Como restringir o uso do Cloud Interconnect

Neste documento, mostraremos como restringir o conjunto de redes VPC que podem usar o Cloud Interconnect.

Visão geral

Por padrão, qualquer rede VPC pode usar o Cloud Interconnect. Para controlar quais redes VPC podem usar o Cloud Interconnect, é possível definir uma política da organização. Para informações gerais sobre políticas da organização, consulte Introdução ao serviço de política da organização.

Para conectar uma rede VPC à sua rede local com o Cloud Interconnect, é necessário um anexo da VLAN. Uma política da organização para restringir o uso do Cloud Interconnect permite ou recusa a criação de anexos da VLAN de redes VPC especificadas. É possível definir uma política que permita ou recuse a criação de anexos da VLAN de uma rede VPC específica ou de todas as redes VPC em um recurso de projeto, pasta ou organização.

É possível usar as seguintes restrições ao definir sua política:

  • constraints/compute.restrictDedicatedInterconnectUsage
    Essa restrição define o conjunto de redes VPC que podem ser usadas ao criar um anexo da VLAN usando a Interconexão dedicada.
  • constraints/compute.restrictPartnerInterconnectUsage
    Essa restrição define o conjunto de redes VPC que podem ser usadas ao criar um anexo da VLAN usando a Interconexão por parceiro.

A definição de uma política da organização só restringe a criação de anexos da VLAN no futuro. A política não afeta anexos da VLAN criados anteriormente.

Se um usuário tentar criar um anexo da VLAN que viole uma política da organização, ele verá uma mensagem de erro. Veja o exemplo de mensagem de erro a seguir na execução de gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Como definir as políticas da organização

Esta seção mostra exemplos de procedimentos para configurar políticas da organização que restringem o uso do Cloud Interconnect.

Para mais informações, incluindo procedimentos gerais para configurar políticas da organização, consulte:

Antes de começar

Você precisa ter o papel orgpolicy.policyAdmin para definir políticas da organização. Para mais informações, consulte Controle de acesso para organizações que usam o IAM.

Como definir uma política para recusar uma rede VPC específica

Para definir uma política que impeça o uso do Cloud Interconnect por uma rede VPC específica:

  1. Encontre o ID da sua organização digitando o seguinte comando:

    gcloud organizations list

    A resposta ao comando se parece com o exemplo a seguir.

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crie um arquivo JSON que defina sua política. O exemplo de JSON a seguir define uma política que impede que network-1 em project-1 use a Interconexão dedicada.

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "deniedValues": [
          "projects/project-1/global/networks/network-1"
      ]
     }
    }
    
  3. Use o comando set-policy da gcloud Resource Manager para definir a política da organização:

    gcloud resource-manager org-policies set-policy JSON_FILE --organization=ORGANIZATION_ID

    Substitua os seguintes valores:

    • JSON_FILE é o nome do arquivo JSON criado na etapa anterior, como my-policy.json.

    • ORGANIZATION_ID é o ID da organização que você já tinha encontrado.

Como definir uma política para recusar todas as redes VPC

Para definir uma política que impeça o uso do Cloud Interconnect por todas as redes VPC:

  1. Encontre o ID da sua organização digitando o seguinte comando:

    gcloud organizations list

    A resposta ao comando se parece com o exemplo a seguir.

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crie um arquivo JSON que defina sua política. O exemplo de JSON a seguir define uma política que impede todas as redes VPC de usar a Interconexão dedicada.

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "allValues": "DENY"
       }
    }
    
  3. Use o comando set-policy da gcloud Resource Manager para definir a política da organização:

    gcloud resource-manager org-policies set-policy JSON_FILE --organization=ORGANIZATION_ID

    Substitua os seguintes valores:

    • JSON_FILE é o nome do arquivo JSON criado na etapa anterior, como my-policy.json.

    • ORGANIZATION_ID é o ID da organização que você já tinha encontrado.

Como definir uma política no nível da organização, da pasta ou do projeto

Os exemplos anteriores nesta seção descrevem como recusar uma rede VPC específica ou todas as redes VPC. Também é possível permitir ou recusar redes VPC no nível da organização, do projeto ou da pasta usando a sintaxe descrita na seção Restrições de lista do documento Noções básicas sobre restrições.