Restrições de política da organização para o Cloud NAT

Esta página fornece informações sobre as restrições da política da organização que podem ser configuradas para o Cloud NAT.

Os administradores de rede podem criar configurações do Cloud NAT e especificar quais sub-redes (sub-redes) podem usar o gateway. Por padrão, não há limites para as sub-redes que o administrador cria ou quais podem usar uma configuração do Cloud NAT.

Um administrador de política da organização (roles/orgpolicy.policyAdmin) pode usar a restrição constraints/compute.restrictCloudNATUsage para limitar quais sub-redes podem usar o Cloud NAT.

Você cria e aplica restrições organizacionais em uma política da organização.

Pré-requisitos

Permissões IAM

  • A pessoa que cria as restrições precisa ter o papel roles/orgpolicy.policyAdmin .
  • Se estiver usando a VPC compartilhada, o papel do usuário precisa estar no projeto host.

Histórico da política da organização

Se você nunca trabalhou com restrições de política da organização, primeiro leia a seguinte documentação:

Como planejar suas restrições

É possível criar restrições allow ou deny nos seguintes níveis da hierarquia de recursos:

  • Organização
  • Pasta
  • Projeto
  • Sub-rede

Por padrão, uma restrição criada em um nó é herdada por todos os nós filhos. No entanto, um Administrador de política da organização para uma determinada pasta pode decidir se uma determinada pasta é herdada dos pais. Portanto, a herança não é automática. Para mais informações, consulte Herança em Noções básicas sobre a avaliação da hierarquia.

As restrições não são aplicadas retroativamente. As configurações atuais continuarão funcionando, mesmo se violarem as restrições.

As restrições consistem em configurações allow e deny.

Interação entre valores permitidos e negados

  • Se uma restrição restrictCloudNatUsage estiver configurada, mas não allowedValues nem deniedValues forem especificados, tudo será permitido.
  • Se allowedValues estiver configurado e deniedValues não estiver configurado, tudo não especificado em allowedValues será negado.
  • Se deniedValues estiver configurado e allowedValues não estiver configurado, todos os elementos não especificados em deniedValues serão permitidos.
  • Se allowedValues e deniedValues estiverem configurados, tudo não especificado em allowedValues será negado.
  • Se houver dois valores conflitantes, deniedValues terá precedência.

Interação entre sub-redes e gateways

As restrições não impedem que as sub-redes usem um gateway NAT. Em vez disso, as restrições impedem uma configuração que viola a restrição ao impedir a criação de um gateway ou de uma sub-rede.

Exemplo 1: tentativa de criar uma sub-rede que viola uma regra deny

  1. Há um gateway em uma região.
  2. O gateway está configurado para permitir que todas as sub-redes em uma região o utilizem.
  3. Uma única sub-rede (subnet-1) existe na região.
  4. Uma restrição é criada para que apenas subnet-1 possa usar o gateway.
  5. Os administradores não podem criar mais sub-redes nessa rede nessa região. A restrição impede a criação de sub-redes que poderiam usar o gateway. Se as novas sub-redes existirem, o Administrador da política da organização poderá adicioná-las à lista de sub-redes permitidas.

Exemplo 2: tentativa de criar um gateway que viola uma regra deny

  1. Existem duas sub-redes (subnet-1 e subnet-2) em uma região.
  2. Há uma restrição que só permite que subnet-1 use um gateway.
  3. Os administradores não podem criar um gateway aberto para todas as sub-redes na região. Em vez disso, eles precisam criar um gateway que veicule apenas subnet-1 ou o administrador da política da organização precisará adicionar subnet-2 à lista de sub-redes permitidas.

Como criar restrições

Para criar uma política da organização com uma restrição específica, consulte Como usar restrições.

A seguir