Einschränkungen für Organisationsrichtlinien zu Cloud Load Balancing

Mit dem Organisationsrichtliniendienst können Sie die Ressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator für Organisationsrichtlinien können Sie Folgendes definieren: Organisationsrichtlinie, wobei es sich um eine Reihe von Einschränkungen handelt, die für Google Cloud-Ressourcen und untergeordnete Elemente dieser Ressourcen in der Google Cloud-Ressourcenhierarchie gelten.

Diese Seite enthält zusätzliche Informationen zu Einschränkungen für Organisationsrichtlinien zu Cloud Load Balancing. Mit Einschränkungen für Organisationsrichtlinien können Sie Einstellungen für ein ganzes Projekt, einen ganzen Ordner oder eine ganze Organisation umsetzen.

Organisationsrichtlinien gelten nur für neue Ressourcen. Einschränkungen werden nicht rückwirkend erzwungen. Wenn Sie bereits Load-Balancing-Ressourcen haben, die gegen die Richtlinien einer neuen Organisationsrichtlinie verstoßen, müssen Sie diese Verstöße manuell beheben.

Eine vollständige Liste der verfügbaren Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien.

Load-Balancer-Typen einschränken

Verwenden Sie eine Organisationsrichtlinie, um die Cloud Load Balancing-Typen einzuschränken, die in Ihrer Organisation erstellt werden können. Legen Sie die folgende Einschränkung für die Organisationsrichtlinie fest:

  • Name: Load-Balancer-Erstellung basierend auf Load-Balancer-Typen einschränken
  • ID: constraints/compute.restrictLoadBalancerCreationForTypes

Wenn Sie die Einschränkung compute.restrictLoadBalancerCreationForTypes festlegen, geben Sie eine Zulassungsliste oder Sperrliste für die Cloud Load Balancing-Typen an. Die Liste der zulässigen oder abgelehnten Werte darf nur Werte aus der folgenden Liste enthalten:

  • Application Load Balancer

    • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS für den globalen externen Application Load Balancer
    • EXTERNAL_HTTP_HTTPS für den klassischen Application Load Balancer
    • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS für den regionenübergreifenden internen Application Load Balancer
    • EXTERNAL_MANAGED_HTTP_HTTPS für den regionalen externen Application Load Balancer
    • INTERNAL_HTTP_HTTPS für den regionalen internen Application Load Balancer
  • Proxy-Network-Load-Balancer

    • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY für den globalen externen Proxy-Network-Load-Balancer mit einem TCP-Proxy
    • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY für den globalen externen Proxy-Network-Load-Balancer mit einem SSL-Proxy
    • EXTERNAL_TCP_PROXY für den klassischen Proxy-Network-Load-Balancer mit einem TCP-Proxy
    • EXTERNAL_SSL_PROXY für den klassischen Proxy-Network-Load-Balancer mit einem SSL-Proxy
    • GLOBAL_INTERNAL_MANAGED_TCP_PROXY für den regionenübergreifenden internen Proxy-Netzwerk-Load Balancer mit einem TCP-Proxy
    • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY für den regionalen externen Proxy-Network-Load-Balancer mit einem TCP-Proxy
    • REGIONAL_INTERNAL_MANAGED_TCP_PROXY für den regionalen internen Proxy-Network-Load-Balancer mit einem TCP-Proxy
  • Passthrough-Network-Load-Balancer

    • EXTERNAL_NETWORK_TCP_UDP für den externen Passthrough-Network-Load-Balancer
    • INTERNAL_TCP_UDP für den internen Passthrough-Network-Load-Balancer

Verwenden Sie das Präfix in: gefolgt von INTERNAL oder EXTERNAL, um alle internen und externen Load-Balancer-Typen einzubinden. Wenn Sie beispielsweise in:INTERNAL zulassen, können alle internen Load-Balancer aus der vorherigen Liste zugelassen werden.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Nachdem Sie die Richtlinie festgelegt haben, wird die Richtlinie erzwungen, wenn Sie die entsprechenden Weiterleitungsregeln von Google Cloud hinzufügen. Die Einschränkung wird für vorhandene Cloud Load Balancing-Konfigurationen nicht durchgesetzt.

Wenn Sie versuchen, Load-Balancer eines Typs zu erstellen, der gegen die Einschränkung verstößt, schlägt der Versuch fehl und es wird eine Fehlermeldung generiert. Die Fehlermeldung hat folgendes Format:

Constraint constraints/compute.restrictLoadBalancerCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Wenn Sie mehrere restrictLoadBalancerCreationForTypes-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund empfiehlt es sich, das Feld inheritFromParent auf true zu setzen. So sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.

GKE-Fehlermeldungen

Wenn Sie Dienstobjekte und Ingress-Objekte von Google Kubernetes Engine (GKE) verwenden, erhalten Sie bei Verwendung dieser Organisationsrichtlinie zum Einschränken der Erstellung von Load-Balancern eine Fehlermeldung wie die folgende:

Warning  Sync    28s   loadbalancer-controller  Error during sync: error running
load balancer syncing routine: loadbalancer FORWARDING_RULE_NAME
does not exist: googleapi: Error 412:
Constraint constraints/compute.restrictLoadBalancerCreationForTypes violated for
projects/PROJECT_ID. Forwarding Rule
projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
of type LOAD_BALANCER_TYPE is not allowed, conditionNotMet

Führen Sie die folgenden Befehle aus, um die GKE-Fehlermeldungen aufzurufen:

kubectl get events -w
kubectl describe RESOURCE_KIND NAME

Ersetzen Sie Folgendes:

  • RESOURCE_KIND: die Art des Load-Balancers, ingress oder service
  • NAME: der Name des Load-Balancers

Globales Load-Balancing deaktivieren

Diese boolesche Einschränkung deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Wenn sie erzwungen wird, können nur regionale Load-Balancing-Produkte ohne globale Abhängigkeiten erstellt werden.

  • Name: Globales Load-Balancing deaktivieren
  • ID: constraints/compute.disableGlobalLoadBalancing

Standardmäßig können Nutzer globale Load-Balancing-Produkte erstellen.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Boolesche Einschränkungen mit Organisationsrichtlinien einrichten.

Arten von Protokollweiterleitungs-Deployments einschränken

Verwenden Sie eine Organisationsrichtlinie, um die Arten von Protokollweiterleitungsimplementierungen (intern oder extern) einzuschränken, die in Ihrer Organisation erstellt werden können. Legen Sie die folgende Einschränkung für die Organisationsrichtlinie fest:

  • Name: Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken
  • ID: constraints/compute.restrictProtocolForwardingCreationForTypes

Wenn Sie die Einschränkung compute.restrictProtocolForwardingCreationForTypes konfigurieren, geben Sie eine Zulassungsliste oder Sperrliste für die Art der Protokollweiterleitungsbereitstellung an, die zugelassen oder abgelehnt werden soll. Die Liste der zulässigen oder abgelehnten Werte darf nur die folgenden Werte enthalten:

  • INTERNAL
  • EXTERNAL

Standardmäßig ist diese Richtlinie für neu erstellte Organisationen so konfiguriert, dass nur die INTERNAL-Protokollweiterleitung zulässig ist. Das bedeutet, dass alle Weiterleitungsregeln, die mit Zielinstanzen verknüpft sind, nur interne IP-Adressen verwenden dürfen. Wenn Sie die Protokollweiterleitung mit externen IP-Adressen verwenden möchten oder Nutzern die Verwendung der Protokollweiterleitung mit internen IP-Adressen verbieten möchten, müssen Sie diese Organisationsrichtlinie aktualisieren.

Nachdem Sie die Richtlinie aktualisiert haben, werden die Änderungen erzwungen, wenn Sie neue Weiterleitungsregeln für Zielinstanzen erstellen. Die Einschränkung wird bei bestehenden Konfigurationen der Protokollweiterleitung nicht rückwirkend erzwungen.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Wenn Sie versuchen, eine Bereitstellung einer Protokollweiterleitung eines Typs zu erstellen, der gegen die Einschränkung verstößt, schlägt der Versuch fehl und eine Fehlermeldung wird erzeugt. Die Fehlermeldung hat folgendes Format:

Constraint constraints/compute.restrictProtocolForwardingCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule
projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Wenn Sie mehrere restrictProtocolForwardingCreationForTypes-Einschränkungen auf verschiedenen Ressourcenebenen festlegen und das Feld inheritFromParent auf true setzen, werden die Einschränkungen hierarchisch durchgesetzt.

Einschränkungen für freigegebene VPC erzwingen

Mit den folgenden Organisationsrichtlinien können Sie einschränken, wie Nutzer freigegebene VPC-Bereitstellungen einrichten dürfen.

Freigegebene VPC-Hostprojekte einschränken

Mit dieser Listeneinschränkung können Sie die freigegebenen VPC-Hostprojekte einschränken, an die eine Ressource angehängt werden kann.

  • Name: Freigegebene VPC-Hostprojekte einschränken
  • ID: constraints/compute.restrictSharedVpcHostProjects

Ein Projekt kann standardmäßig einem beliebigen Hostprojekt in derselben Organisation zugeordnet werden, wodurch es zu einem Dienstprojekt wird. Wenn Sie die Einschränkung compute.restrictSharedVpcHostProjects festlegen, geben Sie so eine Zulassungsliste oder eine Sperrliste für Hostprojekte an:

  • Geben Sie ein Projekt im folgenden Format an:
    • projects/PROJECT_ID
  • Geben Sie ein Projekt, einen Ordner oder eine Organisation an. Die Einschränkung gilt für alle Projekte unter der angegebenen Ressource in der Ressourcenhierarchie. Verwenden Sie das folgende Format:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Freigegebene VPC-Subnetzwerke einschränken

Mit dieser Listeneinschränkung werden die freigegebenen VPC-Subnetze definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts.

  • Name: Freigegebene VPC-Subnetzwerke einschränken
  • ID: constraints/compute.restrictSharedVpcSubnetworks

Standardmäßig können zulässige Ressourcen jedes freigegebene VPC-Subnetzwerk verwenden. Wenn Sie die Einschränkung compute.restrictSharedVpcSubnetworks festlegen, geben Sie so eine eingeschränkte Liste von Subnetzen an:

  • Geben Sie ein Subnetz im folgenden Format an:
    • projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME.
  • Geben Sie ein Projekt, einen Ordner oder eine Organisation an. Die Einschränkung gilt für alle Subnetze unter der angegebenen Ressource in der Ressourcenhierarchie. Verwenden Sie das folgende Format:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Projektübergreifende Backend-Dienste einschränken

Mit dieser Einschränkung können Sie die Backend-Dienste beschränken, auf die eine URL-Zuordnung verweisen kann. Diese Einschränkung gilt nicht für Backend-Dienste innerhalb desselben Projekts wie die URL-Zuordnung.

  • Name: Projektübergreifende Backend-Dienste einschränken
  • ID: constraints/compute.restrictCrossProjectServices

Standardmäßig können URL-Zuordnungen in allen Host- oder Dienstprojekten auf kompatible Backend-Dienste aus anderen Dienstprojekten oder dem Hostprojekt in derselben freigegebenen VPC-Bereitstellung verweisen, solange der Nutzer, der die Aktion ausführt, die Berechtigung compute.backendServices.use hat. Wenn Sie die Einschränkung restrictCrossProjectServices festlegen, geben Sie so eine Zulassungsliste oder eine Sperrliste für Backend-Dienste an:

  • Specify backend services in the following format:
    • projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME
  • Geben Sie ein Projekt, einen Ordner oder eine Organisation an. Die Einschränkung gilt für alle Backend-Dienste unter der angegebenen Ressource in der Ressourcenhierarchie. Verwenden Sie das folgende Format:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Nachdem Sie eine Organisationsrichtlinie mit dieser Einschränkung eingerichtet haben, wird die Einschränkung wirksam, wenn Sie das nächste Mal mit dem Befehl gcloud compute url-maps einen Backend-Dienst an eine URL-Zuordnung anhängen. Die Einschränkung wirkt sich nicht rückwirkend auf vorhandene Verweise auf projektübergreifende Backend-Dienste aus.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Entfernen von Sperren gemeinsam genutzter VPC-Projekte einschränken

Wenn diese boolesche Einschränkung bereits auf True gesetzt ist, wird die Gruppe der Nutzer eingeschränkt, die eine Sperre für ein freigegebenes VPC-Host-Projekt entfernen können, ohne eine Berechtigung auf Organisationsebene zu haben.

  • Name: Entfernen von Sperren gemeinsam genutzter VPC-Projekte einschränken
  • ID: constraints/compute.restrictXpnProjectLienRemoval

Standardmäßig kann jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren eine Sperre eines freigegebenen VPC-Host-Projekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene vorhanden sein.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Boolesche Einschränkungen mit Organisationsrichtlinien einrichten.

TLS-Funktionen mit benutzerdefinierten Einschränkungen einschränken

Wenn Sie Ihre Compliance-Anforderungen erfüllen und bestimmte TLS-Funktionen (Transport Layer Security) einschränken möchten, können Sie die folgende Einschränkung für Organisationsrichtlinien erstellen und zusammen mit benutzerdefinierten Einschränkungen für SSL-Richtlinienressourcen verwenden:

  • Name: Erfordert SSL-Richtlinie
  • ID: constraints/compute.requireSslPolicy

Wenn Sie die Einschränkung constraints/compute.requireSslPolicy mit Ihren eigenen benutzerdefinierten Einschränkungen für SSL-Richtlinienfelder kombinieren, können Sie Einschränkungen erstellen, die auf Ihre Bereitstellungen zugeschnitten sind. Sie haben beispielsweise folgende Möglichkeiten:

  • Die Sicherheit steigern und Compliance-Anforderungen erfüllen; dazu schränken Sie die Verwendung früherer TLS-Versionen (z. B. 1.0 und 1.1) und Chiffresammlungen ein.
  • Die Leistung verbessern, wozu Sie die Anzahl der erforderlichen Handshakes reduzieren und die Kompatibilität des Load-Balancers mit Clients verbessern.
  • Sie können eine Einschränkung auf einen bestimmten Ressourcenknoten und seine untergeordneten Elemente anwenden. Wenn Sie beispielsweise die TLS-Version 1.0 für eine Organisation ablehnen, wird diese auch für alle Ordner und Projekte (untergeordnete Elemente) abgelehnt, die von dieser Organisation abstammen.

Wenn Sie eine SSL-Richtlinie für einen Application Load Balancer oder einen Proxy Network Load Balancer erzwingen möchten, müssen Sie sie an den Ziel-HTTPS-Proxy oder Ziel-SSL-Proxy des Load Balancers anhängen.

Informationen zum Aktualisieren vorhandener SSL-Richtlinien finden Sie unter Vorhandene, mit Zielproxys verknüpfte SSL-Richtlinien aktualisieren.

Boolesche Einschränkungen mit Organisationsrichtlinien einrichten

Console

Führen Sie die folgenden Schritte aus, um über die Console eine Organisationsrichtlinie festzulegen:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Suchen Sie im Feld Filter nach der Einschränkung entweder nach Name oder nach ID.
  3. Klicken Sie auf den Namen der Einschränkung.
  4. Klicken Sie auf Bearbeiten, um die Einschränkung zu bearbeiten.
  5. Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
  6. Wählen Sie unter Erzwingung eine Erzwingungsoption aus:
    • Wählen Sie An, um die Erzwingung dieser Einschränkung zu aktivieren.
    • Wählen Sie Aus, um die Erzwingung dieser Einschränkung zu deaktivieren.
  7. Nachdem Sie Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Einstellungen für die Einschränkung zu übernehmen.

Eine ausführliche Anleitung zur Anpassung von Organisationsrichtlinien mithilfe der Google Cloud Console finden Sie unter Richtlinien für boolesche Einschränkungen anpassen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager org-policies enable-enforce so, um die Erzwingung einer booleschen Einschränkung für eine Organisationsrichtlinie zu aktivieren.

So aktivieren Sie die Einschränkung für die Sperre eines freigegebenen VPC-Projekts:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.restrictXpnProjectLienRemoval

So deaktivieren Sie das globale Load-Balancing:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.disableGlobalLoadBalancing

Eine ausführliche Anleitung zur Arbeit mit booleschen Einschränkungen in gcloud finden Sie unter Einschränkungen verwenden.

Listeneinschränkungen mit Organisationsrichtlinien einrichten

Console

Führen Sie die folgenden Schritte aus, um über die Console eine Organisationsrichtlinie festzulegen:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Suchen Sie im Feld Filter nach der Einschränkung entweder nach Name oder nach ID. Wenn Sie beispielsweise Hostprojekte von freigegebenen VPCs einschränken möchten, suchen Sie nach der ID: constraints/compute.restrictSharedVpcHostProjects.
  3. Klicken Sie auf den Namen der Einschränkung.
  4. Klicken Sie auf Bearbeiten, um die Einschränkung zu bearbeiten.
  5. Zum Erstellen einer benutzerdefinierten Richtlinie wählen Sie Anpassen aus und geben die Zulassungsliste oder Sperrliste für Ressourcen an. Eine ausführlichere Anleitung zum Anpassen von Organisationsrichtlinien mithilfe der Google Cloud Console finden Sie unter Richtlinien für Listeneinschränkungen anpassen.
  6. Nachdem Sie Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Einstellungen für die Einschränkung zu übernehmen.

gcloud

Dieser Abschnitt enthält einige Konfigurationsbeispiele, die Ihnen zeigen, wie Sie eine Organisationsrichtliniendatei mit Listeneinschränkung erstellen und festlegen. Eine ausführlichere Anleitung zum Arbeiten mit Listeneinschränkungen und Organisationsrichtlinien in gcloud finden Sie unter Einschränkungen verwenden.

  1. Erstellen Sie die Richtliniendatei. Verwenden Sie die folgenden JSON-Konfigurationsbeispiele, um eine eigene Richtliniendatei anhand Ihrer Anforderungen zu erstellen.

    • Load-Balancer-Typen einschränken

      • Nur einen Teil der Load-Balancer zulassen

        {
        "constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
        "listPolicy": {
          "allowedValues": [
            "INTERNAL_TCP_UDP",
            "EXTERNAL_NETWORK_TCP_UDP"
          ]
        }
        }
        
      • Alle externen Load-Balancer ablehnen

        {
        "constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
        "listPolicy": {
          "deniedValues": [
            "in:EXTERNAL"
          ]
        }
        }
        
      • Alle Load-Balancer ablehnen

        {
        "constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
        "listPolicy": {
          "allValues": "DENY"
        }
        }
        
    • Protokollweiterleitungstypen einschränken

      • Alle Protokollweiterleitungen ablehnen

        {
        "constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes",
        "listPolicy": {
          "allValues": "DENY"
        }
        }
        
      • Nur interne Protokollweiterleitung zulassen

        {
        "constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes",
        "listPolicy": {
          "deniedValues": [
            "EXTERNAL"
          ]
        }
        }
        
    • Freigegebene VPC-Konfigurationen einschränken

      • Freigegebene VPC-Hostprojekte einschränken

        {
        "constraint": "constraints/compute.restrictSharedVpcHostProjects",
        "listPolicy": {
          "allowedValues": [
            "under:folders/FOLDER_ID",
            "under:projects/PROJECT_ID"
          ]
        }
        }
        
      • Freigegebene VPC-Subnetzwerke einschränken

        {
        "constraint": "constraints/compute.restrictSharedVpcSubnetworks",
        "listPolicy": {
          "deniedValues": [
            "under:organizations/ORGANIZATION_ID",
            "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
          ]
        }
        }
        
      • Backend-Dienste von freigegebenen VPCs einschränken

        {
        "constraint": "constraints/compute.restrictCrossProjectServices",
        "listPolicy": {
          "allowedValues": [
            "under:folders/FOLDER_ID",
            "under:projects/PROJECT_ID",
            "projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME"
          ]
        }
        }
        
  2. Die Einschränkung auf eine Ressource anwenden: entweder eine Organisation, einen Ordner oder ein Projekt.

    Führen Sie für Organisationen den folgenden Befehl aus:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
        --organization=ORGANIZATION_ID
    

    Führen Sie den folgenden Befehl aus, um einen Ordner zu erstellen:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
        --folder=FOLDER_ID
    

    Führen Sie für Projekte den folgenden Befehl aus, um ein Projekt zu erstellen:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
        --project=PROJECT_ID
    

    Ersetzen Sie Folgendes:

Organisationsrichtlinie einrichten, um eine SSL-Richtlinie auf Ziel-HTTPS-Proxys und Ziel-SSL-Proxys anzuwenden

Console

Führen Sie die folgenden Schritte aus, um über die Console eine Organisationsrichtlinie festzulegen:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Suchen Sie im Feld Filter nach der Einschränkung entweder nach Name oder nach ID.

  3. Klicken Sie auf den Namen der Einschränkung.

  4. Klicken Sie auf Bearbeiten, um die Einschränkung zu bearbeiten.

  5. Zum Erstellen einer benutzerdefinierten Richtlinie wählen Sie Anpassen aus und geben die Zulassungsliste oder Sperrliste für Ressourcen an.

  6. Nachdem Sie Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Einstellungen für die Einschränkung zu übernehmen.

gcloud

Dieser Abschnitt enthält einige Konfigurationsbeispiele, die Ihnen zeigen, wie Sie eine Organisationsrichtliniendatei mit der Einschränkung constraints/compute.requireSslPolicy erstellen und festlegen.

  • Erstellen Sie eine Richtliniendatei, um die Verwendung von SSL-Richtlinien zu untersagen.

    {
      "constraint": "constraints/compute.requireSslPolicy",
      "listPolicy": {
        "allValues": "DENY"
      }
    }
    
  • Erstellen Sie eine Richtliniendatei, um eine SSL-Richtlinie auf alle Ziel-HTTPS- und SSL-Proxys unter der angegebenen Ressource in der Ressourcenhierarchie anzuwenden:

    {
      "constraint": "constraints/compute.requireSslPolicy",
      "listPolicy": {
        "allowedValues": [
          "under:folders/FOLDER_ID",
          "under:projects/PROJECT_ID"
        ]
      }
    }
    
  • Wenden Sie die Einschränkung auf HTTPS- und SSL-Zielproxys an: auf eine Organisation, einen Ordner oder ein Projekt.

    Führen Sie für Organisationen den folgenden Befehl aus:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
        --organization=ORGANIZATION_ID
    

    Führen Sie den folgenden Befehl aus, um einen Ordner zu erstellen:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
        --folder=FOLDER_ID
    

    Führen Sie für Projekte den folgenden Befehl aus, um ein Projekt zu erstellen:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
        --project=PROJECT_ID
    

    Ersetzen Sie Folgendes:

  • Führen Sie die folgenden Befehle aus, um die geltende Richtlinie zum Prüfen des Standardverhaltens der Ressource (Organisation, Ordner oder Projekt) abzurufen:

    Für Unternehmen:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
        --effective \
        --organization=ORGANIZATION_ID
    

    Für Ordner:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
        --effective \
        --folder=FOLDER_ID
    

    Für Projekte:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
        --effective \
        --project=PROJECT_ID
    
  • Führen Sie die folgenden Befehle aus, um die Richtlinie aus der Ressource (Organisation, Ordner oder Projekt) zu löschen:

    Für Unternehmen:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
        --organization=ORGANIZATION_ID
    

    Für Ordner:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
        --folder=FOLDER_ID
    

    Für Projekte:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
        --project=PROJECT_ID
    

Informationen zum Einrichten benutzerdefinierter Einschränkungen finden Sie unter Benutzerdefinierte Einschränkungen verwenden.

Nächste Schritte