Restricciones de las políticas de organización

En esta página se proporciona información sobre las restricciones de política de organización que puede configurar para Cloud NAT.

Los administradores de redes pueden crear configuraciones de Cloud NAT y especificar qué subredes pueden usar la pasarela. De forma predeterminada, no hay límites en cuanto a las subredes que puede crear el administrador ni a cuáles de ellas pueden usar una configuración de Cloud NAT.

Un administrador de políticas de organización (roles/orgpolicy.policyAdmin) puede usar la restricción constraints/compute.restrictCloudNATUsage para limitar las subredes que pueden usar Cloud NAT.

Las restricciones de organización se crean y se aplican en una política de organización.

Requisitos previos

Permisos de gestión de identidades y accesos

  • La persona que cree las restricciones debe tener el rol roles/orgpolicy.policyAdmin.
  • Si utilizas una VPC compartida, el rol de usuario debe estar en el proyecto host.

Información general sobre las políticas de organización

Si no has trabajado antes con restricciones de políticas de la organización, consulta primero la siguiente documentación:

Planificar las restricciones

Puede crear restricciones allow o deny en los siguientes niveles de la jerarquía de recursos:

  • Organización
  • Carpeta
  • Proyecto
  • Subred

De forma predeterminada, una restricción creada en un nodo se hereda en todos los nodos secundarios. Sin embargo, un administrador de políticas de organización de una carpeta determinada puede decidir si esa carpeta hereda de sus carpetas superiores, por lo que la herencia no es automática. Para obtener más información, consulta Herencia en Información sobre la evaluación de la jerarquía.

Las restricciones no se aplican con carácter retroactivo. Las configuraciones que ya tengas seguirán funcionando aunque no cumplan las restricciones.

Las restricciones son los ajustes de allow y deny.

Interacción entre los valores permitidos y los denegados

  • Si se configura una restricción restrictCloudNatUsage, pero no se especifica ni allowedValues ni deniedValues, se permite todo.
  • Si allowedValues está configurado y deniedValues no lo está, se deniega todo lo que no se especifique en allowedValues.
  • Si deniedValues está configurado y allowedValues no, se permite todo lo que no se especifique en deniedValues.
  • Si se configuran allowedValues y deniedValues, se deniega todo lo que no se especifique en allowedValues.
  • Si hay dos valores en conflicto, deniedValues tiene prioridad.

Interacción entre subredes y pasarelas

Las restricciones no impiden que las subredes usen una pasarela NAT. En su lugar, las restricciones impiden una configuración que infringiría la restricción impidiendo la creación de una pasarela o una subred.

Ejemplo 1: Intentar crear una subred que infringe una regla deny

  1. Una pasarela existe en una región.
  2. La pasarela está configurada para permitir que todas las subredes de una región la usen.
  3. Hay una sola subred (subnet-1) en la región.
  4. Se crea una restricción para que solo subnet-1 pueda usar la pasarela.
  5. Los administradores no pueden crear más subredes en esa red en esa región. La restricción impide la creación de subredes que podrían usar la pasarela. Si las nuevas subredes deben existir, el administrador de la política de la organización puede añadirlas a la lista de subredes permitidas.

Ejemplo 2: Intentar crear una pasarela que infrinja una regla de deny

  1. Hay dos subredes (subnet-1 y subnet-2) en una región.
  2. Existe una restricción que solo permite que subnet-1 use una pasarela.
  3. Los administradores no pueden crear una pasarela que esté abierta a todas las subredes de la región. En su lugar, deben crear una pasarela que solo sirva para subnet-1 o el administrador de la política de organización debe añadir subnet-2 a la lista de subredes permitidas.

Crear restricciones

Para crear una política de organización con una restricción concreta, consulta Usar restricciones.

Siguientes pasos