Google Workspace Policy API incorpora nuevos endpoints de modificación para administrar reglas y detectores de Data Loss Prevention. Los superadministradores pueden crear, actualizar y eliminar políticas mediante la API, automatizando su ciclo de vida sin depender exclusivamente de la Consola de Administración.
Antecedentes
Según el anuncio oficial Introducing the Workspace Policy API mutate endpoints for DLP, la API amplía sus capacidades de consulta con nuevas operaciones para modificar políticas.
Anteriormente, Workspace Policy API ofrecía los métodos de solo lectura Get y List. La actualización añade Create, Update y Delete para reglas y detectores DLP.
Esto permite automatizar desde la creación inicial de una política hasta su activación, actualización, desactivación o eliminación mediante herramientas y procesos administrativos internos.
RECUERDE: Esta actualización funciona únicamente mediante la API y requiere privilegios de superadministrador. No incorpora capacidades DLP diferentes de las que ya son compatibles con la Consola de Administración.{alertSuccess}
Impacto
Los nuevos endpoints permiten integrar la administración de DLP con sistemas de automatización, herramientas internas y flujos de infraestructura como código.
- Create: crea reglas DLP y detectores personalizados.
- Update: modifica configuraciones, condiciones, acciones o estados de políticas existentes.
- Delete: elimina reglas y detectores mediante su nombre de recurso.
- Get y List: mantienen las capacidades existentes para consultar políticas individuales o inventarios completos.
- Automatización integral: permite activar, desactivar y mantener políticas sin realizar cada cambio manualmente.
Las operaciones admiten reglas de protección para servicios como Google Drive, Gmail, Google Chat y Chrome, además de detectores basados en expresiones regulares o listas de palabras.
Recomendaciones
Antes de automatizar modificaciones en producción, conviene validar los payloads y aplicar controles que eviten cambios o eliminaciones accidentales.
- Empiece con consultas: utilice Get y List para identificar correctamente las políticas existentes.
- Pruebe en una unidad limitada: aplique inicialmente las reglas a una unidad organizativa de prueba.
- Controle los privilegios: limite las credenciales y la delegación de dominio utilizadas por la automatización.
- Registre las operaciones: mantenga trazabilidad de las creaciones, actualizaciones y eliminaciones realizadas.
- Respete la cuota: diseñe las integraciones considerando el límite de una consulta por segundo.
Availability and requirements
Cómo empezar
- Administradores: únicamente los superadministradores pueden utilizar Workspace Policy API.
- Configuración: se debe habilitar Cloud Identity API, configurar un proyecto de Google Cloud y preparar las credenciales correspondientes.
- Autorización: la integración requiere el alcance OAuth cloud-identity.policies y credenciales con delegación de dominio.
- Herramientas: también puede utilizarse GAM, una herramienta de código abierto que ya admite Workspace Policy API.
- Usuarios finales: esta capacidad es exclusivamente administrativa.
Operaciones y limitaciones
- Los endpoints Create, Patch y Delete están disponibles actualmente para reglas y detectores.
- Las operaciones utilizan el recurso REST policies de Cloud Identity API.
- Cada proyecto de Google Cloud admite una consulta por segundo.
- Cada cliente admite una consulta por segundo en total, aunque utilice varios proyectos.
- Google no admite solicitudes para aumentar esta cuota.
Ritmo de lanzamiento
- Rapid Release y Scheduled Release domains: disponible ahora.
Disponibilidad
- Disponible para todos los clientes de Google Workspace.
- Disponible para suscriptores de Workspace Individual.
- El uso efectivo de cada política DLP depende de que la edición admita la capacidad de protección correspondiente.