Configure restrições de políticas da organização para os registos de fluxo de VPC
Esta página faculta informações sobre as restrições da política organizacional que pode configurar para sub-redes nos registos de fluxo de VPC.
Os administradores podem ativar ou desativar os registos de fluxo de VPC. Por predefinição, não são impostas restrições à ativação ou desativação dos registos de fluxo de VPC.
Um administrador da política da organização pode usar a restrição constraints/compute.requireVpcFlowLogs para exigir que os registos de fluxo da VPC estejam ativados para todas as sub-redes no âmbito da política com uma taxa de amostragem especificada. A política é aplicada quando cria
sub-redes ou atualiza a configuração dos registos de fluxo da VPC em
sub-redes. As sub-redes pré-existentes não são afetadas se as respetivas configurações dos registos de fluxo da VPC não forem atualizadas.
Antes de começar
Autorizações de IAM
O principal que cria as restrições tem de ter a função de administrador da política da organização (roles/orgpolicy.policyAdmin).
Os principais que visualizam as restrições têm de ter a autorização orgpolicy.policy.get
no recurso adequado. Por exemplo, a função de leitor da política da organização
(roles/orgpolicy.policyViewer) inclui a autorização orgpolicy.policy.get.
Contexto da política da organização
Se nunca trabalhou com restrições de políticas organizacionais, consulte as páginas seguintes:
Planeie as suas restrições
Pode criar restrições nos seguintes níveis da hierarquia de recursos:
- Organização
- Pasta
- Projeto
Por predefinição, uma restrição criada num nó é herdada por todos os nós subordinados. No entanto, um administrador de políticas organizacionais de uma determinada pasta pode decidir se uma determinada pasta herda das respetivas pastas principais, pelo que a herança não é automática. Para mais informações, consulte a secção Herança no artigo Compreender a avaliação da hierarquia.
Taxas de amostragem para registos de fluxo de VPC
Pode usar a restrição constraints/compute.requireVpcFlowLogs para garantir que as seguintes taxas de amostragem estão configuradas em sub-redes.
| Valor da política | Taxa de amostragem |
|---|---|
ESSENTIAL |
Maior ou igual a 0,1 (10%) e inferior a 0,5 (50%) |
LIGHT |
Maior ou igual a 0,5 (50%) e inferior a 1,0 (100%) |
COMPREHENSIVE |
Igual a 1,0 (100%) |
Estes valores de políticas podem ser combinados. Consulte a seguinte tabela para ver exemplos.
| Taxa de amostragem | Valores a incluir na restrição |
|---|---|
| Pelo menos 0,1 (10%) | ESSENTIAL, LIGHT e COMPREHENSIVE |
| Pelo menos 0,5 (50%) | LIGHT e COMPREHENSIVE |
| 1,0 (100%) | COMPREHENSIVE |
Configure a restrição dos registos de fluxo da VPC
Consola
Para mais informações sobre como configurar uma restrição através da consola, consulte o artigo Personalizar políticas para restrições de listas.Google Cloud
Aceda à página da política Exigir políticas predefinidas para registos de fluxo de VPC na Google Cloud consola:
Clique em Edit.
Na página Editar, selecione um valor para Aplica-se a:
Heredar política do elemento principal: se estiver a configurar políticas para um projeto ou uma pasta, a política do âmbito principal é herdada. Se estiver a configurar políticas para uma organização, a política não é ativada.
Predefinição gerida pela Google: desativa a política, mesmo que esteja ativada no âmbito principal.
Personalizar: permite-lhe ativar e configurar a política para todas as sub-redes no âmbito atual.
Para Aplicação de políticas, selecione Substituir.
A opção Unir com principal não é permitida para registos de fluxo de VPC.
Na secção Regras, clique em Adicionar regra.
Para Valores da política, selecione Personalizado.
Não são permitidos outros valores para os registos de fluxo de VPC.
Para Tipo de política, selecione Permitir.
Na secção Valores personalizados, introduza um dos valores que representa a taxa de amostragem que quer configurar.
Se precisar de especificar mais do que um valor para configurar a taxa de amostragem pretendida, clique em Novo valor da política e introduza o valor seguinte. Repita o processo se precisar de especificar um terceiro valor.
Clique em Guardar.
gcloud
Para mais informações sobre como configurar uma restrição através da CLI do Google Cloud, consulte o artigo Configure a aplicação no recurso da organização.
Obtenha a política atual no recurso da organização através do comando
describe. Este comando devolve a política aplicada diretamente a este recurso. Se não for definida uma política, o comando devolve um erroNOT_FOUND.gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]Substitua o seguinte:
ID: o ID da organização, da pasta ou do projeto ao qual quer aplicar a restrição.
Defina a política na organização através do comando
set-policy. Este comando substitui qualquer política atualmente anexada ao recurso.Crie um ficheiro temporário
/tmp/policy.yamlpara armazenar a política:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUESSubstitua o seguinte:
RESOURCE_TYPE: o tipo de recurso ao qual quer aplicar a política. As opções válidas sãoorganizations,foldersouprojects.ID: o ID da organização, da pasta ou do projeto ao qual quer aplicar a restrição.POLICY_VALUES: os valores que representam a taxa de amostragem que quer configurar. Pode combinar vários valores. Para mais informações, consulte o artigo Taxas de amostragem para registos de fluxo de VPC.
Esta restrição de exemplo requer uma taxa de amostragem de, pelo menos, 10% ao nível da organização:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVEEsta restrição de exemplo requer uma taxa de amostragem de, pelo menos, 50% ao nível organizacional:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVEEsta restrição de exemplo requer uma taxa de amostragem de 100% ao nível organizacional:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVEExecute o comando
set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Consulte a política atualmente em vigor através de
describe --effective. Este comando devolve a política da organização tal como é avaliada neste ponto da hierarquia de recursos com a herança incluída.gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
Efeitos da definição de um requisito para os registos de fluxo da VPC
Configurar uma política da organização com a restrição constraints/compute.requireVpcFlowLogs significa que pode ver erros se criar uma sub-rede ou atualizar a configuração dos registos de fluxo da VPC de uma sub-rede existente e a configuração não cumprir os requisitos da política.
Se vir erros, pode ter de saber como a restrição está configurada para poder criar uma configuração válida. Se não tiver autorizações da IAM suficientes para ver a restrição, contacte o administrador da sua organização.
As sub-redes criadas antes da definição da política não são afetadas pela política, desde que a respetiva configuração dos registos de fluxo da VPC não seja atualizada.
Efeitos na criação de sub-redes
Quando cria uma nova sub-rede no âmbito da política, aplica-se o seguinte:
Se os registos de fluxo de VPC estiverem explicitamente ativados com uma taxa de amostragem que cumpra os requisitos da política, a sub-rede é criada com os registos de fluxo de VPC ativados e a taxa de amostragem pedida.
Se os registos de fluxo da VPC estiverem explicitamente ativados com uma taxa de amostragem que não cumpra os requisitos da política, é devolvido um erro e a sub-rede não é criada.
Se os registos de fluxo da VPC estiverem explicitamente desativados, é devolvido um erro e a sub-rede não é criada.
Se os registos de fluxo de VPC não estiverem definidos e a taxa de amostragem também não estiver definida, é criado um subnet com os registos de fluxo de VPC ativados e a taxa de amostragem mínima exigida pela política. Por exemplo, se a política estiver configurada com valores de política de
LIGHTeCOMPREHENSIVE, a taxa de amostragem é definida como0.5(50%).
Efeitos nas atualizações de sub-redes
Quando atualiza uma sub-rede existente no âmbito da política, aplica-se o seguinte:
Se a atualização ativar os registos de fluxo de VPC ou se os registos de fluxo de VPC já estiverem ativados e a taxa de amostragem estiver definida para um valor que cumpra os requisitos da política, a sub-rede é atualizada com os registos de fluxo de VPC ativados com a taxa de amostragem pedida.
Se a atualização ativar os registos de fluxo da VPC ou se os registos de fluxo da VPC já estiverem ativados e a taxa de amostragem estiver definida para um valor que não cumpre os requisitos da política, é devolvido um erro e a sub-rede não é atualizada.
Se a atualização desativar os registos de fluxo da VPC, é devolvido um erro e a sub-rede não é atualizada.
Se a atualização não ativar nem desativar os registos de fluxo da VPC e a taxa de amostragem também não estiver definida, a política é ignorada e a sub-rede é atualizada.
Efeitos na criação de redes VPC de modo automático
Quando é criada uma rede VPC de modo automático, é criada automaticamente uma sub-rede em cada região. Se a rede estiver no âmbito de uma política de registos de fluxo de VPC, os registos de fluxo de VPC são ativados nas sub-redes com a taxa de amostragem mínima definida pela política. Por exemplo, se a política estiver configurada com valores de política de LIGHT e COMPREHENSIVE, a taxa de amostragem é definida como 0.5 (50%).
Efeitos na configuração dos registos de fluxo de VPC
Se uma sub-rede estiver no âmbito da política, a filtragem de registos não é permitida para garantir que a configuração dos VPC Flow Logs cumpre os requisitos da política.