Restricciones de las políticas de la organización

En esta página, se proporciona información sobre las restricciones de la política de la organización que puedes configurar para Cloud NAT.

Los administradores de red pueden crear configuraciones de Cloud NAT y especificar qué subredes pueden usar la puerta de enlace. De forma predeterminada, no hay límites para las subredes que crea el administrador o cuáles pueden usar una configuración de Cloud NAT.

Un administrador de políticas de la organización (roles/orgpolicy.policyAdmin) puede utilizar la restricción constraints/compute.restrictCloudNATUsage para limitar las subredes que pueden usar Cloud NAT.

Crea y aplica restricciones de organización en una política de la organización.

Requisitos previos

Permisos de IAM

  • La persona que crea las restricciones debe tener la función roles/orgpolicy.policyAdmin.
  • Si se usa una VPC compartida, la función del usuario debe estar en el proyecto host.

Información general de la política de la organización

Si no has trabajado con restricciones de políticas de la organización, primero revisa la siguiente documentación:

Planifica tus restricciones

Puedes crear restricciones allow o deny en los siguientes niveles de la jerarquía de recursos:

  • Organización
  • Carpetas
  • Proyecto
  • Subred

De forma predeterminada, todos los nodos secundarios heredan la restricción creada en un nodo. Sin embargo, un administrador de políticas de la organización de una carpeta determinada puede decidir si esa carpeta determinada se hereda de sus superiores, por lo que la herencia no es automática. Para obtener más información, consulta Herencia en Información sobre la evaluación de la jerarquía.

Las restricciones no se aplican de forma retroactiva. Las configuraciones existentes siguen funcionando incluso si infringen las restricciones.

Las restricciones consisten en parámetros de configuración allow y deny.

Interacción entre valores permitidos y denegados

  • Si se configura una restricción restrictCloudNatUsage, pero no se especifica allowedValues ni deniedValues, se permite todo.
  • Si se configura allowedValues, pero no deniedValues, se rechaza todo lo que no se especifica en allowedValues.
  • Si se configura deniedValues, pero no allowedValues, se permite todo lo que no se especifique en deniedValues.
  • Si están configurados allowedValues y deniedValues, se rechaza todo lo que no se especifica en allowedValues.
  • Si dos valores entran en conflicto, deniedValues tiene prioridad.

Interacción entre subredes y puertas de enlace

Las restricciones no evitan que las subredes usen una puerta de enlace NAT. En cambio, las restricciones evita configuraciones que infringen la restricción, ya que impiden crear una puerta de enlace o una subred.

Ejemplo 1: Intenta crear una subred que infrinja una regla deny

  1. La puerta de enlace se encuentra en una región.
  2. La puerta de enlace está configurada para permitir que todas las subredes de una región la usen.
  3. Existe una sola subred (subnet-1) en la región.
  4. Se crea una restricción para que solo subnet-1 pueda usar la puerta de enlace.
  5. Los administradores no pueden crear más subredes en esa red de la región. La restricción evita que se creen subredes que podrían usar la puerta de enlace. Si deben existir subredes nuevas, el administrador de políticas de la organización puede agregarlas a la lista de subredes permitidas.

Ejemplo 2: Intenta crear una puerta de enlace que infringe una regla deny

  1. Existen dos subredes (subnet-1 y subnet-2) en una región.
  2. Existe una restricción que solo permite que subnet-1 use una puerta de enlace.
  3. Los administradores no pueden crear una puerta de enlace que esté abierta para todas las subredes de la región. En su lugar, deben crear una puerta de enlace que solo entregue subnet-1, o que el administrador de políticas de la organización agregue subnet-2 a la lista de subredes permitidas.

Crea tus restricciones

Para crear una política de la organización con una restricción en particular, consulta Usa restricciones.

¿Qué sigue?