Restricciones de las políticas de la organización para Cloud NAT

En esta página, se proporciona información sobre las restricciones de la política de la organización que puedes configurar para Cloud NAT.

Los administradores de red pueden crear la configuración de Cloud NAT y especificar qué subredes pueden usar la puerta de enlace. De forma predeterminada, no hay límites en las subredes que crea el administrador o en cuáles puede usar una configuración de Cloud NAT.

Un administrador de políticas de la organización (roles/orgpolicy.policyAdmin) puede usar la restricción constraints/compute.restrictCloudNATUsage para limitar las subredes que pueden usar Cloud NAT.

Crea y aplica restricciones de organización en una política de la organización.

Requisitos previos

Permisos de IAM

  • La persona que crea las restricciones debe tener la función roles/orgpolicy.policyAdmin.
  • Si se usa una VPC compartida, la función del usuario debe estar en el proyecto host.

Información general de la política de la organización

Si no has trabajado con restricciones de políticas de la organización antes, primero revisa la siguiente documentación:

Planifica tus restricciones

Puedes crear restricciones allow o deny en los siguientes niveles de la jerarquía de recursos:

  • Organización
  • Carpeta
  • Proyecto
  • Subred

De forma predeterminada, todos los nodos secundarios heredan la restricción creada en un nodo. Sin embargo, un administrador de políticas de la organización de una carpeta determinada puede decidir si esa carpeta determinada se hereda de sus superiores, por lo que la herencia no es automática. Para obtener más información, consulta Herencia en Información sobre la evaluación de la jerarquía.

Las restricciones no se aplican de forma retroactiva. Las configuraciones existentes siguen funcionando incluso si infringen las restricciones.

Las restricciones consisten en parámetros de configuración allow y deny.

Interacción entre valores permitidos y denegados

  • Si se configura una restricción restrictCloudNatUsage, pero no se especifica allowedValues ni deniedValues, se permite todo.
  • Si se configura allowedValues y no se configura deniedValues, se rechaza todo lo que no se especifica en allowedValues.
  • Si se configura deniedValues y no se configura allowedValues, se permite todo lo que no se especifique en deniedValues.
  • Si allowedValues y deniedValues están configurados, se rechaza todo lo que no se especifica en allowedValues.
  • Si dos valores entran en conflicto, deniedValues tiene prioridad.

Interacción entre subredes y puertas de enlace

Las restricciones no evitan que las subredes usen una puerta de enlace NAT. En cambio, las restricciones evitan una configuración que infringe la restricción, ya que impide la creación de una puerta de enlace o una subred.

Ejemplo 1: Intenta crear una subred que infringe una regla deny

  1. La puerta de enlace se encuentra en una región.
  2. La puerta de enlace está configurada para permitir que todas las subredes de una región la usen.
  3. Existe una sola subred (subnet-1) en la región.
  4. Se crea una restricción para que solo subnet-1 pueda usar la puerta de enlace.
  5. Los administradores no pueden crear más subredes en esa red en esa región. La restricción evita la creación de subredes que podrían usar la puerta de enlace. Si las subredes nuevas deben existir, el administrador de políticas de la organización puede agregarlas a la lista de subredes permitidas.

Ejemplo 2: Intenta crear una puerta de enlace que infringe una regla deny

  1. Existen dos subredes (subnet-1 y subnet-2) en una región.
  2. Existe una restricción que solo permite que subnet-1 use una puerta de enlace.
  3. Los administradores no pueden crear una puerta de enlace que esté abierta para todas las subredes de la región. En su lugar, deben crear una puerta de enlace que solo entregue subnet-1 o deben agregar subnet-2 a la lista de subredes permitidas.

Crea tus restricciones

Para crear una política de la organización con una restricción en particular, consulta Usa restricciones.

¿Qué sigue?