Batasan kebijakan organisasi

Halaman ini memberikan informasi tentang batasan kebijakan organisasi yang dapat Anda konfigurasikan untuk Cloud NAT.

Administrator jaringan dapat membuat konfigurasi Cloud NAT dan menentukan subjaringan (subnet) yang dapat menggunakan gateway. Secara default, tidak ada batas untuk subnetwork yang dibuat administrator atau subnetwork mana yang dapat menggunakan konfigurasi Cloud NAT.

Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) dapat menggunakan batasan constraints/compute.restrictCloudNATUsage untuk membatasi subnet mana yang dapat menggunakan Cloud NAT.

Anda membuat dan menerapkan batasan organisasi dalam kebijakan organisasi.

Prasyarat

Izin IAM

• Orang yang membuat batasan harus memiliki peran roles/orgpolicy.policyAdmin.
• Jika menggunakan VPC Bersama, peran pengguna harus berada dalam project host.

Latar belakang kebijakan organisasi

Jika Anda belum pernah menangani batasan kebijakan organisasi, tinjau terlebih dahulu dokumentasi berikut:

• Memahami batasan
• Memahami evaluasi hierarki

Merencanakan batasan Anda

Anda dapat membuat batasan allow atau deny pada level hierarki resource berikut:

• Organisasi
• Folder
• Project
• Subnetwork

Secara default, batasan yang dibuat pada node diwarisi oleh semua node turunan. Namun, Administrator Kebijakan Organisasi untuk folder tertentu dapat memutuskan bahwa folder tertentu diwarisi dari induknya, sehingga pewarisan tidak bersifat otomatis. Untuk informasi selengkapnya, lihat Pewarisan di Memahami evaluasi hierarki.

Batasan tidak diterapkan secara surut. Konfigurasi yang ada akan terus berfungsi meskipun melanggar batasan.

Batasan terdiri dari setelan allow dan deny.

Interaksi antara nilai yang diizinkan dan ditolak

• Jika batasan restrictCloudNatUsage dikonfigurasi, tetapi allowedValues atau deniedValues tidak ditentukan, semua hal diizinkan.
• Jika allowedValues dikonfigurasi dan deniedValues tidak dikonfigurasi, semua yang tidak ditentukan dalam allowedValues akan ditolak.
• Jika deniedValues dikonfigurasi dan allowedValues tidak dikonfigurasi, semua yang tidak ditentukan dalam deniedValues akan diizinkan.
• Jika allowedValues dan deniedValues dikonfigurasi, semua yang tidak ditentukan di allowedValues akan ditolak.
• Jika dua nilai bertentangan, deniedValues akan diprioritaskan.

Interaksi antara subnet dan gateway

Batasan tidak mencegah subnet menggunakan gateway NAT. Sebagai gantinya, batasan mencegah konfigurasi yang akan melanggar batasan dengan mencegah pembuatan gateway atau subnet.

Contoh 1: Mencoba membuat subnet yang melanggar aturan deny

1. Gateway ada di suatu region.
2. Gateway dikonfigurasi untuk mengizinkan semua subnet di region menggunakannya.
3. Satu subnet (subnet-1) ada di region.
4. Batasan dibuat sehingga hanya subnet-1 yang dapat menggunakan gateway.
5. Administrator tidak dapat membuat lebih banyak subnet di jaringan tersebut di region tersebut. Batasan ini mencegah pembuatan subnet yang akan dapat menggunakan gateway. Jika subnet baru harus ada, Administrator Kebijakan Organisasi dapat menambahkan subnet ini ke daftar subnet yang diizinkan.

Contoh 2: Mencoba membuat gateway yang melanggar aturan deny

1. Ada dua subnet (subnet-1 dan subnet-2) di suatu region.
2. Ada batasan yang hanya mengizinkan subnet-1 menggunakan gateway.
3. Administrator tidak dapat membuat gateway yang terbuka untuk semua subnet di region. Sebagai gantinya, mereka harus membuat gateway yang hanya menayangkan subnet-1, atau Administrator Kebijakan Organisasi harus menambahkan subnet-2 ke daftar subnet yang diizinkan.

Membuat batasan

Untuk membuat kebijakan organisasi dengan batasan tertentu, lihat Menggunakan batasan.

Langkah selanjutnya

• Pelajari cara menggunakan kebijakan organisasi kustom.
• Siapkan gateway Public NAT.
• Siapkan gateway Private NAT.