Gestisci le risorse delle funzioni utilizzando vincoli personalizzati

Questa pagina fornisce informazioni supplementari per l'impostazione di vincoli personalizzati per le funzioni create utilizzando l'API Cloud Functions v2, ad esempio tramite i comandi gcloud functions.

Limitazioni

Le seguenti limitazioni si applicano all'utilizzo di criteri dell'organizzazione personalizzati per le funzioni dell'API Cloud Functions v2:

  • Disponibile solo sull'API Cloud Functions v2.
  • Non verranno applicate alle funzioni Cloud Run (1ª generazione.).
  • Protegge le funzioni solo quando si utilizza l'API Cloud Functions v2. Le funzioni Cloud Run possono essere modificate anche dall'API Cloud Run. Per una maggiore protezione, potresti dover anche applicare vincoli personalizzati su Cloud Run.

Esempi comuni di criteri organizzativi

La seguente tabella fornisce la sintassi di alcune policy dell'organizzazione personalizzate che potresti trovare utili:

Descrizione Sintassi del vincolo
Impedire la creazione di funzioni con una lingua specifica 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionRuntimeBlock
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.runtime == "python312"
    action_type: DENY
    display_name: Deny functions using Python 3.12
    description: Functions cannot be created with Python 3.12 as the language runtime
Richiedere alle funzioni di utilizzare un pool di worker specifico 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionsWorkerPool
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.workerPool == "WORKER_POOL"
    action_type: DENY
    display_name: Require worker pool
    description: Functions must use a worker pool
 Sostituisci WORKER_POOL con il nome del tuo pool di worker di Cloud Build.
Richiedere che le funzioni archivino tutte le immagini container in un repository di immagini specifico 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionsRepository
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.dockerRepository.startsWith("REPO_PATH")
    action_type: DENY
    display_name: Image repository constraint
    description: Functions must push images to a central image repository under REPO_PATH
 Sostituisci REPO_PATH con l'URI dell'URL del repository di immagini in cui vuoi che tutte le funzioni archivino le immagini container.

Passaggi successivi