Vincoli dei criteri dell'organizzazione

Vincoli disponibili

Puoi specificare criteri che utilizzano i seguenti vincoli.

Vincoli supportati da più servizi Google Cloud

Vincolo Descrizione Prefissi supportati
Pool di worker consentiti (Cloud Build) Questo vincolo dell'elenco definisce l'insieme di pool di worker di Cloud Build consentiti per l'esecuzione delle build utilizzando Cloud Build. Quando questo vincolo viene applicato, sarà necessario creare le build in un pool di worker che corrisponda a uno dei valori consentiti.
Per impostazione predefinita, Cloud Build può utilizzare qualsiasi pool di worker.
L'elenco consentito di pool di worker deve essere nel formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


constraints/cloudbuild.allowedWorkerPools
"is:", "under:"
Google Cloud Platform - Restrizione sulla località delle risorse Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare risorse Google Cloud basate sulla località. Importante: le informazioni in questa pagina non descrivono gli impegni di Google Cloud in merito alla posizione dei dati dei clienti (come definiti nel contratto in base al quale Google ha accettato di fornire ai propri clienti i servizi Google Cloud e come descritto nel riepilogo dei servizi Google Cloud all'indirizzo https://cloud.google.com/terms/services). Per visualizzare l'elenco dei servizi Google Cloud per i quali i clienti possono selezionare la località dei dati dei clienti, consulta la pagina dedicata ai servizi Google Cloud con residenza dei dati all'indirizzo https://cloud.google.com/terms/data-residency.
Per impostazione predefinita, le risorse possono essere create in qualsiasi località. Per un elenco completo dei servizi supportati, visita la pagina all'indirizzo https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services.
I criteri per questo vincolo possono specificare più regioni, ad esempio asia e europe, e regioni come us-east1 o europe-west1 come località consentite o negate. Autorizzare o meno aree geografiche multiple non significa che bisogna autorizzare o meno anche tutte le località secondarie. Ad esempio, se il criterio non autorizza la località con più aree geografiche us (che fa riferimento a risorse su più aree geografiche, come alcuni servizi di archiviazione), è comunque possibile creare risorse nella località a singola area geografica us-east1. D'altra parte, il gruppo in:us-locations contiene tutte le località all'interno della regione us e può essere utilizzato per bloccare ogni regione.
Ti consigliamo di utilizzare gruppi di valori per definire il criterio.
Puoi specificare gruppi di valori, ovvero raccolte di località curate da Google per definire in modo semplice le località delle risorse. Per utilizzare i gruppi di valori nei criteri dell'organizzazione, aggiungi il prefisso in: alle voci, seguita dal gruppo di valori.
Ad esempio, per creare risorse che saranno situate fisicamente solo all'interno degli Stati Uniti, imposta in:us-locations nell'elenco dei valori consentiti.
Se il campo suggested_value è utilizzato in un criterio di località, deve essere una regione. Se il valore specificato è un'area geografica, una UI di una risorsa di zona può pre-popolare qualsiasi zona dell'area geografica.
constraints/gcp.resourceLocations
"is:", "in:"
Limita i progetti che possono fornire CryptoKey KMS per CMEK Questo vincolo dell'elenco definisce i progetti che possono essere utilizzati per fornire chiavi di crittografia gestite dal cliente (CMEK) durante la creazione delle risorse. L'impostazione di questo vincolo su Allow (ad esempio, per consentire solo le chiavi CMEK di questi progetti) garantisce che le chiavi CMEK di altri progetti non possano essere utilizzate per proteggere le risorse appena create. I valori di questo vincolo devono essere specificati nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. I servizi supportati che applicano questo vincolo sono:
  • aiplatform.googleapis.com
  • alloydb.googleapis.com
  • apigee.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • discoveryengine.googleapis.com
  • documentai.googleapis.com
  • file.googleapis.com
  • firestore.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • redis.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • securesourcemanager.googleapis.com
  • spanner.googleapis.com
  • speech.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • workstations.googleapis.com
L'applicazione di questo vincolo potrebbe aumentare nel tempo per includere ulteriori servizi. Presta attenzione quando applichi questo vincolo a progetti, cartelle o organizzazioni in cui viene utilizzata una combinazione di servizi supportati e non supportati. Non è consentito impostare questo vincolo su Deny o Deny All. L'applicazione di questo vincolo non è retroattiva. Le risorse Google Cloud CMEK esistenti con CryptoKey KMS provenienti da progetti non consentiti devono essere riconfigurate o ricreate manualmente per garantire l'applicazione.
constraints/gcp.restrictCmekCryptoKeyProjects
"is:", "under:"
Limita i servizi che possono creare risorse senza CMEK Questo vincolo dell'elenco definisce i servizi che richiedono chiavi di crittografia gestite dal cliente (CMEK). L'impostazione di questo vincolo su Deny (ad esempio, per negare la creazione di risorse senza CMEK) richiede che le risorse create di recente siano protette da una chiave CMEK per i servizi specificati. I servizi supportati che possono essere impostati in questo vincolo sono:
  • aiplatform.googleapis.com
  • alloydb.googleapis.com
  • apigee.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • discoveryengine.googleapis.com
  • documentai.googleapis.com
  • file.googleapis.com
  • firestore.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • redis.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • securesourcemanager.googleapis.com
  • spanner.googleapis.com
  • speech.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • storagetransfer.googleapis.com
  • workstations.googleapis.com
Non è consentito impostare questo vincolo su Deny All. Non è consentito impostare questo vincolo su Allow. L'applicazione di questo vincolo non è retroattiva. Le risorse Google Cloud non CMEK esistenti devono essere riconfigurate o ricreate manualmente per garantire l'applicazione.
constraints/gcp.restrictNonCmekServices
"is:"
Limita utilizzo del servizio risorse Questo vincolo definisce l'insieme dei servizi di risorse di Google Cloud che possono essere utilizzati all'interno di un'organizzazione, una cartella o un progetto, ad esempio compute.googleapis.com e storage.googleapis.com.
Per impostazione predefinita, sono consentiti tutti i servizi di risorse di Google Cloud.
Per ulteriori informazioni, consulta https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

constraints/gcp.restrictServiceUsage
"is:"
Limita versioni TLS Questo vincolo definisce l'insieme di versioni TLS che non possono essere utilizzate nell'organizzazione, nella cartella o nel progetto in cui viene applicato il vincolo né in nessun elemento figlio della risorsa nella rispettiva gerarchia.
Per impostazione predefinita, sono consentite tutte le versioni TLS. Le versioni TLS possono essere specificate solo nell'elenco degli elementi negati e devono essere identificate nel formato TLS_VERSION_1 o TLS_VERSION_1_1.
Questo vincolo si applica solo alle richieste che utilizzano TLS. Non verrà utilizzato per limitare le richieste non criptate.
Per ulteriori informazioni, consulta https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.
constraints/gcp.restrictTLSVersion
"is:"
Disabilita l'abilitazione di Identity-Aware Proxy (IAP) nelle risorse di regione Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse di regione. L'abilitazione di IAP nelle risorse globali non è limitata da questo vincolo.
Per impostazione predefinita, è consentito abilitare IAP nelle risorse a livello di regione.
constraints/iap.requireRegionalIapWebDisabled
"is:"
Limita API e servizi Google Cloud consentiti Questo vincolo dell'elenco limita l'insieme di servizi e relative API che è possibile abilitare su questa risorsa. Per impostazione predefinita, sono consentiti tutti i servizi.
L'elenco dei servizi negati deve provenire dall'elenco seguente. Attualmente l'abilitazione esplicita delle API tramite questo vincolo non è supportata. Se viene specificata un'API non compresa in questo elenco verrà restituito un errore.
L'applicazione di questo vincolo non è retroattiva. Se un servizio è già abilitato su una risorsa al momento dell'applicazione di questo vincolo, rimarrà abilitato.

constraints/serviceuser.services
"is:"

Vincoli per servizi specifici

Servizi Vincolo Descrizione Prefissi supportati
Vertex AI Workbench Definisci la modalità di accesso per notebook e istanze Vertex AI Workbench Questo vincolo dell'elenco definisce le modalità di accesso consentite a blocchi note e istanze di Vertex AI Workbench, se applicate. L'elenco consentito o bloccato può specificare più utenti con la modalità service-account o l'accesso di un singolo utente con la modalità single-user. La modalità di accesso da consentire o bloccare deve essere elencata in modo esplicito.
constraints/ainotebooks.accessMode
"is:"
Vertex AI Workbench Disabilita i download dei file sulle nuove istanze Vertex AI Workbench Quando applicato, questo vincolo booleano impedisce di creare istanze di Vertex AI Workbench con l'opzione Download file abilitata. Per impostazione predefinita, l'opzione Download file può essere attivata su qualsiasi istanza di Vertex AI Workbench.
constraints/ainotebooks.disableFileDownloads
"is:"
Vertex AI Workbench Disabilita l'accesso root alle nuove istanze e ai nuovi notebook gestiti dall'utente di Vertex AI Workbench Quando applicato, questo vincolo booleano impedisce alle istanze e ai blocchi note gestiti dall'utente di Vertex AI Workbench appena creati di abilitare l'accesso root. Per impostazione predefinita, le istanze e i blocchi note gestiti dall'utente di Vertex AI Workbench possono avere l'accesso root abilitato.
constraints/ainotebooks.disableRootAccess
"is:"
Vertex AI Workbench Disattiva il terminale sulle nuove istanze di Vertex AI Workbench Se applicato, questo vincolo booleano impedisce la creazione di istanze di Vertex AI Workbench in cui sia abilitato il terminale. Per impostazione predefinita, il terminale può essere abilitato nelle istanze di Vertex AI Workbench.
constraints/ainotebooks.disableTerminal
"is:"
Vertex AI Workbench Limita le opzioni di ambiente nei nuovi blocchi note gestiti dall'utente di Vertex AI Workbench Questo vincolo dell'elenco definisce le opzioni delle immagini container e delle VM che un utente può selezionare durante la creazione di nuovi blocchi note gestiti dall'utente di Vertex AI Workbench. Le opzioni da consentire o negare devono essere elencate esplicitamente.
Il formato previsto per le istanze VM è ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Sostituisci IMAGE_TYPE con image-family o image-name. Esempi: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
Il formato previsto per le immagini del contenitore sarà ainotebooks-container/CONTAINER_REPOSITORY:TAG. Esempi: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.
constraints/ainotebooks.environmentOptions
"is:"
Vertex AI Workbench Richiedi gli upgrade automatici pianificati dei nuovi notebook e istanze gestiti dall'utente di Vertex AI Workbench Se applicato, questo vincolo booleano richiede che nelle nuove istanze e nei nuovi blocchi note gestiti dall'utente di Vertex AI Workbench sia impostata una pianificazione automatica degli upgrade. Per definirla, usa il flag di metadati `notebook-upgrade-schedule` per specificare una pianificazione cron per gli upgrade automatici. Ad esempio: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`.
e constraints/ainotebooks.requireAutoUpgradeSchedule
"is:"
Vertex AI Workbench Limita l'accesso all'IP pubblico sui nuovi notebook e istanze di Vertex AI Workbench. Se applicato, questo vincolo booleano restringe l'accesso degli IP pubblici a istanze e blocchi note di Vertex AI Workbench appena creati. Per impostazione predefinita, gli IP pubblici possono accedere alle istanze e ai blocchi note di Vertex AI Workbench.
constraints/ainotebooks.restrictPublicIp
"is:"
Vertex AI Workbench Limita le reti VPC sulle nuove istanze di Vertex AI Workbench Questo vincolo dell'elenco definisce le reti VPC che l'utente può selezionare quando crea nuove istanze Vertex AI Workbench in cui questo vincolo è applicato. Per impostazione predefinita, un'istanza Vertex AI Workbench può essere creata con qualsiasi rete VPC. L'elenco delle reti consentite o negate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/ainotebooks.restrictVpcNetworks
"is:", "under:"
Vertex AI Definisci l'accesso ai modelli di AI generativa di proprietà di Google in Vertex AI Questo vincolo dell'elenco definisce il set di modelli e funzionalità di AI generativa che è possibile utilizzare nelle API Vertex AI. I valori della lista consentita devono essere nel formato model_id:feature_family. Ad esempio, publishers/google/models/text-bison:predict. Questo vincolo dell'elenco limita l'accesso solo ai modelli di AI generativa proprietari di Google e non influisce sui modelli proprietari di terze parti o su quelli open source. Il vincolo vertexai.allowedModels può essere utilizzato per definire l'accesso a un insieme più ampio di modelli, inclusi i modelli proprietari di Google, quelli proprietari di terze parti e i modelli open source. Per impostazione predefinita, tutti i modelli possono essere utilizzati nelle API Vertex AI.
constraints/vertexai.allowedGenAIModels
"is:"
Vertex AI Definisci l'accesso ai modelli in Vertex AI Questo vincolo dell'elenco definisce il set di modelli e funzionalità che è possibile utilizzare nelle API Vertex AI. I valori della lista consentita devono essere nel formato "model_id:feature_family", ad esempio "publishers/google/models/gemini-1.0-pro:predict". Per impostazione predefinita, tutti i modelli possono essere utilizzati nelle API Vertex AI.
constraints/vertexai.allowedModels
"is:"
App Engine Disabilita il download del codice sorgente Disabilita i download del codice sorgente precedentemente caricati su App Engine.
constraints/appengine.disableCodeDownload
"is:"
App Engine Esenzione deployment runtime (App Engine) Questo vincolo dell'elenco definisce l'insieme dei runtime legacy di App Engine Standard (Python 2.7, PHP 5.5 e Java 8) consentiti per i deployment dopo la fine del supporto. Il supporto dei runtime legacy di App Engine Standard terminerà il 30 gennaio 2024. Di norma, i tentativi di deployment delle applicazioni che utilizzano runtime legacy dopo questa data verranno bloccati. Consulta il programma di supporto del runtime di App Engine Standard. L'impostazione di questo vincolo su "Consenti" sblocca i deployment dei runtime legacy specificati di App Engine Standard fino alla data di ritiro. L'impostazione di questo vincolo su "Consenti tutti" sblocca i deployment di tutti i runtime legacy di App Engine Standard fino alla data di ritiro. I runtime che hanno raggiunto la fine del supporto non ricevono le patch di routine per manutenzione e sicurezza. Ti consigliamo vivamente di aggiornare le applicazioni in modo da utilizzare una versione di runtime in disponibilità generale.
constraints/appengine.runtimeDeploymentExemption
"is:"
BigQuery Disattiva BigQuery Omni per Cloud AWS Se ha valore True, questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Amazon Web Services a cui è applicato il vincolo.
constraints/bigquery.disableBQOmniAWS
"is:"
BigQuery Disattiva BigQuery Omni per Cloud Azure Se impostato su True, questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Microsoft Azure in cui è applicato.
constraints/bigquery.disableBQOmniAzure
"is:"
Cloud Build Integrazioni consentite (Cloud Build) Questo vincolo dell'elenco definisce le integrazioni di Cloud Build consentite per l'esecuzione delle build tramite la ricezione di webhook da servizi esterni a Google Cloud. Quando questo vincolo viene applicato, vengono elaborati solo i webhook per i servizi il cui host corrisponde a uno dei valori consentiti.
Per impostazione predefinita, Cloud Build elabora tutti i webhook per i progetti che hanno almeno un trigger ATTIVO.
constraints/cloudbuild.allowedIntegrations
"is:"
Cloud Build Disabilita creazione service account predefinito (Cloud Build) Quando applicato, questo vincolo booleano impedisce di creare un service account Cloud Build legacy.
constraints/cloudbuild.disableCreateDefaultServiceAccount
"is:"
Cloud Build Usa il service account predefinito (Cloud Build) Quando applicato, questo vincolo booleano consente di usare per impostazione predefinita il service account Cloud Build legacy.
constraints/cloudbuild.useBuildServiceAccount
"is:"
Cloud Build Usa il service account Compute Engine per impostazione predefinita (Cloud Build) Quando applicato, questo vincolo booleano consente di usare per impostazione predefinita il service account Compute Engine.
constraints/cloudbuild.useComputeServiceAccount
"is:"
Cloud Deploy Disabilita etichette di servizio Cloud Deploy Quando applicato, questo vincolo booleano impedisce a Cloud Deploy di aggiungere etichette di identificazione Cloud Deploy agli oggetti di cui è stato eseguito il deployment.
Per impostazione predefinita, le etichette che identificano le risorse Cloud Deploy vengono aggiunte agli oggetti di cui è stato eseguito il deployment durante la creazione della release.
constraints/clouddeploy.disableServiceLabelGeneration
"is:"
Cloud Functions Impostazioni di traffico in entrata consentite (Cloud Functions) Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le impostazioni di traffico in entrata delle funzioni devono corrispondere a uno dei valori consentiti.
Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in entrata.
Le impostazioni in entrata devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione IngressSettings.
Per Cloud Functions (2nd gen), utilizza il vincolo constraints/run.allowedIngress.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Impostazioni di traffico in uscita del Connettore VPC consentite (Cloud Functions) Questo vincolo dell'elenco definisce le impostazioni di traffico in uscita consentite del Connettore VPC per il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le impostazioni di traffico in uscita del Connettore VPC delle funzioni devono corrispondere a uno dei valori consentiti.
Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in uscita del Connettore VPC.
Le impostazioni di traffico in uscita del Connettore VPC devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione VpcConnectorEgressSettings.
Per Cloud Functions (2ª gen.), utilizza il vincolo constraints/run.allowedVPCEgress.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions Richiede Connettore VPC (Cloud Functions) Questo vincolo booleano richiede l'impostazione di un Connettore VPC durante il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le funzioni devono specificare un Connettore VPC.
Per impostazione predefinita, non è necessario specificare un Connettore VPC per eseguire il deployment di una Cloud Function.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud Functions Generazioni Cloud Functions consentite Questo vincolo di elenco definisce l'insieme di generazioni consentite di funzioni Cloud Functions per creare nuove risorse delle funzioni. I valori validi sono: 1stGen, 2ndGen.
constraints/cloudfunctions.restrictAllowedGenerations
"is:"
Cloud KMS Limita i tipi di CryptoKey KMS che possono essere creati. Questo vincolo dell'elenco definisce i tipi di chiavi Cloud KMS che possono essere creati in un determinato nodo della gerarchia. Quando questo vincolo viene applicato, solo i tipi di chiavi KMS specificati in questo criterio dell'organizzazione possono essere creati all'interno del nodo della gerarchia associata. La configurazione di questo criterio dell'organizzazione influirà anche sul livello di protezione dei job di importazione e delle versioni delle chiavi. Per impostazione predefinita sono consentiti tutti i tipi di chiavi. I valori validi sono: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. I criteri di rifiuto non sono consentiti.
constraints/cloudkms.allowedProtectionLevels
"is:"
Cloud KMS Limita l'eliminazione delle chiavi alle versioni delle chiavi disattivate Quando applicato, questo vincolo booleano consente di eliminare solo le versioni delle chiavi in stato disattivato. Per impostazione predefinita, è possibile eliminare sia le versioni delle chiavi in stato attivato che quelle in stato disattivato. Quando applicato, questo vincolo è valido sia per le versioni nuove che per quelle esistenti della chiave.
constraints/cloudkms.disableBeforeDestroy
"is:"
Cloud KMS Durata pianificata minima dell'eliminazione per chiave Questo vincolo di elenco definisce la durata pianificata minima dell'eliminazione in giorni che l'utente può specificare quando crea una nuova chiave. Dopo l'applicazione del vincolo, non sarà possibile creare chiavi con una durata pianificata dell'eliminazione inferiore a questo valore. Per impostazione predefinita, la durata pianificata minima dell'eliminazione per tutte le chiavi è di 1 giorno, tranne che per le chiavi di sola importazione, per le quali la durata minima è pari a 0 giorni.
È possibile specificare un solo valore consentito nel formato in:1d, in:7d, in:15d, in:30d, in:60d, in:90d o in:120d. Ad esempio, se constraints/cloudkms.minimumDestroyScheduleDuration è impostato su in:15d, gli utenti possono creare chiavi con una durata pianificata dell'eliminazione che sia superiore a 15 giorni, ad esempio 16 giorni o 31 giorni. Non possono, però, creare chiavi con una durata pianificata dell'eliminazione inferiore a 15 giorni, ad esempio 14 giorni. Per ogni risorsa nella gerarchia, la durata pianificata minima dell'eliminazione può ereditare, sostituire o essere unita con il criterio dell'elemento padre. In questo caso, il valore effettivo della durata pianificata minima dell'eliminazione della risorsa è il più basso tra il valore specificato nel criterio della risorsa e la durata pianificata minima dell'eliminazione effettiva dell'elemento padre. Ad esempio, se un'organizzazione ha una durata pianificata minima dell'eliminazione di 7 giorni e in un progetto secondario il criterio è impostato su "Unisci con elemento padre". con un valore in:15d, la durata pianificata minima effettiva dell'eliminazione a livello di progetto è di 7 giorni.
constraints/cloudkms.minimumDestroyScheduledDuration
"is:", "in:"
Cloud Scheduler Tipi di target consentiti per i job Questo vincolo di elenco definisce l'elenco dei tipi di destinazione, come HTTP App Engine, HTTP o Pub/Sub, consentiti per i job di Cloud Scheduler.
Per impostazione predefinita, sono consentite tutte le destinazioni dei job.
I valori validi sono: APPENGINE, HTTP, PUBSUB.
constraints/cloudscheduler.allowedTargetTypes
"is:"
Cloud SQL Limita reti autorizzate nelle istanze di Cloud SQL Questo vincolo booleano limita l'aggiunta di reti autorizzate per l'accesso ai database senza proxy alle istanze Cloud SQL in cui questo vincolo è impostato su True. Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente connesse a reti autorizzate continueranno a funzionare anche dopo l'applicazione di questo vincolo.
Per impostazione predefinita, è consentito aggiungere reti autorizzate alle istanze di Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Disattiva i percorsi di accesso diagnostico e amministrativo in Cloud SQL per soddisfare i requisiti di conformità. Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Se viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e verranno disabilitati tutti i percorsi di accesso per la diagnostica e altri casi d'uso legati all'assistenza clienti che non soddisfano i requisiti avanzati di sovranità per Assured Workloads.
constraints/sql.restrictNoncompliantDiagnosticDataAccess
"is:"
Cloud SQL Limita carichi di lavoro non conformi per le istanze Cloud SQL. Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e le risorse sottoposte a provisioning seguiranno rigorosamente i requisiti di sovranità avanzata per Assured Workloads. Questo criterio è retroattivo e si applica ai progetti esistenti, ma non influisce sulle risorse già sottoposte a provisioning; ad esempio, le modifiche al criterio si rifletteranno solo sulle risorse create dopo che il criterio è stato modificato.
constraints/sql.restrictNoncompliantResourceCreation
"is:"
Cloud SQL Limita l'accesso IP pubblico nelle istanze Cloud SQL Questo vincolo booleano limita la configurazione dell'IP pubblico nelle istanze Cloud SQL in cui il vincolo è impostato su True. Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente dotate di accesso IP pubblico continueranno a funzionare anche dopo l'applicazione di questo vincolo.
Per impostazione predefinita, alle istanze Cloud SQL è consentito l'accesso IP pubblico.

constraints/sql.restrictPublicIp
"is:"
Google Cloud Marketplace Disattiva Marketplace pubblico Quando applicato, questo vincolo booleano disattiva Google Cloud Marketplace per tutti gli utenti nell'organizzazione. Per impostazione predefinita, il Marketplace pubblico è attivato per l'organizzazione. Questo criterio funziona solo quando il marketplace privato è attivato (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace).
Importante: per un'esperienza ottimale, ti consigliamo vivamente di utilizzare la funzionalità di limitazioni di accesso utente al marketplace, come descritto in https://cloud.google.com/marketplace/docs/governance/strict-user-access per impedire l'utilizzo non autorizzato del marketplace nella tua organizzazione, anziché farlo tramite questo criterio dell'organizzazione.
constraints/commerceorggovernance.disablePublicMarketplace
"is:"
Google Cloud Marketplace Limita accesso ai servizi di marketplace Questo vincolo dell'elenco definisce l'insieme di servizi consentiti per le organizzazioni del marketplace e può includere solo i valori dell'elenco seguente:
  • PRIVATE_MARKETPLACE
  • IAAS_PROCUREMENT
Se IAAS_PROCUREMENT è nell'elenco dei valori consentiti, l'esperienza di governance dell'approvvigionamento IaaS è abilitata per tutti i prodotti. Per impostazione predefinita, l'esperienza di governance dell'approvvigionamento IaaS è disattivata. Il criterio IAAS_PROCUREMENT funziona indipendentemente dalla funzionalità di governance Richiedi approvvigionamento, che è specifica per i prodotti SaaS elencati su Cloud Marketplace.

Nota: il valore PRIVATE_MARKETPLACE non è più supportato e il suo utilizzo non ha alcun effetto. Per attivare Google Private Marketplace, devi seguire le istruzioni all'indirizzo https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace.
constraints/commerceorggovernance.marketplaceServices
"is:"
Compute Engine Impostazioni della crittografia dei collegamenti VLAN consentite Questo vincolo di elenco definisce le impostazioni di crittografia consentite per i nuovi collegamenti VLAN.
Per impostazione predefinita, i collegamenti VLAN possono utilizzare qualsiasi impostazione di crittografia.
Imposta IPSEC come valore consentito per forzare la creazione di collegamenti VLAN solo criptati.
constraints/compute.allowedVlanAttachmentEncryption
"is:"
Compute Engine Disattiva tutti gli utilizzi di IPv6 Se impostato su True, questo vincolo booleano disattiva la creazione o l'aggiornamento di qualunque risorsa Google Compute Engine coinvolta nell'utilizzo di IPv6.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse Google Compute Engine utilizzando IPv6 in qualsiasi progetto, cartella e organizzazione.
Se impostato, questo vincolo avrà una priorità più elevata rispetto agli altri vincoli dell'organizzazione IPv6, tra cui disableVpcInternalIpv6, disableVpcExternalIpv6 e disableHybridCloudIpv6.
constraints/compute.disableAllIpv6
"is:"
Compute Engine Disabilita la creazione dei criteri di sicurezza di Cloud Armor Quando applicato, questo vincolo booleano disabilita la creazione dei criteri di sicurezza di Cloud Armor.
Per impostazione predefinita, puoi creare criteri di sicurezza di Cloud Armor in qualsiasi organizzazione, cartella o progetto.
constraints/compute.disableGlobalCloudArmorPolicy
"is:"
Compute Engine Disabilita bilanciamento del carico globale Questo vincolo booleano disabilita la creazione di prodotti di bilanciamento del carico globale. Quando applicato, è possibile creare solo prodotti di bilanciamento del carico a livello di area geografica senza dipendenze globali. Per impostazione predefinita, è consentita la creazione del bilanciamento del carico globale.
constraints/compute.disableGlobalLoadBalancing
"is:"
Compute Engine Disabilita la creazione di certificati SSL autogestiti globali Quando applicato, questo vincolo booleano disabilita la creazione di certificati SSL autogestiti globali. La creazione di certificati gestiti da Google o autogestiti a livello di regione non è disabilitata da questo vincolo.
Per impostazione predefinita, puoi creare certificati SSL autogestiti globali in qualsiasi organizzazione, cartella o progetto.
constraints/compute.disableGlobalSelfManagedSslCertificate
"is:"
Compute Engine Disattiva l'accesso globale alle porte seriali della VM Questo vincolo booleano disabilita l'accesso alle porte seriali delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è applicato. Per impostazione predefinita, i clienti possono abilitare l'accesso alle porte seriali su una singola VM o un singolo progetto di Compute Engine utilizzando gli attributi dei metadati. Se applichi questo vincolo, l'accesso alle porte seriali per le VM di Compute Engine viene disabilito, a prescindere dagli attributi dei metadati. L'accesso alle porte seriali regionali non è influenzato da questo vincolo. Per disabilitare l'accesso a tutte le porte seriali, utilizza invece il vincolo compute.disableSerialPortAccess.
constraints/compute.disableGlobalSerialPortAccess
"is:"
Compute Engine Disattiva attributi guest dei metadati di Compute Engine Questo vincolo booleano impedisce all'API Compute Engine di accedere agli attributi guest delle VM Compute Engine appartenenti all'organizzazione, al progetto o alla cartella per cui questo vincolo è impostato su True.
Per impostazione predefinita, l'API Compute Engine può essere utilizzata per accedere agli attributi guest delle VM Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine Disattiva utilizzo di IPv6 per il cloud ibrido Quando applicato, questo vincolo booleano disabilita la creazione o l'aggiornamento alle risorse cloud ibride, inclusi collegamenti di interconnessione e gateway Cloud VPN con stack_type di IPV4_IPV6 o IPV6_ONLY o gatewayIpVersion di IPv6.
Se applicata su una risorsa router Cloud, la possibilità di creare sessioni BGP (Border Gateway Protocol) IPv6 e quella di abilitare lo scambio di route IPv6 su sessioni BGP IPv4 sono disabilitate.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse cloud ibrido con stack_type di IPV4_IPV6 in progetti, cartelle e organizzazioni.
constraints/compute.disableHybridCloudIpv6
"is:"
Compute Engine Disabilita le API di accesso ai dati dell'istanza Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando applicato, questo vincolo booleano disabilita le API GetSerialPortOutput e GetScreenshot che accedono all'output della porta seriale della VM e acquisiscono screenshot dalle interfacce utente delle VM.
constraints/compute.disableInstanceDataAccessApis
"is:"
Compute Engine Disabilita gruppi di endpoint di rete Internet Questo vincolo booleano impedisce a un utente di creare gruppi di endpoint di rete (NEG) internet con type di INTERNET_FQDN_PORT e INTERNET_IP_PORT.
Per impostazione predefinita, qualunque utente con le autorizzazioni IAM appropriate può creare NEG internet in qualsiasi progetto.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine Disattiva virtualizzazione nidificata delle VM Questo vincolo booleano disabilita la virtualizzazione nidificata con accelerazione hardware per tutte le VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui il vincolo è impostato su True.
Per impostazione predefinita, la virtualizzazione nidificata con accelerazione hardware è consentita per tutte le VM di Compute Engine in esecuzione su piattaforme CPU Intel Haswell o più recenti.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine Forza l'applicazione di tipi di macchine conformi a FIPS Se applicato, questo vincolo booleano disabilita la creazione di tipi di istanze VM non conformi ai requisiti FIPS.
constraints/compute.disableNonFIPSMachineTypes
"is:"
Compute Engine Disabilita Private Service Connect per i consumatori Questo vincolo dell'elenco definisce l'insieme di tipi di endpoint di Private Service Connect per cui gli utenti non possono creare regole di forwarding. Quando questo vincolo viene applicato, gli utenti non possono creare regole di forwarding per il tipo di endpoint Private Service Connect. Questo vincolo non viene applicato retroattivamente.
Per impostazione predefinita, è possibile creare regole di forwarding per qualsiasi tipo di endpoint Private Service Connect.
L'elenco di endpoint di Private Service Connect consentiti o negati deve provenire dall'elenco seguente:
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
L'utilizzo di GOOGLE_APIS nell'elenco degli elementi consentiti o negati limiterà la creazione di regole di forwarding di Private Service Connect per l'accesso alle API di Google. L'utilizzo di SERVICE_PRODUCERS nell'elenco degli elementi consentiti o negati limiterà la creazione di regole di forwarding di Private Service Connect per l'accesso ai servizi in un'altra rete VPC.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine Disattiva l'accesso alla porta seriale VM Questo vincolo booleano disattiva l'accesso alle porte seriali delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è impostato su True.
Per impostazione predefinita, i clienti possono abilitare l'accesso alle porte seriali su una singola VM o un singolo progetto di Compute Engine utilizzando gli attributi dei metadati. Se applichi questo vincolo, l'accesso alle porte seriali per le VM di Compute Engine viene disabilitato, a prescindere dagli attributi dei metadati.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Disabilita il logging delle porte seriali delle VM in Stackdriver Questo vincolo booleano disabilita il logging della porta seriale in Stackdriver dalle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui è applicato il vincolo.
Per impostazione predefinita, il logging delle porte seriali per le VM di Compute Engine è disabilitato e può essere attivato selettivamente sulle singole VM o sui singoli progetti utilizzando gli attributi dei metadati. Quando applicato, questo vincolo disattiva il logging delle porte seriali per le nuove VM di Compute Engine ogni volta che ne viene creata una. Inoltre, impedisce agli utenti di modificare l'attributo dei metadati di qualsiasi VM (precedenti o nuove) in True. La disattivazione del logging delle porte seriali può causare il malfunzionamento di determinati servizi che lo utilizzano, ad esempio i cluster di Google Kubernetes Engine. Prima di applicare questo vincolo, verifica che i prodotti nel tuo progetto non utilizzino il logging delle porte seriali.
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine Disattiva SSH nel browser Questo vincolo booleano disabilita lo strumento SSH nel browser nella console Cloud per le VM che utilizzano OS Login e le VM dell'ambiente flessibile di App Engine. Quando è applicato, lo strumento SSH nel browser viene disabilitato. Lo strumento SSH nel browser è consentito per impostazione predefinita.
constraints/compute.disableSshInBrowser
"is:"
Compute Engine Disabilita l'utilizzo di IPv6 all'esterno di VPC Se impostato su True, questo vincolo booleano disabilita la creazione o l'aggiornamento delle subnet con stack_type pari a IPV4_IPV6 e ipv6_access_type pari a EXTERNAL.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione.
constraints/compute.disableVpcExternalIpv6
"is:"
Compute Engine Disattiva uso di IPv6 all'interno di VPC Se impostato su True, questo vincolo booleano disattiva la creazione o l'aggiornamento delle subnet con stack_type pari a IPV4_IPV6 e ipv6_access_type pari a INTERNAL.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione.
constraints/compute.disableVpcInternalIpv6
"is:"
Compute Engine Abilita le impostazioni necessarie per i carichi di lavoro di protezione della memoria per la conformità Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Questo vincolo controlla le impostazioni necessarie per eliminare i potenziali percorsi di accesso alla memoria principale delle VM. Se applicato, limita la possibilità di accedere alla memoria principale delle VM mediante la disabilitazione dei percorsi di accesso, oltre a limitare la raccolta dei dati interni quando si verifica un errore.
constraints/compute.enableComplianceMemoryProtection
"is:"
Compute Engine Disabilita il comportamento Fail Open per i metodi list che visualizzano informazioni relative alla quota per una regione Se applicato, questo vincolo booleano disabilita il comportamento Fail Open in caso di errori sul lato server per i metodi regions.list, regions.get e projects.get. Di conseguenza, se le informazioni relative alla quota non sono disponibili e questo vincolo è abilitato, i suddetti metodi generano errore. Per impostazione predefinita, questi metodi vengono eseguiti correttamente in caso di errori sul lato server e visualizzano un messaggio di avviso quando le informazioni relative alla quota non sono disponibili.
constraints/compute.requireBasicQuotaInResponse
"is:"
Compute Engine Richiedi OS Config Quando applicato, questo vincolo booleano abilita VM Manager (OS Config) su tutti i nuovi progetti. VM Manager sarà abilitato in tutte le istanze VM create nei nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano VM Manager a livello di progetto o di istanza.
Per impostazione predefinita, VM Manager è disabilitato nei progetti Compute Engine.
constraints/compute.requireOsConfig
"is:"
Compute Engine Richiedi accesso al sistema operativo Se impostato su true, questo vincolo booleano abilita OS Login in tutti i nuovi progetti creati. OS Login sarà abilitato in tutte le istanze VM create nei nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano OS Login a livello di progetto o di istanza.
Per impostazione predefinita, la funzionalità OS Login è disabilitata nei progetti Compute Engine.
Le istanze di GKE nei cluster privati che eseguono il pool di nodi versione 1.20.5-gke.2000 e successive supportano OS Login. Attualmente le istanze GKE nei cluster pubblici non supportano OS Login. Se questo vincolo viene applicato a un progetto che esegue cluster pubblici, le istanze GKE in esecuzione in quel progetto potrebbero non funzionare correttamente.
constraints/compute.requireOsLogin
"is:"
Compute Engine Shielded VM Questo vincolo booleano, se impostato su True, richiede che tutte le nuove istanze VM Compute Engine utilizzino immagini disco schermate in cui siano abilitate le opzioni di avvio protetto, monitoraggio dell'integrità e vTPM. Se vuoi, puoi disabilitare l'avvio protetto dopo la creazione. Le istanze esistenti in esecuzione continueranno a funzionare come al solito.
Per impostazione predefinita, le funzionalità delle VM schermate non devono essere abilitate per poter creare istanze di VM Compute Engine. Le funzionalità delle VM schermate aggiungono l'integrità verificabile e la resistenza all'esfiltrazione alle VM.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Richiedi criterio SSL Questo vincolo di elenco definisce l'insieme di proxy target SSL e HTTPS che possono usare il criterio SSL predefinito. Per impostazione predefinita, tutti i proxy target SSL e HTTPS possono usare il criterio SSL predefinito. Quando viene applicato questo vincolo, i nuovi proxy target SSL e HTTPS dovranno specificare obbligatoriamente un criterio SSL predefinito. L'applicazione di questo vincolo non è retroattiva. I proxy target esistenti che usano il criterio SSL predefinito non sono interessati. L'elenco di proxy target SSL e proxy target HTTPS consentiti/rifiutati deve essere identificato nel seguente formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/targetHttpsProxies/TARGET_PROXY_NAME
  • projects/PROJECT_ID/regions/REGION_NAME/targetHttpsProxies/TARGET_PROXY_NAME
  • projects/PROJECT_ID/global/targetSslProxies/TARGET_PROXY_NAME

constraints/compute.requireSslPolicy
"is:", "under:"
Compute Engine Richiedi criteri predefiniti per i log di flusso VPC Questo vincolo di elenco definisce l'insieme di criteri predefiniti che possono essere applicati per i log di flusso VPC.
Per impostazione predefinita, i log di flusso VPC possono essere configurati con qualsiasi impostazione in ciascuna subnet.
Questo vincolo impone l'abilitazione dei log di flusso per tutte le subnet nell'ambito con una frequenza di campionamento minima richiesta.
Specifica uno o più dei seguenti valori validi:
  • ESSENTIAL (consente valori >= 0,1 e < 0,5)
  • LIGHT (consente valori >= 0,5 e < 1,0)
  • COMPREHENSIVE (consente valori == 1,0)

constraints/compute.requireVpcFlowLogs
"is:"
Compute Engine Limita l'utilizzo di Cloud NAT Questo vincolo dell'elenco definisce l'insieme di subnet a cui è consentito utilizzare Cloud NAT. Per impostazione predefinita, tutte le subnet possono utilizzare Cloud NAT. L'elenco di subnet consentite o negate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Limita i bucket di backend e i servizi di backend tra progetti Questo vincolo dell'elenco limita le risorse BackendBucket e BackendService a cui è possibile aggiungere una risorsa urlMap. Il vincolo non si applica alle risorse BackendBucket e BackendService all'interno dello stesso progetto della risorsa urlMap. Per impostazione predefinita, una risorsa urlMap in un progetto può fare riferimento a risorse BackendBucket e BackendService compatibili di altri progetti nella stessa organizzazione, purché l'utente abbia l'autorizzazione compute.backendService.use, compute.regionBackendServices.use o compute.backendBuckets.use. Consigliamo di non usare questo vincolo insieme al vincolo compute.restrictSharedVpcBackendServices per evitare conflitti. Progetti, cartelle e risorse dell'organizzazione nell'elenco di elementi consentiti o negati influiscono su tutte le risorse BackendBucket e BackendService sottostanti nella gerarchia delle risorse. Solo i progetti, le cartelle e le risorse dell'organizzazione possono essere inclusi nell'elenco di elementi consentiti o negati e devono essere specificati nel formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/regions/REGION/backendbuckets/BACKEND_BUCKET_NAME
  • projects/PROJECT_ID/global/backendbuckets/BACKEND_BUCKET_NAME
  • projects/PROJECT_ID/regions/REGION/backendservices/BACKEND_SERVICE_NAME
  • projects/PROJECT_ID/global/backendservices/BACKEND_SERVICE_NAME

  • constraints/compute.restrictCrossProjectServices
"is:", "under:"
Compute Engine Limita utilizzo dell'interconnessione dedicata Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'interconnessione dedicata. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco di reti consentite o negate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine Limita la creazione del bilanciatore del carico in base ai tipi di bilanciatore del carico Questo vincolo dell'elenco definisce l'insieme dei tipi di bilanciatore del carico che è possibile creare per un'organizzazione, una cartella o un progetto. Ogni tipo di bilanciatore del carico da consentire o non consentire deve essere elencato in modo esplicito. Per impostazione predefinita, è consentita la creazione di tutti i tipi di bilanciatore del carico.
L'elenco dei valori consentiti o negati deve essere identificato come il nome stringa di un bilanciatore del carico e può includere solo valori compresi nell'elenco seguente:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_TCP_PROXY
  • REGIONAL_INTERNAL_MANAGED_TCP_PROXY
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
  • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY
  • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY

  • Per includere tutti i tipi di bilanciatore del carico interni o esterni, utilizza il prefisso in: seguito da INTERNAL o EXTERNAL. Ad esempio, consentendo in:INTERNAL autorizzi tutti i tipi di bilanciatore del carico nell'elenco precedente che includono INTERNAL.
    constraints/compute.restrictLoadBalancerCreationForTypes
    "is:", "in:"
    Compute Engine Limita elementi non Confidential Computing L'elenco degli elementi bloccati di questo vincolo dell'elenco definisce l'insieme di servizi per i quali tutte le nuove risorse devono essere create con Confidential Computing. Per impostazione predefinita, non è obbligatorio che le nuove risorse utilizzino Confidential Computing. Se viene applicato questo vincolo di elenco, Confidential Computing non può essere disabilitato durante il ciclo di vita della risorsa. Le risorse esistenti continueranno a funzionare normalmente. L'elenco di servizi negati deve essere identificato dal nome di stringa di un'API e può includere solo valori esplicitamente negati presenti nell'elenco riportato di seguito. L'autorizzazione esplicita delle API non è attualmente supportata. Verrà restituito un errore se vengono vietate in modo esplicito API non comprese in questo elenco. Elenco delle API supportate: [compute.googleapis.com, container.googleapis.com]
    constraints/compute.restrictNonConfidentialComputing
    "is:"
    Compute Engine Limita utilizzo dell'interconnessione partner Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'interconnessione partner. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle emittenti consentite/rifiutate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictPartnerInterconnectUsage
    "is:", "under:"
    Compute Engine Limita i consumer Private Service Connect consentiti Questo vincolo dell'elenco definisce quali organizzazioni, cartelle e progetti possono connettersi ai collegamenti di servizi all'interno dell'organizzazione o del progetto di un producer. Gli elenchi di elementi consentiti o non consentiti devono essere identificati nel seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. Per impostazione predefinita sono consentite tutte le connessioni.
    constraints/compute.restrictPrivateServiceConnectConsumer
    "is:", "under:"
    Compute Engine Limita producer consentiti di Private Service Connect Questo vincolo di elenco definisce a quali collegamenti di servizio possono collegarsi i consumatori di Private Service Connect. Il vincolo blocca la distribuzione di endpoint o backend di Private Service Connect in base all'organizzazione, alla cartella o alla risorsa di progetto del collegamento di servizio a cui fanno riferimento gli endpoint o i backend. Gli elenchi di elementi consentiti o negati devono essere identificati nel seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. Per impostazione predefinita sono consentite tutte le connessioni.
    constraints/compute.restrictPrivateServiceConnectProducer
    "is:", "under:"
    Compute Engine Limita forwarding di protocollo in base al tipo di indirizzo IP Questo vincolo dell'elenco definisce il tipo di oggetti regola di forwarding di protocollo con istanza di destinazione che possono essere creati da un utente. Quando questo vincolo viene applicato, i nuovi oggetti regola di forwarding con istanza di destinazione saranno limitati a indirizzi IP interni e/o esterni, in base ai tipi specificati. I tipi da consentire o negare devono essere elencati in modo esplicito. Per impostazione predefinita, è consentita la creazione di oggetti regola di forwarding di protocollo con istanza di destinazione sia interni che esterni.
    L'elenco dei valori consentiti o negati può includere solo i valori dell'elenco seguente:
    • INTERNAL
    • EXTERNAL
    .
    constraints/compute.restrictProtocolForwardingCreationForTypes
    "is:"
    Compute Engine Limita servizi di backend del VPC condiviso Questo vincolo di elenco definisce l'insieme di servizi di backend del VPC condiviso che le risorse idonee possono utilizzare. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi servizio di backend del VPC condiviso. L'elenco di servizi di backend consentiti o negati deve essere specificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME o projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Questo vincolo non è retroattivo.
    constraints/compute.restrictSharedVpcBackendServices
    "is:", "under:"
    Compute Engine Limita progetti host con VPC condivise Questo vincolo dell'elenco definisce l'insieme di progetti host con VPC condivise ai quali è possibile associare i progetti allo stesso livello o a un livello inferiore rispetto alla risorsa. Per impostazione predefinita, un progetto può essere associato a qualsiasi progetto host nella stessa organizzazione, diventando quindi un progetto di servizio. I progetti, le cartelle e le organizzazioni negli elenchi di elementi consentiti o negati influiscono su tutti gli oggetti sottostanti nella gerarchia delle risorse e devono essere specificati nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.
    constraints/compute.restrictSharedVpcHostProjects
    "is:", "under:"
    Compute Engine Limita subnet VPC condivise Questo vincolo dell'elenco definisce l'insieme di subnet VPC condivise utilizzabili dalle risorse idonee. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi subnet VPC condivisa. L'elenco di subnet consentite o negate deve essere specificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
    constraints/compute.restrictSharedVpcSubnetworks
    "is:", "under:"
    Compute Engine Limita utilizzo del peering di VPC Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a questo progetto, cartella o organizzazione. Ogni estremità del peering deve avere l'autorizzazione per il peering. Per impostazione predefinita, un Amministratore di rete di una rete può eseguire il peering con qualsiasi altra rete. L'elenco delle emittenti consentite/rifiutate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictVpcPeering
    "is:", "under:"
    Compute Engine Limita IP peer VPN Questo vincolo dell'elenco definisce l'insieme di indirizzi IP validi che possono essere configurati come IP peer VPN. Per impostazione predefinita, qualsiasi IP può essere un IP peer VPN per una rete VPC. L'elenco di indirizzi IP consentiti o negati deve essere specificato come indirizzi IP validi nel formato: IP_V4_ADDRESS o IP_V6_ADDRESS.
    constraints/compute.restrictVpnPeerIPs
    "is:"
    Compute Engine Configura l'impostazione del DNS interno per i nuovi progetti per utilizzare solo il DNS di zona Se impostato su "True", i nuovi progetti creati utilizzeranno il DNS di zona come predefinito. Per impostazione predefinita, questo vincolo è impostato su "False" e i progetti appena creati utilizzeranno il tipo DNS predefinito.
    constraints/compute.setNewProjectDefaultToZonalDNSOnly
    "is:"
    Compute Engine Progetti del proprietario con prenotazioni condivise Questo vincolo dell'elenco definisce l'insieme di progetti autorizzati a creare e possedere prenotazioni condivise nell'organizzazione. Una prenotazione condivisa è simile a una prenotazione locale con la differenza che, anziché essere sfruttata solo dai progetti del proprietario, può essere utilizzata da altri progetti Compute Engine nella gerarchia delle risorse. L'elenco di progetti autorizzati ad accedere alla prenotazione condivisa deve essere nel formato projects/PROJECT_NUMBER o under:projects/PROJECT_NUMBER.
    constraints/compute.sharedReservationsOwnerProjects
    "is:", "under:"
    Compute Engine Ignora creazione rete predefinita Questo vincolo booleano ignora la creazione della rete predefinita e delle risorse correlate durante la creazione delle risorse dei progetti Google Cloud in cui il vincolo è impostato su True. Per impostazione predefinita, quando si crea una risorsa del progetto vengono automaticamente create una rete predefinita e le risorse di supporto.

    constraints/compute.skipDefaultNetworkCreation
    "is:"
    Compute Engine Restrizioni di utilizzo delle risorse di Compute Storage (dischi, immagini e snapshot di Compute Engine) Questo vincolo dell'elenco definisce un insieme di progetti a cui è consentito utilizzare le risorse di archiviazione di Compute Engine. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può accedere alle risorse di Compute Engine. Utilizzando questo vincolo, gli utenti devono disporre di autorizzazioni Cloud IAM e non devono essere limitati dal vincolo per accedere alla risorsa.
    I progetti, le cartelle e le organizzazioni specificati negli elenchi di elementi consentiti o negati devono avere il formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

    constraints/compute.storageResourceUseRestrictions
    "is:", "under:"
    Compute Engine Definisci progetti con immagini attendibili Questo vincolo dell'elenco definisce l'insieme di progetti che possono essere utilizzati per l'archiviazione di immagini e l'istanza del disco per Compute Engine.
    Per impostazione predefinita, è possibile creare istanze a partire dalle immagini di qualsiasi progetto che condivide le immagini pubblicamente o in modo esplicito con l'utente.
    L'elenco di progetti di publisher consentiti o negati deve essere costituito da stringhe nel formato projects/PROJECT_ID. Se questo vincolo è attivo, come origine per i dischi di avvio delle nuove istanze saranno consentite solo le immagini dei progetti attendibili.

    constraints/compute.trustedImageProjects
    "is:"
    Compute Engine Limita inoltro IP VM Questo vincolo dell'elenco definisce l'insieme di istanze VM che possono abilitare il forwarding IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Le istanze VM devono essere specificate nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Questo vincolo non è retroattivo.
    constraints/compute.vmCanIpForward
    "is:", "under:"
    Compute Engine Definisci IP esterni consentiti per le istanze VM Questo vincolo dell'elenco definisce l'insieme di istanze VM di Compute Engine autorizzate a utilizzare indirizzi IP esterni.
    Per impostazione predefinita, tutte le istanze VM sono autorizzate a utilizzare indirizzi IP esterni.
    L'elenco di istanze VM consentite o negate deve essere identificato dal nome dell'istanza VM nel formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

    constraints/compute.vmExternalIpAccess
    "is:"
    Compute Engine Disabilita l'abilitazione di Identity-Aware Proxy (IAP) nelle risorse globali Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse globali. L'abilitazione di IAP nelle risorse di regione non è limitata da questo vincolo.
    Per impostazione predefinita, è consentito abilitare IAP nelle risorse globali.
    constraints/iap.requireGlobalIapWebDisabled
    "is:"
    Google Kubernetes Engine Disabilita i percorsi di accesso amministrativo diagnostico in GKE. Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, tutti i percorsi di accesso per la diagnostica e altri casi d'uso dell'assistenza clienti non conformi ai requisiti di Assured Workloads saranno disattivati.
    constraints/container.restrictNoncompliantDiagnosticDataAccess
    "is:"
    Dataform Limita i git remote per i repository in Dataform Questo vincolo di elenco definisce un insieme di repository Git remoti con cui possono comunicare i repository nel progetto Dataform. Per bloccare la comunicazione con tutti i telecomandi, imposta il valore su Deny all. Questo vincolo è retroattivo e blocca le comunicazioni per i repository esistenti che lo violano. Le voci devono essere link a repository Git remoti attendibili, nello stesso formato fornito da Dataform.
    Per impostazione predefinita, i repository nei progetti Dataform possono comunicare con qualsiasi repository Git remoto.
    constraints/dataform.restrictGitRemotes
    "is:"
    Datastream Datastream - Metodi di blocco della connettività pubblica Per impostazione predefinita, i profili di connessione di Datastream possono essere creati con metodi di connettività pubblica o privata. Se il vincolo booleano per questo criterio dell'organizzazione viene applicato, è possibile utilizzare solo i metodi di connettività privata (ad esempio peering VPC) per creare profili di connessione.
    constraints/datastream.disablePublicConnectivity
    "is:"
    Contatti fondamentali Contatti limitati per i domini Questo vincolo dell'elenco definisce l'insieme di domini che gli indirizzi email aggiunti ai Contatti necessari possono avere.
    Per impostazione predefinita, gli indirizzi email con qualsiasi dominio possono essere aggiunti ai Contatti necessari.
    L'elenco delle identità consentite/negate deve specificare uno o più domini del tipo @example.com. Se questo vincolo è attivo e configurato con valori consentiti, solo gli indirizzi email con un suffisso corrispondente a una delle voci dell'elenco dei domini consentiti possono essere aggiunti in Contatti necessari.
    Questo vincolo non ha alcun effetto sull'aggiornamento o sulla rimozione dei contatti esistenti.
    constraints/essentialcontacts.allowedContactDomains
    "is:"
    Contatti fondamentali Disattiva contatti per la sicurezza del progetto Quando applicato, questo vincolo booleano consente agli amministratori dei criteri dell'organizzazione di garantire che solo i contatti assegnati a livello di organizzazione o di cartella possano ricevere notifiche di sicurezza. In particolare, l'applicazione di questo vincolo impedisce ai proprietari del progetto e agli amministratori dei contatti di creare o aggiornare un contatto necessario con un campo notification_category_subscriptions che contiene la categoria SECURITY o ALL, se il contatto ha anche una risorsa di progetto come padre.
    constraints/essentialcontacts.disableProjectSecurityContacts
    "is:"
    Firestore Richiede l'agente di servizio Firestore per l'importazione/esportazione Quando applicato, questo vincolo booleano richiede che le importazioni e le esportazioni di Firestore utilizzino l'agente di servizio Firestore.
    Per impostazione predefinita, le importazioni ed esportazioni di Firestore possono utilizzare l'account di servizio App Engine.
    In futuro, Firestore smetterà di utilizzare l'account di servizio App Engine per le importazioni e le esportazioni e tutti gli account dovranno eseguire la migrazione all'agente di servizio Firestore. Trascorso questo periodo questo vincolo non sarà più necessario.

    constraints/firestore.requireP4SAforImportExport
    "is:"
    Cloud Healthcare Disabilita Cloud Logging per l'API Cloud Healthcare Quando applicato, questo vincolo booleano disabilita Cloud Logging per l'API Cloud Healthcare.
    Gli audit log non sono interessati da questo vincolo.
    I log di Cloud generati per l'API Cloud Healthcare prima dell'applicazione del vincolo non vengono eliminati e sono comunque accessibili.

    constraints/gcp.disableCloudLogging
    "is:"
    Identity and Access Management Consenti estensione della durata dei token di accesso OAuth 2.0 fino a 12 ore Questo vincolo dell'elenco definisce l'insieme di account di servizio a cui possono essere concessi token di accesso OAuth 2.0 con una durata massima di 12 ore. Per impostazione predefinita, la durata massima di questi token di accesso è di 1 ora.
    L'elenco degli account di servizio consentiti/negati deve specificare uno o più indirizzi email di account di servizio.
    constraints/iam.allowServiceAccountCredentialLifetimeExtension
    "is:"
    Identity and Access Management Condivisione limitata per i domini Questo vincolo dell'elenco definisce uno o più ID cliente di Cloud Identity o Google Workspace le cui entità possono essere aggiunte ai criteri IAM.
    Per impostazione predefinita, è consentito aggiungere tutte le identità utente ai criteri IAM. In questo vincolo possono essere definiti solo i valori consentiti. I valori negati non sono supportati.
    Se questo vincolo è attivo, solo le entità che appartengono agli ID cliente consentiti possono essere aggiunte ai criteri IAM.
    Non è necessario aggiungere l'ID cliente google.com a questo elenco per interagire con i servizi Google. L'aggiunta di google.com consente la condivisione con i dipendenti e i sistemi non di produzione di Google e deve essere utilizzato solo per condividere i dati con i dipendenti di Google.
    constraints/iam.allowedPolicyMemberDomains
    "is:"
    Identity and Access Management Disabilita esenzione per l'audit logging Quando applicato, questo vincolo booleano impedisce di escludere entità aggiuntive dall'audit logging. Questo vincolo non influisce sulle esenzioni dall'audit logging che esistevano prima dell'applicazione del vincolo.
    constraints/iam.disableAuditLoggingExemption
    "is:"
    Identity and Access Management Disabilita l'utilizzo dei service account tra i progetti Una volta applicato, il deployment dei service account è possibile solo (utilizzando il ruolo ServiceAccountUser) nei job (VM, funzioni e così via) in esecuzione nello stesso progetto del service account.
    constraints/iam.disableCrossProjectServiceAccountUsage
    "is:"
    Identity and Access Management Disattiva creazione service account Questo vincolo booleano, se impostato su True, disattiva la creazione di service account.
    Per impostazione predefinita, i service account possono essere creati dagli utenti in base ai propri ruoli e autorizzazioni Cloud IAM.

    constraints/iam.disableServiceAccountCreation
    "is:"
    Identity and Access Management Disattiva creazione chiavi service account Questo vincolo booleano disabilita la creazione di chiavi esterne degli account di servizio quando il vincolo è impostato su "True".
    Per impostazione predefinita, le chiavi esterne degli account di servizio possono essere create dagli utenti in base ai loro ruoli e autorizzazioni Cloud IAM.

    constraints/iam.disableServiceAccountKeyCreation
    "is:"
    Identity and Access Management Disabilita caricamento di chiavi service account Questo vincolo booleano disabilita la funzionalità che consente di caricare le chiavi pubbliche negli account di servizio in cui il vincolo è impostato su "True".
    Per impostazione predefinita, gli utenti possono caricare chiavi pubbliche negli account di servizio in base ai propri ruoli e autorizzazioni Cloud IAM.
    constraints/iam.disableServiceAccountKeyUpload
    "is:"
    Identity and Access Management Disabilita creazione cluster Workload Identity Se impostato su "True", questo vincolo booleano richiede che in tutti i nuovi cluster GKE sia disabilitato Workload Identity al momento della creazione. I cluster GKE esistenti in cui Workload Identity è già abilitato continueranno a funzionare come al solito. Per impostazione predefinita, Workload Identity può essere abilitato per qualsiasi cluster GKE.
    constraints/iam.disableWorkloadIdentityClusterCreation
    "is:"
    Identity and Access Management Durata per la scadenza della chiave del service account in ore Questo vincolo dell'elenco definisce la durata massima consentita prima che scada la chiave dell'account di servizio. Per impostazione predefinita, le chiavi create non scadono mai.
    La durata consentita è specificata in ore e deve essere compresa nell'elenco seguente. Puoi specificare un solo valore consentito. I valori negati non sono supportati. Se viene specificata una durata non compresa in questo elenco, verrà generato un errore.
    • 1h
    • 8h
    • 24h
    • 168h
    • 336h
    • 720h
    • 1440h
    • 2160h
    Per applicare questo vincolo, devi impostarlo in modo da sostituire il criterio padre nella console Cloud oppure impostare inheritFromParent=false nel file dei criteri se usi gcloud CLI. Questo vincolo non può essere unito a un criterio padre. L'applicazione del vincolo non è retroattiva e non modifica le chiavi preesistenti.
    constraints/iam.serviceAccountKeyExpiryHours
    "is:"
    Identity and Access Management Risposta esposizione chiave service account Questo vincolo di elenco definisce la risposta adottata se Google rileva che la chiave di un service account è esposta pubblicamente. Se non viene configurato, viene utilizzato il comportamento predefinito per DISABLE_KEY.
    I valori consentiti sono DISABLE_KEY e WAIT_FOR_ABUSE. Non è possibile utilizzare valori che non fanno esplicitamente parte di questo elenco. Puoi specificare un solo valore consentito. I valori negati non sono supportati.
    Se consenti il valore DISABLE_KEY, qualsiasi chiave dell'account di servizio esposta pubblicamente viene disabilitata automaticamente e viene creata una voce nell'audit log.
    Se consenti il valore WAIT_FOR_ABUSE, la protezione viene disattivata e le chiavi degli account di servizio esposte non vengono disattivate automaticamente. Tuttavia, Google Cloud potrebbe disabilitare le chiavi degli account di servizio esposte se vengono utilizzate in modi che influiscono negativamente sulla piattaforma, ma non promette di farlo.
    Per applicare questo vincolo, impostalo in modo da sostituire il criterio padre nella Google Cloud Console oppure imposta inheritFromParent=false nel file dei criteri se usi gcloud CLI. Questo vincolo non può essere unito a un criterio padre.
    constraints/iam.serviceAccountKeyExposureResponse
    "is:"
    Identity and Access Management Account AWS consentiti che possono essere configurati per la federazione delle identità per i carichi di lavoro in Cloud IAM. Elenco di ID account AWS che possono essere configurati per la federazione delle identità per i carichi di lavoro in Cloud IAM.
    constraints/iam.workloadIdentityPoolAwsAccounts
    "is:"
    Identity and Access Management Provider di identità esterni consentiti per i carichi di lavoro in Cloud IAM Provider di identità che possono essere configurati per l'autenticazione del carico di lavoro in Cloud IAM, specificato da URI/URL.
    constraints/iam.workloadIdentityPoolProviders
    "is:"
    Control plane gestito di Anthos Service Mesh Modalità Controlli di servizio VPC consentita per i control plane gestiti di Anthos Service Mesh Questo vincolo determina quali modalità di Controlli di servizio VPC possono essere impostate durante il provisioning di un nuovo piano di controllo gestito da Anthos Service Mesh. I valori validi sono "NONE" e "COMPATIBLE".
    constraints/meshconfig.allowedVpcscModes
    "is:"
    Cloud Pub/Sub Applica le regioni in transito per i messaggi Pub/Sub Se applicato, questo vincolo booleano imposta MessageStoragePolicy::enforce_in_transit su true per tutti i nuovi argomenti Pub/Sub al momento della creazione. Ciò garantisce che i dati dei clienti transitino solo all'interno delle regioni consentite che sono specificate nel criterio di archiviazione dei messaggi per l'argomento.
    constraints/pubsub.enforceInTransitRegions
    "is:"
    Resource Manager Limita la rimozione dei blocchi sul progetto del VPC condiviso Questo vincolo booleano limita l'insieme di utenti che possono rimuovere un blocco del progetto host VPC condiviso senza autorizzazione a livello di organizzazione se questo vincolo è impostato su True.
    Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco del progetto host VPC condiviso. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione.
    constraints/compute.restrictXpnProjectLienRemoval
    "is:"
    Resource Manager Limita la rimozione dei blocchi dei service account tra progetti Questo vincolo booleano, quando corrisponde a ENFORCED, impedisce agli utenti di rimuovere un blocco degli account di servizio tra progetti senza autorizzazione a livello di organizzazione. Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco degli account di servizio tra progetti. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione.
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval
    "is:"
    Resource Manager Limita visibilità query risorsa Quando applicato a una risorsa dell'organizzazione, questo vincolo dell'elenco definisce l'insieme di risorse Google Cloud che vengono restituite nei metodi di elencazione e ricerca per gli utenti nel dominio dell'organizzazione a cui il vincolo è applicato. Consente di limitare le risorse visibili in varie parti di Cloud Console, tra cui il selettore risorse, la funzionalità di ricerca e la pagina Gestisci risorse. Tieni presente che questo vincolo viene valutato sempre e solo a livello di organizzazione. I valori specificati negli elenchi di elementi consentiti o negati devono essere nel formato under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.accessBoundaries
    "is:", "under:"
    Resource Manager Richiedi l'elenco dei servizi consentiti abilitati per lo spostamento tra organizzazioni Questo vincolo dell'elenco funge da controllo per verificare se un progetto con un servizio abilitato può essere spostato tra le organizzazioni. Questo vincolo deve essere applicato in una risorsa in cui è abilitato un servizio supportato, che a sua volta deve essere incluso nei valori consentiti per poter essere spostato tra le organizzazioni. L'elenco attuale di valori consentiti per i servizi supportati che è possibile utilizzare è:
    • SHARED_VPC

    Questo vincolo fornisce un controllo aggiuntivo rispetto a constraints/resourcemanager.allowedExportDestinations. Questo vincolo dell'elenco (list_constraint) è vuoto per impostazione predefinita e non bloccherà gli spostamenti tra organizzazioni, a meno che un servizio supportato non venga abilitato nella risorsa da esportare. Questo vincolo consente un controllo più dettagliato sulle risorse che utilizzano funzionalità che richiedono maggiore attenzione quando vengono spostate in un'altra organizzazione. Per impostazione predefinita, una risorsa in cui è abilitato un servizio supportato non può essere spostata tra le organizzazioni.
    constraints/resourcemanager.allowEnabledServicesForExport
    "is:"
    Resource Manager Destinazioni consentite per l'esportazione delle risorse Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne in cui è possibile spostare le risorse e nega gli spostamenti in tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, questa può essere spostata solo nelle organizzazioni consentite esplicitamente dal vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi di elementi consentiti o negati devono essere nel formato under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedExportDestinations
    "is:", "under:"
    Resource Manager Origini consentite per l'importazione delle risorse Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne da cui è possibile importare le risorse e nega gli spostamenti da tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, le risorse importate direttamente in questa risorsa devono essere consentite in modo esplicito da questo vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedImportSources
    "is:", "under:"
    Cloud Run Criteri di autorizzazione binaria consentiti (Cloud Run) Questo vincolo dell'elenco definisce l'insieme dei nomi dei criteri di autorizzazione binaria che è possibile specificare in una risorsa Cloud Run. Per consentire/negare un criterio predefinito, utilizza il valore "default". Per consentire/negare uno o più criteri personalizzati della piattaforma, l'ID risorsa di ciascun criterio deve essere aggiunto separatamente.
    constraints/run.allowedBinaryAuthorizationPolicies
    "is:"
    Cloud Run Impostazioni di traffico in entrata consentite (Cloud Run) Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per i servizi Cloud Run. Quando questo vincolo viene applicato, le impostazioni del traffico in entrata dei servizi devono corrispondere a uno dei valori consentiti. I servizi Cloud Run esistenti con impostazioni di traffico in entrata che violano questo vincolo possono continuare a essere aggiornati finché tali impostazioni non vengono modificate per rispettare il vincolo. Quando un servizio rispetta questo vincolo, può utilizzare solo le relative impostazioni di traffico in entrata consentite.
    Per impostazione predefinita, i servizi Cloud Run possono utilizzare qualsiasi impostazione di traffico in entrata.
    L'elenco degli elementi consentiti deve contenere i valori delle impostazioni di traffico in entrata supportati, ovvero all, internal e internal-and-cloud-load-balancing.

    constraints/run.allowedIngress
    "is:"
    Cloud Run Impostazioni di traffico VPC in uscita consentite (Cloud Run) Questo vincolo dell'elenco definisce le impostazioni di traffico VPC in uscita consentite da specificare su una risorsa Cloud Run. Quando viene applicato questo vincolo, è necessario eseguire il deployment delle risorse Cloud Run con un connettore di accesso VPC serverless o con il traffico VPC diretto in uscita abilitato; le impostazioni di traffico devono corrispondere a uno dei valori consentiti.
    Per impostazione predefinita, le risorse Cloud Run possono configurare le impostazioni di traffico VPC in uscita su qualsiasi valore supportato.
    L'elenco degli elementi consentiti deve contenere i valori delle impostazioni di traffico VPC in uscita supportati, ovvero private-ranges-only e all-traffic.

    Per i servizi Cloud Run esistenti, tutte le nuove revisioni devono rispettare questo vincolo. I servizi esistenti con revisioni che gestiscono traffico e violano questo vincolo possono continuare a eseguire la migrazione del traffico a tali revisioni. Quando tutto il traffico per un servizio viene gestito da revisioni conformi a questo vincolo, tutte le migrazioni di traffico successive devono eseguire la migrazione del traffico solo verso queste revisioni.
    constraints/run.allowedVPCEgress
    "is:"
    Service Consumer Management Disabilita l'assegnazione automatica di diritti IAM ai service account predefiniti Quando applicato, questo vincolo booleano impedisce di concedere automaticamente qualsiasi ruolo IAM sul progetto durante la creazione degli account di servizio App Engine e Compute Engine predefiniti nei progetti.
    Per impostazione predefinita, questi account di servizio ricevono automaticamente il ruolo Editor al momento della creazione.
    constraints/iam.automaticIamGrantsForDefaultServiceAccounts
    "is:"
    Cloud Spanner Abilita il controllo avanzato dei servizi per i carichi di lavoro di conformità Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e le risorse sottoposte a provisioning seguiranno rigorosamente i requisiti di sovranità avanzata per Assured Workloads. Questo criterio si applica ai progetti esistenti, ma non influisce sulle risorse già sottoposte a provisioning; ad esempio, le modifiche al criterio si rifletteranno solo sulle risorse create dopo che il criterio è stato modificato.
    constraints/spanner.assuredWorkloadsAdvancedServiceControls
    "is:"
    Cloud Spanner Disabilita le istanze multiregionali di Cloud Spanner se non è selezionata una località Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando applicato, questo vincolo booleano impedisce di creare istanze Spanner utilizzando la configurazione di istanze multiregionali, a meno che non sia selezionata una località. Cloud Spanner non supporta ancora la selezione della località, quindi tutte le istanze multiregionali non sono consentite. In futuro, Spanner offrirà agli utenti la possibilità di selezionare una località per più regioni. L'applicazione di questo vincolo non è retroattiva. Le istanze Spanner già create non saranno interessate.
    constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected
    "is:"
    Cloud Storage Google Cloud Platform - Modalità audit logging dettagliato Quando è applicata la modalità di audit logging dettagliata, sia la richiesta che la risposta vengono incluse in Cloud Audit Logs. L'applicazione delle modifiche a questa funzionalità può richiedere fino a 10 minuti. Questo criterio dell'organizzazione è vivamente consigliato in coordinamento con il blocco dei bucket per la conformità a norme quali regola SEC 17a-4(f), regola CFTC 1.31(c)-(d) e regola FINRA 4511(c). Questo criterio è attualmente supportato solo in Cloud Storage.
    constraints/gcp.detailedAuditLoggingMode
    "is:"
    Cloud Storage Applica prevenzione dell'accesso pubblico Impedisci che i dati di Cloud Storage vengano esposti pubblicamente mediante l'attivazione della prevenzione dell'accesso pubblico. Questo criterio di governance impedisce l'accesso alle risorse esistenti e future tramite la rete internet pubblica, disattivando e bloccando gli ACL e le autorizzazioni IAM che concedono l'accesso a allUsers e allAuthenticatedUsers. Applica questo criterio all'intera organizzazione (consigliato), a progetti specifici o a cartelle specifiche, per impedire che i dati vengano esposti al pubblico.
    Questo criterio ha la precedenza sulle autorizzazioni pubbliche esistenti. Dopo l'attivazione di questo criterio, l'accesso pubblico viene revocato per i bucket e gli oggetti esistenti. Per ulteriori dettagli sugli effetti della modifica dell'applicazione di questo vincolo sulle risorse, visita la pagina https://cloud.google.com/storage/docs/public-access-prevention.
    constraints/storage.publicAccessPrevention
    "is:"
    Cloud Storage Cloud Storage - Limita tipi di autenticazione Il vincolo definisce l'insieme di tipi di autenticazione a cui verrebbe impedito l'accesso alle risorse di archiviazione nell'organizzazione in Cloud Storage. I valori supportati sono USER_ACCOUNT_HMAC_SIGNED_REQUESTS e SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Utilizza in:ALL_HMAC_SIGNED_REQUESTS per includerli entrambi.
    constraints/storage.restrictAuthTypes
    "is:", "in:"
    Cloud Storage Durata del criterio di conservazione in secondi Questo vincolo dell'elenco definisce l'insieme di durate per i criteri di conservazione che è possibile impostare nei bucket Cloud Storage.
    Per impostazione predefinita, se non viene specificato nessun criterio dell'organizzazione, un bucket Cloud Storage può avere un criterio di conservazione di qualsiasi durata.
    L'elenco di durate consentite deve essere specificato come un valore intero positivo maggiore di zero, che rappresenta il criterio di conservazione in secondi.
    Qualsiasi operazione di inserimento, aggiornamento o applicazione di patch su un bucket nella risorsa dell'organizzazione deve avere una durata del criterio di conservazione corrispondente al vincolo.
    L'applicazione di questo vincolo non è retroattiva. Quando viene applicato un nuovo criterio dell'organizzazione, il criterio di conservazione dei bucket esistenti rimane valido e invariato.

    constraints/storage.retentionPolicySeconds
    "is:"
    Cloud Storage Limita accesso HTTP non criptato Quando applicato, questo vincolo booleano nega esplicitamente l'accesso HTTP (non criptato) a tutte le risorse di archiviazione. Per impostazione predefinita, l'API XML di Cloud Storage consente l'accesso HTTP non criptato. Tieni presente che l'API JSON di Cloud Storage, gRPC e la console Cloud consentono solo l'accesso HTTP criptato alle risorse di Cloud Storage.
    constraints/storage.secureHttpTransport
    "is:"
    Cloud Storage Cloud Storage: durata di conservazione dei criteri di eliminazione temporanea in secondi Questo vincolo definisce le durate di conservazione consentite per i criteri di eliminazione temporanea impostati sui bucket Cloud Storage in cui viene applicato il vincolo. Qualsiasi operazione di inserimento, aggiornamento o patch su un bucket in cui viene applicato questo vincolo deve avere una durata del criterio di eliminazione temporanea corrispondente al vincolo. Quando viene applicato un nuovo criterio dell'organizzazione, il criterio di eliminazione temporanea dei bucket esistenti rimane valido e invariato. Per impostazione predefinita, se non viene specificato nessun criterio dell'organizzazione, un bucket Cloud Storage può avere un criterio di eliminazione temporanea di qualsiasi durata.
    constraints/storage.softDeletePolicySeconds
    "is:"
    Cloud Storage Applica accesso uniforme a livello di bucket Questo vincolo booleano richiede che i bucket utilizzino un accesso uniforme a livello di bucket, laddove questo vincolo è impostato su True. L'accesso uniforme a livello di bucket deve essere abilitato per tutti i nuovi bucket nella risorsa Organizzazione e tale opzione non può essere disabilitata in alcun bucket esistente nella risorsa Organizzazione.
    L'applicazione di questo vincolo non è retroattiva: i bucket esistenti con accesso uniforme a livello di bucket disabilitato continuano ad averlo disabilitato. Il valore predefinito per questo vincolo è False.
    L'accesso uniforme a livello di bucket disabilita la valutazione degli ACL assegnati agli oggetti Cloud Storage nel bucket. Di conseguenza, solo i criteri IAM consentono l'accesso agli oggetti in tali bucket.

    constraints/storage.uniformBucketLevelAccess
    "is:"

    Guide illustrative

    Per ulteriori informazioni su come utilizzare i singoli vincoli:

    Vincolo Guida illustrativa
    constraints/cloudbuild.allowedIntegrations La porta si basa sul criterio dell'organizzazione
    constraints/cloudfunctions.allowedIngressSettings Utilizzare i Controlli di servizio VPC
    constraints/cloudfunctions.allowedVpcConnectorEgressSettings Utilizzare i Controlli di servizio VPC
    constraints/cloudfunctions.requireVPCConnector Utilizzo dei Controlli di servizio VPC
    constraints/gcp.restrictNonCmekServices Criteri dell'organizzazione CMEK
    constraints/gcp.restrictCmekCryptoKeyProjects Criteri dell'organizzazione CMEK
    constraints/gcp.restrictTLSVersion Limita le versioni TLS
    constraints/compute.restrictPrivateServiceConnectConsumer
    constraints/compute.restrictPrivateServiceConnectProducer
    Gestire la sicurezza per i consumer Private Service Connect
    constraints/compute.restrictCloudNATUsage Limita l'utilizzo di Cloud NAT
    constraints/compute.restrictLoadBalancerCreationForTypes Vincoli di Cloud Load Balancing
    constraints/compute.restrictProtocolForwardingCreationForTypes Vincoli di inoltro del protocollo
    constraints/compute.restrictDedicatedInterconnectUsage
    constraints/compute.restrictPartnerInterconnectUsage
    Limitazione dell'utilizzo di Cloud Interconnect
    constraints/compute.restrictVpnPeerIPs Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN
    constraints/compute.trustedImageProjects Limitare l'accesso alle immagini
    constraints/compute.vmExternalIpAccess Disattivazione dell'accesso all'IP esterno per le VM
    constraints/compute.requireVpcFlowLogs Vincoli dei criteri dell'organizzazione per i log di flusso VPC
    constraints/dataform.restrictGitRemotes Limitare i repository remoti
    constraints/gcp.restrictServiceUsage Limitare l'utilizzo delle risorse
    constraints/iam.allowedPolicyMemberDomains Limitazione delle identità per dominio
    constraints/iam.allowServiceAccountCredentialLifetimeExtension Estendi la durata dei token di accesso OAuth 2.0
    constraints/iam.disableCrossProjectServiceAccountUsage Collegare un account di servizio a una risorsa in un altro progetto
    constraints/iam.disableServiceAccountCreation Limitazione della creazione di account di servizio
    constraints/iam.disableServiceAccountKeyCreation Limitazione della creazione delle chiavi degli account di servizio
    constraints/iam.disableServiceAccountKeyUpload Limitazione del caricamento della chiave dell'account di servizio
    constraints/iam.disableWorkloadIdentityClusterCreation Limitazione della creazione di cluster di identità per i carichi di lavoro
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval Collegamento di un account di servizio a una risorsa in un progetto diverso
    constraints/gcp.detailedAuditLoggingMode
    constraints/storage.retentionPolicySeconds
    constraints/storage.uniformBucketLevelAccess
    constraints/storage.publicAccessPrevention
    Vincoli dei criteri dell'organizzazione per Cloud Storage
    constraints/gcp.disableCloudLogging Disabilitazione di Cloud Logging
    constraints/gcp.resourceLocations Limitazione delle località delle risorse
    constraints/resourcemanager.accessBoundaries Limitare la visibilità del progetto per gli utenti
    constraints/run.allowedIngress Utilizzo dei Controlli di servizio VPC
    constraints/run.allowedVPCEgress Utilizzo dei Controlli di servizio VPC
    constraints/constraints/vertexai.allowedModels Controllare l'accesso ai modelli Model Garden

    Scopri di più

    Per scoprire di più sui concetti fondamentali dei criteri dell'organizzazione: