Restrições de políticas da organização

Esta página fornece informações sobre as restrições da política da organização que pode configurar para o Cloud NAT.

Os administradores de rede podem criar configurações do Cloud NAT e especificar que sub-redes podem usar o gateway. Por predefinição, não existem limites para as sub-redes que o administrador cria nem para qual delas pode usar uma configuração do Cloud NAT.

Um administrador de políticas da organização (roles/orgpolicy.policyAdmin) pode usar a restrição constraints/compute.restrictCloudNATUsage para limitar as sub-redes que podem usar o Cloud NAT.

Cria e aplica restrições organizacionais numa política da organização.

Pré-requisitos

Autorizações de IAM

• A pessoa que cria as restrições tem de ter a função roles/orgpolicy.policyAdmin.
• Se usar a VPC partilhada, a função de utilizador tem de estar no projeto anfitrião.

Contexto da política da organização

Se nunca trabalhou com restrições de políticas organizacionais, reveja primeiro a seguinte documentação:

• Compreender as restrições
• Compreender a avaliação da hierarquia

Planeamento das restrições

Pode criar restrições allow ou deny nos seguintes níveis da hierarquia de recursos:

• Organização
• Pasta
• Projeto
• Sub-rede

Por predefinição, uma restrição criada num nó é herdada por todos os nós subordinados. No entanto, um administrador de políticas organizacionais de uma determinada pasta pode decidir se uma determinada pasta herda das respetivas pastas principais, pelo que a herança não é automática. Para mais informações, consulte a secção Herança no artigo Compreender a avaliação da hierarquia.

As restrições não são aplicadas retroativamente. As configurações existentes continuam a funcionar, mesmo que violem as restrições.

As restrições consistem nas definições allow e deny.

Interação entre valores permitidos e recusados

• Se for configurada uma restrição restrictCloudNatUsage, mas não for especificado allowedValues nem deniedValues, tudo é permitido.
• Se allowedValues estiver configurado e deniedValues não estiver configurado, tudo o que não estiver especificado em allowedValues é recusado.
• Se deniedValues estiver configurado e allowedValues não estiver configurado, tudo o que não estiver especificado em deniedValues é permitido.
• Se allowedValues e deniedValues estiverem configurados, tudo o que não for especificado em allowedValues é recusado.
• Se dois valores entrarem em conflito, o valor deniedValues tem prioridade.

Interação entre sub-redes e gateways

As restrições não impedem que as sub-redes usem um gateway NAT. Em alternativa, as restrições impedem uma configuração que violaria a restrição, impedindo a criação de um gateway ou uma sub-rede.

Exemplo 1: tentar criar uma sub-rede que viola uma regra deny

1. Existe um gateway numa região.
2. O gateway está configurado para permitir que todas as sub-redes numa região o usem.
3. Existe uma única sub-rede (subnet-1) na região.
4. É criada uma restrição para que apenas subnet-1 possa usar o gateway.
5. Os administradores não podem criar mais sub-redes nessa rede nessa região. A restrição impede a criação de sub-redes que poderiam usar o gateway. Se as novas sub-redes devem existir, o administrador da política de organização pode adicioná-las à lista de sub-redes permitidas.

Exemplo 2: tentar criar um gateway que viole uma regra deny

1. Existem duas sub-redes (subnet-1 e subnet-2) numa região.
2. Existe uma restrição que só permite que o subnet-1 use um gateway.
3. Os administradores não podem criar um gateway aberto a todas as sub-redes na região. Em alternativa, tem de criar um gateway que apenas sirva subnet-1 ou o administrador da política organizacional tem de adicionar subnet-2 à lista de sub-redes permitidas.

Criar as suas restrições

Para criar uma política da organização com uma restrição específica, consulte o artigo Usar restrições.

O que se segue?

• Saiba como usar políticas de organização personalizadas.
• Configure um gateway de NAT público.
• Configure um gateway de NAT privado.