Vincoli dei criteri dell'organizzazione
Questa pagina fornisce informazioni sui vincoli dei criteri dell'organizzazione che puoi configurare per Cloud NAT.
Gli amministratori di rete possono creare configurazioni Cloud NAT e specificare quali sottoreti (subnet) possono utilizzare il gateway. Per impostazione predefinita, non esistono limiti alle sottoreti create dall'amministratore o a quelle che possono utilizzare una configurazione Cloud NAT.
Un amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin
) può utilizzare il vincolo constraints/compute.restrictCloudNATUsage
per limitare le sottoreti che possono utilizzare Cloud NAT.
Puoi creare e applicare vincoli organizzativi in un criterio dell'organizzazione.
Prerequisiti
Autorizzazioni IAM
- La persona che crea le limitazioni deve disporre del ruolo roles/orgpolicy.policyAdmin.
- Se utilizzi la VPC condiviso, il ruolo utente deve trovarsi nel progetto host.
Sfondo dei criteri dell'organizzazione
Se non hai mai utilizzato i vincoli delle norme dell'organizzazione, consulta innanzitutto la seguente documentazione:
Pianificare i vincoli
Puoi creare vincoli allow
o deny
ai seguenti livelli della gerarchia delle risorse:
- Organizzazione
- Cartella
- Progetto
- Subnet
Per impostazione predefinita, una limitazione creata in un nodo viene ereditata da tutti i nodi secondari. Tuttavia, un amministratore delle norme dell'organizzazione per una determinata cartella può decidere se una determinata cartella eredita dalle cartelle principali, pertanto l'eredità non è automatica. Per ulteriori informazioni, consulta la sezione Eredità in Informazioni sulla valutazione della gerarchia.
I vincoli non vengono applicati in modo retroattivo. Le configurazioni esistenti continuano a funzionare anche se violano i vincoli.
I vincoli sono costituiti da impostazioni allow
e deny
.
Interazione tra valori consentiti e vietati
- Se è configurato un vincolo
restrictCloudNatUsage
, ma non viene specificato néallowedValues
nédeniedValues
, è consentito tutto. - Se
allowedValues
è configurato edeniedValues
non è configurato, tutto ciò che non è specificato inallowedValues
viene negato. - Se
deniedValues
è configurato eallowedValues
non è configurato, tutto ciò che non è specificato indeniedValues
è consentito. - Se sono configurati sia
allowedValues
chedeniedValues
, tutto ciò che non è specificato inallowedValues
viene negato. - Se due valori sono in conflitto,
deniedValues
ha la precedenza.
Interazione tra sottoreti e gateway
I vincoli non impediscono alle subnet di utilizzare un gateway NAT. I vincoli, invece, impediscono una configurazione che violerebbe il vincolo impedendo la creazione di un gateway o di una sottorete.
Esempio 1: tentativo di creare una subnet che viola una regola deny
- Esiste un gateway in una regione.
- Il gateway è configurato per consentire a tutte le subnet di una regione di utilizzarlo.
- Nella regione esiste una singola subnet (
subnet-1
). - Viene creato un vincolo in modo che solo
subnet-1
possa utilizzare il gateway. - Gli amministratori non sono in grado di creare altre subnet nella rete in quella regione. Il vincolo impedisce la creazione di subnet che potrebbero essere in grado di utilizzare il gateway. Se le nuove subnet esistono, l'amministratore dei criteri dell'organizzazione può aggiungerle all'elenco delle subnet consentite.
Esempio 2: tentativo di creare un gateway che viola una regola deny
- In una regione esistono due subnet (
subnet-1
esubnet-2
). - Esiste una limitazione che consente solo a
subnet-1
di utilizzare un gateway. - Gli amministratori non sono in grado di creare un gateway aperto a tutte le subnet
nella regione. Deve invece creare un gateway che serve solo
subnet-1
oppure l'amministratore dei criteri dell'organizzazione deve aggiungeresubnet-2
all'elenco delle sottoreti consentite.
Creazione dei vincoli
Per creare un criterio dell'organizzazione con un determinato vincolo, consulta Utilizzare i vincoli.
Passaggi successivi
- Scopri come utilizzare i criteri dell'organizzazione personalizzati.
- Configura un gateway Public NAT.
- Configura un gateway NAT privato.