Restrições da política da organização

Esta página fornece informações sobre as restrições da política da organização que podem ser configuradas para o Cloud NAT.

Os administradores de rede podem criar configurações do Cloud NAT e especificar quais sub-redes (sub-redes) podem usar o gateway. Por padrão, não há limites para as sub-redes que o administrador cria ou quais podem usar uma configuração do Cloud NAT.

Um administrador de política da organização (roles/orgpolicy.policyAdmin) pode usar a restrição constraints/compute.restrictCloudNATUsage para limitar quais sub-redes podem usar o Cloud NAT.

Você cria e aplica restrições organizacionais em uma política da organização.

Pré-requisitos

Permissões IAM

• A pessoa que cria as restrições precisa ter o papel roles/orgpolicy.policyAdmin .
• Se estiver usando a VPC compartilhada, o papel do usuário precisa estar no projeto host.

Histórico da política da organização

Se você nunca trabalhou com restrições de política da organização, primeiro leia a seguinte documentação:

• Noções básicas sobre restrições
• Noções básicas sobre avaliação de hierarquia

Como planejar suas restrições

É possível criar restrições allow ou deny nos seguintes níveis da hierarquia de recursos:

• Organização
• Pasta
• Projeto
• Sub-rede

Por padrão, uma restrição criada em um nó é herdada por todos os nós filhos. No entanto, um Administrador de política da organização para uma determinada pasta pode decidir se uma determinada pasta é herdada dos pais. Portanto, a herança não é automática. Para mais informações, consulte Herança em Noções básicas sobre a avaliação da hierarquia.

As restrições não são aplicadas retroativamente. As configurações atuais continuarão funcionando, mesmo se violarem as restrições.

As restrições consistem em configurações allow e deny.

Interação entre valores permitidos e negados

• Se uma restrição restrictCloudNatUsage estiver configurada, mas não allowedValues nem deniedValues forem especificados, tudo será permitido.
• Se allowedValues estiver configurado e deniedValues não estiver configurado, tudo não especificado em allowedValues será negado.
• Se deniedValues estiver configurado e allowedValues não estiver configurado, todos os elementos não especificados em deniedValues serão permitidos.
• Se allowedValues e deniedValues estiverem configurados, tudo não especificado em allowedValues será negado.
• Se houver dois valores conflitantes, deniedValues terá precedência.

Interação entre sub-redes e gateways

As restrições não impedem que as sub-redes usem um gateway NAT. Em vez disso, as restrições impedem uma configuração que viola a restrição ao impedir a criação de um gateway ou de uma sub-rede.

Exemplo 1: tentativa de criar uma sub-rede que viola uma regra deny

1. Há um gateway em uma região.
2. O gateway está configurado para permitir que todas as sub-redes em uma região o utilizem.
3. Uma única sub-rede (subnet-1) existe na região.
4. Uma restrição é criada para que apenas subnet-1 possa usar o gateway.
5. Os administradores não podem criar mais sub-redes nessa rede nessa região. A restrição impede a criação de sub-redes que poderiam usar o gateway. Se as novas sub-redes existirem, o Administrador da política da organização poderá adicioná-las à lista de sub-redes permitidas.

Exemplo 2: tentativa de criar um gateway que viola uma regra deny

1. Existem duas sub-redes (subnet-1 e subnet-2) em uma região.
2. Há uma restrição que só permite que subnet-1 use um gateway.
3. Os administradores não podem criar um gateway aberto para todas as sub-redes na região. Em vez disso, eles precisam criar um gateway que veicule apenas subnet-1 ou o administrador da política da organização precisará adicionar subnet-2 à lista de sub-redes permitidas.

Como criar restrições

Para criar uma política da organização com uma restrição específica, consulte Como usar restrições.

A seguir

• Configurar um gateway do Public NAT.
• Configurar um gateway do Private NAT.