Contraintes liées aux règles d'administration

Contraintes disponibles

Vous pouvez spécifier des règles qui utilisent les contraintes suivantes.

Contraintes applicables à plusieurs services Google Cloud

Contrainte Description Préfixes pris en charge
Pools de nœuds de calcul autorisés (Cloud Build) Cette contrainte de liste définit l'ensemble des pools de nœuds de calcul Cloud Build autorisés à exécuter des builds à l'aide de Cloud Build. Lorsque cette contrainte est appliquée, les builds doivent être créés dans un pool de nœuds de calcul qui correspond à l'une des valeurs autorisées.
Par défaut, Cloud Build peut utiliser n'importe quel pool de nœuds de calcul.
La liste des pools de nœuds de calcul autorisés doit respecter ce format :
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


constraints/cloudbuild.allowedWorkerPools
"is:", "under:"
Google Cloud Platform - Restriction de l'emplacement des ressources Cette contrainte de liste définit l'ensemble des emplacements où les ressources Google Cloud basées sur l'emplacement peuvent être créées. Important : Les informations présentées sur cette page ne décrivent pas les engagements de Google Cloud Platform concernant l'emplacement des données client (tels que définis dans le contrat en vertu duquel Google s'est engagé à fournir à ses clients les services Google Cloud Platform et tels qu'ils sont décrits dans le récapitulatif des services Google Cloud Platform sur https://cloud.google.com/terms/services). Pour obtenir la liste des services Google Cloud Platform pour lesquels les clients peuvent sélectionner l'emplacement de leurs données, consultez la page "Google Cloud Platform Services with Data Residency" (Services Google Cloud Platform avec résidence des données) à l'adresse https://cloud.google.com/terms/data-residency.
Par défaut, il est possible de créer des ressources dans n'importe quel emplacement. Pour obtenir la liste complète des services compatibles, consultez la page à l'adresse https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services.
Les règles de cette contrainte peuvent spécifier des régions multiples, comme par exemple asia et europe, ou des régions, comme par exemple us-east1 ou europe-west1, en tant qu'emplacements autorisés ou refusés. Le fait d'autoriser ou de refuser une zone multirégionale n'implique pas l'autorisation ni le refus de tous les sous-emplacements qu'elle contient. Par exemple, si la règle refuse l'emplacement multirégional us (qui fait référence à des ressources multirégionales, telles que certains services de stockage), il est toujours possible de créer des ressources dans l'emplacement régional us-east1. En revanche, le groupe in:us-locations contient tous les emplacements de la région us et peut être utilisé pour bloquer toutes les régions.
Nous vous recommandons d'utiliser des groupes de valeurs pour définir votre règle.
Vous pouvez spécifier des groupes de valeurs, c'est-à-dire des ensembles d'emplacements choisis par Google pour vous permettre de définir facilement les emplacements de vos ressources. Pour utiliser un groupe de valeurs dans une règle d'administration, ajoutez la chaîne in: en tant que préfixe du groupe.
Par exemple, pour créer des ressources qui ne seront situées physiquement qu'aux États-Unis, définissez in:us-locations dans la liste des valeurs autorisées.
Si le champ suggested_value est utilisé dans une règle d'emplacement, il doit s'agir d'une région. Si la valeur spécifiée est une région, une UI de ressource zonale peut préremplir le champ concerné avec une zone de cette région.
constraints/gcp.resourceLocations
"is:", "in:"
Limiter les projets susceptibles de fournir des CryptoKeys de services de gestion des clés comme CMEK Cette contrainte de liste définit les projets pouvant servir à fournir des clés de chiffrement gérées par le client (CMEK) lors de la création de ressources. Si vous définissez cette contrainte sur Allow (autrement dit, si vous n'autorisez que les CMEK de ces projets), vous ne pourrez pas utiliser les CMEK d'autres projets pour protéger les nouvelles ressources. Les valeurs de cette contrainte doivent être spécifiées au format under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID. Les services compatibles avec l'application de cette contrainte sont les suivants :
  • aiplatform.googleapis.com
  • alloydb.googleapis.com
  • apigee.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • discoveryengine.googleapis.com
  • documentai.googleapis.com
  • file.googleapis.com
  • firestore.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • redis.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • securesourcemanager.googleapis.com
  • spanner.googleapis.com
  • speech.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • workstations.googleapis.com
L'application de cette contrainte peut évoluer au fil du temps afin d'inclure des services supplémentaires. Soyez vigilant lorsque vous appliquez cette contrainte aux projets, dossiers ou organisations qui utilisent à la fois des services compatibles et non compatibles. Il n'est pas possible de définir cette contrainte sur Deny ou Deny All. L'application de cette contrainte n'est pas rétroactive. Pour que son application soit garantie, les ressources Google Cloud CMEK existantes associées à des CryptoKeys de services de gestion des clés issues de projets non autorisés doivent être reconfigurées ou recréées manuellement.
constraints/gcp.restrictCmekCryptoKeyProjects
"is:", "under:"
Limiter les services autorisés à créer des ressources sans CMEK Cette contrainte de liste définit les services qui nécessitent des clés de chiffrement gérées par le client (CMEK). Si vous définissez cette contrainte sur Deny (autrement dit, si vous refusez la création de ressources sans CMEK), les nouvelles ressources doivent être protégées par une CMEK pour les services spécifiés. Les services compatibles pouvant être définis dans cette contrainte sont les suivants:
  • aiplatform.googleapis.com
  • alloydb.googleapis.com
  • apigee.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • discoveryengine.googleapis.com
  • documentai.googleapis.com
  • file.googleapis.com
  • firestore.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • redis.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • securesourcemanager.googleapis.com
  • spanner.googleapis.com
  • speech.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • storagetransfer.googleapis.com
  • workstations.googleapis.com
Il n'est pas possible de définir cette contrainte sur Deny All. Il n'est pas possible de définir cette contrainte sur Allow. L'application de cette contrainte n'est pas rétroactive. Pour que son application soit garantie, les ressources Google Cloud non-CMEK existantes doivent être reconfigurées ou recréées manuellement.
constraints/gcp.restrictNonCmekServices
"is:"
Restreindre l'utilisation des services de ressources Cette contrainte définit l'ensemble des services de ressources Google Cloud pouvant être utilisés dans une organisation, un dossier ou un projet, tels que compute.googleapis.com et storage.googleapis.com.
Par défaut, tous les services de ressources Google Cloud sont autorisés.
Pour en savoir plus, consultez la page https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

constraints/gcp.restrictServiceUsage
"is:"
Limiter les versions TLS Cette contrainte définit l'ensemble des versions TLS qui ne peuvent pas être utilisées sur l'organisation, le dossier ou le projet où est appliquée cette contrainte, ou sur toute ressource enfant de cette ressource dans la hiérarchie.
Par défaut, toutes les versions TLS sont autorisées. Les versions TLS ne peuvent être spécifiées que dans la liste de refus et doivent être identifiées sous la forme TLS_VERSION_1 ou TLS_VERSION_1_1.
Cette contrainte ne s'applique qu'aux requêtes utilisant TLS. Elle ne sera pas utilisée pour limiter les requêtes non chiffrées.
Pour en savoir plus, consultez la page https://cloud.google.com/assured-workloads/docs/restrict-tls-versions?hl=fr.
constraints/gcp.restrictTLSVersion
"is:"
Désactiver l'activation d'Identity-Aware Proxy (IAP) sur les ressources régionales Lorsqu'elle est appliquée, cette contrainte booléenne désactive l'activation d'Identity-Aware Proxy sur les ressources régionales. L'activation d'IAP sur les ressources globales n'est pas limitée par cette contrainte.
Par défaut, l'activation d'IAP sur les ressources régionales est autorisée.
constraints/iap.requireRegionalIapWebDisabled
"is:"
Restreindre les API et les services Google Cloud autorisés Cette contrainte de liste limite l'ensemble des services et leurs API pouvant être activés sur cette ressource. Par défaut, tous les services sont autorisés.
La liste de services refusés doit provenir de la liste ci-dessous. Actuellement, il est impossible d'activer explicitement des API via cette contrainte. La spécification d'une API ne figurant pas dans cette liste entraîne une erreur.
L'application de cette contrainte n'est pas rétroactive. Si un service est déjà activé sur une ressource lorsque cette contrainte est appliquée, il restera activé.

constraints/serviceuser.services
"is:"

Contraintes applicables à des services spécifiques

Service(s) Contrainte Description Préfixes pris en charge
Vertex AI Workbench Définir un mode d'accès pour les notebooks et instances Vertex AI Workbench Cette contrainte de liste définit les modes d'accès autorisés aux notebooks et instances Vertex AI Workbench là où elle est appliquée. La liste d'autorisation ou de refus peut spécifier plusieurs utilisateurs avec le mode service-account, ou un accès utilisateur individuel avec le mode single-user. Le mode d'accès à autoriser ou à refuser doit être explicitement répertorié.
constraints/ainotebooks.accessMode
"is:"
Vertex AI Workbench Désactive les téléchargements de fichiers sur les nouvelles instances Vertex AI Workbench Lorsqu'elle est appliquée, cette contrainte booléenne empêche la création d'instances Vertex AI Workbench avec l'option de téléchargement de fichiers activée. Par défaut, l'option de téléchargement de fichiers peut être activée sur n'importe quelle instance Vertex AI Workbench.
constraints/ainotebooks.disableFileDownloads
"is:"
Vertex AI Workbench Désactiver l'accès root sur les nouveaux notebooks et instances Vertex AI Workbench gérés par l'utilisateur Lorsqu'elle est appliquée, cette contrainte booléenne empêche les notebooks et instances Vertex AI Workbench gérés par l'utilisateur nouvellement créés d'activer l'accès root. L'accès root peut être activé par défaut sur les notebooks et instances Vertex AI Workbench gérés par l'utilisateur.
constraints/ainotebooks.disableRootAccess
"is:"
Vertex AI Workbench Désactiver le terminal sur les nouvelles instances Vertex AI Workbench. Lorsqu'elle est appliquée, cette contrainte booléenne empêche la création d'instances Vertex AI Workbench avec le terminal activé. Par défaut, le terminal peut être activé sur les instances Vertex AI Workbench.
constraints/ainotebooks.disableTerminal
"is:"
Vertex AI Workbench Limiter les options d'environnement sur les nouveaux notebooks Vertex AI Workbench gérés par l'utilisateur Cette contrainte de liste définit les options de VM et d'images de conteneur qu'un utilisateur peut sélectionner lorsqu'il crée des notebooks Vertex AI Workbench gérés par l'utilisateur. Les options à autoriser ou à refuser doivent être explicitement répertoriées.
Le format attendu pour les instances de VM est ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Remplacez IMAGE_TYPE par image-family ou image-name. Exemples : ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
Le format attendu pour les images de conteneur est ainotebooks-container/CONTAINER_REPOSITORY:TAG. Exemples: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.
constraints/ainotebooks.environmentOptions
"is:"
Vertex AI Workbench Exiger des mises à jour automatiques planifiées sur les nouveaux notebooks et instances Vertex AI Workbench gérés par l'utilisateur Lorsqu'elle est appliquée, cette contrainte booléenne impose aux notebooks et instances Vertex AI Workbench gérés par l'utilisateur nouvellement créés de définir une programmation des mises à niveau automatiques. La programmation des mises à niveau automatiques peut être définie en utilisant l'option de métadonnées `notebook-upgrade-schedule` afin de spécifier une planification cron pour les mises à niveau automatiques. Par exemple : `--metadata=notebook-upgrade-schedule="00 19 * * MON"`.
constraints/ainotebooks.requireAutoUpgradeSchedule
"is:"
Vertex AI Workbench Limiter l'accès des adresses IP publiques sur les nouveaux notebooks et instances Vertex AI Workbench Lorsqu'elle est appliquée, cette contrainte booléenne limite l'accès depuis des adresses IP publiques aux instances et notebooks Vertex AI Workbench nouvellement créés. Par défaut, les adresses IP publiques peuvent accéder aux instances et notebooks Vertex AI Workbench.
constraints/ainotebooks.restrictPublicIp
"is:"
Vertex AI Workbench Restreindre les réseaux VPC sur les nouvelles instances Vertex AI Workbench Cette contrainte de liste définit les réseaux VPC qu'un utilisateur peut sélectionner lorsqu'il crée des instances Vertex AI Workbench là où cette contrainte est appliquée. Par défaut, une instance Vertex AI Workbench peut être créée dans n'importe quel réseau VPC. La liste des réseaux autorisés ou refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/ainotebooks.restrictVpcNetworks
"is:", "under:"
Vertex AI Définir l'accès aux modèles d'IA générative propriétaires de Google sur Vertex AI Cette contrainte de liste définit l'ensemble des modèles et fonctionnalités d'IA générative dont l'utilisation est autorisée dans les API Vertex AI. Les valeurs de la liste d'autorisation doivent respecter le format model_id:feature_family. Exemple :publishers/google/models/text-bison:predict Cette contrainte de liste limite uniquement l'accès aux modèles d'IA générative propriétaires de Google. Elle n'a aucune incidence sur les modèles propriétaires tiers ni sur les modèles Open Source. La contrainte vertexai.allowedModels peut être utilisée pour définir l'accès à un ensemble plus large de modèles, y compris des modèles propriétaires Google, des modèles propriétaires tiers et des modèles Open Source. Par défaut, tous les modèles peuvent être utilisés dans les API Vertex AI.
constraints/vertexai.allowedGenAIModels
"is:"
Vertex AI Définir l'accès aux modèles sur Vertex AI Cette contrainte de liste définit l'ensemble des modèles et fonctionnalités dont l'utilisation est autorisée dans les API Vertex AI. Les valeurs de la liste d'autorisation doivent respecter le format "model_id:feature_family", par exemple "publishers/google/models/gemini-1.0-pro:predict". Par défaut, tous les modèles peuvent être utilisés dans les API Vertex AI.
constraints/vertexai.allowedModels
"is:"
App Engine Désactiver le téléchargement du code source Désactive le téléchargement de code pour le code source importé précédemment dans App Engine.
constraints/appengine.disableCodeDownload
"is:"
App Engine Exception de déploiement de l'environnement d'exécution (App Engine) Cette contrainte de liste définit l'ensemble des anciens environnements d'exécution standards App Engine (Python 2.7, PHP 5.5 et Java 8) pour lesquels les déploiements restent autorisés après la fin de la période de prise en charge. Les anciens environnements d'exécution standards App Engine ne seront plus pris en charge à partir du 30 janvier 2024. De façon générale, les tentatives de déploiement d'applications utilisant les anciens environnements d'exécution seront bloquées après cette date. Consultez le calendrier de prise en charge de l'environnement standard App Engine. Définir cette contrainte sur "Autoriser" annule le blocage des déploiements utilisant l'environnement standard App Engine pour les anciens environnements d'exécution que vous spécifiez et ce, jusqu'à leur date d'abandon. Définir cette contrainte sur "Tout autoriser" annule le blocage des déploiements utilisant l'environnement standard App Engine pour tous les anciens environnements d'exécution et ce, jusqu'à leur date d'abandon. Les environnements d'exécution qui ne sont plus pris en charge ne reçoivent plus de correctifs de maintenance et de sécurité de routine. Nous vous recommandons vivement de mettre à niveau vos applications pour qu'elles utilisent une version d'environnement d'exécution en disponibilité générale.
constraints/appengine.runtimeDeploymentExemption
"is:"
BigQuery Désactiver BigQuery Omni pour Cloud AWS Lorsqu'elle est définie sur True, cette contrainte booléenne empêche les utilisateurs d'utiliser BigQuery Omni pour traiter des données sur Amazon Web Services dans les emplacements où la contrainte est appliquée.
constraints/bigquery.disableBQOmniAWS
"is:"
BigQuery Désactiver BigQuery Omni pour Cloud Azure Lorsqu'elle est définie sur True, cette contrainte booléenne empêche les utilisateurs d'utiliser BigQuery Omni pour traiter des données sur Microsoft Azure dans les emplacements où la contrainte est appliquée.
constraints/bigquery.disableBQOmniAzure
"is:"
Cloud Build Intégrations autorisées (Cloud Build) Cette contrainte de liste définit les intégrations Cloud Build autorisées à exécuter des compilations via la réception de webhooks provenant de services extérieurs à Google Cloud. Lorsque cette contrainte est appliquée, les seuls webhooks traités seront ceux provenant de services dont l'hôte correspond à l'une des valeurs autorisées.
Par défaut, Cloud Build traite tous les webhooks des projets comportant au moins un déclencheur ACTIF.
constraints/cloudbuild.allowedIntegrations
"is:"
Cloud Build Désactiver la création du compte de service par défaut (Cloud Build) Cette contrainte booléenne, lorsqu'elle est appliquée, empêche la création de l'ancien compte de service Cloud Build.
constraints/cloudbuild.disableCreateDefaultServiceAccount
"is:"
Cloud Build Utiliser le compte de service par défaut (Cloud Build) Cette contrainte booléenne, lorsqu'elle est appliquée, autorise l'utilisation par défaut de l'ancien compte de service Cloud Build.
constraints/cloudbuild.useBuildServiceAccount
"is:"
Cloud Build Utiliser par défaut le compte de service Compute Engine (Cloud Build) Cette contrainte booléenne, lorsqu'elle est appliquée, autorise l'utilisation par défaut du compte de service Compute Engine.
constraints/cloudbuild.useComputeServiceAccount
"is:"
Cloud Deploy Désactiver les libellés de service Cloud Deploy Lorsqu'elle est appliquée, cette contrainte booléenne empêche Cloud Deploy d'ajouter des étiquettes d'identifiant Cloud Deploy aux objets déployés.
Par défaut, les étiquettes identifiant les ressources Cloud Deploy sont ajoutées aux objets déployés lors de la création de la version.
constraints/clouddeploy.disableServiceLabelGeneration
"is:"
Cloud Functions Paramètres d'entrée autorisés (Cloud Functions) Cette contrainte de liste définit les paramètres d'entrée autorisés pour le déploiement d'une fonction Cloud (1re génération). Lorsque cette contrainte est appliquée, les paramètres d'entrée définis dans les fonctions doivent correspondre à l'une des valeurs autorisées.
Cloud Functions accepte par défaut tous les paramètres d'entrée.
Les paramètres d'entrée doivent être spécifiés dans la liste autorisée à l'aide des valeurs de l'énumération IngressSettings.
Pour Cloud Functions (2e génération), utilisez la contrainte constraints/run.allowedIngress.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Paramètres de sortie autorisés du connecteur VPC (Cloud Functions) Cette contrainte de liste définit les paramètres de sortie autorisés du connecteur VPC pour le déploiement d'une fonction Cloud (1re génération). Lorsque cette contrainte est appliquée, les paramètres de sortie du connecteur VPC définis dans les fonctions doivent correspondre à l'une des valeurs autorisées.
Cloud Functions accepte par défaut tous les paramètres de sortie du connecteur VPC.
Les paramètres de sortie du connecteur VPC doivent être spécifiés dans la liste autorisée à l'aide des valeurs de l'énumération VpcConnectorEgressSettings.
Pour Cloud Functions (2e génération), utilisez la contrainte constraints/run.allowedVPCEgress.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions Exiger un connecteur VPC (Cloud Functions) Cette contrainte booléenne impose la configuration d'un connecteur VPC lors du déploiement d'une fonction Cloud (1re génération). Lorsque cette contrainte est appliquée, un connecteur VPC doit être spécifié dans les fonctions.
Par défaut, la spécification d'un connecteur VPC n'est pas requise pour déployer une fonction Cloud.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud Functions Générations Cloud Functions autorisées Cette contrainte de liste définit l'ensemble de générations Cloud Functions pouvant être utilisées pour créer des ressources de fonction. Les valeurs valides sont: 1stGen et 2ndGen.
constraints/cloudfunctions.restrictAllowedGenerations
"is:"
Cloud KMS Limitez les types de CryptoKeys KMS pouvant être créés. Cette contrainte de liste définit les types de clés Cloud KMS pouvant être créés sous un nœud de hiérarchie donné. Lorsque cette contrainte est appliquée, seuls les types de clés KMS spécifiés dans cette règle d'administration peuvent être créés dans le nœud de hiérarchie associé. La configuration de cette règle d'administration aura aussi une incidence sur le niveau de protection des tâches d'importation et des versions de clé. Par défaut, tous les types de clés sont autorisés. Les valeurs valides sont : SOFTWARE, HSM, EXTERNAL et EXTERNAL_VPC. Les règles de refus ne sont pas autorisées.
constraints/cloudkms.allowedProtectionLevels
"is:"
Cloud KMS Limiter la destruction de clés aux versions de clé désactivées Lorsqu'elle est appliquée, cette contrainte booléenne autorise seulement la destructions des versions de clé qui sont à l'état "Désactivée". Par défaut, les versions de clé activées et désactivées peuvent être détruites. Lorsqu'elle est appliquée, cette contrainte concerne à la fois les versions de clé nouvelles et existantes.
constraints/cloudkms.disableBeforeDestroy
"is:"
Cloud KMS Durée de suppression planifiée minimale par clé Cette contrainte de liste définit la durée minimale de suppression planifiée (en jours) que l'utilisateur peut spécifier lorsqu'il crée une clé. Aucune clé dont la durée de suppression planifiée est inférieure à cette valeur ne peut être créée une fois cette contrainte mise en application. Par défaut, la valeur de cette durée minimale de suppression planifiée est de un jour, à l'exception des clés uniquement destinées à l'importation, pour lesquelles la valeur est de zéro jour.
Une seule valeur autorisée peut être spécifiée au format in:1d, in:7d, in:15d, in:30d, in:60d, in:90d ou in:120d. Par exemple, si la valeur de "constraints/cloudkms.minimumDestroyScheduledDuration" est définie sur in:15d, les utilisateurs peuvent créer des clés dont la durée de suppression planifiée est définie sur une valeur supérieure à 15 jours (16 ou 31 jours, par exemple). Toutefois, les utilisateurs ne peuvent pas créer de clés dont la durée de suppression planifiée est inférieure à 15 jours, par exemple 14 jours. Pour chaque ressource de la hiérarchie, la durée minimale de suppression planifiée peut hériter de la règle parente, la remplacer ou être fusionnée avec elle. Lorsque la règle de la ressource est fusionnée avec la règle parente, la valeur effective de la durée minimale de suppression planifiée au niveau de la ressource est la valeur la plus faible entre celle spécifiée dans la règle de la ressource et celle spécifiée pour la ressource parente. Par exemple, si une organisation présente une durée de suppression planifiée minimale de 7 jours et qu'au sein d'un projet enfant, la règle est définie sur "Fusionner avec le parent" avec une valeur de in:15d, la durée minimale de suppression planifiée effective au niveau du projet est de 7 jours.
constraints/cloudkms.minimumDestroyScheduledDuration
"is:", "in:"
Cloud Scheduler Types de cibles autorisés pour les jobs Cette contrainte de liste définit la liste des types de cibles, tels que HTTP App Engine, HTTP ou Pubsub, autorisés pour les jobs Cloud Scheduler.
Par défaut, toutes les cibles de jobs sont autorisées.
Valeurs valides : APPENGINE, HTTP, PUBSUB.
constraints/cloudscheduler.allowedTargetTypes
"is:"
Cloud SQL Limiter le nombre de réseaux autorisés sur les instances Cloud SQL Lorsqu'elle est définie sur True, cette contrainte booléenne limite l'ajout de réseaux autorisés pour l'accès à la base de données sans proxy sur les instances Cloud SQL. Cette contrainte n'est pas rétroactive : les instances Cloud SQL comportant déjà des réseaux autorisés fonctionnent toujours, même lorsque la contrainte est appliquée.
Par défaut, les réseaux autorisés peuvent être ajoutés aux instances Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Désactivez les diagnostics et l'accès administrateur dans Cloud SQL afin de répondre aux exigences de conformité. Ne pas configurer ou modifier cette stratégie. Cette contrainte est automatiquement configurée lors de l'intégration Assured Workloads et est exclusivement destinée aux contrôles réglementaires avancés appliqués à Assured Workloads. Lorsque cette contrainte booléenne est appliquée, certains aspects de la compatibilité seront altérés et tous les chemins d'accès liés aux diagnostics et aux autres cas d'utilisation du service client qui ne répondent pas aux exigences de souveraineté avancées pour Assured Workloads seront désactivés.
constraints/sql.restrictNoncompliantDiagnosticDataAccess
"is:"
Cloud SQL Restreignez les charges de travail non conformes pour les instances Cloud SQL. Ne pas configurer ou modifier cette stratégie. Cette contrainte est automatiquement configurée lors de l'intégration Assured Workloads et est exclusivement destinée aux contrôles réglementaires avancés appliqués à Assured Workloads. Lorsque cette contrainte booléenne est appliquée, certains aspects de la compatibilité sont altérés et les ressources provisionnées suivent strictement les exigences de souveraineté avancées pour Assured Workloads. Cette stratégie est rétroactive, dans la mesure où elle s'applique aux projets existants mais n'affecte pas les ressources déjà provisionnées. Ainsi, des modifications appliquées à cette stratégie ne seront reflétées que sur les ressources créées après la modification de la stratégie.
constraints/sql.restrictNoncompliantResourceCreation
"is:"
Cloud SQL Limiter l'accès des adresses IP publiques sur les instances Cloud SQL Cette contrainte booléenne restreint la configuration de l'adresse IP publique sur les instances Cloud SQL où cette contrainte est définie sur True. Cette contrainte n'est pas rétroactive : les instances Cloud SQL comportant déjà des adresses IP publiques fonctionnent toujours, même lorsque la contrainte est appliquée.
Par défaut, l'accès aux adresses IP publiques est accordé aux instances Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Google Cloud Marketplace Désactiver la place de marché publique Lorsqu'elle est appliquée, cette contrainte booléenne désactive Google Cloud Marketplace pour tous les utilisateurs de l'organisation. Par défaut, l'accès à la place de marché publique est activé pour l'organisation. Cette règle ne fonctionne que lorsque la place de marché privée est activée (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace).
Important : Pour une expérience optimale, nous vous recommandons vivement d'utiliser la fonctionnalité de restriction de l'accès des utilisateurs à la place de marché, comme décrit sur la page https://cloud.google.com/marketplace/docs/governance/strict-user-access pour empêcher l'utilisation non autorisée de la place de marché dans votre organisation, plutôt que de le faire via cette règle d'administration.
constraints/commerceorggovernance.disablePublicMarketplace
"is:"
Google Cloud Marketplace Restreindre l'accès aux services Marketplace Cette contrainte de liste définit l'ensemble de services autorisés pour les organisations de la place de marché et ne peut inclure que des valeurs de la liste suivante :
  • PRIVATE_MARKETPLACE
  • IAAS_PROCUREMENT
Si IAAS_PROCUREMENT figure dans la liste des valeurs autorisées, l'expérience de gouvernance des achats IaaS est activée pour tous les produits. Par défaut, l'expérience de gouvernance des achats IaaS est désactivée. La règle IAAS_PROCUREMENT fonctionne indépendamment de la fonctionnalité de gouvernance des demandes d'approvisionnement, spécifiquement pour les produits SaaS listés sur Cloud Marketplace.

Remarque: La valeur PRIVATE_MARKETPLACE n'est plus acceptée, et son utilisation n'a aucun effet. Pour activer la place de marché privée Google vous devez suivre les instructions de la page https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace.
constraints/commerceorggovernance.marketplaceServices
"is:"
Compute Engine Paramètres de chiffrement de rattachement de VLAN autorisés Cette contrainte de liste définit les paramètres de chiffrement autorisés pour les nouveaux rattachements de VLAN.
Par défaut, les rattachements de VLAN peuvent utiliser n'importe quel paramètre de chiffrement.
Définissez IPSEC comme valeur autorisée uniquement pour imposer la création de rattachements de VLAN chiffrés.
constraints/compute.allowedVlanAttachmentEncryption
"is:"
Compute Engine Désactiver toute utilisation d'IPv6 Lorsque cette contrainte booléenne est définie sur True, cela désactive la création ou la mise à jour de toute ressource Google Compute Engine impliquée dans l'utilisation du protocole IPv6.
Par défaut, toute personne disposant des autorisations Cloud IAM appropriées peut créer ou mettre à jour des ressources Google Compute Engine utilisant le protocole IPv6 dans tous les projets, dossiers et organisations.
Si cette contrainte est définie, elle possède une priorité plus élevée que les autres contraintes d'organisation IPv6, y compris disableVpcInternalIpv6, disableVpcExternalIpv6 et disableHybridCloudIpv6.
constraints/compute.disableAllIpv6
"is:"
Compute Engine Désactiver la création de règles de sécurité Cloud Armor Lorsqu'elle est appliquée, cette contrainte booléenne désactive la création de règles de sécurité Cloud Armor.
Par défaut, vous pouvez créer des stratégies de sécurité Cloud Armor dans n'importe quelle organisation, n'importe quel dossier ou projet.
constraints/compute.disableGlobalCloudArmorPolicy
"is:"
Compute Engine Désactiver l'équilibrage de charge mondial Cette contrainte booléenne désactive la création de produits d'équilibrage de charge mondiaux. Lorsqu'elle est appliquée, seuls les produits d'équilibrage de charge régionaux sans dépendances mondiales peuvent être créés. Par défaut, la création d'équilibrages de charge mondiaux est autorisée.
constraints/compute.disableGlobalLoadBalancing
"is:"
Compute Engine Désactiver la création de certificats SSL autogérés au niveau mondial Lorsqu'elle est appliquée, cette contrainte booléenne désactive la création de certificats SSL autogérés au niveau mondial. La création de certificats gérés par Google ou autogérés au niveau régional n'est pas désactivée par cette contrainte.
Par défaut, vous pouvez créer des certificats SSL autogérés mondiaux dans n'importe quelle organisation, n'importe quel dossier ou projet.
constraints/compute.disableGlobalSelfManagedSslCertificate
"is:"
Compute Engine Désactiver l'accès mondial aux ports série des VM Lorsqu'elle est appliquée, cette contrainte booléenne désactive l'accès global au port série des VM Compute Engine appartenant à l'organisation, au projet ou au dossier. Par défaut, les clients peuvent activer l'accès au port série des VM Compute Engine par VM ou par projet grâce aux attributs de métadonnées. L'application de cette contrainte désactivera l'accès global au port série des VM Compute Engine, quels que soient les attributs de métadonnées. L'accès régional au port série n'est pas affecté par cette contrainte. Pour désactiver tout accès au port série, utilisez plutôt la contrainte compute.disableSerialPortAccess.
constraints/compute.disableGlobalSerialPortAccess
"is:"
Compute Engine Désactiver les attributs invité des métadonnées Compute Engine Cette contrainte booléenne désactive l'accès de l'API Compute Engine aux attributs invité des VM Compute Engine rattachées à l'organisation, au projet ou au dossier dans lequel cette limite est définie sur True.
Par défaut, l'API Compute Engine peut être utilisée pour accéder aux attributs invité de VM Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine Désactiver l'utilisation d'IPv6 dans le cloud hybride Lorsqu'elle est appliquée, cette contrainte booléenne désactive la création ou la mise à jour des ressources cloud hybride, y compris les rattachements d'interconnexion et les passerelles Cloud VPN, avec une stack_type de IPV4_IPV6 ou IPV6_ONLY, ou une gatewayIpVersion de IPv6.
Si elle est appliquée à une ressource Cloud Router, cela désactive la possibilité de créer des sessions BGP (Border Gateway Protocol) IPv6 et la possibilité d'activer l'échange de routes IPv6 sur les sessions BGP IPv4.
Par défaut, toute personne disposant des autorisations Cloud IAM adéquates peut créer ou mettre à jour des ressources cloud hybrides dont le paramètre stack_type est défini sur IPV4_IPV6 dans les projets, dossiers et organisations.
constraints/compute.disableHybridCloudIpv6
"is:"
Compute Engine Désactiver les API d'accès aux données d'instance Ne pas configurer ou modifier cette stratégie. Cette contrainte est automatiquement configurée lors de l'intégration Assured Workloads et est exclusivement destinée aux contrôles réglementaires avancés appliqués à Assured Workloads. Lorsqu'elle est appliquée, cette contrainte booléenne désactive les API GetSerialPortOutput et GetScreenshot qui accèdent à la sortie du port série des VM et effectuent des captures d'écran des interfaces utilisateur des VM.
constraints/compute.disableInstanceDataAccessApis
"is:"
Compute Engine Désactiver les groupes de points de terminaison du réseau Internet Cette contrainte booléenne restreint la capacité d'un utilisateur à créer des groupes de points de terminaison du réseau Internet (NEG) avec un type de INTERNET_FQDN_PORT et INTERNET_IP_PORT.
Par défaut, tout utilisateur disposant des autorisations IAM appropriées peut créer des NEG Internet dans n'importe quel projet.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine Désactiver la virtualisation imbriquée des VM Cette contrainte booléenne désactive la virtualisation imbriquée à accélération matérielle pour toutes les VM Compute Engine appartenant à l'organisation, au projet ou au dossier où cette contrainte est définie sur True.
Par défaut, la virtualisation imbriquée à accélération matérielle est autorisée pour toutes les VM Compute Engine s'exécutant sur Intel Haswell ou sur des plates-formes de processeurs plus récentes.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine Forcer l'utilisation de types de machines conformes la norme FIPS Lorsqu'elle est appliquée, cette contrainte booléenne désactive la création de types d'instances de VM non conformes aux exigences FIPS.
constraints/compute.disableNonFIPSMachineTypes
"is:"
Compute Engine Désactiver Private Service Connect pour les utilisateurs Cette contrainte de liste définit l'ensemble des types de points de terminaison Private Service Connect pour lesquels les utilisateurs ne sont pas autorisés à créer de règles de transfert. Lorsque cette contrainte est appliquée, les utilisateurs ne peuvent pas créer de règles de transfert pour le type de point de terminaison Private Service Connect. L'application de cette contrainte n'est pas rétroactive.
Par défaut, il est possible de créer des règles de transfert pour n'importe quel type de point de terminaison Private Service Connect.
La liste des points de terminaison Private Service Connect autorisés/refusés doit provenir de la liste ci-dessous :
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
L'utilisation de GOOGLE_APIS dans la liste des types autorisés/refusés limite la création de règles de transfert Private Service Connect pour l'accès aux API Google. L'utilisation de SERVICE_PRODUCERS dans la liste des types autorisés/refusés limite la création de règles de transfert Private Service Connect pour l'accès aux services d'un autre réseau VPC.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine Désactiver l'accès au port série des VM Lorsqu'elle est définie sur True, cette contrainte booléenne désactive l'accès via le port série aux VM Compute Engine appartenant à l'organisation, au projet ou au dossier.
Par défaut, les clients peuvent activer l'accès via le port série des VM Compute Engine par machine virtuelle ou par projet grâce aux attributs de métadonnées. L'application de cette contrainte désactivera l'accès au port de série des machines virtuelles Compute Engine, quels que soient les attributs de métadonnées.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Désactiver la journalisation du port série des VM sur Stackdriver Cette contrainte booléenne désactive la journalisation du port série sur Stackdriver à partir des VM Compute Engine appartenant à l'organisation, au projet ou au dossier où la contrainte est appliquée.
Par défaut, la journalisation du port série est désactivée pour les VM Compute Engine. Vous pouvez l'activer de façon sélective par VM ou par projet à l'aide des attributs de métadonnées. Une fois en application, cette contrainte désactive la journalisation du port série pour les VM Compute Engine nouvellement créées. Elle empêche également les utilisateurs de définir sur True l'attribut de métadonnées des VM (anciennes ou nouvelles). La désactivation de la journalisation du port série peut empêcher certains services, comme les clusters Google Kubernetes Engine, de fonctionner correctement. Avant d'appliquer cette contrainte, vérifiez que les produits de votre projet ne dépendent pas de la journalisation du port série.
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine Désactiver SSH dans le navigateur Cette contrainte booléenne désactive l'outil "SSH dans le navigateur" dans la console Cloud pour les VM utilisant OS Login et les VM exécutant un environnement flexible App Engine. Lorsqu'elle est appliquée, le bouton "SSH dans le navigateur" est désactivé. Par défaut, l'utilisation de l'outil "SSH dans le navigateur" est autorisée.
constraints/compute.disableSshInBrowser
"is:"
Compute Engine Désactiver l'utilisation d'IPv6 à l'extérieur du VPC Lorsqu'elle est définie sur True, cette contrainte booléenne désactive la création ou la mise à jour de sous-réseaux dont le paramètre stack_type est défini sur IPV4_IPV6 et le paramètre ipv6_access_type sur EXTERNAL.
Par défaut, toute personne disposant des autorisations Cloud IAM adéquates peut créer ou mettre à jour des sous-réseaux dont le paramètre stack_type est défini sur IPV4_IPV6 dans tous les projets, dossiers et organisations.
constraints/compute.disableVpcExternalIpv6
"is:"
Compute Engine Désactiver l'utilisation d'IPv6 à l'intérieur du VPC Lorsqu'elle est définie sur True, cette contrainte booléenne désactive la création ou la mise à jour de sous-réseaux dont le paramètre stack_type est défini sur IPV4_IPV6 et le paramètre ipv6_access_type sur INTERNAL.
Par défaut, toute personne disposant des autorisations Cloud IAM adéquates peut créer ou mettre à jour des sous-réseaux dont le paramètre stack_type est défini sur IPV4_IPV6 dans tous les projets, dossiers et organisations.
constraints/compute.disableVpcInternalIpv6
"is:"
Compute Engine Activer les paramètres requis pour les charges de travail de protection de la mémoire de conformité Ne pas configurer ou modifier cette stratégie. Cette contrainte est automatiquement configurée lors de l'intégration Assured Workloads et est exclusivement destinée aux contrôles réglementaires avancés appliqués à Assured Workloads. Cette contrainte contrôle les paramètres permettant d'éliminer de potentiels chemins d'accès vers la mémoire principale des VM. Lorsqu'elle est appliquée, elle limite la capacité d'accéder à la mémoire principale des VM en désactivant les chemins d'accès, et restreint la collecte de données internes en cas d'erreurs.
constraints/compute.enableComplianceMemoryProtection
"is:"
Compute Engine Désactiver le comportement de configuration ouverte pour les méthodes de liste qui affichent les informations de quota pour une région Lorsqu'elle est appliquée, cette contrainte booléenne désactive le comportement de type "fail-open" en cas d'échec côté serveur pour les méthodes regions.list, regions.get et projects.get. Cela signifie que si les informations de quota ne sont pas disponibles, ces méthodes échouent lorsque la contrainte est appliquée. Par défaut, ces méthodes réussissent en cas d'échec côté serveur et affichent un message d'avertissement lorsque les informations de quota ne sont pas disponibles.
constraints/compute.requireBasicQuotaInResponse
"is:"
Compute Engine OS Config obligatoire Lorsqu'elle est appliquée, cette contrainte booléenne active VM Manager (OS Config) sur tous les nouveaux projets. VM Manager sera activé sur toutes les instances de VM créées dans des nouveaux projets. Dans les projets nouveaux et existants, cette contrainte empêche les mises à jour de métadonnées qui ont pour effet de désactiver VM Manager au niveau du projet ou de l'instance.
Par défaut, VM Manager est désactivé sur les projets Compute Engine.
constraints/compute.requireOsConfig
"is:"
Compute Engine Exiger la connexion au système d'exploitation Lorsqu'elle est définie sur true, cette contrainte booléenne active la connexion au système d'exploitation sur tous les projets nouvellement créés. La connexion au système d'exploitation est activée sur toutes les instances de VM créées dans des nouveaux projets. Dans les projets nouveaux et existants, cette contrainte empêche les mises à jour de métadonnées qui ont pour effet de désactiver OS Login au niveau du projet ou de l'instance.
Par défaut, la fonctionnalité OS Login est désactivée sur les projets Compute Engine.
Les instances GKE dans les clusters privés exécutant des versions de pool de nœuds 1.20.5-gke.2000 et ultérieures sont compatibles avec OS Login. Actuellement, les instances GKE présentes dans les clusters publics ne sont pas compatibles avec OS Login. Si cette contrainte est appliquée à un projet exécutant des clusters publics, les instances GKE exécutées dans ce projet peuvent ne pas fonctionner correctement.
constraints/compute.requireOsLogin
"is:"
Compute Engine VM protégées Lorsque cette contrainte booléenne est définie sur True, toutes les nouvelles instances de VM Compute Engine doivent utiliser des images disque protégées avec les options de démarrage sécurisé, de vTPM et de surveillance de l'intégrité activées. Si vous le souhaitez, vous pouvez désactiver l'option "Démarrage sécurisé" après la création. Les instances en cours d'exécution existantes continueront de fonctionner comme d'habitude.
Par défaut, il n'est pas nécessaire que les fonctionnalités de VM protégées soient activées pour que vous puissiez créer des instances de VM Compute Engine. Ces fonctionnalités offrent aux VM une intégrité vérifiable et une protection contre les exfiltrations.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Exiger des règles SSL Cette contrainte de liste définit l'ensemble des proxys SSL cibles et proxys HTTPS cibles autorisés à utiliser les règles SSL par défaut. Par défaut, tous les proxys SSL cibles et proxys HTTPS cibles sont autorisés à utiliser les règles SSL par défaut. Lorsque cette contrainte est appliquée, les nouveaux proxys SSL cibles et proxys HTTPS cibles doivent spécifier des règles SSL. L'application de cette contrainte n'est pas rétroactive. Les proxys cibles existants qui utilisent les règles SSL par défaut ne sont pas concernés. La liste des proxys SSL cibles et proxys HTTPS cibles autorisés/refusés doit être identifiée au format suivant :
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/targetHttpsProxies/TARGET_PROXY_NAME
  • projects/PROJECT_ID/regions/REGION_NAME/targetHttpsProxies/TARGET_PROXY_NAME
  • projects/PROJECT_ID/global/targetSslProxies/TARGET_PROXY_NAME

constraints/compute.requireSslPolicy
"is:", "under:"
Compute Engine Exiger des règles prédéfinies pour les journaux de flux VPC Cette contrainte de liste définit l'ensemble des règles prédéfinies pouvant être appliquées aux journaux de flux VPC.
Par défaut, les journaux de flux VPC peuvent être configurés avec n'importe quel paramètre dans chaque sous-réseau.
Cette contrainte impose l'activation des journaux de flux pour tous les sous-réseaux concernés avec un taux d'échantillonnage minimal requis.
Spécifiez une ou plusieurs des valeurs valides suivantes:
  • ESSENTIAL (accepte les valeurs >= 0,1 et < 0,5)
  • LIGHT (autorise les valeurs ≥ à 0,5 et < 1,0)
  • COMPREHENSIVE (autorise les valeurs == 1,0)

constraints/compute.requireVpcFlowLogs
"is:"
Compute Engine Restreindre l'utilisation de Cloud NAT Cette contrainte de liste définit l'ensemble des sous-réseaux autorisés à utiliser Cloud NAT. Par défaut, tous les sous-réseaux sont autorisés à utiliser Cloud NAT. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Restriction des buckets backend et des services de backend inter-projets Cette contrainte de liste limite les ressources BackendBucket et BackendService auxquelles une ressource urlMap peut s'associer. Cette contrainte ne s'applique pas aux ressources BackendBucket et BackendService faisant partie du même projet que la ressource urlMap. Par défaut, une ressource urlMap d'un projet peut référencer les ressources BackendBucket et BackendService compatibles faisant partie d'autres projets de la même organisation, à condition que l'utilisateur dispose de l'autorisation compute.backendService.use, compute.regionBackendServices.use ou compute.backendBuckets.use. Nous vous recommandons de ne pas utiliser cette contrainte avec la contrainte compute.restrictSharedVpcBackendServices pour éviter les conflits. Les projets, dossiers et ressources d'organisation faisant partie des listes autorisées ou refusées affectent tous les éléments BackendBucket et BackendService situés en dessous d'eux dans la hiérarchie des ressources. Seuls les projets, dossiers et ressources de l'organisation peuvent être inclus dans la liste autorisée ou refusée, et doivent être spécifiés au format suivant:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/regions/REGION/backendbuckets/BACKEND_BUCKET_NAME
  • projects/PROJECT_ID/global/backendbuckets/BACKEND_BUCKET_NAME
  • projects/PROJECT_ID/regions/REGION/backendservices/BACKEND_SERVICE_NAME
  • projects/PROJECT_ID/global/backendservices/BACKEND_SERVICE_NAME

  • constraints/compute.restrictCrossProjectServices
"is:", "under:"
Compute Engine Restreindre l'utilisation des interconnexions dédiées Cette contrainte de liste définit l'ensemble des réseaux Compute Engine autorisés à utiliser une interconnexion dédiée. Par défaut, les réseaux sont autorisés à utiliser n'importe quel type d'interconnexion. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine Restreindre la création d'équilibreurs de charge en fonction de leurs types Cette contrainte de liste définit l'ensemble des types d'équilibreurs de charge pouvant être créés pour une organisation, un dossier ou un projet. Chaque type d'équilibreur de charge à autoriser ou à refuser doit être explicitement répertorié. Par défaut, tous les types d'équilibreurs de charge peuvent être créés.
La liste des valeurs autorisées ou refusées doit être identifiée comme nom de chaîne d'un équilibreur de charge et ne peut inclure que les valeurs comprises dans la liste ci-dessous :
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_TCP_PROXY
  • REGIONAL_INTERNAL_MANAGED_TCP_PROXY
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
  • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY
  • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY

  • Pour inclure tous les types d'équilibreurs de charge internes ou externes, utilisez le préfixe "in:" suivi de "INTERNAL" ou "EXTERNAL". Par exemple, si vous activez in:INTERNAL, tous les types d'équilibreurs de charge de la liste ci-dessus incluent INTERNAL.
    constraints/compute.restrictLoadBalancerCreationForTypes
    "is:", "in:"
    Compute Engine Limiter l'informatique non confidentielle La liste de refus de cette contrainte de liste définit l'ensemble des services qui exigent que toute nouvelle ressource soit créée avec l'informatique confidentielle activée. Par défaut, les nouvelles ressources ne sont pas contraintes d'utiliser l'informatique confidentielle. Tant que cette contrainte de liste est appliquée, il n'est pas possible de désactiver l'informatique confidentielle durant le cycle de vie de la ressource. Les ressources existantes continueront de fonctionner comme d'habitude. La liste de services refusés doit être identifiée comme nom de chaîne d'une API et ne peut inclure que les valeurs explicitement refusées de la liste ci-dessous. L'autorisation explicite des API n'est actuellement pas disponible. Le refus explicite des API absentes de cette liste génère une erreur. Liste des API compatibles : [compute.googleapis.com, container.googleapis.com]
    constraints/compute.restrictNonConfidentialComputing
    "is:"
    Compute Engine Restreindre l'utilisation des interconnexions partenaires Cette contrainte de liste définit l'ensemble des réseaux Compute Engine autorisés à utiliser une interconnexion partenaire. Par défaut, les réseaux sont autorisés à utiliser n'importe quel type d'interconnexion. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictPartnerInterconnectUsage
    "is:", "under:"
    Compute Engine Limiter les clients Private Service Connect autorisés Cette contrainte de liste définit les organisations, les dossiers et les projets pouvant se connecter aux rattachements de service dans l'organisation ou le projet d'un producteur. Les listes d'autorisation ou de refus doivent être identifiées au format suivant: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou under:projects/PROJECT_ID. Toutes les connexions sont autorisées par défaut.
    constraints/compute.restrictPrivateServiceConnectConsumer
    "is:", "under:"
    Compute Engine Limiter les producteurs Private Service Connect autorisés Cette contrainte de liste définit les rattachements de service auxquels les consommateurs Private Service Connect peuvent se connecter. La contrainte bloque le déploiement des backends ou des points de terminaison Private Service Connect selon la ressource d'organisation, de dossier ou de projet du rattachement de service à laquelle les points de terminaison ou les backends renvoient. Les listes autorisées ou refusées doivent respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou under:projects/PROJECT_ID. Toutes les connexions sont autorisées par défaut.
    constraints/compute.restrictPrivateServiceConnectProducer
    "is:", "under:"
    Compute Engine Restreindre le transfert de protocole en fonction du type d'adresse IP Cette contrainte de liste définit le type d'objets de règle de transfert de protocole avec une instance cible qu'un utilisateur peut créer. Lorsque cette contrainte est appliquée, les nouveaux objets de règle de transfert avec une instance cible sont limités aux adresses IP internes et/ou externes, en fonction des types spécifiés. Les types autorisés ou refusés doivent être explicitement répertoriés. Par défaut, la création d'objets de règle de transfert de protocole interne et externe avec une instance cible est autorisée.
    La liste des valeurs autorisées ou refusées ne peut inclure que les valeurs comprises dans la liste ci-dessous :
    • INTERNAL
    • EXTERNAL
    .
    constraints/compute.restrictProtocolForwardingCreationForTypes
    "is:"
    Compute Engine Limiter les services de backend des VPC partagés Cette contrainte de liste définit l'ensemble des services de backend de VPC partagé que les ressources éligibles peuvent utiliser. Cette contrainte ne s'applique pas aux ressources d'un même projet. Par défaut, les ressources éligibles peuvent utiliser n'importe quel service de backend de VPC partagé. La liste des services de backend autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME ou projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Cette contrainte n'est pas rétroactive.
    constraints/compute.restrictSharedVpcBackendServices
    "is:", "under:"
    Compute Engine Limiter les projets hôtes VPC partagés Cette contrainte de liste définit l'ensemble des projets hôtes VPC partagés auxquels les projets situés au niveau ou en dessous de cette ressource peuvent s'associer. Par défaut, un projet peut être associé à n'importe quel projet hôte de la même organisation, ce qui en fait un projet de service. Les projets, dossiers et organisations figurant dans les listes autorisées/refusées affectent tous les objets de niveaux inférieurs dans la hiérarchie des ressources. Ils doivent être spécifiés au format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.
    constraints/compute.restrictSharedVpcHostProjects
    "is:", "under:"
    Compute Engine Limiter les sous-réseaux VPC partagés Cette contrainte de liste définit l'ensemble des sous-réseaux VPC partagés que les ressources éligibles peuvent utiliser. Cette contrainte ne s'applique pas aux ressources d'un même projet. Par défaut, les ressources éligibles peuvent utiliser n'importe quel sous-réseau VPC partagé. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
    constraints/compute.restrictSharedVpcSubnetworks
    "is:", "under:"
    Compute Engine Limiter l'utilisation de l'appairage VPC Cette contrainte de liste définit l'ensemble des réseaux VPC pouvant être appairés aux réseaux VPC appartenant à ce projet, à ce dossier ou à cette organisation. Chaque extrémité d'appairage doit disposer d'une autorisation d'appairage. Par défaut, l'administrateur d'un réseau peut être appairé avec n'importe quel autre réseau. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictVpcPeering
    "is:", "under:"
    Compute Engine Limiter les IP d'appairage VPN Cette contrainte de liste définit l'ensemble des adresses IP valides pouvant être configurées comme adresses IP d'appairage VPN. Par défaut, toutes les adresses IP peuvent servir d'IP d'appairage VPN pour un réseau VPC. La liste des adresses IP autorisées/refusées doit être spécifiée en tant qu'adresses IP valides au format suivant: IP_V4_ADDRESS ou IP_V6_ADDRESS.
    constraints/compute.restrictVpnPeerIPs
    "is:"
    Compute Engine Définit le paramètre DNS interne des nouveaux projets sur le DNS zonal uniquement Si cette règle est définie sur "True", le DNS zonal est utilisé par défaut pour les nouveaux projets. Par défaut, cette contrainte est définie sur "False" et les nouveaux projets utilisent donc le type DNS par défaut.
    constraints/compute.setNewProjectDefaultToZonalDNSOnly
    "is:"
    Compute Engine Projets propriétaires de réservations partagées Cette contrainte de liste définit l'ensemble des projets autorisés à créer et à posséder des réservations partagées dans l'organisation. Une réservation partagée est semblable à une réservation locale, sauf qu'au lieu d'être uniquement exploitable par les projets propriétaires, elle peut être utilisée par d'autres projets Compute Engine dans la hiérarchie des ressources. La liste des projets autorisés à accéder à la réservation partagée doit respecter ce format : projects/PROJECT_NUMBER ou under:projects/PROJECT_NUMBER.
    constraints/compute.sharedReservationsOwnerProjects
    "is:", "under:"
    Compute Engine Passer la création du réseau par défaut Cette contrainte booléenne ignore la création du réseau par défaut et des ressources associées lors de la création des ressources du projet Google Cloud Platform où cette contrainte est définie sur True. Par défaut, la création d'une ressource "Projet" entraîne la création automatique d'un réseau par défaut et des ressources associées.

    constraints/compute.skipDefaultNetworkCreation
    "is:"
    Compute Engine Restreindre l'utilisation des ressources Compute Storage (disques, images et instantanés Compute Engine) Cette contrainte de liste définit un ensemble de projets autorisés à utiliser les ressources de stockage Compute Engine. Par défaut, toute personne disposant des autorisations Cloud IAM adéquates peut accéder aux ressources Compute Engine. Lors de l'utilisation de cette contrainte, les utilisateurs doivent disposer d'autorisations Cloud IAM et ne doivent pas être limités par la contrainte pour accéder à la ressource.
    Les projets, dossiers et organisations spécifiés dans des listes autorisées ou refusées doivent être au format suivant : under:projects/PROJECT_ID, under:folders/FOLDER_ID et under:organizations/ORGANIZATION_ID.

    constraints/compute.storageResourceUseRestrictions
    "is:", "under:"
    Compute Engine Définir les projets relatifs aux images de confiance Cette contrainte de liste définit l'ensemble des projets pouvant être utilisés pour le stockage d'images et l'instanciation de disques pour Compute Engine.
    Par défaut, des instances peuvent être créées à partir des images de tout projet partageant des images avec l'utilisateur de manière publique ou explicite.
    La liste des projets éditeur autorisés et refusés doit être au format suivant : projects/PROJECT_ID. Si cette contrainte est active, seules les images de projets de confiance seront autorisées en tant que source des disques de démarrage pour les nouvelles instances.

    constraints/compute.trustedImageProjects
    "is:"
    Compute Engine Limiter le transfert IP de la VM Cette contrainte de liste définit l'ensemble des instances de VM autorisées à activer le transfert IP. Par défaut, toutes les VM peuvent activer le transfert IP sur n'importe quel réseau virtuel. Les instances de VM doivent être spécifiées au format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Cette contrainte n'est pas rétroactive.
    constraints/compute.vmCanIpForward
    "is:", "under:"
    Compute Engine Définir les adresses IP externes autorisées pour les instances de VM Cette contrainte de liste définit l'ensemble des instances de machines virtuelles Compute Engine autorisées à utiliser des adresses IP externes.
    Par défaut, toutes les instances de VM sont autorisées à utiliser des adresses IP externes.
    La liste des instances de VM autorisées/refusées doit être identifiée par le nom de l'instance de VM, au format suivant : projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

    constraints/compute.vmExternalIpAccess
    "is:"
    Compute Engine Désactiver l'activation d'Identity-Aware Proxy (IAP) sur les ressources globales Lorsqu'elle est appliquée, cette contrainte booléenne désactive l'activation d'Identity-Aware Proxy sur les ressources globales. L'activation d'IAP sur les ressources régionales n'est pas limitée par cette contrainte.
    Par défaut, l'activation d'IAP sur les ressources globales est autorisée.
    constraints/iap.requireGlobalIapWebDisabled
    "is:"
    Google Kubernetes Engine Désactivez les chemins d'accès administrateur dédiés au diagnostic dans GKE. Ne pas configurer ou modifier cette stratégie. Cette contrainte est automatiquement configurée lors de l'intégration Assured Workloads et est exclusivement destinée aux contrôles réglementaires avancés appliqués à Assured Workloads. Lorsque cette contrainte booléenne est appliquée, tous les chemins d'accès liés aux diagnostics et aux autres cas d'utilisation de l'assistance client qui ne répondent pas aux exigences Assured Workloads seront désactivés.
    constraints/container.restrictNoncompliantDiagnosticDataAccess
    "is:"
    Dataform Limiter les dépôts Git distants pour les dépôts dans Dataform Cette contrainte de liste définit un ensemble de ressources distantes avec lesquelles les dépôts du projet Dataform peuvent communiquer. Pour empêcher la communication avec toutes les télécommandes, définissez la valeur sur Deny all. L'effet de cette contrainte est rétroactif. Elle bloque les communications des dépôts existants non conformes. Les entrées doivent être des liens vers des ressources distantes approuvées, dans le même format que celui fourni par Dataform.
    Par défaut, les dépôts des projets Dataform peuvent communiquer avec toute ressource distante.
    constraints/dataform.restrictGitRemotes
    "is:"
    Datastream Datastream – Bloquer les méthodes de connectivité publique Par défaut, les profils de connexion Datastream peuvent être créés avec des méthodes de connectivité publique ou privée. Si la contrainte booléenne de cette règle d'administration est appliquée, seules les méthodes de connectivité privée (par exemple, l'appairage de VPC) peuvent être utilisées pour créer des profils de connexion.
    constraints/datastream.disablePublicConnectivity
    "is:"
    Contacts essentiels Contacts avec restriction de domaine Cette contrainte de liste définit l'ensemble des domaines que peuvent posséder les adresses e-mail ajoutées aux contacts essentiels.
    Par défaut, les adresses e-mail de n'importe quel domaine peuvent être ajoutées aux contacts essentiels.
    La liste des adresses autorisées/refusées doit spécifier un ou plusieurs domaines au format @example.com. Si cette contrainte est active et configurée avec les valeurs autorisées, seules les adresses e-mail dont le suffixe correspond à l'une des entrées de la liste des domaines autorisés peuvent être ajoutées aux contacts essentiels.
    Cette contrainte n'a aucun effet sur la mise à jour ou la suppression de contacts existants.
    constraints/essentialcontacts.allowedContactDomains
    "is:"
    Contacts essentiels Désactiver les contacts de sécurité du projet Lorsqu'elle est appliquée, cette contrainte booléenne permet aux administrateurs de règles d'administration de garantir que seuls les contacts attribués au niveau de l'organisation ou du dossier peuvent recevoir des notifications de sécurité. Plus précisément, l'application de cette contrainte empêche les propriétaires de projets et les administrateurs de contacts de créer ou de mettre à jour un contact essentiel avec un champ notification_category_subscriptions contenant la catégorie SECURITY ou ALL, si le contact possède également une ressource de projet en tant que parent.
    constraints/essentialcontacts.disableProjectSecurityContacts
    "is:"
    Firestore Agent de service Firestore requis pour l'importation/exportation Cette contrainte booléenne, lorsqu'elle est appliquée, nécessite que les importations et exportations Firestore utilisent l'agent de service Firestore.
    Par défaut, les importations et exportations Firestore peuvent utiliser le compte de service App Engine.
    Firestore n'utilisera plus le compte de service App Engine pour les importations et les exportations à l'avenir. Tous les comptes devront alors migrer vers l'agent de service Firestore. Ensuite, cette contrainte ne sera plus nécessaire.

    constraints/firestore.requireP4SAforImportExport
    "is:"
    Cloud Healthcare Désactiver Cloud Logging pour l'API Cloud Healthcare Lorsqu'elle est appliquée, cette contrainte booléenne désactive Cloud Logging pour l'API Cloud Healthcare.
    Les journaux d'audit ne sont pas affectés par cette contrainte.
    Les journaux Cloud générés pour l'API Cloud Healthcare avant l'application de la contrainte ne sont pas supprimés et sont toujours accessibles.

    constraints/gcp.disableCloudLogging
    "is:"
    Identity and Access Management Autoriser l'extension de la durée de vie des jetons d'accès OAuth 2.0 jusqu'à 12 heures Cette contrainte de liste définit l'ensemble des comptes de service pouvant recevoir des jetons d'accès OAuth 2.0 d'une durée maximale de 12 heures. Par défaut, la durée de vie maximale de ces jetons d'accès est de 1 heure.
    La liste des comptes de service autorisés/refusés doit spécifier une ou plusieurs adresses e-mail de comptes de service.
    constraints/iam.allowServiceAccountCredentialLifetimeExtension
    "is:"
    Identity and Access Management Partage restreint de domaine Cette contrainte de liste définit un ou plusieurs ID client Cloud Identity ou Google Workspace dont les comptes principaux peuvent être ajoutés aux stratégies IAM.
    Par défaut, toutes les identités d'utilisateur peuvent être ajoutées aux stratégies IAM. Seules des valeurs autorisées peuvent être définies dans cette contrainte. Les valeurs refusées ne sont pas acceptées.
    Si cette contrainte est active, seuls les comptes principaux appartenant aux ID client autorisés peuvent être ajoutés aux stratégies IAM.
    Vous n'avez pas besoin d'ajouter le numéro client google.com à cette liste pour l'interopérabilité avec les services Google. Ajouter google.com permet le partage avec les employés de Google et les systèmes hors production. Cela ne doit être utilisé que pour partager des données avec les employés de Google.
    constraints/iam.allowedPolicyMemberDomains
    "is:"
    Identity and Access Management Désactiver les exceptions à la journalisation d'audit Lorsqu'elle est appliquée, cette contrainte booléenne vous empêche d'exclure des comptes principaux supplémentaires de la journalisation d'audit. Cette contrainte n'affecte pas les exceptions de journalisation d'audit qui existaient avant que vous l'ayez appliquée.
    constraints/iam.disableAuditLoggingExemption
    "is:"
    Identity and Access Management Désactiver l'utilisation des comptes de service multi-projets Une fois cette contrainte appliquée, les comptes de service ne peuvent être déployés (à l'aide du rôle ServiceAccountUser) que sur des tâches (VM, fonctions, etc.) exécutées dans le même projet que le compte de service.
    constraints/iam.disableCrossProjectServiceAccountUsage
    "is:"
    Identity and Access Management Désactiver la création de comptes de service Cette contrainte booléenne désactive la création de comptes de service partout où cette contrainte est définie sur "True".
    Par défaut, les comptes de service peuvent être créés par les utilisateurs en fonction de leurs rôles et autorisations Cloud IAM.

    constraints/iam.disableServiceAccountCreation
    "is:"
    Identity and Access Management Désactiver la création de clés de compte de service Cette contrainte booléenne désactive la création de clés externes de comptes de service partout où cette contrainte est définie sur "True".
    Par défaut, les clés externes de comptes de service peuvent être créées par les utilisateurs en fonction de leurs rôles et autorisations Cloud IAM.

    constraints/iam.disableServiceAccountKeyCreation
    "is:"
    Identity and Access Management Désactiver l'importation de clé dans un compte de service Cette contrainte booléenne désactive la fonctionnalité permettant d'importer des clés publiques dans les comptes de service partout où cette contrainte est définie sur "True".
    Par défaut, les utilisateurs peuvent importer des clés publiques dans des comptes de service en fonction de leurs rôles et autorisations Cloud IAM.
    constraints/iam.disableServiceAccountKeyUpload
    "is:"
    Identity and Access Management Désactiver la création de clusters Workload Identity Lorsque cette contrainte booléenne est définie sur "True", Workload Identity est désactivé pour tous les nouveaux clusters au moment de leur création. Les clusters existants sur lesquels Workload Identity est activé continueront de fonctionner normalement. Par défaut, Workload Identity peut être activé pour n'importe quel cluster GKE.
    constraints/iam.disableWorkloadIdentityClusterCreation
    "is:"
    Identity and Access Management Durée de validité de la clé de compte de service en heures Cette contrainte de liste définit la durée de validité maximale autorisée avant expiration d'une clé de compte de service. Par défaut, les clés créées n'expirent jamais.
    La durée autorisée est spécifiée en heures. Vous devez choisir une valeur indiquée dans la liste ci-dessous. Vous ne pouvez fournir qu'une seule valeur autorisée. Les valeurs non autorisées ne sont pas acceptées. Si vous spécifiez une durée qui ne figure pas dans cette liste, une erreur est générée.
    • 1h
    • 8h
    • 24h
    • 168h
    • 336h
    • 720h
    • 1440h
    • 2160h
    Pour appliquer cette contrainte, vous devez la substituer à la stratégie parente dans la console Cloud ou définir inheritFromParent=false dans le fichier de stratégie si vous utilisez la gcloud CLI. Cette contrainte ne peut pas être fusionnée avec une stratégie parente. L'application de la contrainte n'est pas rétroactive et n'a aucun effet sur les clés préexistantes.
    constraints/iam.serviceAccountKeyExpiryHours
    "is:"
    Identity and Access Management Action à entreprendre si une clé de compte de service est exposée Cette contrainte de liste définit l'action à entreprendre si Google détecte qu'une clé de compte de service est exposée publiquement. Si cette règle n'est pas configurée, le comportement par défaut est celui décrit pour DISABLE_KEY.
    Les valeurs autorisées sont DISABLE_KEY et WAIT_FOR_ABUSE. Les valeurs qui ne font pas explicitement partie de cette liste ne peuvent pas être utilisées. Vous ne pouvez fournir qu'une seule valeur autorisée. Les valeurs non autorisées ne sont pas acceptées.
    Autoriser la valeur DISABLE_KEY désactive automatiquement les clés de compte de service exposées de manière publique et crée une entrée dans le journal d'audit.
    Autoriser la valeur WAIT_FOR_ABUSE désactive cette protection, mais ne désactive pas les clés de compte de service exposées automatiquement. Toutefois, Google Cloud peut désactiver les clés de compte de service divulguées si elles sont utilisées d'une manière qui nuit à la plate-forme, mais ne s'engage pas à le faire.
    Pour appliquer cette contrainte, définissez-la de manière à remplacer la stratégie parente dans la Google Cloud Console, ou définissez inheritFromParent=false dans le fichier de stratégie si vous utilisez la gcloud CLI. Cette contrainte ne peut pas être fusionnée avec une stratégie parente.
    constraints/iam.serviceAccountKeyExposureResponse
    "is:"
    Identity and Access Management Comptes AWS autorisés pouvant être configurés pour la fédération d'identité de charge de travail dans Cloud IAM Liste des ID de compte AWS pouvant être configurés pour la fédération d'identité de charge de travail dans Cloud IAM.
    constraints/iam.workloadIdentityPoolAwsAccounts
    "is:"
    Identity and Access Management Fournisseurs d'identité externes autorisés pour les charges de travail dans Cloud IAM Fournisseurs d'identité pouvant être configurés pour l'authentification des charges de travail dans Cloud IAM, spécifiés à l'aide d'URI/URL.
    constraints/iam.workloadIdentityPoolProviders
    "is:"
    Plan de contrôle géré d'Anthos Service Mesh Mode VPC Service Controls autorisé pour les plans de contrôle gérés Anthos Service Mesh Cette contrainte détermine quels modes VPC Service Controls peuvent être définis lors du provisionnement d'un nouveau plan de contrôle géré Anthos Service Mesh. Les valeurs valides sont "NONE" (AUCUN) et "COMPATIBLE" (COMPATIBLE).
    constraints/meshconfig.allowedVpcscModes
    "is:"
    Cloud Pub/Sub Appliquer des régions de transit aux messages Pub/Sub Lorsqu'elle est appliquée, cette contrainte booléenne définit l'option "MessageStoragePolicy::enforce_in_transit" sur "True" (Vrai) pour tous les nouveaux sujets Pub/Sub lors de leur création. Cela permet de s'assurer que les données client ne transitent que via les régions autorisées, qui sont indiquées dans la règle de stockage des messages définie pour le sujet.
    constraints/pubsub.enforceInTransitRegions
    "is:"
    Resource Manager Restreindre la suppression des privilèges liés aux projets VPC partagés Lorsqu'elle est définie sur True, cette contrainte booléenne restreint le nombre d'utilisateurs pouvant supprimer un privilège lié à un projet hôte de VPC partagé sans autorisation au niveau de l'organisation.
    Par défaut, tout utilisateur disposant de l'autorisation de mettre à jour des privilèges peut supprimer un privilège lié à un projet hôte de VPC partagé. L'application de cette contrainte nécessite que l'autorisation soit accordée au niveau de l'organisation.
    constraints/compute.restrictXpnProjectLienRemoval
    "is:"
    Resource Manager Restreindre la suppression des privilèges de compte de service multi-projets Lorsqu'elle est appliquée, cette contrainte booléenne empêche les utilisateurs de supprimer un privilège de compte de service multi-projets sans autorisation au niveau de l'organisation. Par défaut, n'importe quel utilisateur disposant de l'autorisation de mettre à jour des privilèges peut supprimer un privilège de compte de service multi-projets. Pour que cette contrainte soit appliquée, l'autorisation doit être accordée au niveau de l'organisation.
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval
    "is:"
    Resource Manager Limiter la visibilité des requêtes de ressource Lorsqu'elle est appliquée à une ressource "Organisation", cette contrainte de liste définit l'ensemble de ressources Google Cloud renvoyées dans la liste, ainsi que les méthodes de recherche pour les utilisateurs du domaine de l'organisation dans lequel cette contrainte est appliquée. Cette propriété permet de limiter les ressources visibles dans différentes sections de Cloud Console, telles que l'outil de sélection des ressources, la recherche ou la page "Gérer les ressources". Notez que cette contrainte n'est évaluée qu'au niveau de l'organisation. Les valeurs spécifiées dans les listes d'autorisation/de refus doivent respecter ce format : under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.accessBoundaries
    "is:", "under:"
    Resource Manager Exiger une liste de services activés autorisés pour le transfert entre organisations Cette contrainte de liste sert à valider qu'un projet ayant un service activé est éligible au déplacement entre organisations. Pour être éligible au déplacement entre organisations, une ressource ayant un service compatible activé doit se voir appliquer cette contrainte, et le service associé doit être inclus dans les valeurs autorisées. La liste actuelle des valeurs autorisées pour les services compatibles est la suivante :
    • SHARED_VPC

    Cette contrainte fournit un contrôle supplémentaire en plus des éléments constraints/resourcemanager.allowedExportDestinations. Ce paramètre list_constraint est par défaut vide et ne bloque aucun déplacement entre organisations, sauf si un service compatible est activé sur la ressource à exporter. Cette contrainte permet d'assurer un contrôle plus précis des ressources qui exploitent des fonctionnalités exigeant davantage de prudence lors d'un déplacement vers une autre organisation. Par défaut, une ressource pour laquelle un service compatible est activé ne peut pas être déplacée d'une organisation à une autre.
    constraints/resourcemanager.allowEnabledServicesForExport
    "is:"
    Resource Manager Destinations autorisées pour l'exportation des ressources Cette contrainte de liste définit l'ensemble des organisations externes vers lesquelles les ressources peuvent être déplacées, et refuse tout déplacement vers d'autres organisations. Par défaut, il n'est pas possible de déplacer des ressources d'une organisation à une autre. Si cette contrainte est appliquée à une ressource, celle-ci ne peut être déplacée que vers les organisations explicitement autorisées par la contrainte. Les déplacements au sein d'une organisation ne sont pas régis par cette contrainte. L'opération de déplacement nécessitera les mêmes autorisations IAM qu'un déplacement de ressource habituel. Les valeurs spécifiées dans les listes d'autorisation/de refus doivent respecter ce format : under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedExportDestinations
    "is:", "under:"
    Resource Manager Sources autorisées pour l'importation de ressources Cette contrainte de liste définit l'ensemble des organisations externes depuis lesquelles il est possible d'importer des ressources, et refuse tout déplacement depuis d'autres organisations. Par défaut, il n'est pas possible de déplacer des ressources d'une organisation à une autre. Si cette contrainte est appliquée à une ressource, les ressources importées directement sous cette ressource doivent être explicitement autorisées par la contrainte. Les déplacements au sein d'une organisation ne sont pas régis par cette contrainte. L'opération de déplacement nécessitera les mêmes autorisations IAM qu'un déplacement de ressource habituel. Les valeurs spécifiées dans les listes d'autorisation/de refus doivent respecter ce format : under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedImportSources
    "is:", "under:"
    Cloud Run Règles d'autorisation binaire autorisées (Cloud Run) Cette contrainte de liste définit l'ensemble des noms de règles d'autorisation binaire pouvant être spécifiés sur une ressource Cloud Run. Pour autoriser ou interdire une règle par défaut, utilisez la valeur "default" (par défaut). Pour autoriser ou interdire une ou plusieurs règles de plate-forme personnalisées, vous devez ajouter l'ID de ressource de chacune de ces règles séparément.
    constraints/run.allowedBinaryAuthorizationPolicies
    "is:"
    Cloud Run Paramètres d'entrée autorisés (Cloud Run) Cette contrainte de liste définit les paramètres d'entrée autorisés pour les services Cloud Run. Lorsque cette contrainte est appliquée, les services doivent impérativement présenter des paramètres d'entrée correspondant à l'une des valeurs autorisées. Les services Cloud Run existants dont les paramètres d'entrée enfreignent cette contrainte peuvent continuer à être mis à jour jusqu'à ce que les paramètres d'entrée du service soient modifiés pour se conformer à cette contrainte. Une fois qu'un service se conforme à cette contrainte, il ne peut utiliser que des paramètres d'entrée autorisés par cette contrainte.
    Par défaut, les services Cloud Run peuvent utiliser n'importe quels paramètres d'entrée.
    La liste autorisée doit contenir des valeurs de paramètres d'entrée compatibles, à savoir all, internal et internal-and-cloud-load-balancing.

    constraints/run.allowedIngress
    "is:"
    Cloud Run Paramètres de sortie VPC autorisés (Cloud Run) Cette contrainte de liste définit les paramètres de sortie VPC pouvant être spécifiés sur une ressource Cloud Run. Lorsque cette contrainte est appliquée, les ressources Cloud Run doivent obligatoirement être déployées avec un connecteur d'accès au VPC sans serveur ou avec la sortie VPC directe activée, et les paramètres de sortie VPC doivent obligatoirement correspondre à l'une des valeurs autorisées.
    Par défaut, les ressources Cloud Run peuvent définir les paramètres de sortie VPC sur n'importe quelle valeur compatible.
    La liste d'autorisation doit contenir des valeurs acceptées pour les paramètres de sortie VPC, à savoir private-ranges-only et all-traffic.

    Pour les services Cloud Run existants, toutes les nouvelles révisions doivent respecter cette contrainte. Les services existants qui présentent des révisions diffusant le trafic mais enfreignant cette contrainte peuvent continuer à migrer le trafic vers des révisions qui ne respectent pas cette contrainte. Une fois que l'ensemble du trafic d'un service est diffusé par des révisions conformes à cette contrainte, toutes les migrations de trafic ultérieures ne peuvent migrer le trafic que vers des révisions obéissant à cette contrainte.
    constraints/run.allowedVPCEgress
    "is:"
    Service Consumer Management Désactiver l'attribution de rôles automatique pour les comptes de service par défaut Cette contrainte booléenne, lorsqu'elle est appliquée, empêche les comptes de service App Engine et Compute Engine créés par défaut dans vos projets de se voir automatiquement attribuer un rôle IAM sur le projet lors de leur création.
    Par défaut, ces comptes de service reçoivent automatiquement le rôle Éditeur lorsqu'ils sont créés.
    constraints/iam.automaticIamGrantsForDefaultServiceAccounts
    "is:"
    Cloud Spanner Activer le contrôle avancé des services pour les charges de travail de conformité Ne pas configurer ou modifier cette stratégie. Cette contrainte est automatiquement configurée lors de l'intégration Assured Workloads et est exclusivement destinée aux contrôles réglementaires avancés appliqués à Assured Workloads. Lorsque cette contrainte booléenne est appliquée, certains aspects de la compatibilité sont altérés et les ressources provisionnées suivent strictement les exigences de souveraineté avancées pour Assured Workloads. Cette règle s'applique aux projets existants, mais n'affecte pas les ressources déjà provisionnées. Ainsi, les modifications apportées à cette règle ne seront appliquées qu'aux ressources créées ultérieurement.
    constraints/spanner.assuredWorkloadsAdvancedServiceControls
    "is:"
    Cloud Spanner Désactiver le mode multirégional Cloud Spanner si aucun emplacement n'est sélectionné Ne pas configurer ou modifier cette stratégie. Cette contrainte est automatiquement configurée lors de l'intégration Assured Workloads et est exclusivement destinée aux contrôles réglementaires avancés appliqués à Assured Workloads. Lorsqu'elle est appliquée, cette contrainte booléenne empêche la création d'instances Spanner reposant sur une configuration d'instance multirégionale, à moins qu'un emplacement ne soit sélectionné. Étant donné qu'à ce jour, Cloud Spanner ne permet pas de sélectionner un emplacement, tous les emplacements multirégionaux sont désactivés. À plus long terme, Spanner permettra aux utilisateurs de sélectionner un emplacement pour le mode multirégional. L'application de cette contrainte n'est pas rétroactive. Les instances Spanner déjà créées ne seront pas affectées.
    constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected
    "is:"
    Cloud Storage Google Cloud Platform – Mode Audit Logging détaillé Lorsque le mode Audit Logging détaillé est appliqué, la requête et la réponse sont incluses dans les journaux d'audit Cloud. La prise en compte des modifications apportées à cette fonctionnalité peut prendre jusqu'à 10 minutes. L'utilisation de cette règle d'administration conjointement au verrou de bucket est fortement recommandée pour la mise en conformité avec certaines règles, telles que SEC 17a-4(f), CFTC 1.31(c)-(d) et FINRA 4511(c). Cette règle n'est actuellement disponible que dans Cloud Storage.
    constraints/gcp.detailedAuditLoggingMode
    "is:"
    Cloud Storage Appliquer la protection contre l'accès public Protégez vos données Cloud Storage contre toute exposition publique en appliquant la prévention de l'accès public. Cette règle de gouvernance empêche tout accès aux ressources existantes et à venir via l'Internet public en désactivant et en bloquant les LCA et les autorisations IAM qui accordent l'accès à allUsers et allAuthenticatedUsers. Appliquez cette règle au niveau de l'organisation tout entière (recommandé), de projets spécifiques ou de dossiers spécifiques afin de vous assurer qu'aucune donnée n'est exposée de manière publique.
    Cette règle prend le pas sur toute autorisation publique existante. Une fois cette règle activée, l'accès public sera révoqué pour les buckets et objets existants. Pour en savoir plus sur les effets de la modification de l'application de cette contrainte sur les ressources, veuillez consulter https://cloud.google.com/storage/docs/public-access-prevention.
    constraints/storage.publicAccessPrevention
    "is:"
    Cloud Storage Cloud Storage – Limiter les types d'authentification La contrainte définit l'ensemble des types d'authentification qui ne sont pas autorisés à accéder aux ressources de stockage de l'organisation dans Cloud Storage. Les valeurs acceptées sont USER_ACCOUNT_HMAC_SIGNED_REQUESTS et SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Utilisez in:ALL_HMAC_SIGNED_REQUESTS pour inclure les deux.
    constraints/storage.restrictAuthTypes
    "is:", "in:"
    Cloud Storage Durée des règles de conservation en secondes Cette contrainte de liste définit l'ensemble des durées pour les règles de conservation pouvant être définies sur les buckets Cloud Storage.
    Par défaut, si aucune règle d'administration n'est spécifiée, la règle de conservation d'un bucket Cloud Storage peut avoir une durée quelconque.
    La liste des durées autorisées doit être un nombre entier positif supérieur à zéro et correspondre à la règle de conservation en secondes.
    Toute opération d'ajout, de mise à jour ou de correction sur un bucket dans la ressource de l'organisation doit être associée à une durée de règle de conservation correspondant à la contrainte.
    L'application de cette contrainte n'est pas rétroactive. Lorsqu'une nouvelle règle d'administration est appliquée, la règle de conservation des buckets existants demeure inchangée et valide.

    constraints/storage.retentionPolicySeconds
    "is:"
    Cloud Storage Limiter l'accès HTTP non chiffré Lorsqu'elle est appliquée, cette contrainte booléenne refuse explicitement l'accès HTTP (non chiffré) à toutes les ressources de stockage. Par défaut, l'API XML Cloud Storage autorise l'accès HTTP non chiffré. Notez que l'API Cloud Storage JSON, gRPC et la console Cloud n'autorisent que l'accès HTTP chiffré aux ressources Cloud Storage.
    constraints/storage.secureHttpTransport
    "is:"
    Cloud Storage Cloud Storage : durée de conservation de la règle de suppression réversible en secondes Cette contrainte définit les durées de conservation autorisées pour les règles de suppression réversible configurées sur les buckets Cloud Storage où cette contrainte est appliquée. Toute opération d'ajout, de mise à jour ou de correction sur un bucket sur lequel cette contrainte est appliquée doit être associée à une durée de la règle de suppression réversible correspondant à la contrainte. Lorsqu'une nouvelle règle d'administration est appliquée, la règle de suppression réversible des buckets existants demeure inchangée et valide. Par défaut, si aucune règle d'administration n'est spécifiée, la règle de suppression réversible d'un bucket Cloud Storage peut avoir une durée quelconque.
    constraints/storage.softDeletePolicySeconds
    "is:"
    Cloud Storage Appliquer l'accès uniforme au niveau du bucket Lorsqu'elle est définie sur True, cette contrainte booléenne exige que les buckets utilisent l'accès uniforme au niveau du bucket. Les nouveaux buckets de la ressource Organisation doivent disposer de l'accès uniforme au niveau du bucket, et cet accès ne peut pas être désactivé sur les buckets existants.
    L'application de cette contrainte n'est pas rétroactive : si l'accès uniforme au niveau du bucket est désactivé sur les buckets existants, il reste désactivé. La valeur par défaut de cette contrainte est False.
    L'accès uniforme au niveau du bucket désactive l'évaluation des LCA assignées aux objets Cloud Storage du bucket. Par conséquent, seules les stratégies IAM peuvent autoriser l'accès aux objets de ces buckets.

    constraints/storage.uniformBucketLevelAccess
    "is:"

    Guides d'utilisation

    Pour plus d'informations sur l'utilisation des contraintes individuelles :

    Contrainte Guide d'utilisation
    constraints/cloudbuild.allowedIntegrations Gate s'appuie sur les règles d'administration
    constraints/cloudfunctions.allowedIngressSettings Utiliser VPC Service Controls
    constraints/cloudfunctions.allowedVpcConnectorEgressSettings Utiliser VPC Service Controls
    constraints/cloudfunctions.requireVPCConnector Utiliser VPC Service Controls
    constraints/gcp.restrictNonCmekServices Règles d'administration CMEK
    constraints/gcp.restrictCmekCryptoKeyProjects Règles d'administration CMEK
    constraints/gcp.restrictTLSVersion Limiter les versions TLS
    constraints/compute.restrictPrivateServiceConnectConsumer
    constraints/compute.restrictPrivateServiceConnectProducer
    Gérer la sécurité pour les consommateurs Private Service Connect
    constraints/compute.restrictCloudNATUsage Restreindre l'utilisation de Cloud NAT
    constraints/compute.restrictLoadBalancerCreationForTypes Contraintes Cloud Load Balancing
    constraints/compute.restrictProtocolForwardingCreationForTypes Contraintes de transfert de protocole
    constraints/compute.restrictDedicatedInterconnectUsage
    constraints/compute.restrictPartnerInterconnectUsage
    Restreindre l'utilisation de Cloud Interconnect
    constraints/compute.restrictVpnPeerIPs Restreindre les adresses IP d'appairage via un tunnel Cloud VPN
    constraints/compute.trustedImageProjects Restreindre l'accès aux images
    constraints/compute.vmExternalIpAccess Désactiver l'accès aux adresses IP externes pour les machines virtuelles
    constraints/compute.requireVpcFlowLogs Contraintes liées aux règles d'administration pour les journaux de flux VPC
    constraints/dataform.restrictGitRemotes Restreindre les dépôts distants
    constraints/gcp.restrictServiceUsage Limiter l'utilisation des ressources
    constraints/iam.allowedPolicyMemberDomains Restreindre les identités par domaine
    constraints/iam.allowServiceAccountCredentialLifetimeExtension Prolonger la durée de vie des jetons d'accès OAuth 2.0
    constraints/iam.disableCrossProjectServiceAccountUsage Associer un compte de service à une ressource d'un autre projet
    constraints/iam.disableServiceAccountCreation Restreindre la création de comptes de service
    constraints/iam.disableServiceAccountKeyCreation Restreindre la création de clés de comptes de service
    constraints/iam.disableServiceAccountKeyUpload Restreindre l'importation des clés de compte de service
    constraints/iam.disableWorkloadIdentityClusterCreation Restreindre la création d'un cluster Workload Identity
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval Associer un compte de service à une ressource d'un autre projet
    constraints/gcp.detailedAuditLoggingMode
    constraints/storage.retentionPolicySeconds
    constraints/storage.uniformBucketLevelAccess
    constraints/storage.publicAccessPrevention
    Contraintes relatives aux règles d'administration pour Cloud Storage
    constraints/gcp.disableCloudLogging Désactiver Cloud Logging
    constraints/gcp.resourceLocations Limiter les emplacements de ressources
    constraints/resourcemanager.accessBoundaries Restreindre la visibilité des projets pour les utilisateurs
    constraints/run.allowedIngress Utiliser VPC Service Controls
    constraints/run.allowedVPCEgress Utiliser VPC Service Controls
    constraints/constraints/vertexai.allowedModels Contrôler l'accès aux modèles Model Garden

    En savoir plus

    Pour en savoir plus sur les concepts de base des règles d'administration :