personalizada e configurá-la para uso nas políticas da organização usando o console do Google Cloud ou a CLI do Google Cloud.

Atualizar uma restrição personalizada

Você pode atualizar uma restrição personalizada editando a restrição no consoleGoogle Cloud ou criando um novo arquivo YAML e usando o comando set-custom-constraint da CLI gcloud novamente. Não há controle de versões de restrições personalizadas. Dessa forma, isso substitui a restrição personalizada existente. Se a restrição personalizada já tiver sido aplicada, a restrição personalizada atualizada entrará em vigor imediatamente.

Excluir uma restrição personalizada

É possível excluir uma restrição personalizada usando o console do Google Cloud ou a Google Cloud CLI.

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Depois de excluir uma restrição personalizada, todas as políticas criadas usando a restrição continuam existindo, mas são ignoradas. Não é possível criar outra restrição personalizada com o mesmo nome de uma restrição personalizada excluída.

Testar e analisar mudanças na política da organização

Recomendamos que você teste e simule todas as mudanças nas políticas da organização para entender como elas afetam seu ambiente.

O Simulador de política para política da organização ajuda a entender o efeito de uma restrição e de uma política da organização no seu ambiente atual. Com essa ferramenta, é possível analisar todas as configurações de recursos para ver onde ocorrem violações antes que a política seja aplicada no ambiente de produção. Para instruções detalhadas, consulte Testar mudanças na política da organização com o Simulador de política.

Ao entender o efeito atual, você pode criar uma política da organização no modo de simulação para entender o impacto e as possíveis violações de uma política nos próximos 30 dias. Uma política da organização no modo de simulação é um tipo de política em que as violações são registradas em auditoria, mas as ações violadoras não são negadas. É possível criar uma política da organização no modo de simulação de uma restrição personalizada usando o console do Google Cloud ou a Google Cloud CLI. Para instruções detalhadas, consulte Criar uma política da organização no modo de simulação.

Aplicar uma política personalizada da organização

Depois que uma restrição personalizada é configurada, ela opera de forma idêntica às restrições booleanas predefinidas.O Google Cloud verifica primeiro as restrições personalizadas ao avaliar se uma solicitação do usuário é permitida. Se alguma das políticas personalizadas da organização negar a solicitação, ela será rejeitada. Em seguida,o Google Cloud verifica se há políticas da organização predefinidas aplicadas a esse recurso.

Restrição de exemplo

É possível definir restrições personalizadas semelhantes às predefinidas pelo Google. Um arquivo YAML de restrição personalizada típico é semelhante a este:

name: organizations/1234567890123/customConstraints/custom.disableGkeAutoUpgrade
resourceTypes:
- container.googleapis.com/NodePool
methodTypes:
- CREATE
- UPDATE
condition: "resource.management.autoUpgrade == false"
actionType: ALLOW
displayName: Disable GKE auto upgrade
description: Only allow GKE NodePool resource to be created or updated if
AutoUpgrade is not enabled where this custom constraint is enforced.

Common Expression Language

O serviço de política da organização usa a Common Expression Language (CEL) para avaliar condições em restrições personalizadas. A CEL é uma linguagem de código aberto sem completude de Turing que implementa semânticas comuns para avaliação de expressões.

Cada serviço que aceita restrições personalizadas disponibiliza um conjunto específico de recursos e os campos deles. Os campos disponíveis são fortemente tipados e podem ser referenciados diretamente por restrições personalizadas.

É possível criar condições de CEL que se referem a campos de recursos de serviço com base no tipo do campo. O serviço de políticas da organização é compatível com um subconjunto de tipos de dados, expressões e macros da CEL. As seções a seguir listam os tipos de dados disponíveis e as expressões e macros comuns que funcionam com eles.

• Número inteiro
• String
• Booleano
• Lista
• Mapa

Para detalhes sobre quais expressões e macros estão disponíveis para cada serviço, consulte Serviços compatíveis com restrição personalizada.

O exemplo JSON a seguir mostra cada um dos possíveis tipos de campo que você pode referenciar usando restrições personalizadas:

{
  "integerValue": 1,
  "stringValue": "A text string",
  "booleanValue": true,
  "nestedValue": {
    "nestedStringValue": "Another text string"
  },
  "listValue": ["foo", "bar"],
  "mapValue": {
    "costCenter": "123"
  }
}

Para cada expressão CEL, a restrição personalizada é aplicada quando a condição é avaliada como true. Você pode combinar expressões com e (&&) e ou (||) para criar uma consulta complexa. Ao criar o arquivo YAML ou JSON para sua restrição personalizada, coloque a consulta completa entre aspas duplas (").

Número inteiro

Campos de números inteiros, como integerValue no exemplo anterior, permitem que operadores de comparação sejam usados em condições. Exemplo:

resource.integerValue == 1
resource.integerValue > 5
resource.integerValue < 10

String

Campos de string, como stringValue no exemplo anterior, podem ser avaliados usando um literal de string, uma expressão regular ou uma expressão CEL. Exemplo:

resource.stringValue == "abc"
// stringValue is exactly "abc".

resource.stringValue.matches("dev$")
// stringValue matches a regular expression, which specifies the string ends
// with the word "dev".

resource.stringValue.startsWith("startValue")
// stringValue starts with "startValue".

resource.stringValue.endsWith("endValue")
// stringValue ends with "endValue".

resource.stringValue.contains("fooBar")
// stringValue contains "fooBar".

Campos aninhados, como nestedStringValue no exemplo anterior, precisam ser referenciados com o caminho completo. Exemplo:

resource.nestedValue.nestedStringValue == "foo"
// nestedValue contains the object nestedStringValue, which has a value of "foo".

Booleano

Campos booleanos, como booleanValue no exemplo anterior, contêm um valor booleano, que é true ou false.

Lista

Campos de lista, como listValue no exemplo anterior, podem ser avaliados pelo tamanho e conteúdo da lista, além de verificar se um elemento específico existe em algum lugar dela.

Exemplo:

resource.listValue.size() >= 1 && resource.listValue[0] == "bar"
// listValue has size greater than or equal to one, and the first element is "bar".

resource.listValue.exists(value, value == "foo")
// listValue has at least one element that is exactly "foo".

resource.listValue.all(value, value.contains("foo"))
// listValue is a list of values that are all exactly "foo".

Mapa

Campos de mapa, como mapValue no exemplo anterior, são pares de chave-valor que podem ser avaliados com base na existência e no valor de elementos específicos.

Exemplo:

has(resource.mapValue.foo) && resource.mapValue.foo == "bar"
// mapValue contains the key "foo", and that key has the value "bar".

Solução de problemas com restrições personalizadas

As seções a seguir descrevem problemas comuns relacionados à criação de restrições personalizadas e apresentam soluções alternativas para esses problemas.

Erros de tipo de método

As restrições personalizadas são criadas com uma lista de métodos a serem aplicados, geralmente CREATE ou CREATE e UPDATE. Se você especificar um tipo de método que não é compatível com um recurso, como o método UPDATE para recursos de imagem do Compute Engine, não será possível salvar a restrição personalizada.

Tags não avaliadas

As tags em recursos de organização, pasta ou projeto são compatíveis com restrições personalizadas. Para mais informações sobre quais serviços aceitam tags, consulte a documentação específica do serviço.

Restrições entre serviços

Alguns serviços, como o Compute Engine, envolvem um grande número de recursos relacionados. A mensagem de erro de uma violação de política da organização personalizada é mostrada quando a violação ocorre, mesmo que a restrição personalizada seja para um serviço diferente.

Por exemplo, uma ação do Dataproc pode ser bloqueada por uma restrição personalizada em recursos do Compute Engine.

Resolver erros de CEL

O serviço de política da organização compila e valida as condições criadas, retornando um erro se a condição não estiver sintaticamente correta. Se não for possível criar ou salvar uma restrição personalizada, provavelmente ocorreu um erro de sintaxe CEL inválido, que precisa ser resolvido primeiro.

No console do Google Cloud , os erros de sintaxe CEL inválida são sinalizados com um ícone de error Erro. Ao destacar esse ícone, uma dica de ferramenta aparece com mais informações sobre o erro de sintaxe.

Algumas condições podem ser compiladas, mas causam um erro quando o Google Cloud tenta aplicar as restrições. Por exemplo, se você configurar uma restrição com uma condição que tenta acessar um índice de lista ou uma chave de mapa que não existe, a restrição vai falhar e retornar um erro no momento da aplicação, e vai bloquear qualquer tentativa de criar o recurso.

As seções a seguir descrevem erros comuns da CEL e possíveis soluções alternativas para eles.

Expressão inválida ou incompatibilidade de tipo

Uma condição criada com expressões inválidas ou incompatibilidades de tipo retorna um erro quando você tenta configurar a restrição personalizada. Por exemplo, considerando a seguinte restrição personalizada inválida, que compara uma string com um número inteiro:

name: organizations/1234567890123/customConstraints/custom.badConfig
resourceTypes:
- dataproc.googleapis.com/Cluster
methodTypes:
- CREATE
- UPDATE
condition: "resource.config.masterConfig.numInstances == 'mismatch'"
actionType: ALLOW
displayName: Number of instances is a string
description: Demonstrate that type mismatches cause an error.

Um erro será gerado se você tentar configurar essa restrição usando a Google Cloud CLI:

ERROR: (gcloud.org-policies.set-custom-constraint) INVALID_ARGUMENT: Custom constraint condition [resource.config.masterConfig.numInstances == "mismatch"] is invalid. Error: ERROR: <input>:1:15: found no matching overload for '_==_' applied to '(int, string)' (candidates: (%A0, %A0))
 | resource.config.masterConfig.numInstances == "mismatch"
 | ..........................................^.

No console do Google Cloud , os erros de sintaxe CEL inválida são sinalizados com um ícone de error Erro. Ao destacar esse ícone, uma dica de ferramenta aparece com mais informações sobre o erro de sintaxe.

O Serviço de políticas da organização compila e valida as condições que você cria, retornando um erro se a condição não estiver sintaticamente correta. No entanto, algumas condições podem ser compiladas, mas retornar um erro quando o Google Cloud tenta aplicar as restrições. Por exemplo, se você configurar uma restrição com uma condição que tente acessar um índice de lista ou uma chave de mapa que não existe, a restrição vai falhar e retornar um erro no momento da aplicação, bloqueando qualquer tentativa de criar o recurso.

Ao criar condições que dependem de elementos de lista ou mapa, recomendamos começar a condição com uma verificação que garanta que ela seja válida em todos os casos. Por exemplo, verifique list.size() antes de fazer referência a um elemento de lista específico ou use has() antes de fazer referência a um elemento de mapa.

Serviços compatíveis

Cada serviço define o conjunto de campos de restrição personalizada que podem ser usados para aplicar políticas da organização nos recursos de serviço. Para conferir uma lista de serviços que aceitam restrições personalizadas, consulte Serviços compatíveis com restrição personalizada.

Para mais informações sobre como configurar um scanner de políticas da organização, consulte Descobertas de vulnerabilidade da política da organização.

Como aplicar tags obrigatórias em recursos

A seguir

• Saiba mais sobre as restrições.
• Leia sobre as outras opções que você pode usar para personalizar suas políticas.
• Saiba como definir políticas da organização com base em tags.
• Confira a biblioteca de políticas da organização personalizadas no GitHub.
• Saiba como validar e monitorar políticas da organização com o Config Validator.