Verfügbare Einschränkungen
Sie können Richtlinien mit den folgenden Einschränkungen festlegen.
Verwaltete Einschränkungen
Dienste | Einschränkung | Beschreibung |
---|---|---|
Identity and Access Management | Erstellen von Dienstkontoschlüsseln deaktivieren | Durch das Erzwingen dieser Einschränkung wird die Erstellung von Dienstkontoschlüsseln blockiert. constraints/iam.managed.disableServiceAccountKeyCreation |
Identity and Access Management | Hochladen von Dienstkontoschlüsseln deaktivieren | Diese boolesche Einschränkung deaktiviert das Feature, mit dem öffentliche Schlüssel in Dienstkonten mit der Einstellung „True“ für diese Einschränkung hochgeladen werden können. Standardmäßig können Nutzer öffentliche Schlüssel entsprechend ihren Cloud IAM-Rollen und -Berechtigungen in Dienstkonten hochladen. constraints/iam.managed.disableServiceAccountKeyUpload |
Von mehreren Google Cloud-Diensten unterstützte Einschränkungen
Einschränkung | Beschreibung | Unterstützte Präfixe |
---|---|---|
Zulässige Worker-Pools (Cloud Build) | Mit dieser Listeneinschränkung werden die zulässigen Cloud Build-Worker-Pools zum Ausführen von Builds mit Cloud Build festgelegt. Wenn diese Einschränkung erzwungen wird, müssen Builds in einem Worker-Pool der zulässigen Werte erstellt werden. Standardmäßig kann Cloud Build jeden beliebigen Worker-Pool nutzen. Die Liste der zulässigen Worker-Pools muss das folgende Format haben:
constraints/cloudbuild.allowedWorkerPools |
"is:" , "under:" |
Google Cloud Platform – Beschränkung der Ressourcenstandorte | Mit dieser Listeneinschränkung wird die Gruppe von Standorten definiert, an denen standortbasierte Google Cloud-Ressourcen erstellt werden können. Wichtig: Die Informationen auf dieser Seite beschreiben nicht die Verpflichtungen der Google Cloud Platform gegenüber ihren Kunden hinsichtlich des Datenstandorts für Kundendaten (wie in der Vereinbarung definiert, unter der Google sich bereit erklärt hat, Google Cloud Platform-Dienste bereitzustellen, und wie in der Zusammenfassung der Google Cloud Platform-Dienste unter https://cloud.google.com/terms/services beschrieben). Eine Liste der Google Cloud Platform-Dienste, für die der Standort der Kundendaten von Kunden ausgewählt werden kann, finden Sie unter „Google Cloud Platform Services with Data Residency“ unter https://cloud.google.com/terms/data-residency. Standardmäßig können Ressourcen an jedem Standort erstellt werden. Eine vollständige Liste der unterstützten Dienste finden Sie unter https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services. In den Richtlinien für diese Einschränkung können Mehrfachregionen wie asia und europe , Regionen wie us-east1 oder europe-west1 als erlaubte oder abgelehnte Standorte angegeben werden. Wenn eine Mehrfachregion erlaubt oder abgelehnt wird, bedeutet dies nicht, dass alle enthaltenen untergeordneten Standorte ebenfalls erlaubt oder abgelehnt sind. Wenn in der Richtlinie beispielsweise der multiregionale Standort us abgelehnt wird, der sich auf multiregionale Ressourcen wie einige Speicherdienste bezieht, können dennoch Ressourcen am regionalen Standort us-east1 erstellt werden. Die Gruppe in:us-locations enthält dagegen alle Standorte innerhalb der Region us und kann zum Blockieren jeder Region verwendet werden. Wir empfehlen, Richtlinien mithilfe von Wertgruppen zu definieren. Sie können von Google ausgewählte Wertgruppen und Standortsammlungen zum einfachen Definieren Ihrer Ressourcenstandorte angeben. Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran, gefolgt von der Wertgruppe. Wenn Sie beispielsweise Ressourcen erstellen möchten, die sich nur innerhalb der USA befinden, legen Sie in:us-locations in der Liste der zulässigen Werte fest. Wenn das Feld suggested_value in einer Standortrichtlinie verwendet wird, sollte es eine Region sein. Wenn der angegebene Wert eine Region ist, kann eine Benutzeroberfläche für eine zonale Ressource jede Zone in dieser Region vorab angeben. constraints/gcp.resourceLocations |
"is:" , "in:" |
Einschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können | Mit dieser Listeneinschränkung wird definiert, welche Projekte verwendet werden können, um vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) beim Erstellen von Ressourcen bereitzustellen. Wenn Sie diese Einschränkung auf Allow festlegen, also nur CMEK-Schlüssel aus diesen Projekten zulassen, können CMEK-Schlüssel aus anderen Projekten nicht zum Schutz neu erstellter Ressourcen verwendet werden. Werte für diese Einschränkung müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID oder projects/PROJECT_ID . Unterstützte Dienste, die diese Einschränkung erzwingen, sind:
Deny oder Deny All ist nicht zulässig. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Vorhandene CMEK-geschützte Google Cloud-Ressourcen mit KMS-CryptoKeys aus nicht zugelassenen Projekten müssen manuell neu konfiguriert oder neu erstellt werden, um die Erzwingung sicherzustellen. constraints/gcp.restrictCmekCryptoKeyProjects |
"is:" , "under:" |
Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können | Mit dieser Listeneinschränkung wird definiert, für welche Dienste vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) erforderlich sind. Wenn Sie diese Einschränkung auf Deny festlegen, also die Ressourcenerstellung ohne CMEK ablehnen, müssen neu erstellte Ressourcen für die angegebenen Dienste durch einen CMEK-Schlüssel geschützt werden. Unterstützte Dienste, die in dieser Einschränkung festgelegt werden können, sind:
Deny All ist nicht zulässig. Das Festlegen dieser Einschränkung auf Allow ist nicht zulässig. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Vorhandene nicht CMEK-geschützte Google Cloud-Ressourcen müssen manuell neu konfiguriert oder neu erstellt werden, um die Erzwingung sicherzustellen. constraints/gcp.restrictNonCmekServices |
"is:" |
Nutzung von Ressourcendiensten einschränken | Mit dieser Einschränkung werden die Google Cloud-Ressourcendienste definiert, die in einer Organisation, einem Ordner oder einem Projekt verwendet werden können, z. B. compute.googleapis.com und storage.googleapis.com. Standardmäßig sind alle Google Cloud-Ressourcendienste zulässig. Weitere Informationen finden Sie unter https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources. constraints/gcp.restrictServiceUsage |
"is:" |
TLS-Versionen einschränken | Mit dieser Einschränkung wird die Gruppe von TLS-Versionen definiert, die nicht in einer Organisation, einem Ordner oder einem Projekt verwendet werden können, in der/dem die Einschränkung erzwungen wird. Dies gilt auch für die untergeordneten Elemente der jeweiligen Ressource. Standardmäßig sind alle TLS-Versionen zulässig. TLS-Versionen können nur in der Sperrliste angegeben werden und müssen im Format TLS_VERSION_1 oder TLS_VERSION_1_1 identifiziert werden.Diese Einschränkung gilt nur für Anfragen mit TLS. Unverschlüsselte Anfragen werden dadurch nicht eingeschränkt. Weitere Informationen finden Sie unter https://cloud.google.com/assured-workloads/docs/restrict-tls-versions. constraints/gcp.restrictTLSVersion |
"is:" |
Aktivieren von Identity-Aware Proxy (IAP) für regionale Ressourcen deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Aktivieren von Identity-Aware Proxy für regionale Ressourcen deaktiviert. Das Aktivieren von IAP für globale Ressourcen ist von dieser Einschränkung nicht betroffen. Standardmäßig ist das Aktivieren von IAP für regionale Ressourcen zulässig. constraints/iap.requireRegionalIapWebDisabled |
"is:" |
Zulässige Google Cloud APIs und -Dienste einschränken | Diese Listeneinschränkung schränkt die Dienste und deren APIs ein, die für diese Ressource aktiviert werden können. Standardmäßig sind alle Dienste zulässig. Die Liste der abgelehnten Dienste muss aus der folgenden Liste stammen. Die explizite Aktivierung von APIs über diese Einschränkung wird derzeit nicht unterstützt. Wenn Sie eine API angeben, die nicht in dieser Liste enthalten ist, wird ein Fehler ausgegeben. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn ein Dienst für eine Ressource beim Erzwingen dieser Einschränkung bereits aktiviert ist, bleibt er weiter aktiviert. constraints/serviceuser.services |
"is:" |
Einschränkungen für bestimmte Dienste
Dienste | Einschränkung | Beschreibung | Unterstützte Präfixe |
---|---|---|---|
Vertex AI Workbench | Zugriffsmodus für Vertex AI Workbench-Notebooks und ‑Instanzen definieren | Mit dieser Listeneinschränkung werden die zulässigen Zugriffsmodi auf Notebooks und Instanzen in Vertex AI Workbench definiert, soweit sie erzwungen werden. Über die Zulassungs‑ oder Sperrliste können mit dem service-account -Modus mehrere Nutzer oder mit dem single-user -Modus ein einzelner Nutzer angegeben werden. Der Zugriffsmodus muss explizit als „zulässig“ oder „abgelehnt“ aufgelistet sein. constraints/ainotebooks.accessMode |
"is:" |
Vertex AI Workbench | Dateidownloads auf neuen Vertex AI Workbench-Instanzen deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von Vertex AI Workbench-Instanzen mit aktivierter Option zum Herunterladen von Dateien verhindert. Standardmäßig kann die Option zum Herunterladen von Dateien in jeder beliebigen Vertex AI Workbench-Instanz aktiviert werden. constraints/ainotebooks.disableFileDownloads |
"is:" |
Vertex AI Workbench | Root-Zugriff auf neuen, von Nutzern verwalteten Vertex AI Workbench-Notebooks und ‑Instanzen deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird verhindert, dass auf neu erstellten, von Nutzern verwalteten Vertex AI Workbench-Notebooks und ‑Instanzen der Root-Zugriff aktiviert wird. Standardmäßig kann der Root-Zugriff auf von Nutzern verwalteten Vertex AI Workbench-Notebooks und ‑Instanzen aktiviert sein. constraints/ainotebooks.disableRootAccess |
"is:" |
Vertex AI Workbench | Terminal auf neuen Vertex AI Workbench-Instanzen deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von Vertex AI Workbench-Instanzen mit aktiviertem Terminal verhindert. Standardmäßig kann das Terminal in Vertex AI Workbench-Instanzen aktiviert werden. constraints/ainotebooks.disableTerminal |
"is:" |
Vertex AI Workbench | Umgebungsoptionen auf neuen nutzerverwalteten Vertex AI Workbench-Notebooks einschränken | Mit dieser Listeneinschränkung werden die VM- und Container-Image-Optionen definiert, die ein Nutzer beim Erstellen neuer nutzerverwalteter Vertex AI Workbench-Notebooks auswählen kann. Die zulässigen bzw. nicht zulässigen Optionen müssen explizit aufgeführt sein. Das erwartete Format für VM-Instanzen ist ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE . Ersetzen Sie „IMAGE_TYPE“ durch image-family oder image-name . Beispiele: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu , ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 .Das erwartete Format für Container-Images ist ainotebooks-container/CONTAINER_REPOSITORY:TAG . Beispiele: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest , ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48 . constraints/ainotebooks.environmentOptions |
"is:" |
Vertex AI Workbench | Automatische geplante Upgrades auf neuen, von Nutzern verwalteten Vertex AI Workbench-Notebooks und ‑Instanzen verlangen | Wenn diese boolesche Einschränkung erzwungen wird, muss für neu erstellte, von Nutzern verwaltete Vertex AI Workbench-Notebooks und ‑Instanzen ein Zeitplan für automatische Upgrades festgelegt werden. Mit dem Metadaten-Flag „notebook-upgrade-schedule“ kann ein Cron-Zeitplan für die automatischen Upgrades definiert werden. Beispiel: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`. constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
Vertex AI Workbench | Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einschränken | Durch das Erzwingen dieser booleschen Einschränkung wird der Zugriff auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen eingeschränkt. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden. constraints/ainotebooks.restrictPublicIp |
"is:" |
Vertex AI Workbench | VPC-Netzwerke auf neuen Vertex AI Workbench-Instanzen einschränken | Diese Listenbeschränkung definiert die VPC-Netzwerke, die ein Nutzer auswählen kann, wenn er neue Instanzen von Vertex AI Workbench erstellt, in denen diese Beschränkung erzwungen wird. Standardmäßig kann eine Vertex AI Workbench-Instanz mit beliebigen VPC-Netzwerken erstellt werden. Die Liste der zulässigen oder abgelehnten Netzwerke muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/ainotebooks.restrictVpcNetworks |
"is:" , "under:" |
Vertex AI | Zugriff auf Modelle von Google in Vertex AI definieren, die auf generativer KI basieren | Mit dieser Listeneinschränkung werden die auf generativer KI basierenden Modelle und Features definiert, die in Vertex AI APIs verwendet werden dürfen. Die Werte der Zulassungsliste müssen das Format model_id:feature_family haben. Beispiel: publishers/google/models/text-bison:predict . Diese Listeneinschränkung beschränkt nur den Zugriff auf Google-Modelle, die auf generativer KI basieren, und wirkt sich nicht auf Modelle von Drittanbietern oder Open-Source-Modelle aus. Die Einschränkung vertexai.allowedModels kann verwendet werden, um den Zugriff auf eine breitere Palette von Modellen zu definieren, einschließlich Modelle von Google und Drittanbietern sowie Open-Source-Modelle. Standardmäßig können alle Modelle in Vertex AI APIs verwendet werden. constraints/vertexai.allowedGenAIModels |
"is:" |
Vertex AI | Zugriff auf Modelle in Vertex AI definieren | Mit dieser Listeneinschränkung werden die Modelle und Features definiert, die in Vertex AI APIs verwendet werden dürfen. Die Werte der Zulassungsliste müssen das Format „model_id:feature_family “ haben, z. B. „publishers/google/models/gemini-1.0-pro:predict “. Standardmäßig können alle Modelle in Vertex AI APIs verwendet werden. constraints/vertexai.allowedModels |
"is:" |
App Engine | Quellcode-Download deaktivieren | Deaktiviert Code-Downloads von zuvor in App Engine hochgeladenen Quellcodes. constraints/appengine.disableCodeDownload |
"is:" |
App Engine | Laufzeit-Bereitstellungsausnahme (App Engine) | Mit dieser Listeneinschränkung wird die Gruppe der Legacy-Laufzeiten von App Engine Standard (Python 2.7, PHP 5.5 und Java 8) definiert, die für Bereitstellungen nach Ende des Supportzeitraums zulässig sind. Der Supportzeitraum für Legacy-Laufzeiten von App Engine Standard endet am 30. Januar 2024. Versuche, Anwendungen mit Legacy-Laufzeiten nach diesem Datum bereitzustellen, werden generell blockiert. Weitere Informationen finden Sie im Zeitplan für den Support von App Engine Standard-Laufzeiten. Wenn Sie diese Einschränkung auf „Zulassen“ festlegen, wird die Blockierung von App Engine Standard-Bereitstellungen für die von Ihnen angegebenen Legacy-Laufzeiten bis zum Datum der Laufzeiteinstellung aufgehoben. Wenn Sie diese Einschränkung auf „Alle zulassen“ festlegen, wird die Blockierung von App Engine Standard-Bereitstellungen für alle Legacy-Laufzeiten bis zum Datum der Laufzeiteinstellung aufgehoben. Für Laufzeiten, deren Supportzeitraum zu Ende ist, gibt es keine regelmäßigen Sicherheits‑ und Wartungspatches. Daher empfehlen wir Ihnen dringend, ein Upgrade Ihrer Anwendungen auf eine allgemein verfügbare Laufzeitversion durchzuführen. constraints/appengine.runtimeDeploymentExemption |
"is:" |
BigQuery | BigQuery Omni für Cloud AWS deaktivieren | Wenn diese boolesche Einschränkung auf True festgelegt ist, können Nutzer keine Daten mithilfe von BigQuery Omni in Amazon Web Services verarbeiten, wenn diese Einschränkung erzwungen wird. constraints/bigquery.disableBQOmniAWS |
"is:" |
BigQuery | BigQuery Omni für Cloud Azure deaktivieren | Wenn diese boolesche Einschränkung auf True festgelegt ist, können Nutzer keine Daten mithilfe von BigQuery Omni in Microsoft Azure verarbeiten, wenn diese Einschränkung erzwungen wird. constraints/bigquery.disableBQOmniAzure |
"is:" |
Cloud Build | Zulässige Integrationen (Cloud Build) | Mit dieser Listeneinschränkung werden die zulässigen Cloud Build-Integrationen zum Ausführen von Builds durch den Empfang von Webhooks von Diensten außerhalb von Google Cloud festgelegt. Wenn diese Einschränkung erzwungen wird, werden nur Webhooks für Dienste verarbeitet, deren Host mit einem der zulässigen Werte übereinstimmt. Standardmäßig verarbeitet Cloud Build alle Webhooks für Projekte mit mindestens einem LIVE-Trigger. constraints/cloudbuild.allowedIntegrations |
"is:" |
Cloud Build | „Standarddienstkonto erstellen“ deaktivieren (Cloud Build) | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen des Legacy-Cloud Build-Dienstkontos verhindert. constraints/cloudbuild.disableCreateDefaultServiceAccount |
"is:" |
Cloud Build | Standarddienstkonto (Cloud Build) verwenden | Durch das Erzwingen dieser booleschen Einschränkung kann das Cloud Build-Legacy-Dienstkonto standardmäßig verwendet werden. constraints/cloudbuild.useBuildServiceAccount |
"is:" |
Cloud Build | Compute Engine-Dienstkonto standardmäßig verwenden (Cloud Build) | Durch das Erzwingen dieser booleschen Einschränkung kann das Compute Engine-Dienstkonto standardmäßig verwendet werden. constraints/cloudbuild.useComputeServiceAccount |
"is:" |
Cloud Deploy | Cloud Deploy-Dienstlabels deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, fügt Cloud Deploy den bereitgestellten Objekten keine Cloud Deploy-Kennzeichnungslabels mehr hinzu. Labels zur Identifizierung von Cloud Deploy-Ressourcen werden bereitgestellten Objekten beim Erstellen des Release standardmäßig hinzugefügt. constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
Cloud Functions | Erlaubte Einstellungen für ausgehenden Traffic (Cloud Function-Funktionen) | Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic zur Bereitstellung einer Cloud Functions-Funktion (1st gen) definiert. Wenn diese Einschränkung erzwungen wird, müssen die Funktionen Einstellungen für eingehenden Traffic haben, die mit einem der zulässigen Werte übereinstimmen. Standardmäßig kann Cloud Functions beliebige Einstellungen für eingehenden Traffic verwenden. Einstellungen für eingehenden Traffic müssen in der Zulassungsliste mithilfe der Werte des Enums IngressSettings angegeben werden.Verwenden Sie für Cloud Functions (2nd gen) die Einschränkung constraints/run.allowedIngress .constraints/cloudfunctions.allowedIngressSettings |
"is:" |
Cloud Functions | Erlaubte Einstellungen für ausgehenden Traffic des VPC-Connectors (Cloud Function-Funktionen) | Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für ausgehenden Traffic des VPC-Connectors zur Bereitstellung einer Cloud Functions-Funktion (1st gen) definiert. Wenn diese Einschränkung erzwungen wird, müssen die Funktionen Einstellungen für ausgehenden Traffic des VPC-Connectors haben, die mit einem der zulässigen Werte übereinstimmen. Standardmäßig können Cloud Function-Funktionen beliebige Einstellungen für ausgehenden Traffic des VPC-Connectors verwenden. Einstellungen für ausgehenden Traffic des VPC-Connectors müssen in der Zulassungsliste mithilfe der Werte des VpcConnectorEgressSettings -Enums angegeben werden.Verwenden Sie für Cloud Functions (2nd gen) die Einschränkung constraints/run.allowedVPCEgress .constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
Cloud Functions | VPC-Connector erforderlich (Cloud Functions-Funktionen) | Diese boolesche Einschränkung erzwingt das Festlegen eines VPC-Connectors bei Bereitstellung einer Cloud Functions-Funktion (1st gen). Wenn die Einschränkung erzwungen wird, muss für Funktionen ein VPC-Connector angegeben werden. Standardmäßig ist die Spezifizierung eines VPC-Connectors nicht erforderlich, um eine Cloud Function-Funktion bereitzustellen. constraints/cloudfunctions.requireVPCConnector |
"is:" |
Cloud Functions | Zulässige Cloud Functions-Generationen | Mit dieser Listeneinschränkung wird die Gruppe zulässiger Cloud Function-Generationen definiert, die zum Erstellen neuer Cloud Function-Ressourcen verwendet werden dürfen. Gültige Werte: 1stGen , 2ndGen . constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
Cloud KMS | Einschränken, welche KMS-CryptoKey-Typen erstellt werden dürfen. | Mit dieser Listeneinschränkung werden die Cloud KMS-Schlüsseltypen definiert, die unter einem bestimmten Hierarchieknoten erstellt werden dürfen. Wenn diese Einschränkung erzwungen wird, dürfen innerhalb des zugehörigen Hierarchieknotens nur KMS-Schlüsseltypen erstellt werden, die in dieser Organisationsrichtlinie angegeben sind. Das Konfigurieren dieser Organisationsrichtlinie wirkt sich auch auf das Schutzniveau von Importjobs und Schlüsselversionen aus. Standardmäßig sind alle Schlüsseltypen zulässig. Gültige Werte sind SOFTWARE , HSM , EXTERNAL und EXTERNAL_VPC . Ablehnungsrichtlinien sind unzulässig. constraints/cloudkms.allowedProtectionLevels |
"is:" |
Cloud KMS | Löschen von Schlüsseln auf deaktivierte Schlüsselversionen beschränken | Durch das Erzwingen dieser booleschen Einschränkung dürfen nur deaktivierte Schlüsselversionen gelöscht werden. Standardmäßig können aktivierte und deaktivierte Schlüsselversionen gelöscht werden. Wenn diese Einschränkung erzwungen wird, gilt sie sowohl für neue als auch für bestehende Schlüsselversionen. constraints/cloudkms.disableBeforeDestroy |
"is:" |
Cloud KMS | Mindestwert für die geplante Dauer für das Löschen pro Schlüssel | Mit dieser Listeneinschränkung wird der Mindestwert für die geplante Dauer für das Löschen in Tagen definiert, den der Nutzer beim Erstellen eines neuen Schlüssels festlegen kann. Wenn diese Einschränkung erzwungen wird, werden keine Schlüssel mit einer geringeren Dauer für das Löschen erstellt. Standardmäßig beträgt der Mindestwert für die geplante Dauer für das Löschen für alle Schlüssel 1 Tag. Ausgenommen sind reine Importschlüssel, für die kein Mindestwert für die geplante Dauer für das Löschen gilt. Es kann nur ein zulässiger Wert im Format in:1d , in:7d , in:15d , in:30d , in:60d , in:90d oder in:120d angegeben werden. Wenn beispielsweise für constraints/cloudkms.minimumDestroyScheduledDuration der Wert in:15d festgelegt ist, können Nutzer Schlüssel mit einer geplanten Dauer für das Löschen von mehr als 15 Tagen erstellen, also z. B. 16 Tage oder 31 Tage. Dagegen sind dann keine Schlüssel mit einer geplanten Dauer für das Löschen unter 15 Tagen möglich, z. B. 14 Tage. Jede Ressource in der Hierarchie kann die Mindestdauer für das geplante Löschen übernehmen, ersetzen oder mit der Richtlinie der übergeordneten Ressource zusammengeführt werden. Wenn die Richtlinie einer Ressource mit der Richtlinie der übergeordneten Ressource zusammengeführt wird, ist die Mindestdauer für das geplante Löschen der Ressource der jeweils niedrigere Wert der in den Richtlinien der Ressource selbst bzw. der der übergeordneten Ressource festgelegten Mindestwerte. Wenn beispielsweise für eine Organisation eine Mindestdauer für das geplante Löschen von 7 Tagen gilt und in der Richtlinie für ein untergeordnetes Projekt das Zusammenführen mit der übergeordneten Ressource mit einem Wert von in:15d festgelegt ist, beträgt der geltende Mindestwert für das Löschen für das Projekt 7 Tage. constraints/cloudkms.minimumDestroyScheduledDuration |
"is:" , "in:" |
Cloud Scheduler | Zulässige Zieltypen für Jobs | Mit dieser Listeneinschränkung wird die Liste der für Cloud Scheduler-Jobs zulässigen Zieltypen, wie App Engine HTTP, HTTP oder Pub/Sub, festgelegt. Standardmäßig sind alle Jobziele zulässig. Gültige Werte sind APPENGINE , HTTP und PUBSUB . constraints/cloudscheduler.allowedTargetTypes |
"is:" |
Cloud SQL | Autorisierte Netzwerke auf Cloud SQL-Instanzen einschränken | Wenn für diese boolesche Einschränkung True festgelegt wird, ist das Hinzufügen autorisierter Netzwerke für Datenbankzugriff ohne Proxy zu Cloud SQL-Instanzen eingeschränkt. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehenden autorisierten Netzwerken funktionieren dennoch, selbst wenn diese Einschränkung erzwungen wird. Standardmäßig können autorisierte Netzwerke Cloud SQL-Instanzen hinzugefügt werden. constraints/sql.restrictAuthorizedNetworks |
"is:" |
Cloud SQL | Diagnose‑ und Administratorzugriffspfade in Cloud SQL deaktivieren, um Complianceanforderungen zu erfüllen. | Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Assured Workloads-Onboardings automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden bestimmte Supportelemente eingeschränkt und alle Zugriffspfade für Diagnosen und andere Kundensupport-Anwendungsfälle deaktiviert, die nicht den erweiterten Anforderungen an die Datenhoheit von Assured Workloads entsprechen. constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Cloud SQL | Nicht konforme Arbeitslasten für Cloud SQL-Instanzen einschränken. | Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Onboardings von Assured Workloads automatisch konfiguriert und dient nur der erweiterten gesetzlichen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden bestimmte Supportaspekte eingeschränkt und die bereitgestellten Ressourcen entsprechen genau den erweiterten Anforderungen an die digitale Souveränität von Assured Workloads. Diese Richtlinie gilt rückwirkend, d. h. sie wird auf bestehende Projekte angewendet. Bereits bereitgestellte Ressourcen sind davon jedoch nicht betroffen, d. h. Änderungen an der Richtlinie spiegeln sich nur in Ressourcen wider, die nach Änderung der Richtlinie erstellt werden. constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
Cloud SQL | Zugriff auf öffentliche IP-Adressen bei Cloud SQL-Instanzen einschränken | Diese boolesche Einschränkung erfordert, dass die öffentliche IP-Adresse in Cloud SQL-Instanzen konfiguriert wird, wobei die Einschränkung auf True gesetzt ist. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehendem Zugriff auf eine öffentliche IP-Adresse funktionieren weiterhin, selbst wenn diese Einschränkung erzwungen wird. Standardmäßig ist es der öffentlichen IP-Adresse erlaubt, auf Cloud SQL-Instanzen zuzugreifen. constraints/sql.restrictPublicIp |
"is:" |
Google Cloud Marketplace | Öffentlichen Marktplatz deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird der Google Cloud Marketplace für alle Nutzer in der Organisation deaktiviert. Standardmäßig ist der Zugriff auf den öffentlichen Marktplatz für die Organisation aktiviert. Diese Richtlinie funktioniert nur, wenn der private Marktplatz aktiviert ist (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace). Wichtig: Wir empfehlen Ihnen dringend, die Funktion zur Einschränkung des Nutzerzugriffs auf den Marktplatz zu verwenden, wie unter https://cloud.google.com/marketplace/docs/governance/strict-user-access beschrieben, um die unbefugte Nutzung des Marktplatzes in Ihrer Organisation zu verhindern, anstatt dies über diese Organisationsrichtlinie zu tun. constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
Google Cloud Marketplace | Zugriff auf Marketplace-Dienste einschränken | Mit dieser Listeneinschränkung wird die Gruppe von Diensten definiert, die für Organisationen im Marketplace zulässig sind. Sie darf nur Werte aus der folgenden Liste enthalten:
IAAS_PROCUREMENT in der Liste zulässiger Werte enthalten ist, ist die Governance-Funktion für die IaaS-Beschaffung für alle Produkte aktiviert. Standardmäßig ist die Governance-Funktion für die IaaS-Beschaffung deaktiviert. Die Richtlinie IAAS_PROCUREMENT funktioniert unabhängig von der Governance-Funktion „Request Procurement“, die speziell für SaaS-Produkte im Cloud Marketplace gedacht ist.Hinweis: Der Wert „PRIVATE_MARKETPLACE“ wird nicht mehr unterstützt und hat keine Auswirkungen. Folgen Sie der Anleitung unter https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace, um den privaten Marktplatz von Google zu aktivieren. constraints/commerceorggovernance.marketplaceServices |
"is:" |
Compute Engine | Zulässige Verschlüsselungseinstellungen für VLAN-Anhänge | Mit dieser Listeneinschränkung werden die zulässigen Verschlüsselungseinstellungen für neue VLAN-Anhänge definiert. Standardmäßig dürfen VLAN-Anhänge alle Verschlüsselungseinstellungen verwenden. Legen Sie IPsec als zulässigen Wert fest, um zu erzwingen, dass nur verschlüsselte VLAN-Anhänge erstellt werden. constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
Compute Engine | Gesamte IPv6-Nutzung deaktivieren | Wenn diese boolesche Einschränkung auf True festgelegt ist, wird das Erstellen oder Aktualisieren von Google Compute Engine-Ressourcen deaktiviert, die IPv6 nutzen. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Google Compute Engine-Ressourcen mit IPv6-Nutzung in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren. Wenn diese Einschränkung festgelegt ist, hat sie eine höhere Priorität als andere IPv6-Organisationseinschränkungen, einschließlich disableVpcInternalIpv6 , disableVpcExternalIpv6 und disableHybridCloudIpv6 . constraints/compute.disableAllIpv6 |
"is:" |
Compute Engine | Erstellen von Cloud Armor-Sicherheitsrichtlinien deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von Cloud Armor-Sicherheitsrichtlinien deaktiviert. Standardmäßig können Sie Cloud Armor-Sicherheitsrichtlinien in beliebigen Organisationen, Ordnern oder Projekten erstellen. constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
Compute Engine | Globales Load-Balancing deaktivieren | Diese boolesche Einschränkung deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Wenn sie erzwungen wird, können nur regionale Load-Balancing-Produkte ohne globale Abhängigkeiten erstellt werden. Standardmäßig ist das Erstellen von globalem Load-Balancing zulässig. constraints/compute.disableGlobalLoadBalancing |
"is:" |
Compute Engine | Erstellen von globalen selbstverwalteten SSL-Zertifikaten deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen globaler selbstverwalteter SSL-Zertifikate deaktiviert. Das Erstellen von regionalen selbstverwalteten oder von Google verwalteten Zertifikaten wird durch diese Einschränkung nicht deaktiviert. Standardmäßig können Sie globale selbstverwaltete SSL-Zertifikate in beliebigen Organisationen, Ordnern oder Projekten erstellen. constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
Compute Engine | Globalen Zugriff auf serielle VM-Ports deaktivieren | Mit dieser booleschen Einschränkung wird der globale Zugriff auf den seriellen Port bei Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung erzwungen wird. In der Standardeinstellung können Kunden den Zugriff des seriellen Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Beim Erzwingen dieser Einschränkung wird der Zugriff des seriellen Ports für alle Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert. Der regionale Zugriff des seriellen Ports ist von dieser Einschränkung nicht betroffen. Wenn Sie den gesamten Zugriff des seriellen Ports deaktivieren möchten, verwenden Sie die Einschränkung „compute.disableSerialPortAccess“. constraints/compute.disableGlobalSerialPortAccess |
"is:" |
Compute Engine | Gastattribute von Compute Engine-Metadaten deaktivieren | Diese boolesche Einschränkung deaktiviert den Compute Engine API-Zugriff auf die Gastattribute von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung auf True gesetzt ist. Standardmäßig kann die Compute Engine API für den Zugriff auf Compute Engine-VM-Gastattribute verwendet werden. constraints/compute.disableGuestAttributesAccess |
"is:" |
Compute Engine | Hybrid-Cloud-IPv6-Nutzung deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen oder Aktualisieren von Hybrid-Cloud-Ressourcen wie Interconnect-Anhängen und Cloud VPN-Gateways mit einer stack_type von IPV4_IPV6 oder IPV6_ONLY bzw. einer gatewayIpVersion von IPv6 deaktiviert. Wird die Einschränkung für eine Cloud Router-Ressource erzwungen, können weder IPv6-Sitzungen mit Border Gateway Protocol (BGP) noch der IPv6-Routenaustausch über IPv4-BGP-Sitzungen erstellt werden. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Hybrid-Cloud-Ressourcen mit einem stack_type von IPV4_IPV6 in Projekten, Ordnern und Organisationen erstellen oder aktualisieren. constraints/compute.disableHybridCloudIpv6 |
"is:" |
Compute Engine | APIs für den Datenzugriff auf Instanzen deaktivieren | Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Onboardings von Assured Workloads automatisch konfiguriert und dient nur der erweiterten gesetzlichen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden die GetSerialPortOutput API und die GetScreenshot API deaktiviert, die auf die Ausgabe des seriellen VM-Ports zugreifen bzw. Screenshots der VM-Benutzeroberfläche erstellen. constraints/compute.disableInstanceDataAccessApis |
"is:" |
Compute Engine | Internetnetzwerk-Endpunktgruppen deaktivieren | Diese boolesche Einschränkung gibt an, ob ein Nutzer Internetnetzwerk-Endpunktgruppen (NEGs) mit einem type von INTERNET_FQDN_PORT und INTERNET_IP_PORT erstellen kann.Standardmäßig kann jeder Nutzer mit den entsprechenden IAM-Berechtigungen Internet-NEGs in jedem beliebigen Projekt erstellen. constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
Compute Engine | Verschachtelte Virtualisierung für VM deaktivieren | Mit dieser booleschen Einschränkung wird hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden. constraints/compute.disableNestedVirtualization |
"is:" |
Compute Engine | FIPS-konforme Maschinentypen erzwingen | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von VM-Instanztypen verhindert, die nicht den FIPS-Anforderungen entsprechen. constraints/compute.disableNonFIPSMachineTypes |
"is:" |
Compute Engine | Private Service Connect für Nutzer deaktivieren | Mit dieser Listeneinschränkung wird die Gruppe von Private Service Connect-Endpunkttypen definiert, für die Nutzer keine Weiterleitungsregeln erstellen können. Wenn diese Einschränkung erzwungen wird, können Nutzer keine Weiterleitungsregeln für den Private Service Connect-Endpunkttyp erstellen. Diese Einschränkung wird nicht rückwirkend erzwungen. Standardmäßig können Weiterleitungsregeln für jeden Private Service Connect-Endpunkttyp erstellt werden. Die Zulassungs-/Ablehnungsliste der Private Service Connect-Endpunkte muss aus der folgenden Liste stammen:
GOOGLE_APIS in der Zulassungs-/Ablehnungsliste schränkt das Erstellen von Private Service Connect-Weiterleitungsregeln für den Zugriff auf Google APIs ein. Die Verwendung von SERVICE_PRODUCERS in der Zulassungs-/Ablehnungsliste schränkt das Erstellen von Private Service Connect-Weiterleitungsregeln für den Zugriff auf Dienste in einem anderen VPC-Netzwerk ein. constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
Compute Engine | Zugriff auf serielle Ports der VM deaktivieren | Mit dieser booleschen Einschränkung wird der Zugriff auf serielle Ports auf allen Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist. In der Standardeinstellung können Kunden den Zugriff auf serielle Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Beim Erzwingen dieser Einschränkung wird der Zugriff des seriellen Ports für alle Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert. constraints/compute.disableSerialPortAccess |
"is:" |
Compute Engine | Logging des seriellen VM-Ports in Stackdriver deaktivieren | Diese boolesche Einschränkung deaktiviert das Logging serieller Ports in Stackdriver von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung erzwungen wird. Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Wenn diese Einschränkung erzwungen wird, deaktiviert sie das Logging serieller Ports für neu erstellte Compute Engine-VMs. Damit wird auch verhindert, dass Nutzer die Metadatenattribute von VMs (alt oder neu) ändern und auf True setzen. Das Deaktivieren der Protokollierung serieller Ports kann dazu führen, dass bestimmte Dienste wie Google Kubernetes Engine-Cluster, die darauf beruhen, nicht mehr korrekt funktionieren. Bestätigen Sie vor dem Erzwingen dieser Einschränkung, dass die Produkte in Ihrem Projekt nicht auf das Logging serieller Ports angewiesen sind. constraints/compute.disableSerialPortLogging |
"is:" |
Compute Engine | SSH im Browser deaktivieren | Durch diese boolesche Einschränkung wird das Tool „SSH im Browser“ in der Cloud Console für VMs deaktiviert, die OS Login verwenden, sowie für VMs, auf denen die flexible App Engine-Umgebung ausgeführt wird. Wenn die Einschränkung erzwungen wird, ist die Schaltfläche „SSH im Browser“ deaktiviert. Standardmäßig wird die Nutzung des Tools „SSH im Browser“ zugelassen. constraints/compute.disableSshInBrowser |
"is:" |
Compute Engine | Externe VPC-IPv6-Nutzung deaktivieren | Wenn diese boolesche Einschränkung auf True festgelegt ist, wird das Erstellen oder Aktualisieren von Subnetzwerken mit einer stack_type von IPV4_IPV6 und einer ipv6_access_type von EXTERNAL deaktiviert. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Subnetzwerke mit einer stack_type von IPV4_IPV6 in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren. constraints/compute.disableVpcExternalIpv6 |
"is:" |
Compute Engine | Interne VPC-IPv6-Nutzung deaktivieren | Wenn diese boolesche Einschränkung auf True festgelegt ist, wird das Erstellen oder Aktualisieren von Subnetzwerken mit einer stack_type von IPV4_IPV6 und einer ipv6_access_type von INTERNAL deaktiviert. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Subnetzwerke mit einer stack_type von IPV4_IPV6 in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren. constraints/compute.disableVpcInternalIpv6 |
"is:" |
Compute Engine | Einstellungen für Arbeitslasten für den Compliance-Speicherschutz aktivieren | Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Assured Workloads-Onboarding automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Damit werden Einstellungen gesteuert, die erforderlich sind, um mögliche Zugriffspfade auf den VM-Kernarbeitsspeicher zu eliminieren. Wenn die Einschränkung erzwungen wird, ist die Möglichkeit, auf den VM-Kernarbeitsspeicher zuzugreifen, eingeschränkt, da Zugriffspfade deaktiviert werden, und die interne Datenerhebung wird eingeschränkt, wenn ein Fehler auftritt. constraints/compute.enableComplianceMemoryProtection |
"is:" |
Compute Engine | Fail-Open-Verhalten für Methoden zum Auflisten deaktivieren, bei denen Kontingentinformationen für eine Region angezeigt werden | Durch das Erzwingen dieser booleschen Einschränkung wird das Fail-Open-Verhalten bei serverseitigen Fehlern für die Methoden regions.list , regions.get und projects.get deaktiviert. Wenn die Kontingentinformationen nicht verfügbar sind, bedeutet dies, dass diese Methoden fehlschlagen, wenn die Einschränkung erzwungen wird. Standardmäßig sind diese Methoden bei serverseitigen Fehlern erfolgreich und es wird eine Warnmeldung angezeigt, wenn die Kontingentinformationen nicht verfügbar sind. constraints/compute.requireBasicQuotaInResponse |
"is:" |
Compute Engine | OS Config verlangen | Durch das Erzwingen dieser booleschen Einschränkung wird VM Manager (OS Config) für alle neuen Projekte aktiviert. VM Manager ist dann für alle VM-Instanzen aktiviert, die in neuen Projekten erstellt werden. Diese Einschränkung verhindert bei neuen und vorhandenen Projekten Metadaten-Aktualisierungen, die VM Manager auf Projekt- oder Instanzebene deaktivieren. VM Manager ist für Compute Engine-Projekte standardmäßig deaktiviert. constraints/compute.requireOsConfig |
"is:" |
Compute Engine | OS-Login erforderlich | Diese boolesche Einschränkung, wenn auf true gesetzt, aktiviert OS Login bei allen neu erstellten Projekten. Bei allen in neuen Projekten erstellten VM-Instanzen ist OS Login aktiviert. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login für Projekte oder Instanzen deaktivieren. Standardmäßig ist die OS Login-Funktion bei Compute Engine-Projekten deaktiviert. GKE-Instanzen in privaten Clustern, auf denen Knotenpoolversionen ab 1.20.5-gke.2000 ausgeführt werden, unterstützen OS Login. GKE-Instanzen in öffentlichen Clustern unterstützen OS Login derzeit nicht. Wenn diese Einschränkung auf ein Projekt angewendet wird, das öffentliche Cluster ausführt, funktionieren GKE-Instanzen, die in diesem Projekt ausgeführt werden, eventuell nicht richtig. constraints/compute.requireOsLogin |
"is:" |
Compute Engine | Shielded VMs | Wenn für diese boolesche Einschränkung True festgelegt ist, müssen alle neuen Compute Engine-VM-Instanzen Shielded-Laufwerk-Images mit aktiviertem Secure Boot, vTPM und Integrity Monitoring verwenden. Secure Boot kann bei Bedarf nach der Erstellung deaktiviert werden. Vorhandene ausgeführte Instanzen sind weiter funktionsfähig. Standardmäßig müssen Shielded VM-Features für das Erstellen von Compute Engine-VM-Instanzen nicht aktiviert werden. Mit Shielded VM-Features erhalten Ihre VMs eine überprüfbare Integrität und einen Schutz vor Exfiltration. constraints/compute.requireShieldedVm |
"is:" |
Compute Engine | Erfordert SSL-Richtlinie | Mit dieser Listeneinschränkung wird die Gruppe von Ziel-SSL-Proxys und Ziel-HTTPS-Proxys definiert, die die Standard-SSL-Richtlinie verwenden dürfen. Standardmäßig dürfen alle Ziel-SSL-Proxys und Ziel-HTTPS-Proxys die Standard-SSL-Richtlinie verwenden. Wenn diese Einschränkung erzwungen wird, muss für alle neuen Ziel-SSL-Proxys und Ziel-HTTPS-Proxys eine SSL-Richtlinie angegeben werden. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Bestehende Ziel-Proxys, die die Standard-SSL-Richtlinie verwenden, sind nicht betroffen. Die Liste der zulässigen/abgelehnten Ziel-SSL-Proxys und Ziel-HTTPS-Proxys muss im folgenden Format angegeben werden:
constraints/compute.requireSslPolicy |
"is:" , "under:" |
Compute Engine | Vordefinierte Richtlinien für VPC-Flusslogs verlangen | Mit dieser Listeneinschränkung werden die vordefinierten Richtlinien festgelegt, die für VPC-Flusslogs erzwungen werden können. Standardmäßig können VPC-Flusslogs mit beliebigen Einstellungen in jedem Subnetz konfiguriert werden. Mit dieser Einschränkung wird das Aktivieren von Flusslogs für alle im Bereich befindlichen Subnetzwerke mit einer erforderlichen Mindestabtastrate erzwungen. Geben Sie einen oder mehrere der folgenden gültigen Werte an:
constraints/compute.requireVpcFlowLogs |
"is:" |
Compute Engine | Cloud NAT-Nutzung einschränken | Mit dieser Listeneinschränkung wird eine Gruppe von Subnetzwerken definiert, die Cloud NAT verwenden dürfen. Standardmäßig können alle Subnetzwerke Cloud NAT verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME . constraints/compute.restrictCloudNATUsage |
"is:" , "under:" |
Compute Engine | Projektübergreifende Backend-Buckets und Backend-Dienste einschränken | Mit dieser Listeneinschränkung werden die BackendBucket‑ und BackendService-Ressourcen eingeschränkt, an die eine urlMap-Ressource angehängt werden kann. Diese Einschränkung gilt nicht für BackendBuckets und BackendServices im selben Projekt wie die urlMap-Ressource. Standardmäßig kann eine urlMap-Ressource in einem Projekt auf kompatible backendBuckets und BackendServices aus anderen Projekten in derselben Organisation verweisen, wenn der Nutzer die Berechtigung „compute.backendService.use“, „compute.regionBackendServices.use“ oder „compute.backendBuckets.use“ hat. Sie sollten diese Einschränkung nicht zusammen mit der Einschränkung „compute.restrictSharedVpcBackendServices“ verwenden, um Konflikte zu vermeiden. Projekte, Ordner und Organisationsressourcen in Listen mit zulässigen oder abgelehnten Elementen betreffen alle BackendBuckets und BackendServices, die sich in der Ressourcenhierarchie unter ihnen befinden. Nur Projekte, Ordner und Organisationsressourcen können in die Zulassungs- oder Sperrliste aufgenommen werden und müssen im folgenden Format angegeben werden:
constraints/compute.restrictCrossProjectServices |
"is:" , "under:" |
Compute Engine | Dedicated Interconnect-Nutzung einschränken | Mit dieser Listeneinschränkung wird die Gruppe von Compute Engine-Netzwerken definiert, die Dedicated Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictDedicatedInterconnectUsage |
"is:" , "under:" |
Compute Engine | Load-Balancer-Erstellung basierend auf Load-Balancer-Typen einschränken | Mit dieser Listeneinschränkung wird die Gruppe von Load-Balancer-Typen definiert, die für eine Organisation, einen Ordner oder ein Projekt erstellt werden können. Jeder erlaubte oder abgelehnte Load-Balancer-Typ muss explizit aufgelistet sein. Standardmäßig ist das Erstellen aller Typen von Load-Balancern zulässig. Die Liste der zulässigen oder abgelehnten Werte muss als Stringname eines Load-Balancers identifiziert werden und darf nur Werte aus der folgenden Liste enthalten:
Verwenden Sie das Präfix „in:“ gefolgt von „INTERNAL“ oder „EXTERNAL“, um alle internen oder alle externen Load-Balancer-Typen einzubeziehen. Wenn Sie z. B. in:INTERNAL zulassen, werden alle Load-Balancer-Typen aus der obigen Liste mit "INTERNAL" zugelassen. constraints/compute.restrictLoadBalancerCreationForTypes |
"is:" , "in:" |
Compute Engine | Non-Confidential Computing einschränken | Mit der Sperrliste dieser Listeneinschränkung wird die Gruppe von Diensten definiert, für die alle neuen Ressourcen mit aktiviertem Confidential Computing erstellt werden müssen. Standardmäßig ist für neue Ressourcen die Verwendung von Confidential Computing nicht erforderlich. Wenn diese Listeneinschränkung erzwungen wird, kann Confidential Computing während des gesamten Lebenszyklus der Ressource nicht deaktiviert werden. Vorhandene Ressourcen funktionieren weiterhin wie gewohnt. Die Liste der abgelehnten Dienste muss über den Stringnamen einer API identifiziert werden und kann nur explizit abgelehnte Werte aus der nachfolgenden Liste enthalten. Das explizite Zulassen von APIs wird derzeit nicht unterstützt. Das explizite Ablehnen von APIs, die nicht in dieser Liste enthalten sind, führt zu einem Fehler. Liste der unterstützten APIs: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
Compute Engine | Partner Interconnect-Nutzung einschränken | Mit dieser Listeneinschränkung werden die Compute Engine-Netzwerke definiert, die Partner Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictPartnerInterconnectUsage |
"is:" , "under:" |
Compute Engine | Zulässige Private Service Connect-Nutzer einschränken | Mit dieser Listeneinschränkung werden die Organisationen, Ordner und Projekte definiert, die in der Organisation oder im Projekt eines Erstellers eine Verbindung zu Dienstanhängen herstellen können. Die Listen mit zulässigen oder abgelehnten Elementen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID oder under:projects/PROJECT_ID . Standardmäßig sind alle Verbindungen zulässig. constraints/compute.restrictPrivateServiceConnectConsumer |
"is:" , "under:" |
Compute Engine | Zulässige Private Service Connect Producers einschränken | Mit dieser Listeneinschränkung wird definiert, zu welchen Dienstanhängen Private Service Connect-Nutzer eine Verbindung herstellen können. Die Einschränkung blockiert die Bereitstellung von Private Service Connect-Endpunkten oder ‑Backends je nach Organisations‑, Ordner‑ oder Projektressource des Dienstanhangs, auf den die Endpunkte oder Backends verweisen. Die Listen mit zulässigen oder abgelehnten Elementen müssen folgendes Format haben: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID oder under:projects/PROJECT_ID . Standardmäßig sind alle Verbindungen zulässig. constraints/compute.restrictPrivateServiceConnectProducer |
"is:" , "under:" |
Compute Engine | Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken | Mit dieser Listeneinschränkung wird der Typ von Protokollweiterleitungsregel-Objekten mit Zielinstanzen definiert, die ein Nutzer erstellen kann. Wenn diese Einschränkung erzwungen wird, sind neue Weiterleitungsregel-Objekte mit Zielinstanz auf interne und/oder externe IP-Adressen beschränkt, basierend auf den angegebenen Typen. Die zulässigen oder abgelehnten Typen müssen explizit aufgeführt sein. Standardmäßig ist das Erstellen von internen und externen Protokollweiterleitungsregel-Objekten mit Zielinstanzen erlaubt. Die Liste der zulässigen oder abgelehnten Werte darf nur Werte aus der folgenden Liste enthalten:
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
Compute Engine | Backend-Dienste freigegebener VPCs einschränken | Mit dieser Listeneinschränkung wird die Gruppe freigegebener VPC-Backend-Dienste definiert, die zulässige Ressourcen nutzen können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts. Standardmäßig können zulässige Ressourcen jeden freigegebenen VPC-Backend-Dienst verwenden. Die Liste der zulässigen/abgelehnten Backend-Dienste muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME oder projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME . Diese Einschränkung gilt nicht rückwirkend. constraints/compute.restrictSharedVpcBackendServices |
"is:" , "under:" |
Compute Engine | Freigegebene VPC-Hostprojekte einschränken | Mit dieser Listeneinschränkung wird die Gruppe von freigegebenen VPC-Hostprojekten definiert, denen Projekte auf oder unter dieser Ressource zugeordnet werden können. Ein Projekt kann standardmäßig einem beliebigen Hostprojekt in derselben Organisation zugeordnet werden, wodurch es zu einem Dienstprojekt wird. Projekte, Ordner und Organisationen in den Listen der zulässigen/abgelehnten Projekte, Ordner und Organisationen wirken sich in der Ressourcenhierarchie auf alle darunterliegenden Objekte aus und müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID oder projects/PROJECT_ID . constraints/compute.restrictSharedVpcHostProjects |
"is:" , "under:" |
Compute Engine | Freigegebene VPC-Subnetzwerke einschränken | Mit dieser Listeneinschränkung wird eine Gruppe freigegebener VPC-Subnetzwerke definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts. Standardmäßig können zulässige Ressourcen jedes freigegebene VPC-Subnetzwerk verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME . constraints/compute.restrictSharedVpcSubnetworks |
"is:" , "under:" |
Compute Engine | Nutzung von VPC-Peering einschränken | Mit dieser Listeneinschränkung werden die VPC-Netzwerke definiert, bei denen ein Peering mit den VPC-Netzwerken möglich ist, die zu diesem Projekt, Ordner oder dieser Organisation gehören. Jedes Peering-Ende muss die Peering-Berechtigung haben. Standardmäßig kann ein Netzwerkadministrator das Peering für ein Netzwerk mit jedem anderen Netzwerk vornehmen. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictVpcPeering |
"is:" , "under:" |
Compute Engine | VPN-Peer-IPs einschränken | Mit dieser Listeneinschränkung wird die Gruppe gültiger IP-Adressen definiert, die als VPN-Peer-IPs konfiguriert werden können. Standardmäßig kann jede IP ein VPN-Peer-IP für ein VPC-Netzwerk sein. Die Liste der zulässigen/abgelehnten IP-Adressen muss als gültige IP-Adressen im folgenden Format angegeben werden: IP_V4_ADDRESS oder IP_V6_ADDRESS . constraints/compute.restrictVpnPeerIPs |
"is:" |
Compute Engine | Interne DNS-Einstellung für neue Projekte ausschließlich auf zonales DNS festlegen | Wenn dieser Wert auf „Wahr“ gesetzt ist, verwenden neu erstellte Projekte standardmäßig zonales DNS. Die Standardeinstellung für diese Einschränkung ist „Falsch“. Neu erstellte Projekte verwenden dann den DNS-Standardtyp. constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
Compute Engine | Inhaberprojekte für freigegebene Reservierungen | Mit dieser Listeneinschränkung wird die Gruppe von Projekten definiert, die in der Organisation freigegebene Reservierungen erstellen und deren Inhaber sein dürfen. Eine freigegebene Reservierung ist mit einer lokalen Reservierung vergleichbar, mit dem Unterschied, dass sie nicht nur von Inhaberprojekten, sondern auch von anderen Compute Engine-Projekten in der Ressourcenhierarchie genutzt werden kann. Die Liste der Projekte, die auf die freigegebene Reservierung zugreifen dürfen, muss das folgende Format haben: projects/PROJECT_NUMBER oder under:projects/PROJECT_NUMBER . constraints/compute.sharedReservationsOwnerProjects |
"is:" , "under:" |
Compute Engine | Erstellen des Standardnetzwerks überspringen | Diese boolesche Einschränkung überspringt die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen während der Ressourcenerstellung eines Google Cloud Platform-Projekts, wenn sie auf True gesetzt ist. Standardmäßig werden beim Erstellen einer Projektressource automatisch ein Standardnetzwerk und unterstützende Ressourcen erstellt.constraints/compute.skipDefaultNetworkCreation |
"is:" |
Compute Engine | Nutzungsbeschränkungen für Compute Storage-Ressourcen (Compute Engine-Festplatten, Images und Snapshots) | Diese Listeneinschränkung definiert eine Gruppe von Projekten, welche die Speicherressourcen von Compute Engine verwenden dürfen. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen auf Compute Engine-Ressourcen zugreifen. Wenn diese Einschränkung verwendet wird, müssen Nutzer Cloud IAM-Berechtigungen haben und dürfen nicht unter die Zugriffseinschränkung für diese Ressource fallen. Projekte, Ordner und Organisationen, die in den Listen mit zulässigen oder abgelehnten Elementen angegeben werden, müssen folgendes Format haben: under:projects/PROJECT_ID , under:folders/FOLDER_ID , under:organizations/ORGANIZATION_ID . constraints/compute.storageResourceUseRestrictions |
"is:" , "under:" |
Compute Engine | Trusted Image-Projekte definieren | Mit dieser Listeneinschränkung werden die Projekte definiert, die zur Image-Speicherung und Instanziierung von Datenträgern für Compute Engine verwendet werden können. Standardmäßig können Instanzen aus Images in einem beliebigen Projekt mit öffentlich oder explizit für den Nutzer freigegebenen Images erstellt werden. Die Liste der zulässigen/abgelehnten Publisher-Projekte muss in Form von Strings im Format projects/PROJECT_ID angegeben werden. Wenn diese Einschränkung aktiviert ist, sind nur Images aus vertrauenswürdigen Projekten als Quelle für Bootlaufwerke neuer Instanzen zulässig.constraints/compute.trustedImageProjects |
"is:" |
Compute Engine | VM-IP-Weiterleitung einschränken | Mit dieser Listeneinschränkung wird die Gruppe von VM-Instanzen definiert, welche die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren. VM-Instanzen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID oder projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME . Diese Einschränkung gilt nicht rückwirkend. constraints/compute.vmCanIpForward |
"is:" , "under:" |
Compute Engine | Zulässige externe IPs für VM-Instanzen definieren | Diese Listeneinschränkung definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Die Liste der zulässigen/abgelehnten VM-Instanzen muss durch den Namen der VM-Instanz im folgenden Format identifiziert werden: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess |
"is:" |
Compute Engine | Aktivieren von Identity-Aware Proxy (IAP) für globale Ressourcen deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Aktivieren von Identity-Aware Proxy für globale Ressourcen deaktiviert. Das Aktivieren von IAP für regionale Ressourcen ist von dieser Einschränkung nicht betroffen. Standardmäßig ist das Aktivieren von IAP für globale Ressourcen zulässig. constraints/iap.requireGlobalIapWebDisabled |
"is:" |
Google Kubernetes Engine | Administratorzugriffspfade für Diagnosen in der GKE deaktivieren. | Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Onboardings von Assured Workloads automatisch konfiguriert und dient nur der erweiterten gesetzlichen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden alle Zugriffspfade für Diagnosen und andere Anwendungsfälle im Kundensupport deaktiviert, die nicht den Anforderungen von Assured Workloads entsprechen. constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Dataform | Git-Remotes für Repositories in Dataform einschränken | Mit dieser Listeneinschränkung wird eine Gruppe von Remotes definiert, mit denen Repositories im Dataform-Projekt kommunizieren können. Wenn Sie die Kommunikation mit allen Fernbedienungen sperren möchten, setzen Sie den Wert auf Deny all . Diese Einschränkung gilt rückwirkend und sperrt die Kommunikation für vorhandene Repositories, die dagegen verstoßen. Die Einträge sollten Links zu vertrauenswürdigen Remotes im selben Format wie in Dataform sein.Standardmäßig können Repositories in Dataform-Projekten mit allen Remotes kommunizieren. constraints/dataform.restrictGitRemotes |
"is:" |
Datastream | Datastream – öffentliche Verbindungsmethoden blockieren | Standardmäßig können Datastream-Verbindungsprofile mit öffentlichen oder privaten Verbindungsmethoden erstellt werden. Wenn die boolesche Einschränkung für diese Organisationsrichtlinie erzwungen wird, können nur private Verbindungsmethoden (z. B. VPC-Peering) zum Erstellen von Verbindungsprofilen verwendet werden. constraints/datastream.disablePublicConnectivity |
"is:" |
Wichtige Kontakte | Domaineingeschränkte Kontakte | Mit dieser Listeneinschränkung wird die Gruppe von Domains definiert, die E-Mail-Adressen, die in „Wichtige Kontakte“ aufgenommen werden, enthalten dürfen. Standardmäßig können E-Mail-Adressen mit beliebigen Domains in „Wichtige Kontakte“ aufgenommen werden. In der Liste der zulässigen/abgelehnten Domains muss mindestens eine Domain im Format @example.com angegeben werden. Wenn diese Einschränkung aktiv ist und mit zulässigen Werten konfiguriert ist, können nur E-Mail-Adressen mit einem Suffix hinzugefügt werden, das mit einem der Einträge in der Liste der zulässigen Domains übereinstimmt.Diese Einschränkung hat keine Auswirkungen auf das Aktualisieren oder Entfernen vorhandener Kontakte. constraints/essentialcontacts.allowedContactDomains |
"is:" |
Wichtige Kontakte | Für Sicherheit zuständige Kontakte in einem Projekt deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung können Administratoren von Organisationsrichtlinien dafür sorgen, dass nur auf Organisations‑ oder Ordnerebene zugewiesene Kontakte Sicherheitsbenachrichtigungen erhalten können. Insbesondere werden Projektinhaber und Kontaktadministratoren durch das Erzwingen dieser Einschränkung daran gehindert, einen wichtigen Kontakt mit dem Feld notification_category_subscriptions , das die Kategorie SECURITY oder ALL enthält, zu erstellen oder zu aktualisieren, wenn der Kontakt auch eine Projektressource als übergeordnetes Element hat. constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
Firestore | Firestore-Dienst-Agent für Import/Export erforderlich | Wenn diese boolesche Einschränkung erzwungen wird, muss bei Firestore-Importen und -Exporten der Firestore-Dienst-Agent verwendet werden. Bei Firestore-Importen und -Exporten kann standardmäßig das App Engine-Dienstkonto verwendet werden. Firestore verwendet das App Engine-Dienstkonto künftig nicht mehr für Importe und Exporte und alle Konten müssen zum Firestore-Dienst-Agent migriert werden. Danach ist diese Einschränkung nicht mehr erforderlich. constraints/firestore.requireP4SAforImportExport |
"is:" |
Cloud Healthcare | Cloud Logging für die Cloud Healthcare API deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird Cloud Logging für die Cloud Healthcare API deaktiviert. Audit-Logs sind von dieser Einschränkung nicht betroffen. Cloud-Logs, die vor dem Erzwingen der Einschränkung für die Cloud Healthcare API generiert wurden, werden nicht gelöscht und können weiterhin aufgerufen werden. constraints/gcp.disableCloudLogging |
"is:" |
Identity and Access Management | Lebensdauer der OAuth 2.0-Zugriffstokens auf bis zu 12 Stunden verlängern | Mit dieser Listeneinschränkung wird eine Gruppe von Dienstkonten definiert, denen OAuth 2.0-Zugriffstoken mit einer Lebensdauer von bis zu 12 Stunden gewährt werden kann. Standardmäßig beträgt die maximale Lebensdauer für diese Zugriffstokens 1 Stunde. In der Liste der zugelassenen/abgelehnten Dienstkonten muss mindestens eine E-Mail-Adresse eines Dienstkontos angegeben sein. constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
Identity and Access Management | Domaineingeschränkte Freigabe | Mit dieser Listeneinschränkung wird mindestens eine Cloud Identity- oder Google Workspace-Kundennummer festgelegt, deren Hauptkonten IAM-Richtlinien hinzugefügt werden können. Standardmäßig können alle Nutzeridentitäten zu IAM-Richtlinien hinzugefügt werden. In dieser Einschränkung können nur zulässige Werte definiert werden, abgelehnte Werte werden nicht unterstützt. Wenn diese Einschränkung aktiv ist, können nur Hauptkonten, die zu den zulässigen Kundennummern gehören, IAM-Richtlinien hinzugefügt werden. Die Google.com-Kundennummer muss dieser Liste nicht hinzugefügt werden, um mit Google-Diensten interagieren zu können. Wenn Sie die google.com-Kundennummer hinzufügen, können Sie Daten an Google-Mitarbeiter und Nicht-Produktionssysteme weitergeben. Dies sollte nur für die Datenweitergabe an Google-Mitarbeiter verwendet werden. constraints/iam.allowedPolicyMemberDomains |
"is:" |
Identity and Access Management | Audit-Logging-Ausnahme deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Ausschließen zusätzlicher Hauptkonten vom Audit-Logging verhindert. Diese Einschränkung wirkt sich nicht auf Ausnahmen vom Audit-Logging aus, die vor dem Erzwingen der Einschränkung aufgetreten sind. constraints/iam.disableAuditLoggingExemption |
"is:" |
Identity and Access Management | Projektübergreifende Dienstkontonutzung deaktivieren | Wenn diese Richtlinie erzwungen wird, können Dienstkonten mit der Rolle „ServiceAccountUser“ nur für Jobs (VMs, Funktionen usw.) bereitgestellt werden, die im selben Projekt wie das Dienstkonto ausgeführt werden. constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
Identity and Access Management | Erstellen von Dienstkonten deaktivieren | Diese boolesche Einschränkung deaktiviert die Erstellung von Dienstkonten, wenn diese Einschränkung auf "True" gesetzt ist. Standardmäßig können Dienstkonten von Nutzern mit den entsprechenden Cloud IAM-Rollen und -Berechtigungen erstellt werden. constraints/iam.disableServiceAccountCreation |
"is:" |
Identity and Access Management | Erstellen von Dienstkontoschlüsseln deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen externer Dienstkontoschlüssel und HMAC-Schlüssel für Cloud Storage deaktiviert. Standardmäßig können externe Schlüssel für Dienstkonten von Nutzern basierend auf ihren Cloud IAM-Rollen und -Berechtigungen erstellt werden. constraints/iam.disableServiceAccountKeyCreation |
"is:" |
Identity and Access Management | Hochladen von Dienstkontoschlüsseln deaktivieren | Diese boolesche Einschränkung deaktiviert das Feature, mit dem öffentliche Schlüssel in Dienstkonten mit der Einstellung „True“ für diese Einschränkung hochgeladen werden können. Standardmäßig können Nutzer öffentliche Schlüssel entsprechend ihren Cloud IAM-Rollen und -Berechtigungen in Dienstkonten hochladen. constraints/iam.disableServiceAccountKeyUpload |
"is:" |
Identity and Access Management | Workload Identity-Clustererstellung deaktivieren | Wenn für diese boolesche Einschränkung "True" festgelegt ist, muss für alle neuen GKE-Cluster Workload Identity beim Erstellen deaktiviert sein. Vorhandene GKE-Cluster, für die Workload Identity bereits aktiviert ist, können wie gewohnt verwendet werden. Standardmäßig kann Workload Identity für jeden GKE-Cluster aktiviert werden. constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
Identity and Access Management | Dauer für den Ablauf des Dienstkontoschlüssels in Stunden | Mit dieser Listeneinschränkung wird die maximal zulässige Dauer für den Ablauf von Dienstkontoschlüsseln definiert. Standardmäßig laufen erstellte Schlüssel niemals ab. Die zulässige Dauer wird in Stunden angegeben und muss aus der Liste unten stammen. Es kann nur ein zulässiger Wert angegeben werden. Abgelehnte Werte werden nicht unterstützt. Die Angabe einer Dauer, die nicht in dieser Liste enthalten ist, führt zu einem Fehler.
inheritFromParent=false in der Richtliniendatei festlegen. Diese Einschränkung kann nicht mit einer übergeordneten Richtlinie zusammengeführt werden. Sie wird nicht rückwirkend erzwungen und ändert keine bereits vorhandenen Schlüssel. constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
Identity and Access Management | Reaktion bei zugänglichen Dienstkontoschlüsseln | Mit dieser Listeneinschränkung wird die jeweilige Reaktion definiert, wenn Google einen öffentlich zugänglichen Dienstkontoschlüssel erkennt. Wenn nichts festgelegt ist, gilt standardmäßig das für DISABLE_KEY beschriebene Verhalten. Zulässige Werte sind DISABLE_KEY und WAIT_FOR_ABUSE . Werte, die dieser Liste nicht explizit hinzugefügt wurden, können nicht verwendet werden. Es kann nur ein zulässiger Wert angegeben werden. Abgelehnte Werte werden nicht unterstützt. Wenn Sie den Wert DISABLE_KEY zulassen, werden alle öffentlich zugänglichen Dienstkontoschlüssel automatisch deaktiviert. Außerdem wird ein Eintrag im Audit-Log erstellt. Wenn Sie den Wert WAIT_FOR_ABUSE zulassen, wird dieser Schutz deaktiviert und die zugänglichen Dienstkontoschlüssel werden nicht automatisch deaktiviert. Google Cloud kann freigegebene Dienstkontoschlüssel jedoch deaktivieren, wenn sie auf eine Weise verwendet werden, die sich negativ auf die Plattform auswirkt. Google Cloud kann dies jedoch nicht garantieren. Um diese Einschränkung zu erzwingen, müssen Sie sie als Ersatz für die übergeordnete Richtlinie in der Google Cloud Console festlegen. Bei Verwendung der gcloud CLI können Sie alternativ inheritFromParent=false in der Richtliniendatei festlegen. Diese Einschränkung kann nicht mit einer übergeordneten Richtlinie zusammengeführt werden. constraints/iam.serviceAccountKeyExposureResponse |
"is:" |
Identity and Access Management | Zulässige AWS-Konten, die für die Workload Identity-Föderation in Cloud IAM konfiguriert werden können | Liste der AWS-Konto-IDs, die für die Workload Identity-Föderation in Cloud IAM konfiguriert werden können. constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
Identity and Access Management | Erlaubt externe Identitätsanbieter für Arbeitslasten in Cloud IAM | Identitätsanbieter, die für die Authentifizierung von Arbeitslasten in Cloud IAM konfiguriert werden können und durch URI/URLs angegeben werden. constraints/iam.workloadIdentityPoolProviders |
"is:" |
Von Anthos Service Mesh verwaltete Steuerungsebene | Zulässiger VPC Service Controls-Modus für Steuerungsebenen, die von Anthos Service Mesh verwaltet werden | Diese Einschränkung bestimmt, welche VPC Service Controls-Modi beim Bereitstellen einer neuen von Anthos Service Mesh verwalteten Steuerungsebene festgelegt werden können. Gültige Werte sind „NONE“ und „COMPATIBLE“. constraints/meshconfig.allowedVpcscModes |
"is:" |
Cloud Pub/Sub | Übertragungsregionen für Pub/Sub-Nachrichten erzwingen | Durch das Erzwingen dieser booleschen Einschränkung wird für alle neuen Pub/Sub-Themen bei der Erstellung „MessageStoragePolicy::enforce_in_transit“ auf „true“ gesetzt. Damit wird sichergestellt, dass Kundendaten nur innerhalb der Regionen übertragen werden, die in der Nachrichtenspeicherrichtlinie für das Thema als zulässig festgelegt sind. constraints/pubsub.enforceInTransitRegions |
"is:" |
Resource Manager | Entfernen von Projektsperren für freigegebene VPCs einschränken | Wenn diese boolesche Einschränkung auf True gesetzt ist, wird die Gruppe der Nutzer eingeschränkt, die eine Sperre für ein freigegebene VPC-Hostprojekt entfernen können, ohne eine Berechtigung auf Organisationsebene zu haben. Standardmäßig kann jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren die Sperre eines freigegebene VPC-Hostprojekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene gewährt werden. constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
Resource Manager | Entfernen von Sperren für projektübergreifende Dienstkonten einschränken | Durch das Erzwingen dieser booleschen Einschränkung, können Nutzer eine projektübergreifende Dienstkontosperre nur entfernen, wenn sie die entsprechende Berechtigung auf Organisationsebene haben. Standardmäßig hat jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren die Möglichkeit, eine projektübergreifende Dienstkontosperre zu entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene vorhanden sein. constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
Resource Manager | Sichtbarkeit von Ressourcenabfragen einschränken | Bei Erzwingung dieser Listeneinschränkung für eine Organisationsressource werden die Google Cloud-Ressourcen festgelegt, die in Listen- und Suchmethoden für Nutzer in der Domain der Organisation zurückgegeben werden, in der diese Einschränkung erzwungen wird. Hiermit können Sie die Ressourcen einschränken, die in verschiedenen Bereichen der Cloud Console wie der Ressourcenauswahl, der Suche und der Seite „Ressourcen verwalten“ sichtbar sind. Diese Einschränkung wird immer nur auf Organisationsebene ausgewertet. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen im folgenden Format vorliegen: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.accessBoundaries |
"is:" , "under:" |
Resource Manager | Zulassungsliste für aktivierte Dienste für das organisationsübergreifende Verschieben verlangen | Mit dieser Listeneinschränkung wird geprüft, ob ein Projekt mit einem aktivierten Dienst organisationsübergreifend verschoben werden kann. Für eine Ressource mit einem aktivierten unterstützten Dienst muss diese Einschränkung erzwungen und der unterstützte Dienst in die zulässigen Werte aufgenommen werden, damit die Ressource organisationsübergreifend verschoben werden kann. Die aktuelle Liste der zulässigen Werte für unterstützte Dienste ist:
Diese Einschränkung bietet eine zusätzliche Kontrolle zusätzlich zu „constraints/resourcemanager.allowedExportDestinations“. „list_constraint“ ist standardmäßig leer und blockiert das organisationsübergreifende Verschieben von Ressourcen nur dann, wenn ein unterstützter Dienst für die zu exportierende Ressource aktiviert ist. Diese Einschränkung ermöglicht eine genauere Kontrolle über Ressourcen mithilfe von Features, die beim Verschieben in eine andere Organisation mehr Vorsicht erfordern. Standardmäßig kann eine Ressource mit einem aktivierten unterstützten Dienst nicht organisationsübergreifend verschoben werden. constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
Resource Manager | Zulässige Ziele für den Export von Ressourcen | Mit dieser Listeneinschränkung wird die Gruppe externer Organisationen definiert, in die Ressourcen verschoben werden können. Außerdem werden damit sämtliche Verschiebevorgänge in alle anderen Organisationen abgelehnt. Standardmäßig können Ressourcen nicht organisationsübergreifend verschoben werden. Wenn diese Einschränkung auf eine Ressource angewendet wird, kann die Ressource nur in Organisationen verschoben werden, die ausdrücklich durch diese Einschränkung zugelassen werden. Die Einschränkung gilt nicht für das Verschieben von Ressourcen innerhalb einer Organisation. Für den Verschiebevorgang sind weiterhin dieselben IAM-Berechtigungen wie für das normale Verschieben von Ressourcen erforderlich. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen im folgenden Format vorliegen: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.allowedExportDestinations |
"is:" , "under:" |
Resource Manager | Zulässige Quellen für den Import von Ressourcen | Mit dieser Listeneinschränkung wird die Gruppe externer Organisationen definiert, aus denen Ressourcen importiert werden können. Außerdem werden damit sämtliche Verschiebevorgänge aus allen anderen Organisationen abgelehnt. Standardmäßig können Ressourcen nicht organisationsübergreifend verschoben werden. Wenn diese Einschränkung auf eine Ressource angewendet wird, müssen importierte Ressourcen, die sich direkt unter dieser Ressource befinden, ausdrücklich durch diese Einschränkung zugelassen werden. Die Einschränkung gilt nicht für das Verschieben von Ressourcen innerhalb einer Organisation. Für den Verschiebevorgang sind weiterhin dieselben IAM-Berechtigungen wie für das normale Verschieben von Ressourcen erforderlich. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen im folgenden Format vorliegen: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.allowedImportSources |
"is:" , "under:" |
Cloud Run | Zulässige Binärautorisierungsrichtlinien (Cloud Run) | Mit dieser Listeneinschränkung werden die Namen von Binärautorisierungsrichtlinien definiert, die für eine Cloud Run-Ressource angegeben werden dürfen. Verwenden Sie den Wert „Standard“, um eine Standardrichtlinie zuzulassen oder nicht zuzulassen. Wenn Sie eine oder mehrere benutzerdefinierte Plattformrichtlinien zulassen oder nicht zulassen möchten, muss die Ressourcen-ID jeder dieser Richtlinien separat hinzugefügt werden. constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
Cloud Run | Zulässige Einstellungen für eingehenden Traffic (Cloud Run) | Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic für Cloud Run-Dienste definiert. Wenn diese Einschränkung erzwungen wird, müssen die Einstellungen für eingehenden Traffic von Diensten mit einem der zulässigen Werte übereinstimmen. Vorhandene Cloud Run-Dienste mit Einstellungen für eingehenden Traffic, die gegen diese Einschränkung verstoßen, können weiterhin aktualisiert werden, bis die Einstellungen für eingehenden Traffic des Dienstes so geändert werden, dass sie dieser Einschränkung entsprechen. Sobald ein Dienst dieser Einschränkung entspricht, können dafür nur Einstellungen für eingehenden Traffic verwendet werden, die gemäß dieser Einschränkung zulässig sind. Standardmäßig können beliebige Einstellungen für eingehenden Traffic für Cloud Run-Dienste verwendet werden. Die Zulassungsliste muss unterstützte Werte für Einstellungen für eingehenden Traffic enthalten. Diese sind all , internal und internal-and-cloud-load-balancing .constraints/run.allowedIngress |
"is:" |
Cloud Run | Zulässige Einstellungen für ausgehenden VPC-Traffic (Cloud Run) | Diese Listeneinschränkung definiert die zulässigen Einstellungen für ausgehenden VPC-Traffic, die für eine Cloud-Run-Ressource angegeben werden. Wenn diese Einschränkung erzwungen wird, müssen Cloud-Run-Ressourcen mit einem Connector für serverlosen VPC-Zugriff oder mit aktiviertem ausgehendem Direct-VPC-Traffic bereitgestellt werden. Die Einstellungen zu ausgehendem VPC-Traffic müssen einem der zulässigen Werte entsprechen. Standardmäßig können Einstellungen für ausgehenden VPC-Traffic von Cloud Run-Ressourcen auf jeden unterstützten Wert festgelegt werden. Die Zulassungsliste muss unterstützte Werte für Einstellungen für ausgehenden VPC-Traffic enthalten. Diese sind private-ranges-only und all-traffic .Für bestehende Cloud Run-Dienste müssen alle neuen Versionen dieser Einschränkung entsprechen. Vorhandene Dienste mit Überarbeitungen, die Traffic bereitstellen, der gegen diese Einschränkung verstößt, können weiterhin Traffic zu Überarbeitungen migrieren, die gegen diese Einschränkung verstoßen. Sobald der gesamte Traffic für einen Dienst von Überarbeitungen bereitgestellt wird, die dieser Einschränkung entsprechen, dürfen nachfolgende Trafficmigrationen den Traffic nur zu Überarbeitungen migrieren, die dieser Einschränkung entsprechen. constraints/run.allowedVPCEgress |
"is:" |
Dienstnutzerverwaltung | Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, wird verhindert, dass den in Ihren Projekten erstellten App Engine- und Compute Engine-Dienstkonten default beim Erstellen der Konten automatisch eine IAM-Rolle für das Projekt zugewiesen wird. Diese Dienstkonten erhalten standardmäßig die Rolle "Bearbeiter", wenn sie erstellt werden. constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
Cloud Spanner | Erweiterte Dienstkontrolle für Compliance-Arbeitslasten aktivieren | Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Onboardings von Assured Workloads automatisch konfiguriert und dient nur der erweiterten gesetzlichen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden bestimmte Supportaspekte eingeschränkt und die bereitgestellten Ressourcen entsprechen genau den erweiterten Anforderungen an die digitale Souveränität von Assured Workloads. Diese Richtlinie gilt für bestehende Projekte, aber nicht für Ressourcen, die bereits bereitgestellt wurden, d. h. Änderungen an der Richtlinie spiegeln sich nur in Ressourcen wider, die nach der Änderung der Richtlinie erstellt werden. constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
Cloud Spanner | Cloud Spanner-Mehrfachregionen deaktivieren, wenn kein Standort ausgewählt ist | Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Assured Workloads-Onboardings automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von Cloud Spanner-Instanzen mit einer Konfiguration für multiregionale Instanzen verhindert, sofern kein Standort ausgewählt ist. Da Cloud Spanner die Standortauswahl derzeit noch nicht unterstützt, sind Mehrfachregionen nicht zugelassen. In Zukunft werden Nutzer in Cloud Spanner einen Standort für Mehrfachregionen auswählen können. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Für bereits erstellte Cloud Spanner-Instanzen gilt sie daher nicht. constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
Cloud Storage | Google Cloud Platform – detaillierter Audit-Log-Modus | Wenn der detaillierte Audit-Logging-Modus erzwungen wird, werden sowohl die Anfrage als auch die Antwort in Cloud-Audit-Logs einbezogen. Es kann bis zu 10 Minuten dauern, bis Änderungen an dieser Funktion wirksam werden. Diese Organisationsrichtlinie wird in Abstimmung mit der Bucket-Sperre dringend empfohlen, wenn Sie die Compliance mit Vorschriften wie die SEC-Regel 17a–4(f), CFTC-Regel 1.31(c)–(d) und FINRA-Regel 4511(c) anstreben. Diese Richtlinie wird derzeit nur in Cloud Storage unterstützt. constraints/gcp.detailedAuditLoggingMode |
"is:" |
Cloud Storage | Verhinderung des öffentlichen Zugriffs erzwingen | Schützen Sie Ihre Cloud Storage-Daten vor öffentlichem Zugriff, indem Sie die Verhinderung des öffentlichen Zugriffs erzwingen. Diese Governance-Richtlinie verhindert, dass auf vorhandene und zukünftige Ressourcen über das öffentliche Internet zugegriffen wird. Dabei werden ACLs und IAM-Berechtigungen deaktiviert und blockiert, die allUsers und allAuthenticatedUsers Zugriff gewähren. Sie können diese Richtlinie für die gesamte Organisation (empfohlen), bestimmte Projekte oder bestimmte Ordner erzwingen und so dafür sorgen, dass keine Daten öffentlich zugänglich sind.Diese Richtlinie überschreibt vorhandene öffentliche Berechtigungen. Der öffentliche Zugriff auf vorhandene Buckets und Objekte wird nach dem Aktivieren dieser Richtlinie aufgehoben. Weitere Einzelheiten zu den Auswirkungen einer geänderten Erzwingung dieser Einschränkung auf Ressourcen finden Sie unter https://cloud.google.com/storage/docs/public-access-prevention. constraints/storage.publicAccessPrevention |
"is:" |
Cloud Storage | Cloud Storage – Authentifizierungstypen einschränken | Mit dieser Einschränkung werden die Authentifizierungstypen definiert, deren Zugriff auf Speicherressourcen der Organisation in Cloud Storage eingeschränkt wird. Unterstützte Werte sind USER_ACCOUNT_HMAC_SIGNED_REQUESTS und SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS . Verwenden Sie in:ALL_HMAC_SIGNED_REQUESTS , um beides einzubeziehen. constraints/storage.restrictAuthTypes |
"is:" , "in:" |
Cloud Storage | Aufbewahrungsdauer in Sekunden | Diese Listeneinschränkung definiert die Dauer der Aufbewahrungsrichtlinien, die für Cloud Storage-Buckets festgelegt werden können. Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Aufbewahrungsrichtlinie beliebiger Dauer haben. Die Liste der zulässigen Zeiträume für die Aufbewahrungsrichtlinie muss als positiver ganzzahliger Wert größer als Null in der Einheit Sekunden angegeben werden. Bei allen Vorgängen zum Einfügen, Aktualisieren oder Reparieren für einen Bucket in der Organisationsressource muss die in der Aufbewahrungsrichtlinie angegebene Dauer der Einschränkung entsprechen. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn eine neue Organisationsrichtlinie erzwungen wird, bleibt die Aufbewahrungsrichtlinie vorhandener Buckets unverändert und gültig. constraints/storage.retentionPolicySeconds |
"is:" |
Cloud Storage | Unverschlüsselten HTTP-Zugriff einschränken | Durch das Erzwingen dieser booleschen Einschränkung wird der (unverschlüsselte) HTTP-Zugriff auf alle Speicherressourcen ausdrücklich verhindert. Standardmäßig lässt die Cloud Storage XML API unverschlüsselten HTTP-Zugriff zu. Die Cloud Storage JSON API, gRPC und die Cloud Console lassen nur verschlüsselten HTTP-Zugriff auf Cloud Storage-Ressourcen zu. constraints/storage.secureHttpTransport |
"is:" |
Cloud Storage | Cloud Storage – Aufbewahrungsdauer der Richtlinie zur Datenlöschung in Sekunden | Mit dieser Einschränkung wird die zulässige Aufbewahrungsdauer der Richtlinien zur Datenlöschung in Cloud Storage-Buckets definiert, in denen diese Einschränkung erzwungen wird. Bei allen Vorgängen zum Einfügen, Aktualisieren oder Patchen für einen Bucket, in dem diese Einschränkung erzwungen wird, muss die Dauer der Richtlinie zur Datenlöschung der Einschränkung entsprechen. Wenn eine neue Organisationsrichtlinie erzwungen wird, bleibt die Richtlinie zur Datenlöschung für vorhandene Buckets unverändert und gültig. Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Richtlinie zur Datenlöschung mit beliebiger Dauer haben. constraints/storage.softDeletePolicySeconds |
"is:" |
Cloud Storage | Einheitlichen Zugriff auf Bucket-Ebene erzwingen | Diese boolesche Einschränkung erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden, wenn die Einschränkung auf True gesetzt ist. Bei jedem neuen Bucket in der Organisationsressource muss der einheitliche Zugriff auf Bucket-Ebene aktiviert sein. Für keinen der hier vorhandenen Buckets kann diese Option deaktiviert werden. Diese Einschränkung kann nicht rückwirkend erzwungen werden: Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene bleibt dieser deaktiviert. Der Standardwert für diese Einschränkung ist False . Durch den einheitlichen Zugriff auf Bucket-Ebene wird die Auswertung von ACLs deaktiviert, die Cloud Storage-Objekten in dem Bucket zugeordnet sind. Daher gewähren nur IAM-Richtlinien Zugriff auf Objekte in diesen Buckets. constraints/storage.uniformBucketLevelAccess |
"is:" |
Anleitungen
Weitere Informationen zur Verwendung einzelner Einschränkungen finden Sie in den folgenden Anleitungen:
Einschränkung | Anleitung |
---|---|
constraints/cloudbuild.allowedIntegrations |
Gate baut auf den Organisationsrichtlinien auf |
constraints/cloudfunctions.allowedIngressSettings |
VPC Service Controls verwenden |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
VPC Service Controls verwenden |
constraints/cloudfunctions.requireVPCConnector |
VPC Service Controls verwenden |
constraints/gcp.restrictNonCmekServices |
CMEK-Organisationsrichtlinien |
constraints/gcp.restrictCmekCryptoKeyProjects |
CMEK-Organisationsrichtlinien |
constraints/gcp.restrictTLSVersion |
TLS-Versionen einschränken |
constraints/compute.restrictPrivateServiceConnectConsumer constraints/compute.restrictPrivateServiceConnectProducer |
Sicherheit für Private Service Connect-Nutzer verwalten |
constraints/compute.restrictCloudNATUsage |
Cloud NAT-Nutzung einschränken |
constraints/compute.restrictLoadBalancerCreationForTypes |
Einschränkungen für Cloud Load Balancing |
constraints/compute.restrictProtocolForwardingCreationForTypes |
Einschränkungen für die Protokollweiterleitung |
constraints/compute.restrictDedicatedInterconnectUsage constraints/compute.restrictPartnerInterconnectUsage |
Nutzung von Cloud Interconnect einschränken |
constraints/compute.restrictVpnPeerIPs |
Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken |
constraints/compute.trustedImageProjects |
Zugriff auf Images beschränken |
constraints/compute.vmExternalIpAccess |
Externe IP-Adressen für VM-Instanzen deaktivieren |
constraints/compute.requireVpcFlowLogs |
Einschränkungen der Organisationsrichtlinien für VPC-Flusslogs |
constraints/dataform.restrictGitRemotes |
Remote-Repositories einschränken |
constraints/gcp.restrictServiceUsage |
Ressourcennutzung einschränken |
constraints/iam.allowedPolicyMemberDomains |
Identitäten nach Domain einschränken |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
Lebensdauer von OAuth 2.0-Zugriffstokens verlängern |
constraints/iam.disableCrossProjectServiceAccountUsage |
Dienstkonto an eine Ressource in einem anderen Projekt anhängen |
constraints/iam.disableServiceAccountCreation |
Erstellen von Dienstkonten einschränken |
constraints/iam.disableServiceAccountKeyCreation |
Erstellen von Dienstkontoschlüsseln einschränken |
constraints/iam.disableServiceAccountKeyUpload |
Upload des Dienstkontoschlüssels einschränken |
constraints/iam.disableWorkloadIdentityClusterCreation |
Erstellen von Workload Identity-Clustern einschränken |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
Dienstkonto an eine Ressource in einem anderen Projekt anhängen |
constraints/gcp.detailedAuditLoggingMode constraints/storage.retentionPolicySeconds constraints/storage.uniformBucketLevelAccess constraints/storage.publicAccessPrevention |
Einschränkungen für Organisationsrichtlinien für Cloud Storage |
constraints/gcp.disableCloudLogging |
Cloud Logging deaktivieren |
constraints/gcp.resourceLocations |
Ressourcenstandorte einschränken |
constraints/resourcemanager.accessBoundaries |
Projektsichtbarkeit für Nutzer einschränken |
constraints/run.allowedIngress |
VPC Service Controls verwenden |
constraints/run.allowedVPCEgress |
VPC Service Controls verwenden |
constraints/constraints/vertexai.allowedModels |
Zugriff auf Model Garden-Modelle steuern |
Weitere Informationen
Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien:
Lesen, was Einschränkungen sind.
Lesen, wie mit Einschränkungen Organisationsrichtlinien erstellt werden können.
Lesen, wie Hierarchie-Evaluierungen verwendet werden.