组织政策限制条件

本页面介绍您可以为 Cloud NAT 配置的组织政策限制条件。

网络管理员可以创建 Cloud NAT 配置并指定哪些子网可以使用网关。默认情况下，管理员可以创建任意子网，并且这些子网都可以使用 Cloud NAT 配置。

组织政策管理员 (roles/orgpolicy.policyAdmin) 可以使用 constraints/compute.restrictCloudNATUsage 限制条件来限制哪些子网可以使用 Cloud NAT。

您可以在组织政策中创建和强制执行组织限制条件。

前提条件

IAM 权限

• 创建限制条件的人员必须具有 roles/orgpolicy.policyAdmin 角色。
• 如果使用共享 VPC，则用户角色必须位于宿主项目中。

组织政策背景

如果您以前没有使用组织政策限制条件，请先查看以下文档：

• 了解限制条件
• 了解层次结构评估

规划您的限制条件

您可以在资源层次结构的以下级层创建 allow 或 deny 限制条件：

• 组织
• 文件夹
• 项目
• 子网

默认情况下，在某个节点中创建的限制条件会由所有子节点继承。但是，给定文件夹的组织政策管理员可以决定给定文件夹是否从其父级继承，因此继承不是自动实现的。如需了解详情，请参阅“了解层次结构评估”中的继承。

限制条件不会反向应用。现有配置仍然有效，即使违反了限制条件也是如此。

限制条件包括 allow 和 deny 设置。

允许值和拒绝值之间的相互作用

• 如果配置了 restrictCloudNatUsage 限制条件，但未指定 allowedValues 和 deniedValues，则系统会允许所有内容。
• 如果配置了 allowedValues，并且未配置 deniedValues，则系统会拒绝 allowedValues 中未指定的所有内容。
• 如果配置了 deniedValues，并且未配置 allowedValues，则系统会允许 deniedValues 中未指定的所有内容。
• 如果同时配置了 allowedValues 和 deniedValues，则系统会拒绝 allowedValues 中未指定的所有内容。
• 如果两个值存在冲突，则优先使用 deniedValues。

子网和网关之间的相互作用

限制条件不会阻止子网使用 NAT 网关。但是，限制条件可以通过阻止创建网关或子网来阻止可能违反限制条件的配置。

示例 1：尝试创建违反 deny 规则的子网

1. 地区中存在网关。
2. 网关已配置为允许地区中的所有子网使用它。
3. 该地区中存在一个子网 (subnet-1)。
4. 系统会创建一个限制条件，以便只有 subnet-1 可以使用网关。
5. 管理员无法在该地区的该网络中创建更多子网。该限制条件阻止创建可能使用网关的子网。如果存在新子网，则组织政策管理员可以将这些子网添加到允许的子网列表中。

示例 2：尝试创建违反 deny 规则的网关

1. 地区中存在两个子网（subnet-1 和 subnet-2）。
2. 存在仅允许 subnet-1 使用网关的限制条件。
3. 管理员无法创建对该地区中所有子网都开放的网关。他们必须创建一个仅传送 subnet-1 的网关，或者组织政策管理员必须将 subnet-2 添加到允许的子网列表中。

创建限制条件

如需创建具有特定限制条件的组织政策，请参阅使用限制条件。

后续步骤

• 设置 Public NAT 网关。
• 设置 Private NAT 网关。