組織ポリシーの制約

このページでは、Cloud NAT に構成できる組織のポリシーの制約について説明します。

ネットワーク管理者は Cloud NAT 構成を作成し、ゲートウェイを使用できるサブネットワーク(サブネット)を指定できます。デフォルトでは、管理者が作成するサブネットや Cloud NAT 構成を使用できるサブネットに制限はありません。

組織のポリシー管理者(roles/orgpolicy.policyAdmin)は、constraints/compute.restrictCloudNATUsage 制約を使用して、Cloud NAT を使用可能なサブネットを制限できます。

組織のポリシーで組織の制約を作成して適用します。

前提条件

IAM の権限

  • 制約を作成するユーザーには、roles/orgpolicy.policyAdmin ロールが付与されている必要があります。
  • 共有 VPC を使用する場合は、ユーザーロールがホスト プロジェクトに存在する必要があります。

組織のポリシーの背景

組織のポリシーの制約に関する作業を初めて実施される場合は、まず次のドキュメントを確認してください。

制約を計画する

allow または deny の制約は、リソース階層の次のレベルで作成できます。

  • 組織
  • フォルダ
  • プロジェクト
  • サブネットワーク

デフォルトでは、ノードに作成された制約はすべての子ノードに継承されます。ただし、特定のフォルダが親フォルダから継承するかどうかについては、対象フォルダの組織のポリシー管理者に決定権があるため、継承は自動化されません。詳細については、「階層評価について」継承をご覧ください。

制約は過去にさかのぼって適用されません。制約に違反している場合でも、既存の構成は引き続き機能します。

制約は allowdeny の設定で構成されます。

許可値と拒否値の間のインタラクション

  • restrictCloudNatUsage 制約が構成されていても、allowedValuesdeniedValues のいずれも指定されていない場合は、すべてが許可されます。
  • allowedValues が構成され、deniedValues が構成されていない場合、allowedValues で指定されていないものはすべて拒否されます。
  • deniedValues が構成され、allowedValues が構成されていない場合、deniedValues で指定されていないものはすべて許可されます。
  • allowedValuesdeniedValues の両方が構成されている場合、allowedValues で指定されていないものはすべて拒否されます。
  • 2 つの値が競合する場合は、deniedValues が優先されます。

サブネットとゲートウェイ間のインタラクション

制約によって、サブネットが NAT ゲートウェイを使用できないように設定することはできません。代わりに、制約により、ゲートウェイまたはサブネットの作成を禁止することで、制約に違反する構成を回避できます。

例 1: deny ルールに違反するサブネットを作成しようとしている

  1. ゲートウェイがリージョン内に存在します。
  2. ゲートウェイは、リージョン内のすべてのサブネットで使用できるように構成されています。
  3. リージョン内に単一のサブネット(subnet-1)が存在します。
  4. 制約を作成して、subnet-1 のみがゲートウェイを使用できるように設定可能です。
  5. 管理者は、対象リージョンのネットワークに追加のサブネットを作成することはできません。この制約により、ゲートウェイを使用可能なサブネットの作成を禁止できます。新しいサブネットが存在する場合は、組織のポリシー管理者が許可されたサブネットのリストにこれらのサブネットを追加できます。

例 2: deny ルールに違反するゲートウェイを作成しようとしている

  1. リージョン内に 2 つのサブネット(subnet-1subnet-2)が存在します。
  2. ゲートウェイの使用を subnet-1 のみに許可する制約が存在します。
  3. 管理者は、リージョン内のすべてのサブネットに対して開かれたゲートウェイを作成することはできません。代わりに、subnet-1 のみを配信するゲートウェイを作成するか、組織のポリシー管理者が許可されたサブネットのリストに subnet-2 を追加する必要があります。

制約を作成する

特定の制約を含む組織のポリシーを作成するには、制約の使用をご覧ください。

次のステップ