Il servizio Criteri dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorse Google Cloud e ai relativi discendenti nella gerarchia delle risorse Google Cloud.
Questa pagina fornisce informazioni supplementari sulle limitazioni dei criteri dell'organizzazione che si applicano a Cloud Load Balancing. Utilizzi i vincoli dei criteri dell'organizzazione per applicare le impostazioni a un intero progetto, a una cartella o a un'intera organizzazione.
I criteri dell'organizzazione si applicano solo alle nuove risorse. I vincoli non vengono applicati in modo retroattivo. Se hai risorse di bilanciamento del carico esistenti che violano un nuovo criterio dell'organizzazione, dovrai risolvere queste violazioni manualmente.
Per un elenco completo dei vincoli disponibili, consulta Vincoli dei criteri dell'organizzazione.
Limitare i tipi di bilanciatori del carico
Utilizza un criterio dell'organizzazione per limitare i tipi di Cloud Load Balancing che possono essere creati nella tua organizzazione. Imposta il seguente vincolo per i criteri dell'organizzazione:
- Nome: Limita la creazione del bilanciatore del carico in base ai tipi di bilanciatore del carico
- ID:
constraints/compute.restrictLoadBalancerCreationForTypes
Quando imposti la limitazione compute.restrictLoadBalancerCreationForTypes
, specifichi una lista consentita o una lista vietata dei tipi di Cloud Load Balancing. L'elenco dei valori consentiti o negati può includere solo valori contenuti nell'elenco seguente:
Bilanciatori del carico delle applicazioni
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
per il bilanciatore del carico delle applicazioni esterno globaleEXTERNAL_HTTP_HTTPS
per il bilanciatore del carico delle applicazioni classicoGLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
per il bilanciatore del carico delle applicazioni interno tra regioni
EXTERNAL_MANAGED_HTTP_HTTPS
per il bilanciatore del carico delle applicazioni esterno regionaleINTERNAL_HTTP_HTTPS
per il bilanciatore del carico delle applicazioni interno regionale
Bilanciatori del carico di rete proxy
GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
per il bilanciatore del carico di rete proxy esterno globale con un proxy TCPGLOBAL_EXTERNAL_MANAGED_SSL_PROXY
per il bilanciatore del carico di rete proxy esterno globale con un proxy SSLEXTERNAL_TCP_PROXY
per il bilanciatore del carico di rete proxy classico con un proxy TCPEXTERNAL_SSL_PROXY
per il bilanciatore del carico di rete proxy classico con un proxy SSLGLOBAL_INTERNAL_MANAGED_TCP_PROXY
per il bilanciatore del carico di rete proxy interno tra regioni con un proxy TCP
REGIONAL_EXTERNAL_MANAGED_TCP_PROXY
per il bilanciatore del carico di rete proxy esterno regionale con un proxy TCPREGIONAL_INTERNAL_MANAGED_TCP_PROXY
per il bilanciatore del carico di rete proxy interno regionale con un proxy TCP
Bilanciatori del carico di rete passthrough
EXTERNAL_NETWORK_TCP_UDP
per il bilanciatore del carico di rete passthrough esternoINTERNAL_TCP_UDP
per il bilanciatore del carico di rete passthrough interno
Per includere tutti i tipi di bilanciatore del carico interni o esterni, utilizza il prefisso in:
followed da INTERNAL
o EXTERNAL
. Ad esempio, se consenti in:INTERNAL
, autorizzerai tutti i bilanciatori del carico interni nell'elenco precedente.
Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli degli elenchi con i criteri dell'organizzazione.
Dopo aver impostato il criterio, questo viene applicato quando aggiungi le rispettive regole di inoltro di Google Cloud. La limitazione non viene applicata alle configurazioni esistenti di Cloud Load Balancing.
Se provi a creare un bilanciatore del carico di un tipo che viola il vincolo, il tentativo non va a buon fine e viene generato un messaggio di errore. Il messaggio di errore ha il seguente formato:
Constraint constraints/compute.restrictLoadBalancerCreationForTypes violated for projects/PROJECT_NAME. Forwarding Rule projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME of type SCHEME is not allowed.
Se imposti più vincoli restrictLoadBalancerCreationForTypes
su diversi livelli di risorsa, questi vengono applicati in modo gerarchico.
Per questo motivo, ti consigliamo di impostare il campo inheritFromParent
su
true
, in modo da garantire che vengano presi in considerazione anche i criteri a livelli superiori.
Messaggi di errore GKE
Se utilizzi gli oggetti Service e Ingress di Google Kubernetes Engine (GKE), l'utilizzo di questo criterio dell'organizzazione per limitare la creazione di bilanciatori del carico genera un messaggio di errore simile al seguente:
Warning Sync 28s loadbalancer-controller Error during sync: error running load balancer syncing routine: loadbalancer FORWARDING_RULE_NAME does not exist: googleapi: Error 412: Constraint constraints/compute.restrictLoadBalancerCreationForTypes violated for projects/PROJECT_ID. Forwarding Rule projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME of type LOAD_BALANCER_TYPE is not allowed, conditionNotMet
Puoi visualizzare i messaggi di errore di GKE eseguendo i seguenti comandi:
kubectl get events -w
kubectl describe RESOURCE_KIND NAME
Sostituisci quanto segue:
- RESOURCE_KIND: il tipo di bilanciatore del carico,
ingress
oservice
- NAME: il nome del bilanciatore del carico
Disattivare il bilanciamento del carico globale
Questo vincolo booleano disabilita la creazione di prodotti di bilanciamento del carico globale. Quando applicato, è possibile creare solo prodotti di bilanciamento del carico a livello di regione senza dipendenze globali.
- Nome: Disabilita bilanciamento del carico globale
- ID:
constraints/compute.disableGlobalLoadBalancing
Per impostazione predefinita, gli utenti sono autorizzati a creare prodotti di bilanciamento del carico globale.
Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare vincoli booleani con i criteri dell'organizzazione.
Limitare i tipi di implementazioni di inoltro di protocollo
Utilizza una policy dell'organizzazione per limitare i tipi di deployment di forwarding del protocollo (interni o esterni) che possono essere creati nella tua organizzazione. Imposta il seguente vincolo dei criteri dell'organizzazione:
- Nome: Limita il forwarding di protocollo in base al tipo di indirizzo IP
- ID:
constraints/compute.restrictProtocolForwardingCreationForTypes
Per configurare il vincolo compute.restrictProtocolForwardingCreationForTypes
, specifica una lista consentita o una lista bloccata del tipo di deployment di inoltro del protocollo da consentire o negare. L'elenco dei valori consentiti o vietati può includere solo i seguenti valori:
INTERNAL
EXTERNAL
Per impostazione predefinita, le organizzazioni appena create hanno questo criterio configurato per consentire soltanto il forwarding del protocollo INTERNAL
. In altre parole, le regole di inoltro associate alle istanze di destinazione sono limitate all'utilizzo solo di indirizzi IP interni. Se
vuoi utilizzare il forwarding del protocollo con indirizzi IP esterni o se vuoi
vietare agli utenti di utilizzare il forwarding del protocollo con indirizzi IP interni,
devi aggiornare questo criterio dell'organizzazione.
Dopo aver aggiornato il criterio, le modifiche vengono applicate quando crei nuove regole di inoltro associate alle istanze di destinazione. Il vincolo non viene applicato in modo retroattivo alle configurazioni di inoltro dei protocolli esistenti.
Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli degli elenchi con i criteri dell'organizzazione.
Se tenti di creare un deployment di inoltro del protocollo di un tipo che viola la limitazione, il tentativo non va a buon fine e viene generato un messaggio di errore. Il messaggio di errore ha il seguente formato:
Constraint constraints/compute.restrictProtocolForwardingCreationForTypes violated for projects/PROJECT_NAME. Forwarding Rule projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME of type SCHEME is not allowed.
Se imposti più vincoli restrictProtocolForwardingCreationForTypes
su diversi livelli di risorsa e imposti il campo inheritFromParent
su true
, i vincoli vengono applicati in modo gerarchico.
Applicare le limitazioni della VPC condivisa
Utilizza i seguenti criteri dell'organizzazione per limitare la modalità di configurazione dei deployment VPC condiviso da parte degli utenti.
Limita i progetti host VPC condivisa
Questo vincolo dell'elenco consente di limitare i progetti host con VPC condiviso ai quali una risorsa può essere collegata.
- Nome: Limita progetti host con VPC condivise
- ID:
constraints/compute.restrictSharedVpcHostProjects
Per impostazione predefinita, un progetto può essere associato a qualsiasi progetto host nella stessa organizzazione, diventando quindi un progetto di servizio. Quando imposti il vincolo compute.restrictSharedVpcHostProjects
, specifica una lista consentita o una lista vietata di progetti host nei seguenti modi:
- Specifica un progetto nel seguente formato:
- projects/PROJECT_ID
- Specifica un progetto, una cartella o un'organizzazione. Il vincolo si applica a tutti i progetti della risorsa specificata nella gerarchia delle risorse. Utilizza il
seguente formato:
- under:organizations/ORGANIZATION_ID
- under:folders/FOLDER_ID
Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli degli elenchi con i criteri dell'organizzazione.
Limita le subnet VPC condivise
Questo vincolo dell'elenco definisce l'insieme di subnet VPC condiviso condivise utilizzabili dalle risorse idonee. Il vincolo non si applica alle risorse all'interno dello stesso progetto.
- Nome: Limita subnet VPC condivise
- ID:
constraints/compute.restrictSharedVpcSubnetworks
Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi subnet VPC condiviso. Quando imposti il vincolo compute.restrictSharedVpcSubnetworks
, specifichi un elenco limitato di sottoreti nei seguenti modi:
- Specifica una subnet nel seguente formato:
- projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME.
- Specifica un progetto, una cartella o un'organizzazione. Il vincolo si applica
a tutte le subnet sotto la risorsa specificata nella gerarchia delle risorse. Utilizza il
seguente formato:
- under:organizations/ORGANIZATION_ID
- under:folders/FOLDER_ID
- under:projects/PROJECT_ID
Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli degli elenchi con i criteri dell'organizzazione.
Limitare i servizi di backend tra progetti
Puoi utilizzare questo vincolo per limitare i servizi di backend a cui può fare riferimento una mappa URL. Il vincolo non si applica ai servizi di backend all'interno dello stesso progetto della mappa URL.
- Nome: Limita i servizi di backend tra progetti
- ID:
constraints/compute.restrictCrossProjectServices
Per impostazione predefinita, le mappe URL in tutti i progetti host o di servizio possono fare riferimento a servizi di backend compatibili di altri progetti di servizio o del progetto host nello stesso deployment VPC condiviso, purché l'utente che esegue l'azione disponga dell'autorizzazione compute.backendServices.use
. Quando imposti il vincolo restrictCrossProjectServices
, specifichi una lista consentita o una lista vietata di servizi di backend nei seguenti modi:
- Specifica i servizi di backend nel seguente formato:
- projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME
- Specifica un progetto, una cartella o un'organizzazione. Il vincolo si applica a tutti
i servizi di backend sotto la risorsa specificata nella gerarchia delle risorse. Utilizza
il seguente formato:
- under:organizations/ORGANIZATION_ID
- under:folders/FOLDER_ID
- under:projects/PROJECT_ID
Dopo aver configurato un criterio dell'organizzazione con questo vincolo, il vincolo viene applicato la volta successiva che utilizzi il comando gcloud compute url-maps
per collegare un servizio di backend a una mappa di URL. Il vincolo non influisce in modo retroattivo sui riferimenti esistenti a servizi di backend tra progetti.
Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli degli elenchi con i criteri dell'organizzazione.
Limita la rimozione dei blocchi sul progetto del VPC condiviso
Questo vincolo booleano limita l'insieme di utenti che possono rimuovere un blocco del progetto host VPC condiviso senza autorizzazione a livello di organizzazione se questo vincolo è già impostato su True
.
- Nome: Limita la rimozione dei blocchi sul progetto del VPC condiviso
- ID:
constraints/compute.restrictXpnProjectLienRemoval
Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco del progetto host VPC condiviso. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione.
Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare vincoli booleani con i criteri dell'organizzazione.
Limitare le funzionalità TLS con vincoli personalizzati
Per soddisfare i requisiti di conformità e limitare determinate funzionalità di Transport Layer Security (TLS), puoi creare il seguente vincolo dei criteri dell'organizzazione e utilizzarlo insieme ai vincoli personalizzati per le risorse dei criteri SSL:
- Nome: Richiedi criterio SSL
- ID:
constraints/compute.requireSslPolicy
Utilizzando il vincolo constraints/compute.requireSslPolicy
insieme ai tuoi vincoli personalizzati per i campi dei criteri SSL, puoi creare limitazioni personalizzate per i tuoi implementazioni. Ad esempio, puoi:
- Migliora la sicurezza e soddisfa i requisiti di conformità limitando l'utilizzo di versioni TLS precedenti (ad esempio 1.0 e 1.1) e suite di crittografia.
- Migliora le prestazioni riducendo il numero di handshake richiesti e migliorando la compatibilità del bilanciatore del carico con i client.
- Applica una limitazione a un nodo della risorsa specifico e ai relativi nodi secondari. Ad esempio, se neghi la versione TLS 1.0 per un'organizzazione, questa viene negata anche per tutte le cartelle e i progetti (secondari) che derivano da quell'organizzazione.
Per applicare un criterio SSL per un bilanciatore del carico delle applicazioni o un bilanciatore del carico di rete proxy, devi collegarlo al proxy HTTPS di destinazione o al proxy SSL di destinazione del bilanciatore del carico.
Per aggiornare i criteri SSL esistenti, consulta Aggiornare i criteri SSL esistenti associati ai proxy di destinazione.
Configurare i vincoli booleani con i criteri dell'organizzazione
Console
Per impostare un criterio dell'organizzazione dalla console, completa i seguenti passaggi:
- Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
- Nel campo Filtro, cerca il vincolo per Nome o per ID.
- Fai clic sul nome della limitazione.
- Fai clic su Modifica per modificare la limitazione.
- Nella pagina Modifica, seleziona Personalizza.
- In Applicazione forzata, seleziona un'opzione di applicazione:
- Per attivare l'applicazione di questa limitazione, seleziona On.
- Per disattivare l'applicazione di questa limitazione, seleziona Off.
- Dopo aver apportato le modifiche, fai clic su Salva per applicare le impostazioni del vincolo.
Per istruzioni dettagliate sulla personalizzazione dei criteri dell'organizzazione utilizzando la console Google Cloud, consulta Personalizzare i criteri per i vincoli booleani.
gcloud
Per attivare l'applicazione di un vincolo booleano per un criterio dell'organizzazione,
utilizza il comando gcloud resource-manager org-policies
enable-enforce
come segue.
Per attivare la limitazione della rimozione dei blocchi sul progetto del VPC condiviso:
gcloud resource-manager org-policies enable-enforce \ --organization ORGANIZATION_ID \ constraints/compute.restrictXpnProjectLienRemoval
Per disattivare il bilanciamento del carico globale:
gcloud resource-manager org-policies enable-enforce \ --organization ORGANIZATION_ID \ constraints/compute.disableGlobalLoadBalancing
Per istruzioni dettagliate sull'utilizzo dei vincoli booleani in
gcloud
, consulta Utilizzare i vincoli.
Configurare i vincoli degli elenchi con i criteri dell'organizzazione
Console
Per impostare un criterio dell'organizzazione dalla console, completa i seguenti passaggi:
- Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
- Nel campo Filtro, cerca il vincolo per Nome o per ID. Ad esempio, per limitare i progetti host VPC condiviso,
cerca l'ID:
constraints/compute.restrictSharedVpcHostProjects
. - Fai clic sul nome della limitazione.
- Fai clic su Modifica per modificare la limitazione.
- Per creare un criterio personalizzato, seleziona Personalizza e specifica la lista consentita o la lista vietata delle risorse. Per istruzioni più dettagliate su come personalizzare le norme dell'organizzazione utilizzando la console Google Cloud, consulta Personalizzare le norme per le limitazioni degli elenchi.
- Dopo aver apportato le modifiche, fai clic su Salva per applicare le impostazioni del vincolo.
gcloud
Questa sezione fornisce alcuni esempi di configurazione per mostrarti come creare e impostare un file di criteri dell'organizzazione con vincolo dell'elenco. Per istruzioni più dettagliate sull'utilizzo dei vincoli degli elenchi e dei criteri dell'organizzazione in gcloud
, consulta Utilizzare i vincoli.
Crea il file di criteri. Utilizza i seguenti esempi di configurazione JSON per creare il tuo file di criteri in base ai tuoi requisiti.
Limitare i tipi di bilanciatori del carico
Consentire solo un sottoinsieme di bilanciatori del carico
{ "constraint": "constraints/compute.restrictLoadBalancerCreationForTypes", "listPolicy": { "allowedValues": [ "INTERNAL_TCP_UDP", "EXTERNAL_NETWORK_TCP_UDP" ] } }
Negare tutti i bilanciatori del carico esterni
{ "constraint": "constraints/compute.restrictLoadBalancerCreationForTypes", "listPolicy": { "deniedValues": [ "in:EXTERNAL" ] } }
Negare tutti i bilanciatori del carico
{ "constraint": "constraints/compute.restrictLoadBalancerCreationForTypes", "listPolicy": { "allValues": "DENY" } }
Limitare i tipi di inoltro di protocollo
Negare tutto l'inoltro del protocollo
{ "constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes", "listPolicy": { "allValues": "DENY" } }
Consentire solo il forwarding del protocollo interno
{ "constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes", "listPolicy": { "deniedValues": [ "EXTERNAL" ] } }
Limitare le configurazioni di VPC condiviso
Limita i progetti host con VPC condivise
{ "constraint": "constraints/compute.restrictSharedVpcHostProjects", "listPolicy": { "allowedValues": [ "under:folders/FOLDER_ID", "under:projects/PROJECT_ID" ] } }
Limita le subnet VPC condivise
{ "constraint": "constraints/compute.restrictSharedVpcSubnetworks", "listPolicy": { "deniedValues": [ "under:organizations/ORGANIZATION_ID", "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] } }
Limitare i servizi di backend del VPC condiviso
{ "constraint": "constraints/compute.restrictCrossProjectServices", "listPolicy": { "allowedValues": [ "under:folders/FOLDER_ID", "under:projects/PROJECT_ID", "projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME" ] } }
Applica il vincolo a una risorsa: un'organizzazione, una cartella o un progetto.
Per le organizzazioni, esegui il seguente comando:
gcloud resource-manager org-policies set-policy POLICY_FILE \ --organization=ORGANIZATION_ID
Per le cartelle, esegui il seguente comando:
gcloud resource-manager org-policies set-policy POLICY_FILE \ --folder=FOLDER_ID
Per i progetti, esegui il seguente comando:
gcloud resource-manager org-policies set-policy POLICY_FILE \ --project=PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID
: il tuo ID organizzazione.FOLDER_ID
: il tuo ID cartella.PROJECT_ID
: il tuo ID progetto.
Configurare un criterio dell'organizzazione per applicare un criterio SSL ai proxy HTTPS e SSL target
Console
Per impostare un criterio dell'organizzazione dalla console, completa i seguenti passaggi:
Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
Nel campo Filtro, cerca il vincolo per Nome o per ID.
Fai clic sul nome della limitazione.
Fai clic su Modifica per modificare la limitazione.
Per creare un criterio personalizzato, seleziona Personalizza e specifica la lista consentita o la lista vietata delle risorse.
Dopo aver apportato le modifiche, fai clic su Salva per applicare le impostazioni del vincolo.
gcloud
Questa sezione fornisce alcuni esempi di configurazione che mostrano come creare e impostare un file di criteri dell'organizzazione con il vincolo constraints/compute.requireSslPolicy
.
Crea un file di criteri per non consentire l'utilizzo dei criteri SSL.
{ "constraint": "constraints/compute.requireSslPolicy", "listPolicy": { "allValues": "DENY" } }
Crea un file di criteri per applicare un criterio SSL a tutti i proxy HTTPS e SSL target della risorsa specificata nella gerarchia delle risorse:
{ "constraint": "constraints/compute.requireSslPolicy", "listPolicy": { "allowedValues": [ "under:folders/FOLDER_ID", "under:projects/PROJECT_ID" ] } }
Applica il vincolo ai proxy HTTPS e SSL di destinazione: un'organizzazione, una cartella o un progetto.
Per le organizzazioni, esegui il seguente comando:
gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \ --organization=ORGANIZATION_ID
Per le cartelle, esegui il seguente comando:
gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \ --folder=FOLDER_ID
Per i progetti, esegui il seguente comando:
gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \ --project=PROJECT_ID
Sostituisci quanto segue:
PATH_TO_POLICY_FILE
: il percorso del file delle normeORGANIZATION_ID
: il tuo ID organizzazioneFOLDER_ID
: il tuo ID cartellaPROJECT_ID
: il tuo ID progetto
Per ottenere il criterio effettivo per verificare il comportamento predefinito della risorsa (organizzazione, cartella o progetto), esegui i seguenti comandi:
Per le organizzazioni:
gcloud resource-manager org-policies describe compute.requireSslPolicy \ --effective \ --organization=ORGANIZATION_ID
Per le cartelle:
gcloud resource-manager org-policies describe compute.requireSslPolicy \ --effective \ --folder=FOLDER_ID
Per i progetti:
gcloud resource-manager org-policies describe compute.requireSslPolicy \ --effective \ --project=PROJECT_ID
Per eliminare il criterio dalla risorsa (organizzazione, cartella o progetto), esegui i seguenti comandi:
Per le organizzazioni:
gcloud resource-manager org-policies delete compute.requireSslPolicy \ --organization=ORGANIZATION_ID
Per le cartelle:
gcloud resource-manager org-policies delete compute.requireSslPolicy \ --folder=FOLDER_ID
Per i progetti:
gcloud resource-manager org-policies delete compute.requireSslPolicy \ --project=PROJECT_ID
Per impostare vincoli personalizzati, consulta Utilizzare vincoli personalizzati.
Passaggi successivi
- Per informazioni sulla gerarchia delle risorse che si applica ai criteri dell'organizzazione, consulta Gerarchia delle risorse.
- Per una panoramica dei criteri e dei vincoli dell'organizzazione, consulta Introduzione al servizio Criteri dell'organizzazione.
- Per istruzioni su come utilizzare i vincoli e i criteri dell'organizzazione nella console Google Cloud, consulta Creare e gestire i criteri dell'organizzazione.
- Per istruzioni su come utilizzare i vincoli e i criteri dell'organizzazione in
gcloud
, consulta Utilizzare i vincoli. - Per un elenco completo dei vincoli disponibili, consulta Vincoli dei criteri dell'organizzazione.
- Per i metodi API pertinenti ai criteri dell'organizzazione, consulta la documentazione di riferimento dell'API Resource Manager.