Vincoli dei criteri dell'organizzazione

Questa pagina fornisce informazioni sui vincoli dei criteri dell'organizzazione che puoi configurare per Cloud NAT.

Gli amministratori di rete possono creare configurazioni di Cloud NAT e specificare quali subnet (subnet) possono utilizzare il gateway. Per impostazione predefinita, non esistono limiti alle subnet create dall'amministratore o a quali possono utilizzare una configurazione di Cloud NAT.

Un amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) può utilizzare il vincolo constraints/compute.restrictCloudNATUsage per limitare le subnet che possono utilizzare Cloud NAT.

Puoi creare e applicare vincoli dell'organizzazione in un criterio dell'organizzazione.

Prerequisiti

Autorizzazioni IAM

  • La persona che crea i vincoli deve avere il ruolo roles/orgpolicy.policyAdmin.
  • Se utilizzi un VPC condiviso, il ruolo utente deve trovarsi nel progetto host.

Sfondo dei criteri dell'organizzazione

Se non hai mai lavorato con i vincoli dei criteri dell'organizzazione, esamina innanzitutto la seguente documentazione:

Pianificazione dei vincoli

Puoi creare vincoli allow o deny ai seguenti livelli della gerarchia delle risorse:

  • organizzazione
  • cartella
  • progetto
  • Subnet

Per impostazione predefinita, un vincolo creato in un nodo viene ereditato da tutti i nodi figlio. Tuttavia, un amministratore dei criteri dell'organizzazione per una determinata cartella può decidere se una determinata cartella eredita dalle cartelle padre, quindi l'ereditarietà non è automatica. Per ulteriori informazioni, consulta Ereditarietà in Informazioni sulla valutazione della gerarchia.

I vincoli non vengono applicati in modo retroattivo. Le configurazioni esistenti continuano a funzionare anche se violano i vincoli.

I vincoli sono costituiti da impostazioni di allow e deny.

Interazione tra valori consentiti e negati

  • Se è configurato un vincolo restrictCloudNatUsage, ma non sono specificati né allowedValuesdeniedValues, tutto è consentito.
  • Se allowedValues è configurato e deniedValues non è configurato, tutto ciò che non è specificato in allowedValues viene negato.
  • Se deniedValues è configurato e allowedValues non è configurato, tutto ciò che non è specificato in deniedValues è consentito.
  • Se sono configurati sia allowedValues che deniedValues, tutto ciò che non specifica in allowedValues viene negato.
  • Se due valori sono in conflitto, deniedValues ha la precedenza.

Interazione tra subnet e gateway

I vincoli non impediscono alle subnet di utilizzare un gateway NAT. Al contrario, i vincoli impediscono una configurazione che violerebbe il vincolo, impedendo la creazione di un gateway o di una subnet.

Esempio 1: tentativo di creare una subnet che violi una regola deny

  1. Un gateway esiste in una regione.
  2. Il gateway è configurato in modo da consentire a tutte le subnet di una regione di utilizzarlo.
  3. Esiste un'unica subnet (subnet-1) nella regione.
  4. Viene creato un vincolo in modo che solo subnet-1 possa utilizzare il gateway.
  5. Gli amministratori non possono creare altre subnet in quella rete in quell'area geografica. Il vincolo impedisce la creazione di subnet che sarebbero in grado di utilizzare il gateway. Se devono esistere le nuove subnet, l'amministratore dei criteri dell'organizzazione può aggiungerle all'elenco delle subnet consentite.

Esempio 2: tentativo di creare un gateway che violi una regola deny

  1. Esistono due subnet (subnet-1 e subnet-2) in una regione.
  2. Esiste un vincolo che consente solo a subnet-1 di utilizzare un gateway.
  3. Gli amministratori non sono in grado di creare un gateway aperto a tutte le subnet nella regione. Devono invece creare un gateway che gestisce solo subnet-1 oppure l'amministratore dei criteri dell'organizzazione deve aggiungere subnet-2 all'elenco delle subnet consentite.

Creazione dei vincoli

Per creare un criterio dell'organizzazione con un determinato vincolo, consulta Utilizzo dei vincoli.

Passaggi successivi