Batasan kebijakan organisasi

Batasan yang tersedia

Anda dapat menentukan kebijakan yang menggunakan batasan berikut.

Batasan yang didukung oleh beberapa layanan Google Cloud

Batasan Deskripsi Awalan yang Didukung
Kumpulan Pekerja yang Diizinkan (Cloud Build) Batasan daftar ini menentukan kumpulan Kumpulan Pekerja Cloud Build yang diizinkan untuk menjalankan Build menggunakan Cloud Build. Saat batasan ini diterapkan, build akan diperlukan untuk di-build di Kumpulan Pekerja yang cocok dengan salah satu nilai yang diizinkan.
Secara default, Cloud Build dapat menggunakan Kumpulan Pekerja mana pun.
Daftar Kumpulan Pekerja yang diizinkan harus dalam bentuk:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


constraints/cloudbuild.allowedWorkerPools
"is:", "under:"
Google Cloud Platform - Pembatasan Lokasi Resource Batasan daftar ini menentukan kumpulan lokasi tempat resource Google Cloud berbasis lokasi dapat dibuat.
Secara default, resource dapat dibuat di lokasi mana pun.
Kebijakan untuk batasan ini dapat menentukan multi-wilayah seperti asia dan europe, wilayah seperti us-east1 atau europe-west1 sebagai lokasi yang diizinkan atau ditolak. Mengizinkan atau menolak multi-region tidak berarti bahwa semua sub-lokasi yang disertakan juga harus diizinkan atau ditolak. Misalnya, jika kebijakan menolak multi-region us (yang mengacu pada resource multi-region, seperti beberapa layanan penyimpanan), resource masih dapat dibuat di lokasi regional us-east1. Di sisi lain, grup in:us-locations berisi semua lokasi dalam region us, dan dapat digunakan untuk memblokir setiap region.
Sebaiknya gunakan grup nilai untuk menentukan kebijakan Anda.
Anda dapat menentukan grup nilai, kumpulan lokasi yang diseleksi oleh Google untuk menyediakan cara yang mudah dalam menentukan lokasi resource Anda. Untuk menggunakan grup nilai dalam kebijakan organisasi Anda, awali entri Anda dengan string in:, diikuti dengan grup nilai.
Misalnya, untuk membuat resource yang secara fisik hanya akan berlokasi di AS, tetapkan in:us-locations di daftar nilai yang diizinkan.
Jika kolom suggested_value digunakan dalam kebijakan lokasi, kolom tersebut harus berupa region. Jika nilai yang ditentukan adalah region, UI untuk resource zona dapat mengisi otomatis zona apa pun dalam region tersebut.
constraints/gcp.resourceLocations
"is:", "in:"
Membatasi project yang dapat menyediakan KMS CryptoKey untuk CMEK Batasan daftar ini menentukan project mana yang dapat digunakan untuk menyediakan Kunci Enkripsi yang Dikelola Pelanggan (CMEK) saat membuat resource. Menetapkan batasan ini ke Allow (yaitu hanya mengizinkan kunci CMEK dari project ini) memastikan bahwa kunci CMEK dari project lain tidak dapat digunakan untuk melindungi resource yang baru dibuat. Nilai untuk batasan ini harus ditentukan dalam bentuk under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau projects/PROJECT_ID. Layanan yang didukung yang menerapkan batasan ini adalah:
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • documentai.googleapis.com
  • file.googleapis.com
  • firestore.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • workstations.googleapis.com
Penegakan batasan ini dapat bertambah seiring waktu untuk menyertakan layanan tambahan. Berhati-hatilah saat menerapkan batasan ini ke project, folder, atau organisasi yang menggunakan campuran layanan yang didukung dan tidak didukung. Menetapkan batasan ini ke Deny atau Deny All tidak diizinkan. Penerapan batasan ini tidak berlaku surut. Resource Google Cloud CMEK yang sudah ada dengan KMS CryptoKey dari project yang tidak diizinkan harus dikonfigurasi ulang atau dibuat ulang secara manual untuk memastikan penerapan.
constraints/gcp.restrictCmekCryptoKeyProjects
"is:", "under:"
Membatasi layanan mana yang dapat membuat resource tanpa CMEK Batasan daftar ini menentukan layanan mana yang memerlukan Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Menyetel batasan ini ke Deny (yaitu menolak pembuatan resource tanpa CMEK) mengharuskan bahwa, untuk layanan yang ditentukan, resource yang baru dibuat harus dilindungi oleh kunci CMEK. Layanan yang didukung yang dapat disetel dalam batasan ini adalah:
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • documentai.googleapis.com
  • file.googleapis.com
  • firestore.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • storagetransfer.googleapis.com
  • workstations.googleapis.com
Menetapkan batasan ini ke Deny All tidak diizinkan. Menetapkan batasan ini ke Allow tidak diizinkan. Penerapan batasan ini tidak berlaku surut. Resource Google Cloud non-CMEK yang sudah ada harus dikonfigurasi ulang atau dibuat ulang secara manual untuk memastikan penerapannya.
constraints/gcp.restrictNonCmekServices
"is:"
Membatasi Penggunaan Layanan Resource Batasan ini menentukan kumpulan layanan resource Google Cloud yang dapat digunakan dalam organisasi, folder, atau project, seperti compute.googleapis.com dan storage.googleapis.com.
Secara default, semua layanan resource Google Cloud diizinkan.
Untuk mengetahui informasi selengkapnya, lihat https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

constraints/gcp.restrictServiceUsage
"is:"
Nonaktifkan Pengaktifan Identity-Aware Proxy (IAP) di resource regional Jika diterapkan, batasan boolean ini akan menonaktifkan pengaktifan Identity-Aware Proxy di resource regional. Pengaktifan IAP pada resource global tidak dibatasi oleh batasan ini.
Secara default, pengaktifan IAP pada resource regional diizinkan.
constraints/iap.requireRegionalIapWebDisabled
"is:"
Membatasi API dan layanan Google Cloud yang diperbolehkan Batasan daftar ini membatasi set layanan dan API-nya yang dapat diaktifkan pada resource ini. Secara default, semua layanan diizinkan.
Daftar layanan yang ditolak harus berasal dari daftar di bawah. Mengaktifkan API secara eksplisit melalui batasan ini saat ini tidak didukung. Menentukan API yang tidak termasuk dalam daftar ini akan mengakibatkan error.
Pemberlakuan batasan ini tidak berlaku surut. Jika telah diaktifkan pada resource saat batasan ini diterapkan, layanan ini akan tetap diaktifkan.

constraints/serviceuser.services
"is:"

Batasan untuk layanan tertentu

Layanan Batasan Deskripsi Awalan yang Didukung
Vertex AI Workbench Menentukan mode akses untuk notebook dan instance Vertex AI Workbench Batasan daftar ini menentukan mode akses yang diizinkan untuk notebook dan instance Vertex AI Workbench jika diterapkan. Daftar yang diizinkan atau ditolak dapat menentukan beberapa pengguna dengan mode service-account atau akses satu pengguna dengan mode single-user. Mode akses yang diizinkan atau ditolak harus dicantumkan secara eksplisit.
constraints/ainotebooks.accessMode
"is:"
Vertex AI Workbench Menonaktifkan download file di instance Vertex AI Workbench baru Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance Vertex AI Workbench dengan opsi download file yang diaktifkan. Secara default, opsi download file dapat diaktifkan di instance Vertex AI Workbench apa pun.
constraints/ainotebooks.disableFileDownloads
"is:"
Vertex AI Workbench Menonaktifkan akses root pada instance dan notebook baru yang dikelola pengguna Vertex AI Workbench Batasan boolean ini, jika diterapkan, akan mencegah instance dan notebook yang dikelola pengguna Vertex AI Workbench yang baru dibuat agar tidak mengaktifkan akses root. Secara default, instance dan notebook yang dikelola pengguna Vertex AI Workbench dapat mengaktifkan akses root.
constraints/ainotebooks.disableRootAccess
"is:"
Vertex AI Workbench Menonaktifkan terminal pada instance Vertex AI Workbench baru Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance Vertex AI Workbench dengan terminal yang diaktifkan. Secara default, terminal dapat diaktifkan pada instance Vertex AI Workbench.
constraints/ainotebooks.disableTerminal
"is:"
Vertex AI Workbench Membatasi opsi lingkungan pada instance dan notebook Vertex AI Workbench yang baru Batasan daftar ini menentukan opsi image VM dan container yang dapat dipilih pengguna saat membuat notebook dan instance Vertex AI Workbench baru yang menerapkan batasan ini. Opsi untuk diizinkan atau ditolak harus dicantumkan secara eksplisit.
Format yang diharapkan untuk instance VM adalah ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Ganti IMAGE_TYPE dengan image-family atau image-name. Contoh: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
Format yang diharapkan untuk gambar container adalah ainotebooks-container/CONTAINER_REPOSITORY:TAG. Contoh: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.
constraints/ainotebooks.environmentOptions
"is:"
Vertex AI Workbench Mewajibkan upgrade terjadwal otomatis pada instance dan notebook baru yang dikelola pengguna Vertex AI Workbench Batasan boolean ini, jika diterapkan, mengharuskan instance dan notebook yang dikelola pengguna Vertex AI Workbench yang baru dibuat harus menetapkan jadwal upgrade otomatis. Jadwal upgrade otomatis dapat ditentukan dengan menggunakan tanda metadata `notebook-upgrade-schedule` guna menentukan jadwal cron untuk upgrade otomatis. Misalnya: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`.
constraints/ainotebooks.requireAutoUpgradeSchedule
"is:"
Vertex AI Workbench Membatasi akses IP publik pada instance dan notebook Vertex AI Workbench yang baru Batasan boolean ini, jika diterapkan, akan membatasi akses IP publik ke instance dan notebook Vertex AI Workbench yang baru dibuat. Secara default, IP publik dapat mengakses notebook dan instance Vertex AI Workbench.
constraints/ainotebooks.restrictPublicIp
"is:"
Vertex AI Workbench Membatasi jaringan VPC pada instance Vertex AI Workbench baru Batasan daftar ini menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru tempat batasan ini diterapkan. Secara default, instance Vertex AI Workbench dapat dibuat dengan jaringan VPC apa pun. Daftar jaringan yang diizinkan atau ditolak harus diidentifikasi dalam format: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/ainotebooks.restrictVpcNetworks
"is:", "under:"
App Engine Nonaktifkan Download Kode Sumber Menonaktifkan download kode dari kode sumber yang diupload sebelumnya ke App Engine.
constraints/appengine.disableCodeDownload
"is:"
App Engine Pengecualian Deployment Runtime (App Engine) Batasan daftar ini menentukan kumpulan runtime lama App Engine Standar (Python 2.7, PHP 5.5, dan Java 8) yang diizinkan untuk deployment setelah End of Support. Runtime lama App Engine Standar akan mencapai Akhir Dukungan pada 30 Januari 2024. Biasanya, upaya untuk men-deploy aplikasi menggunakan runtime lama setelah tanggal ini akan diblokir. Lihat jadwal dukungan runtime App Engine Standar. Menetapkan batasan ini ke "Izinkan" akan berhenti memblokir deployment Standar App Engine untuk runtime lama yang Anda tentukan hingga Tanggal Penghentian Runtime. Menetapkan batasan ini ke “Izinkan Semua” akan berhenti memblokir deployment Standar App Engine untuk semua runtime lama hingga Tanggal Penghentian Runtime. Runtime yang telah mencapai Akhir Dukungan tidak menerima patch keamanan dan pemeliharaan rutin. Sebaiknya upgrade aplikasi Anda untuk menggunakan versi runtime yang Tersedia secara Umum.
constraints/appengine.runtimeDeploymentExemption
"is:"
BigQuery Nonaktifkan BigQuery Omni untuk Cloud AWS Batasan boolean ini, jika ditetapkan ke True, akan membuat pengguna tidak dapat menggunakan BigQuery Omni untuk memproses data di Amazon Web Services tempat batasan ini diterapkan.
constraints/bigquery.disableBQOmniAWS
"is:"
BigQuery Nonaktifkan BigQuery Omni untuk Cloud Azure Batasan boolean ini, jika ditetapkan ke True, akan membuat pengguna tidak dapat menggunakan BigQuery Omni untuk memproses data di Microsoft Azure tempat batasan ini diterapkan.
constraints/bigquery.disableBQOmniAzure
"is:"
Cloud Build Integrasi yang Diizinkan (Cloud Build) Batasan daftar ini menentukan integrasi Cloud Build yang diizinkan untuk melakukan Build melalui penerimaan webhook dari layanan di luar Google Cloud. Saat batasan ini diterapkan, hanya webhook untuk layanan yang hostnya cocok dengan salah satu nilai yang diizinkan yang akan diproses.
Secara default, Cloud Build memproses semua webhook untuk project yang memiliki setidaknya satu pemicu LIVE.
constraints/cloudbuild.allowedIntegrations
"is:"
Cloud Build Menonaktifkan Buat Akun Layanan Default (Cloud Build) Batasan boolean ini, jika diterapkan, akan mencegah pembuatan akun layanan Cloud Build lama.
constraints/cloudbuild.disableCreateDefaultServiceAccount
"is:"
Cloud Deploy Menonaktifkan label layanan Cloud Deploy Batasan boolean ini, jika diterapkan, akan mencegah Cloud Deploy menambahkan label ID Cloud Deploy ke objek yang di-deploy.
Secara default, label yang mengidentifikasi resource Cloud Deploy ditambahkan ke objek yang di-deploy selama pembuatan rilis.
constraints/clouddeploy.disableServiceLabelGeneration
"is:"
Cloud Functions Setelan ingress yang diizinkan (Cloud Functions) Batasan daftar ini menentukan setelan ingress yang diizinkan untuk men-deploy Cloud Function (generasi ke-1). Saat batasan ini diterapkan, fungsi akan diharuskan untuk memiliki setelan ingress yang cocok dengan salah satu nilai yang diizinkan.
Secara default, Cloud Functions dapat menggunakan setelan ingress apa pun.
Setelan masuk harus ditentukan dalam daftar yang diizinkan menggunakan nilai enum IngressSettings.
Untuk Cloud Functions (generasi ke-2) gunakan batasan constraints/run.allowedIngress.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Setelan egress VPC Connector yang diizinkan (Cloud Functions) Batasan daftar ini menentukan setelan traffic keluar VPC Connector yang diizinkan untuk deployment Cloud Function (generasi ke-1). Ketika batasan ini diterapkan, fungsi akan diwajibkan untuk memiliki setelan egress VPC Connector yang cocok dengan salah satu nilai yang diizinkan.
Secara default, Cloud Functions dapat menggunakan setelan traffic keluar VPC Connector apa pun.
Setelan traffic keluar Konektor VPC harus ditentukan dalam daftar yang diizinkan menggunakan nilai enum VpcConnectorEgressSettings.
Untuk Cloud Functions (generasi ke-2), gunakan batasan constraints/run.allowedVPCEgress.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions Perlu Konektor VPC (Cloud Functions) Batasan boolean ini menerapkan setelan VPC Connector saat men-deploy Cloud Function (generasi ke-1). Saat batasan ini diterapkan, fungsi akan diperlukan untuk menetapkan VPC Connector.
Secara default, penetapan VPC Connector tidak diperlukan untuk men-deploy Cloud Function.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud Functions Pembuatan Cloud Functions yang Diizinkan Batasan daftar ini menentukan kumpulan Cloud Function Generation yang diizinkan yang dapat digunakan untuk membuat resource Function baru. Nilai yang valid adalah: 1stGen, 2ndGen.
constraints/cloudfunctions.restrictAllowedGenerations
"is:"
Cloud KMS Membatasi jenis KMS CryptoKey yang dapat dibuat. Batasan daftar ini menentukan jenis kunci Cloud KMS yang dapat dibuat di node hierarki tertentu. Saat batasan ini diterapkan, hanya jenis kunci KMS yang ditentukan dalam kebijakan organisasi ini yang dapat dibuat dalam node hierarki terkait. Mengonfigurasi kebijakan organisasi ini juga akan memengaruhi tingkat perlindungan tugas impor dan versi kunci. Secara default, semua jenis kunci diizinkan. Nilai yang valid adalah: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. Kebijakan penolakan tidak diizinkan.
constraints/cloudkms.allowedProtectionLevels
"is:"
Cloud KMS Batasi penghancuran kunci ke versi kunci yang dinonaktifkan Batasan boolean ini, jika diterapkan, hanya mengizinkan pemusnahan versi kunci yang dalam status nonaktif. Secara default, versi kunci yang ada dalam keadaan aktif dan versi kunci yang dalam keadaan nonaktif dapat dimusnahkan. Ketika diterapkan, batasan ini berlaku untuk versi kunci baru dan yang sudah ada.
constraints/cloudkms.disableBeforeDestroy
"is:"
Cloud KMS Durasi terjadwal pemusnahan minimum per kunci Batasan daftar ini menentukan durasi minimum pemusnahan terjadwal dalam hari yang dapat ditentukan pengguna saat membuat kunci baru. Kunci dengan durasi terjadwal pemusnahan yang lebih rendah dari nilai ini tidak dapat dibuat setelah batasan diterapkan. Secara default, durasi minimum pemusnahan yang dijadwalkan untuk semua kunci adalah 1 hari, kecuali pada kunci khusus impor yang berdurasi 0 hari.
Hanya satu nilai yang diizinkan yang dapat ditentukan dalam format in:1d, in:7d, in:15d, in:30d, in:60d, in:90d, atau in:120d. Misalnya, jika batasan/cloudkms.minimumDestroyScheduleDuration disetel ke in:15d, pengguna dapat membuat kunci dengan durasi terjadwal penghancuran yang ditetapkan ke nilai apa pun yang lebih tinggi dari 15 hari, seperti 16 hari atau 31 hari. Namun, pengguna tidak dapat membuat kunci dengan penghancuran durasi terjadwal kurang dari 15 hari, misalnya 14 hari. Untuk setiap resource dalam hierarki, durasi minimum pemusnahan terjadwal dapat mewarisi, mengganti, atau digabungkan dengan kebijakan induk. Ketika kebijakan resource digabungkan dengan kebijakan induk, nilai efektif durasi minimum pemusnahan terjadwal pada resource adalah yang terendah antara nilai yang ditetapkan pada kebijakan resource dan durasi terjadwal pemusnahan minimum efektif induk. Misalnya, jika suatu organisasi memiliki jadwal pemusnahan minimum selama 7 hari dan dalam project turunan, kebijakan disetel ke 'Gabungkan dengan induk' dengan nilai in:15d, maka durasi minimum pemusnahan yang dijadwalkan pada project adalah 7 hari.
constraints/cloudkms.minimumDestroyScheduledDuration
"is:", "in:"
Cloud Scheduler Jenis target yang diizinkan untuk tugas Batasan daftar ini menentukan daftar jenis target, seperti HTTP App Engine, HTTP, atau Pubsub, yang diizinkan untuk tugas Cloud Scheduler.
Secara default, semua target tugas diizinkan.
Nilai yang valid adalah: APPENGINE, HTTP, PUBSUB.
constraints/cloudscheduler.allowedTargetTypes
"is:"
Cloud SQL Batasi Jaringan yang Diizinkan di instance Cloud SQL Batasan boolean ini membatasi penambahan Jaringan yang Diizinkan untuk akses database yang tidak di-proxy-kan ke instance Cloud SQL tempat batasan ini ditetapkan ke True. Batasan ini tidak berlaku surut, instance Cloud SQL dengan Jaringan yang Diizinkan yang ada tetap berfungsi meskipun batasan ini telah diterapkan.
Secara default, Jaringan yang Diizinkan dapat ditambahkan ke instance Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Nonaktifkan jalur akses diagnostik dan administratif di Cloud SQL untuk memenuhi persyaratan kepatuhan. Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan bagi Assured Workloads. Saat batasan boolean ini diterapkan, aspek dukungan tertentu akan terganggu dan semua jalur akses untuk diagnostik dan kasus penggunaan dukungan pelanggan lainnya yang tidak memenuhi persyaratan kedaulatan lanjutan untuk Assured Workloads akan dinonaktifkan.
constraints/sql.restrictNoncompliantDiagnosticDataAccess
"is:"
Cloud SQL Membatasi workload yang tidak mematuhi kebijakan untuk instance Cloud SQL. Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan bagi Assured Workloads. Saat batasan boolean ini diterapkan, aspek dukungan tertentu akan terganggu dan resource yang disediakan akan benar-benar mengikuti persyaratan kedaulatan lanjutan untuk Assured Workloads. Kebijakan ini bersifat retroaktif sehingga akan berlaku untuk project yang ada, tetapi tidak akan memengaruhi resource yang telah disediakan; yaitu modifikasi pada kebijakan hanya akan tercermin pada resource yang dibuat setelah kebijakan diubah.
constraints/sql.restrictNoncompliantResourceCreation
"is:"
Cloud SQL Batasi akses IP Publik di instance Cloud SQL Batasan boolean ini membatasi konfigurasi IP Publik pada instance Cloud SQL tempat batasan ini ditetapkan ke True. Batasan ini tidak berlaku surut, instance Cloud SQL dengan akses IP Publik yang ada tetap berfungsi meskipun batasan ini telah diterapkan.
Secara default, akses IP Publik diizinkan untuk instance Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Google Cloud Marketplace Nonaktifkan Marketplace Publik Batasan boolean ini, saat diterapkan, akan menonaktifkan marketplace publik untuk semua pengguna dalam organisasi. Secara default, akses marketplace publik diaktifkan untuk organisasi.
constraints/commerceorggovernance.disablePublicMarketplace
"is:"
Google Cloud Marketplace Membatasi akses di layanan marketplace Batasan daftar ini menentukan kumpulan layanan yang diizinkan untuk organisasi marketplace, dan hanya dapat menyertakan nilai dari daftar berikut:
  • PRIVATE_MARKETPLACE
  • IAAS_PROCUREMENT
Jika PRIVATE_MARKETPLACE ada dalam daftar nilai yang diizinkan, marketplace pribadi akan diaktifkan. Jika IAAS_PROCUREMENT ada dalam daftar nilai yang diizinkan, pengalaman tata kelola pengadaan IaaS akan diaktifkan untuk semua produk. Secara default, marketplace pribadi dinonaktifkan dan pengalaman tata kelola pengadaan IaaS dinonaktifkan. Selain itu, kebijakan IAAS_PROCUREMENT berfungsi secara independen dari kemampuan tata kelola Permintaan Pengadaan, yang dikhususkan untuk produk SaaS yang tercantum di marketplace.
constraints/commerceorggovernance.marketplaceServices
"is:"
Compute Engine Setelan enkripsi Lampiran VLAN yang diizinkan Batasan daftar ini menentukan setelan enkripsi yang diizinkan untuk Lampiran VLAN baru.
Secara default, Lampiran VLAN diizinkan untuk menggunakan setelan enkripsi apa pun.
Tetapkan IPSEC sebagai nilai yang diizinkan untuk menerapkan pembuatan lampiran VLAN terenkripsi saja.
constraints/compute.allowedVlanAttachmentEncryption
"is:"
Compute Engine Nonaktifkan Semua penggunaan IPv6 Batasan boolean ini, jika ditetapkan ke True, akan menonaktifkan pembuatan atau update ke resource Google Compute Engine apa pun yang terlibat dalam penggunaan IPv6.
Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat membuat atau mengupdate resource Google Compute Engine dengan penggunaan IPv6 di semua project, folder, dan organisasi.
Jika ditetapkan, batasan ini akan memiliki prioritas lebih tinggi daripada batasan org IPv6 lainnya termasuk disableVpcInternalIpv6, disableVpcExternalIpv6, dan disableHybridCloudIpv6.
constraints/compute.disableAllIpv6
"is:"
Compute Engine Nonaktifkan Pembuatan Kebijakan Keamanan Cloud Armor Jika diterapkan, batasan boolean ini akan menonaktifkan pembuatan kebijakan keamanan Cloud Armor.
Secara default, Anda dapat membuat kebijakan keamanan Cloud Armor di organisasi, folder, atau project mana pun.
constraints/compute.disableGlobalCloudArmorPolicy
"is:"
Compute Engine Menonaktifkan Load Balancing Global Batasan boolean ini menonaktifkan pembuatan produk load balancing global. Jika diterapkan, hanya produk load balancing regional yang tidak memiliki dependensi global yang dapat dibuat. Secara default, pembuatan load balancing global diizinkan.
constraints/compute.disableGlobalLoadBalancing
"is:"
Compute Engine Nonaktifkan Pembuatan Sertifikat SSL global yang dikelola sendiri Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan Sertifikat SSL global yang dikelola sendiri. Pembuatan sertifikat yang dikelola Google atau yang dikelola sendiri regional tidak dinonaktifkan oleh batasan ini.
Secara default, Anda dapat membuat Sertifikat SSL global yang dikelola sendiri di organisasi, folder, atau project mana pun.
constraints/compute.disableGlobalSelfManagedSslCertificate
"is:"
Compute Engine Menonaktifkan Akses Global ke Port Serial VM Batasan boolean ini menonaktifkan akses port serial global ke VM Compute Engine milik organisasi, project, atau folder tempat batasan diterapkan. Secara default, pelanggan dapat mengaktifkan akses port serial untuk VM Compute Engine berdasarkan per VM atau per project menggunakan atribut metadata. Jika batasan ini diterapkan, akses port serial global untuk VM Compute Engine akan dinonaktifkan, terlepas dari atribut metadatanya. Akses port serial regional tidak terpengaruh oleh batasan ini. Untuk menonaktifkan semua akses port serial, gunakan batasan compute.disableSerialPortAccess.
constraints/compute.disableGlobalSerialPortAccess
"is:"
Compute Engine Nonaktifkan Atribut Tamu metadata Compute Engine Batasan boolean ini menonaktifkan akses Compute Engine API ke Atribut Tamu VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang menetapkan batasan ini ke True.
Secara default, Compute Engine API dapat digunakan untuk mengakses atribut tamu VM Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine Nonaktifkan penggunaan IPv6 Hybrid Cloud Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan, atau update pada, resource hybrid cloud termasuk Lampiran Interconnect dan gateway Cloud VPN dengan stack_type dari IPV4_IPV6 atau IPV6_ONLY, atau gatewayIpVersion dari IPv6.
Jika diterapkan pada resource Cloud Router, kemampuan untuk membuat sesi Border Gateway Protocol (BGP) IPv6 dan kemampuan untuk mengaktifkan pertukaran rute IPv6 melalui sesi BGP IPv4 akan dinonaktifkan.
Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat membuat atau memperbarui resource hybrid cloud dengan stack_type dari IPV4_IPV6 dalam project, folder, dan organisasi.
constraints/compute.disableHybridCloudIpv6
"is:"
Compute Engine Menonaktifkan Instance Data Access API Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan bagi Assured Workloads. Batasan boolean ini, jika diterapkan, akan menonaktifkan GetSerialPortOutput dan GetScreenshot API yang mengakses output port serial VM dan mengambil screenshot dari UI VM.
constraints/compute.disableInstanceDataAccessApis
"is:"
Compute Engine Nonaktifkan Grup Endpoint Jaringan Internet Batasan boolean ini membatasi apakah pengguna dapat membuat Grup Endpoint Jaringan (NEG) Internet dengan type INTERNET_FQDN_PORT dan INTERNET_IP_PORT.
Secara default, semua pengguna dengan izin IAM yang sesuai dapat membuat NEG Internet di project mana pun.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine Menonaktifkan virtualisasi bertingkat VM Batasan boolean ini menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk semua VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang menetapkan batasan ini ke True.
Secara default, virtualisasi bertingkat dengan akselerasi hardware diizinkan untuk semua VM Compute Engine yang berjalan di Intel Haswell atau platform CPU yang lebih baru.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine Menerapkan jenis mesin yang mematuhi FIPS Batasan boolean ini saat diterapkan, akan menonaktifkan pembuatan jenis instance VM yang tidak mematuhi persyaratan FIPS.
constraints/compute.disableNonFIPSMachineTypes
"is:"
Compute Engine Nonaktifkan Private Service Connect untuk Konsumen Batasan daftar ini menentukan kumpulan jenis endpoint Private Service Connect yang tidak dapat dibuat pengguna aturan penerusan. Saat batasan ini diterapkan, pengguna akan diblokir agar tidak membuat aturan penerusan untuk jenis endpoint Private Service Connect. Batasan ini tidak diberlakukan secara surut.
Secara default, aturan penerusan dapat dibuat untuk semua jenis endpoint Private Service Connect.
Daftar endpoint Private Service Connect yang diizinkan/ditolak harus berasal dari daftar di bawah:
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
Penggunaan GOOGLE_APIS dalam daftar yang diizinkan/ditolak akan membatasi pembuatan aturan penerusan Private Service Connect untuk mengakses Google API. Penggunaan SERVICE_PRODUCERS dalam daftar yang diizinkan/ditolak akan membatasi pembuatan aturan penerusan Private Service Connect untuk mengakses layanan di jaringan VPC lain.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine Menonaktifkan akses port serial VM Batasan boolean ini menonaktifkan akses port serial ke VM Compute Engine milik organisasi, project, atau folder yang menetapkan batasan ini ke True.
Secara default, pelanggan dapat mengaktifkan akses port serial untuk VM Compute Engine per VM atau per project menggunakan atribut metadata. Jika batasan ini diterapkan, akses port serial untuk VM Compute Engine akan dinonaktifkan, terlepas dari atribut metadatanya.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Nonaktifkan logging port serial VM ke Stackdriver Batasan boolean ini menonaktifkan logging port serial ke Stackdriver dari VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang memberlakukan batasan ini.
Secara default, logging port serial untuk VM Compute Engine dinonaktifkan, dan dapat diaktifkan secara selektif per VM atau per project menggunakan atribut metadata. Jika diterapkan, batasan ini akan menonaktifkan logging port serial untuk VM Compute Engine baru setiap kali VM baru dibuat, serta mencegah pengguna mengubah atribut metadata VM apa pun (lama atau baru) ke True. Menonaktifkan logging port serial dapat menyebabkan layanan tertentu yang mengandalkannya, seperti cluster Google Kubernetes Engine, tidak berfungsi dengan benar. Sebelum menerapkan batasan ini, pastikan produk dalam project Anda tidak bergantung pada logging port serial.
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine Nonaktifkan SSH di browser Batasan boolean ini menonaktifkan alat SSH di browser di Cloud Console. Jika diterapkan, tombol SSH di browser akan dinonaktifkan. Secara default, penggunaan alat SSH di browser diizinkan.
constraints/compute.disableSshInBrowser
"is:"
Compute Engine Nonaktifkan penggunaan IPv6 Eksternal VPC Batasan boolean ini, jika ditetapkan ke True, akan menonaktifkan pembuatan atau update ke subnetwork dengan stack_type dari IPV4_IPV6 dan ipv6_access_type dari EXTERNAL.
Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat membuat atau memperbarui subnetwork dengan stack_type dari IPV4_IPV6 di semua project, folder, dan organisasi.
constraints/compute.disableVpcExternalIpv6
"is:"
Compute Engine Nonaktifkan penggunaan IPv6 Internal VPC Batasan boolean ini, jika ditetapkan ke True, akan menonaktifkan pembuatan atau update ke subnetwork dengan stack_type dari IPV4_IPV6 dan ipv6_access_type dari INTERNAL.
Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat membuat atau memperbarui subnetwork dengan stack_type dari IPV4_IPV6 di semua project, folder, dan organisasi.
constraints/compute.disableVpcInternalIpv6
"is:"
Compute Engine Mengaktifkan setelan yang diperlukan untuk workload perlindungan memori kepatuhan Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan bagi Assured Workloads. Batasan ini mengontrol setelan yang diperlukan untuk menghilangkan potensi jalur akses ke memori core VM. Jika diterapkan, pembatasan ini akan membatasi kemampuan untuk mengakses memori inti VM dengan menonaktifkan jalur akses dan membatasi pengumpulan data internal saat terjadi error.
constraints/compute.enableComplianceMemoryProtection
"is:"
Compute Engine Perlu Login OS Batasan boolean ini, jika ditetapkan ke true, akan mengaktifkan Login OS di semua Project yang baru dibuat. Semua instance VM yang dibuat di project baru akan mengaktifkan Login OS. Pada project baru dan yang sudah ada, batasan ini mencegah pembaruan metadata yang dapat menonaktifkan Login OS di tingkatan project atau instance.
Secara default, fitur Login OS dinonaktifkan di project Compute Engine.
Instance GKE di cluster pribadi yang menjalankan node pool versi 1.20.5-gke.2000 dan yang lebih baru mendukung Login OS. Instance GKE di cluster publik saat ini tidak mendukung Login OS. Jika batasan ini diterapkan ke Project yang menjalankan cluster publik, instance GKE yang berjalan di Project tersebut mungkin tidak berfungsi dengan baik.
constraints/compute.requireOsLogin
"is:"
Compute Engine Shielded VM Batasan boolean ini, saat ditetapkan ke True, mengharuskan semua instance VM Compute Engine baru menggunakan disk image Terlindungi dengan opsi Booting Aman, vTPM, dan Pemantauan Integritas diaktifkan. Booting Aman dapat dinonaktifkan setelah pembuatan, jika diinginkan. Instance yang sedang berjalan akan terus berfungsi seperti biasa.
Secara default, fitur Shielded VM tidak perlu diaktifkan untuk membuat instance VM Compute Engine. Fitur VM Terlindung akan menambah integritas yang dapat diverifikasi dan resistansi pemindahan yang tidak sah ke VM Anda.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Wajibkan kebijakan yang telah ditentukan untuk log aliran VPC Batasan daftar ini menentukan kumpulan kebijakan yang telah ditetapkan yang dapat diterapkan untuk log Aliran VPC.
Secara default, log Aliran VPC dapat dikonfigurasi dengan setelan apa pun di setiap subnet.
Batasan ini menerapkan pengaktifan log alur untuk semua subnetwork dalam cakupan dengan frekuensi sampling minimum.
Tentukan satu atau beberapa nilai valid berikut:
  • ESSENTIAL (mengizinkan nilai >= 0,1 dan < 0,5)
  • LIGHT (mengizinkan nilai >= 0,5 dan < 1,0)
  • COMPREHENSIVE (mengizinkan nilai == 1,0)

constraints/compute.requireVpcFlowLogs
"is:"
Compute Engine Membatasi penggunaan Cloud NAT Batasan daftar ini menentukan kumpulan subnetwork yang diizinkan untuk menggunakan Cloud NAT. Secara default, semua subnetwork diizinkan untuk menggunakan Cloud NAT. Daftar subnetwork yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Membatasi bucket backend dan layanan backend lintas project Batasan daftar ini membatasi resource BackendBucket dan BackendService yang dapat dipasang oleh resource urlMap. Batasan ini tidak berlaku untuk BackendBuckets dan BackendServices dalam project yang sama dengan resource urlMap. Secara default, resource urlMap dalam satu project dapat merujuk backendBuckets dan BackendServices yang kompatibel dari project lain dalam organisasi yang sama selama pengguna memiliki izin compute.backendService.use, compute.regionBackendServices.use, atau compute.backendBuckets.use. Sebaiknya jangan gunakan batasan ini dengan batasan compute.restrictSharedVpcBackendServices untuk menghindari konflik. Project, folder, dan resource organisasi dalam daftar yang diizinkan atau ditolak memengaruhi semua BackendBuckets dan BackendServices di bawahnya dalam hierarki resource. Hanya project, folder, dan resource organisasi yang dapat disertakan dalam daftar yang diizinkan atau ditolak, dan harus ditentukan dalam bentuk:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/regions/REGION/backendbuckets/BACKEND_BUCKET_NAME
  • projects/PROJECT_ID/global/backendbuckets/BACKEND_BUCKET_NAME
  • projects/PROJECT_ID/regions/REGION/backendservices/BACKEND_SERVICE_NAME
  • projects/PROJECT_ID/global/backendservices/BACKEND_SERVICE_NAME

  • constraints/compute.restrictCrossProjectServices
"is:", "under:"
Compute Engine Membatasi penggunaan Dedicated Interconnect Batasan daftar ini menentukan kumpulan jaringan Compute Engine yang diizinkan untuk menggunakan Dedicated Interconnect. Secara default, jaringan diizinkan untuk menggunakan semua jenis Interconnect. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam format: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine Membatasi Pembuatan Load Balancer Berdasarkan Jenis Load Balancer Batasan daftar ini menentukan kumpulan jenis load balancer yang dapat dibuat untuk organisasi, folder, atau project. Setiap jenis load balancer yang akan diizinkan atau ditolak harus dicantumkan secara eksplisit. Secara default, pembuatan semua jenis load balancer diizinkan.
Daftar nilai yang diizinkan atau ditolak harus diidentifikasi sebagai nama string load balancer, dan hanya dapat menyertakan nilai dari daftar di bawah ini:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_TCP_PROXY
  • REGIONAL_INTERNAL_MANAGED_TCP_PROXY
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
  • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY
  • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY

  • Untuk menyertakan semua jenis load balancer internal atau eksternal, gunakan awalan in: diikuti dengan INTERNAL atau EXTERNAL. Misalnya, mengizinkan in:INTERNAL akan mengizinkan semua jenis load balancer dari daftar di atas yang mengandung INTERNAL.
    constraints/compute.restrictLoadBalancerCreationForTypes
    "is:", "in:"
    Compute Engine Batasi Non-Confidential Computing Daftar tolak batasan daftar ini menentukan kumpulan layanan yang mengharuskan semua resource baru dibuat dengan mengaktifkan Confidential Computing. Secara default, resource baru tidak diperlukan untuk menggunakan Confidential Computing. Meski batasan daftar ini diterapkan, Confidential Computing tidak dapat dinonaktifkan selama siklus proses resource. Resource yang ada akan terus berfungsi seperti biasa. Daftar layanan yang ditolak harus diidentifikasi sebagai nama string API, dan hanya dapat menyertakan nilai yang ditolak secara eksplisit dari daftar di bawah. Mengizinkan API secara eksplisit saat ini tidak didukung. Menolak API secara eksplisit yang tidak ada dalam daftar ini akan mengakibatkan error. Daftar API yang didukung: [compute.googleapis.com, container.googleapis.com]
    constraints/compute.restrictNonConfidentialComputing
    "is:"
    Compute Engine Membatasi penggunaan Partner Interconnect Batasan daftar ini menentukan kumpulan jaringan Compute Engine yang diizinkan untuk menggunakan Partner Interconnect. Secara default, jaringan diizinkan untuk menggunakan semua jenis Interconnect. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam format: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictPartnerInterconnectUsage
    "is:", "under:"
    Compute Engine Batasi Konsumen Private Service Connect yang diizinkan Batasan daftar ini menentukan organisasi, folder, dan project yang dapat terhubung ke lampiran layanan dalam project atau organisasi produsen. Daftar yang diizinkan atau ditolak harus diidentifikasi dalam bentuk berikut: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau under:projects/PROJECT_ID. Secara default, semua koneksi diizinkan.
    constraints/compute.restrictPrivateServiceConnectConsumer
    "is:", "under:"
    Compute Engine Batasi Produsen Private Service Connect yang diizinkan Batasan daftar ini menentukan lampiran layanan mana yang dapat dihubungkan oleh konsumen Private Service Connect. Batasan ini memblokir deployment endpoint atau backend Private Service Connect berdasarkan organisasi, folder, atau resource project lampiran layanan yang dirujuk oleh endpoint atau backend. Daftar yang diizinkan atau ditolak harus diidentifikasi dalam bentuk berikut: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau under:projects/PROJECT_ID. Secara default, semua koneksi diizinkan.
    constraints/compute.restrictPrivateServiceConnectProducer
    "is:", "under:"
    Compute Engine Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP Batasan daftar ini menentukan jenis objek aturan penerusan protokol dengan instance target yang dapat dibuat oleh pengguna. Ketika batasan ini diterapkan, objek aturan penerusan baru dengan instance target akan dibatasi ke alamat IP internal dan/atau eksternal, berdasarkan jenis yang ditentukan. Jenis yang diizinkan atau ditolak harus dicantumkan secara eksplisit. Secara default, pembuatan objek aturan penerusan protokol internal dan eksternal dengan instance target diizinkan.
    Daftar nilai yang diizinkan atau ditolak hanya dapat berisi nilai dari daftar di bawah ini:
    • INTERNAL
    • EKSTERNAL
    .
    constraints/compute.restrictProtocolForwardingCreationForTypes
    "is:"
    Compute Engine Membatasi Layanan Backend VPC Bersama Batasan daftar ini menentukan kumpulan Layanan Backend VPC bersama yang dapat digunakan oleh resource yang memenuhi syarat. Batasan ini tidak berlaku pada resource dalam project yang sama. Secara default, resource yang memenuhi syarat dapat menggunakan Layanan Backend VPC bersama. Daftar Layanan Backend yang diizinkan/ditolak harus ditentukan dalam format: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME, atau projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Batasan ini tidak berlaku surut.
    constraints/compute.restrictSharedVpcBackendServices
    "is:", "under:"
    Compute Engine Batasi Project Host VPC Bersama Batasan daftar ini menentukan kumpulan project host VPC Bersama yang dapat dilampiri project pada atau di bawah resource ini. Secara default, sebuah project dapat terhubung ke project host mana pun dalam organisasi yang sama, sehingga menjadi project layanan. Project, folder, dan organisasi dalam daftar yang diizinkan/ditolak memengaruhi semua objek di bawahnya dalam hierarki resource, dan harus ditentukan dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau projects/PROJECT_ID.
    constraints/compute.restrictSharedVpcHostProjects
    "is:", "under:"
    Compute Engine Batasi Subnetwork VPC yang Dibagikan Batasan daftar ini menentukan kumpulan subnetwork VPC bersama yang dapat digunakan oleh resource yang memenuhi syarat. Batasan ini tidak berlaku pada resource dalam project yang sama. Secara default, resource yang memenuhi syarat dapat menggunakan subnetwork VPC bersama mana pun. Daftar subnetwork yang diizinkan/ditolak harus ditentukan dalam format: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
    constraints/compute.restrictSharedVpcSubnetworks
    "is:", "under:"
    Compute Engine Batasi penggunaan peering VPC Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan melakukan peering dengan jaringan VPC yang termasuk dalam project, folder, atau organisasi ini. Setiap akhir peering harus memiliki izin peering. Secara default, Admin Jaringan untuk satu jaringan dapat melakukan peering dengan jaringan lain mana pun. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam format: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictVpcPeering
    "is:", "under:"
    Compute Engine Batasi IP Peer VPN Batasan daftar ini menentukan kumpulan alamat IP valid yang dapat dikonfigurasi sebagai IP peer VPN. Secara default, semua IP bisa menjadi IP peer VPN untuk jaringan VPC. Daftar alamat IP yang diizinkan/ditolak harus ditentukan sebagai alamat IP yang valid dalam format: IP_V4_ADDRESS atau IP_V6_ADDRESS.
    constraints/compute.restrictVpnPeerIPs
    "is:"
    Compute Engine Menetapkan setelan DNS internal untuk project baru ke Khusus DNS Zonal Jika disetel ke `True`, project yang baru dibuat akan menggunakan DNS Zonal sebagai default. Secara default, batasan ini disetel ke `False` dan project yang baru dibuat akan menggunakan jenis DNS default.
    constraints/compute.setNewProjectDefaultToZonalDNSOnly
    "is:"
    Compute Engine Project Pemilik Reservasi Bersama Batasan daftar ini menentukan kumpulan project yang diizinkan untuk membuat dan memiliki reservasi bersama di organisasi. Reservasi bersama mirip dengan reservasi lokal, tetapi reservasi bersama dapat digunakan oleh project Compute Engine lain dalam hierarki resource, bukan hanya dapat digunakan oleh project pemilik. Daftar project yang diizinkan untuk mengakses reservasi bersama harus dalam format: projects/PROJECT_NUMBER atau under:projects/PROJECT_NUMBER.
    constraints/compute.sharedReservationsOwnerProjects
    "is:", "under:"
    Compute Engine Melewati pembuatan jaringan default Batasan boolean ini tidak akan membuat jaringan default dan resource terkait selama pembuatan resource Project Google Cloud Platform, tempat batasan ini ditetapkan ke True. Secara default, jaringan default dan resource yang mendukung akan otomatis dibuat saat membuat project Project.

    constraints/compute.skipDefaultNetworkCreation
    "is:"
    Compute Engine Pembatasan penggunaan resource Compute Storage (disk, gambar, dan snapshot Compute Engine) Batasan daftar ini menentukan kumpulan project yang diizinkan untuk menggunakan resource penyimpanan Compute Engine. Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat mengakses resource Compute Engine. Saat menggunakan batasan ini, pengguna harus memiliki izin Cloud IAM dan tidak boleh dibatasi oleh batasan tersebut untuk mengakses resource.
    Project, folder, dan organisasi yang ditentukan dalam daftar yang diizinkan atau ditolak harus dalam format: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

    constraints/compute.storageResourceUseRestrictions
    "is:", "under:"
    Compute Engine Menentukan project gambar tepercaya Batasan daftar ini menentukan kumpulan project yang dapat digunakan untuk penyimpanan image dan pembuatan instance disk untuk Compute Engine.
    Secara default, instance dapat dibuat dari gambar di project apa pun yang membagikan gambar secara publik atau eksplisit kepada pengguna.
    Daftar project penayang yang diizinkan/ditolak harus berupa string dalam bentuk: projects/PROJECT_ID. Jika batasan ini aktif, hanya gambar dari project tepercaya yang akan diizinkan sebagai sumber boot disk untuk instance baru.

    constraints/compute.trustedImageProjects
    "is:"
    Compute Engine Batasi Penerusan IP VM Batasan daftar ini menentukan kumpulan instance VM yang dapat mengaktifkan penerusan IP. Secara default, semua VM dapat mengaktifkan penerusan IP di jaringan virtual mana pun. Instance VM harus ditentukan dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Batasan ini tidak berlaku surut.
    constraints/compute.vmCanIpForward
    "is:", "under:"
    Compute Engine Menentukan IP eksternal yang diizinkan untuk instance VM Batasan daftar ini menentukan kumpulan instance VM Compute Engine yang diizinkan untuk menggunakan alamat IP eksternal.
    Secara default, semua instance VM diizinkan untuk menggunakan alamat IP eksternal.
    Daftar instance VM yang diizinkan/ditolak harus diidentifikasi berdasarkan nama instance VM, dalam bentuk: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

    constraints/compute.vmExternalIpAccess
    "is:"
    Compute Engine Nonaktifkan Pengaktifan Identity-Aware Proxy (IAP) di resource global Jika diterapkan, batasan boolean ini akan menonaktifkan pengaktifan Identity-Aware Proxy di resource global. Pengaktifan IAP pada resource regional tidak dibatasi oleh batasan ini.
    Secara default, pengaktifan IAP pada resource global diizinkan.
    constraints/iap.requireGlobalIapWebDisabled
    "is:"
    Google Kubernetes Engine Menonaktifkan jalur akses administratif diagnostik di GKE. Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan bagi Assured Workloads. Saat batasan boolean ini diterapkan, semua jalur akses untuk diagnostik dan kasus penggunaan dukungan pelanggan lainnya yang tidak mematuhi persyaratan Assured Workloads akan dinonaktifkan.
    constraints/container.restrictNoncompliantDiagnosticDataAccess
    "is:"
    Dataform Membatasi git remote untuk repositori di Dataform Batasan daftar ini menentukan kumpulan remote yang dapat digunakan oleh repositori dalam project Dataform. Untuk memblokir komunikasi dengan semua remote, setel nilai ke Deny all. Batasan ini berlaku surut, dan memblokir komunikasi untuk repositori yang ada yang melanggarnya. Entri harus berupa link ke remote tepercaya, dalam format yang sama seperti yang diberikan dalam Dataform.
    Secara default, repositori dalam project Dataform dapat berkomunikasi dengan remote apa pun.
    constraints/dataform.restrictGitRemotes
    "is:"
    Datastream Datastream - Memblokir Metode Konektivitas Publik Secara default, profil koneksi Datastream dapat dibuat dengan metode konektivitas publik atau pribadi. Jika batasan boolean untuk kebijakan organisasi ini diterapkan, hanya metode konektivitas pribadi (misalnya, peering VPC) yang dapat digunakan untuk membuat profil koneksi.
    constraints/datastream.disablePublicConnectivity
    "is:"
    Kontak Penting Kontak yang dibatasi domain Batasan daftar ini menentukan kumpulan domain yang dapat dimiliki oleh alamat email yang ditambahkan ke Kontak Penting.
    Secara default, alamat email dengan domain apa pun dapat ditambahkan ke Kontak Penting.
    Daftar yang diizinkan/ditolak harus mencantumkan satu atau beberapa domain dalam formulir @example.com. Jika batasan ini aktif dan dikonfigurasi dengan nilai yang diizinkan, hanya alamat email dengan akhiran yang cocok dengan salah satu entri dari daftar domain yang diizinkan yang dapat ditambahkan di Essential Contacts.
    Batasan ini tidak berpengaruh pada pembaruan atau penghapusan kontak yang ada.
    constraints/essentialcontacts.allowedContactDomains
    "is:"
    Kontak Penting Nonaktifkan Kontak Keamanan Project Batasan boolean ini, jika diterapkan, memungkinkan administrator kebijakan organisasi memastikan bahwa hanya kontak yang ditetapkan di tingkat organisasi atau folder yang dapat menerima notifikasi keamanan. Secara khusus, menerapkan batasan ini akan memblokir pemilik project dan menghubungi administrator agar tidak membuat atau memperbarui Essential Contact dengan kolom notification_category_subscriptions yang berisi kategori SECURITY atau ALL, jika kontak juga memiliki resource project sebagai induk.
    constraints/essentialcontacts.disableProjectSecurityContacts
    "is:"
    Firestore Mewajibkan Agen Layanan Firestore untuk impor/ekspor Batasan boolean ini, jika diterapkan, mengharuskan impor dan ekspor Firestore untuk menggunakan Agen Layanan Firestore.
    Secara default, impor dan ekspor Firestore dapat menggunakan akun layanan App Engine.
    Firestore akan berhenti menggunakan akun layanan App Engine untuk impor dan ekspor di masa mendatang dan semua akun harus bermigrasi ke Agen Layanan Firestore, setelah itu, batasan ini tidak lagi diperlukan.

    constraints/firestore.requireP4SAforImportExport
    "is:"
    Cloud Healthcare Nonaktifkan Cloud Logging untuk Cloud Healthcare API Jika diterapkan, batasan boolean ini akan menonaktifkan Cloud Logging untuk Cloud Healthcare API.
    Log audit tidak terpengaruh oleh batasan ini.
    Cloud Logs yang dibuat untuk Cloud Healthcare API sebelum batasan diterapkan tidak dihapus dan masih dapat diakses.

    constraints/gcp.disableCloudLogging
    "is:"
    Identity and Access Management Mengizinkan perpanjangan masa pakai token akses OAuth 2.0 hingga 12 jam Batasan daftar ini menentukan kumpulan akun layanan yang dapat diberi token akses OAuth 2.0 dengan masa pakai hingga 12 jam. Secara default, masa pakai maksimum untuk token akses ini adalah 1 jam.
    Daftar akun layanan yang diizinkan/ditolak harus menentukan satu atau beberapa alamat email akun layanan.
    constraints/iam.allowServiceAccountCredentialLifetimeExtension
    "is:"
    Identity and Access Management Berbagi dengan domain terbatas Batasan daftar ini menentukan satu atau beberapa ID pelanggan Cloud Identity atau Google Workspace yang akun utamanya dapat ditambahkan ke kebijakan IAM.
    Secara default, semua identitas pengguna diizinkan untuk ditambahkan ke kebijakan IAM. Hanya nilai yang diizinkan yang dapat ditentukan dalam batasan ini. Nilai yang ditolak tidak didukung.
    Jika batasan ini aktif, hanya akun utama yang termasuk dalam ID pelanggan yang diizinkan yang dapat ditambahkan ke kebijakan IAM.
    Anda tidak perlu menambahkan ID pelanggan google.com ke daftar ini untuk bekerja sama dengan layanan Google. Menambahkan google.com memungkinkan berbagi dengan karyawan Google dan sistem non-produksi, dan hanya boleh digunakan untuk berbagi data dengan karyawan Google.
    constraints/iam.allowedPolicyMemberDomains
    "is:"
    Identity and Access Management Nonaktifkan pengecualian Logging Audit Batasan boolean ini, jika diterapkan, mencegah Anda mengecualikan akun utama tambahan dari logging audit. Batasan ini tidak memengaruhi pengecualian logging audit apa pun yang ada sebelum Anda menerapkan batasan.
    constraints/iam.disableAuditLoggingExemption
    "is:"
    Identity and Access Management Menonaktifkan Penggunaan Akun Layanan Lintas Project Jika diterapkan, akun layanan hanya dapat di-deploy (menggunakan peran ServiceAccountUser) ke tugas (vm, fungsi, dll.) yang berjalan di project yang sama dengan akun layanan.
    constraints/iam.disableCrossProjectServiceAccountUsage
    "is:"
    Identity and Access Management Menonaktifkan pembuatan akun layanan Batasan boolean ini menonaktifkan pembuatan akun layanan yang menetapkan batasan ini ke `True`.
    Secara default, akun layanan dapat dibuat oleh pengguna berdasarkan peran dan izin Cloud IAM mereka.

    constraints/iam.disableServiceAccountCreation
    "is:"
    Identity and Access Management Menonaktifkan pembuatan kunci akun layanan Batasan boolean ini menonaktifkan pembuatan kunci eksternal akun layanan, tempat batasan ini ditetapkan ke `True`.
    Secara default, kunci eksternal akun layanan dapat dibuat oleh pengguna berdasarkan peran dan izin Cloud IAM mereka.

    constraints/iam.disableServiceAccountKeyCreation
    "is:"
    Identity and Access Management Nonaktifkan Upload Kunci Akun Layanan Batasan boolean ini menonaktifkan fitur yang mengizinkan upload kunci publik ke akun layanan, yang menetapkan batasan ini ke `True`.
    Secara default, pengguna dapat mengupload kunci publik ke akun layanan berdasarkan peran dan izin Cloud IAM mereka.
    constraints/iam.disableServiceAccountKeyUpload
    "is:"
    Identity and Access Management Nonaktifkan Pembuatan Cluster Workload Identity Batasan boolean ini, ketika disetel ke `True`, mengharuskan semua cluster GKE baru untuk menonaktifkan Workload Identity pada saat dibuat. Cluster GKE saat ini yang Workload Identity-nya aktif akan terus berfungsi seperti biasa. Secara default, Workload Identity dapat diaktifkan untuk semua cluster GKE.
    constraints/iam.disableWorkloadIdentityClusterCreation
    "is:"
    Identity and Access Management Durasi masa berlaku kunci akun layanan dalam jam Batasan daftar ini menentukan durasi maksimum yang diizinkan untuk masa berlaku kunci akun layanan. Secara default, masa berlaku kunci yang dibuat tidak pernah berakhir.
    Durasi yang diizinkan ditentukan dalam jam, dan harus tercantum dari daftar di bawah ini. Hanya satu nilai yang diizinkan yang dapat ditentukan, dan nilai yang ditolak tidak didukung. Menentukan durasi yang tidak ada dalam daftar ini akan mengakibatkan kesalahan.
    • 1h
    • 8h
    • 24h
    • 168h
    • 336h
    • 720h
    • 1440h
    • 2160h
    Untuk menerapkan batasan ini, Anda harus menetapkannya untuk mengganti kebijakan induk di Cloud Console, atau menetapkan inheritFromParent=false dalam file kebijakan jika menggunakan gcloud CLI. Batasan ini tidak dapat digabungkan dengan kebijakan induk. Penerapan batasan tidak berlaku surut dan tidak akan mengubah kunci yang sudah ada.
    constraints/iam.serviceAccountKeyExpiryHours
    "is:"
    Identity and Access Management Respons eksposur kunci akun layanan Batasan daftar ini menentukan respons yang diambil jika Google mendeteksi bahwa kunci akun layanan ditampilkan secara publik. Secara default, tidak ada respons.
    Nilai yang diizinkan adalah DISABLE_KEY dan WAIT_FOR_ABUSE. Nilai yang tidak secara eksplisit merupakan bagian dari daftar ini tidak dapat digunakan. Hanya satu nilai yang diizinkan yang dapat ditentukan, dan nilai yang ditolak tidak didukung.
    Mengizinkan nilai DISABLE_KEY akan otomatis menonaktifkan kunci akun layanan yang terekspos ke publik, dan membuat entri di log audit.
    Mengizinkan nilai WAIT_FOR_ABUSE memilih tidak mengikuti perlindungan ini, dan tidak menonaktifkan kunci akun layanan yang terekspos secara otomatis. Namun, Google Cloud dapat menonaktifkan kunci akun layanan yang terekspos jika kunci tersebut digunakan dengan cara yang berdampak buruk pada platform, tetapi tidak berjanji untuk melakukannya.
    Untuk menerapkan batasan ini, tetapkan kunci tersebut untuk mengganti kebijakan induk di Konsol Google Cloud, atau tetapkan inheritFromParent=false dalam file kebijakan jika menggunakan gcloud CLI. Batasan ini tidak dapat digabungkan dengan kebijakan induk.
    constraints/iam.serviceAccountKeyExposureResponse
    "is:"
    Identity and Access Management Akun AWS yang diizinkan yang dapat dikonfigurasi untuk penggabungan identitas workload di Cloud IAM Daftar ID akun AWS yang dapat dikonfigurasi untuk workload identity federation di Cloud IAM.
    constraints/iam.workloadIdentityPoolAwsAccounts
    "is:"
    Identity and Access Management Penyedia Identitas eksternal yang diizinkan untuk beban kerja di Cloud IAM Penyedia Identitas yang dapat dikonfigurasi untuk autentikasi beban kerja dalam Cloud IAM, ditentukan oleh URI/URL.
    constraints/iam.workloadIdentityPoolProviders
    "is:"
    Bidang Kontrol Terkelola Layanan Mesh Anthos Mode Kontrol Layanan VPC yang diizinkan untuk Paket Kontrol Terkelola Anthos Service Mesh Batasan ini menentukan mode Kontrol Layanan VPC yang dapat ditetapkan saat menyediakan Pesawat Kontrol Terkelola Anthos Service Mesh yang baru. Nilai yang valid adalah "NONE" dan "COMPATIBLE".
    constraints/meshconfig.allowedVpcscModes
    "is:"
    Cloud Pub/Sub Menerapkan region dalam pengiriman untuk pesan Pub/Sub Batasan boolean ini, jika diterapkan, menetapkan MessageStoragePolicy::enforce_in_transit ke true untuk semua topik Pub/Sub baru pada waktu pembuatan. Hal ini memastikan bahwa Data Pelanggan hanya transit dalam wilayah yang diizinkan yang ditentukan dalam kebijakan penyimpanan pesan untuk topik tersebut.
    constraints/pubsub.enforceInTransitRegions
    "is:"
    Resource Manager Membatasi penghapusan lien project VPC bersama Batasan boolean ini membatasi kumpulan pengguna yang dapat menghapus lien project host VPC Bersama tanpa izin tingkat organisasi tempat batasan ini ditetapkan ke True.
    Secara default, setiap pengguna yang memiliki izin untuk memperbarui lien dapat menghapus lien project host VPC Bersama. Untuk menerapkan batasan ini, izin harus diberikan di tingkat organisasi.
    constraints/compute.restrictXpnProjectLienRemoval
    "is:"
    Resource Manager Membatasi penghapusan lien Akun Layanan Lintas Project Batasan boolean ini, saat DITERAPKAN, mencegah pengguna menghapus lien Akun Layanan Lintas Project tanpa izin tingkat organisasi. Secara default, semua pengguna yang memiliki izin untuk memperbarui lien dapat menghapus lien Akun Layanan Lintas Project. Untuk menerapkan batasan ini, izin tersebut harus diberikan di tingkat organisasi.
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval
    "is:"
    Resource Manager Membatasi visibilitas kueri resource Batasan daftar ini, saat diterapkan pada resource organisasi, menentukan kumpulan resource Google Cloud yang ditampilkan dalam metode daftar dan penelusuran untuk pengguna di domain organisasi tempat batasan ini diterapkan. Atribut ini dapat digunakan untuk membatasi resource yang terlihat di berbagai bagian Cloud Console, seperti halaman Pemilih Resource, Telusuri, dan Kelola Resource. Perhatikan bahwa Batasan ini hanya dievaluasi di tingkat Organisasi. Nilai yang ditentukan dalam daftar yang diizinkan/tolak harus dalam bentuk: under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.accessBoundaries
    "is:", "under:"
    Resource Manager Wajibkan Daftar Layanan yang Diizinkan untuk Pemindahan Lintas Organisasi Batasan daftar ini berfungsi sebagai pemeriksaan untuk memverifikasi bahwa project yang mengaktifkan layanan memenuhi syarat untuk pemindahan lintas organisasi. Resource yang mengaktifkan layanan yang didukung harus menerapkan batasan ini dan layanan yang didukung disertakan dalam nilai yang diizinkan agar memenuhi syarat untuk pemindahan lintas organisasi. Daftar nilai yang diizinkan saat ini untuk layanan yang didukung dan dapat digunakan adalah:
    • SHARED_VPC

    Batasan ini memberikan kontrol tambahan selain batasan/resourcemanager.permissionsExportDestinations. list_constraint ini kosong secara default dan tidak akan memblokir pemindahan lintas organisasi kecuali jika layanan yang didukung diaktifkan pada resource yang akan diekspor. Batasan ini memungkinkan kontrol yang lebih terperinci atas resource dengan fitur yang memerlukan kehati-hatian lebih tinggi saat dipindahkan ke organisasi lain. Secara default, resource dengan layanan yang didukung aktif tidak dapat dipindahkan antar-organisasi.
    constraints/resourcemanager.allowEnabledServicesForExport
    "is:"
    Resource Manager Tujuan yang Diizinkan untuk Mengekspor Resource Batasan daftar ini menentukan kumpulan Organisasi eksternal tempat resource dapat dipindahkan, dan menolak semua pemindahan ke semua Organisasi lainnya. Secara default, resource tidak dapat dipindahkan di antara Organisasi. Jika batasan ini diterapkan ke resource, resource hanya dapat dipindahkan ke Organisasi yang secara eksplisit diizinkan oleh batasan ini. Pemindahan dalam Organisasi tidak diatur oleh batasan ini. Operasi pemindahan akan tetap memerlukan izin IAM yang sama seperti pemindahan resource biasa. Nilai yang ditentukan dalam daftar yang diizinkan/tolak harus dalam bentuk: under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedExportDestinations
    "is:", "under:"
    Resource Manager Sumber yang Diizinkan untuk Mengimpor Resource Batasan daftar ini menentukan kumpulan Organisasi eksternal tempat resource dapat diimpor, dan menolak semua pemindahan dari semua Organisasi lainnya. Secara default, resource tidak dapat dipindahkan di antara Organisasi. Jika batasan ini diterapkan ke resource, resource yang diimpor langsung di bawah resource ini harus secara eksplisit diizinkan oleh batasan ini. Pemindahan dalam Organisasi tidak diatur oleh batasan ini. Operasi pemindahan akan tetap memerlukan izin IAM yang sama seperti pemindahan resource biasa. Nilai yang ditentukan dalam daftar yang diizinkan/tolak harus dalam bentuk: under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedImportSources
    "is:", "under:"
    Cloud Run Kebijakan Otorisasi Biner yang Diizinkan (Cloud Run) Batasan daftar ini menentukan kumpulan nama kebijakan Otorisasi Biner yang diizinkan untuk ditentukan pada resource Cloud Run. Untuk mengizinkan/melarang kebijakan default, gunakan nilai `default`. Untuk mengizinkan/melarang satu atau beberapa kebijakan platform kustom, ID resource setiap kebijakan tersebut harus ditambahkan secara terpisah.
    constraints/run.allowedBinaryAuthorizationPolicies
    "is:"
    Cloud Run Setelan masuk yang diizinkan (Cloud Run) Batasan daftar ini menentukan setelan ingress yang diizinkan untuk layanan Cloud Run. Saat batasan ini diterapkan, layanan harus memiliki setelan ingress yang cocok dengan salah satu nilai yang diizinkan. Layanan Cloud Run yang sudah ada, dengan setelan ingress yang melanggar batasan ini, dapat terus diupdate hingga setelan ingress layanan diubah untuk mematuhi batasan ini. Setelah layanan mematuhi batasan ini, layanan hanya dapat menggunakan setelan masuk yang diizinkan oleh batasan ini.
    Secara default, layanan Cloud Run dapat menggunakan setelan ingress apa pun.
    Daftar yang diizinkan harus berisi nilai setelan masuk yang didukung, yaitu all, internal, dan internal-and-cloud-load-balancing.

    constraints/run.allowedIngress
    "is:"
    Cloud Run Setelan traffic keluar VPC yang diizinkan (Cloud Run) Batasan daftar ini menentukan setelan traffic keluar VPC yang diizinkan untuk ditentukan pada resource Cloud Run. Saat batasan ini diterapkan, resource Cloud Run harus di-deploy dengan konektor Akses VPC Tanpa Server atau dengan traffic keluar VPC Langsung yang diaktifkan, dan setelan traffic keluar VPC harus sesuai dengan salah satu nilai yang diizinkan.
    Secara default, resource Cloud Run dapat menetapkan setelan traffic keluar VPC ke nilai apa pun yang didukung.
    Daftar yang diizinkan harus berisi nilai setelan traffic keluar VPC yang didukung, yaitu private-ranges-only dan all-traffic.

    Untuk layanan Cloud Run yang ada, semua revisi baru harus mematuhi batasan ini. Layanan yang sudah ada dengan revisi yang menayangkan traffic yang melanggar batasan ini dapat terus memigrasikan traffic ke revisi yang melanggar batasan ini. Setelah semua traffic untuk layanan dilayani oleh revisi yang sesuai dengan batasan ini, semua migrasi traffic berikutnya hanya boleh memigrasikan traffic ke revisi yang mematuhi batasan ini.
    constraints/run.allowedVPCEgress
    "is:"
    Service Consumer Management Menonaktifkan Pemberian IAM Otomatis untuk Akun Layanan Default Batasan boolean ini, jika diterapkan, akan mencegah akun layanan App Engine dan Compute Engine default yang dibuat di project Anda agar tidak otomatis diberi peran IAM di project saat akun tersebut dibuat.
    Secara default, akun layanan ini otomatis menerima peran Editor saat dibuat.
    constraints/iam.automaticIamGrantsForDefaultServiceAccounts
    "is:"
    Service Control Batasi Versi TLS Batasan ini menentukan kumpulan versi TLS yang tidak dapat digunakan di organisasi, folder, atau project tempat batasan ini diterapkan, atau turunan resource tersebut dalam hierarki resource.
    Secara default, semua versi TLS diizinkan. Versi TLS hanya dapat ditentukan dalam daftar yang ditolak, dan harus diidentifikasi dalam format TLS_VERSION_1 atau TLS_VERSION_1_1.
    Batasan ini hanya berlaku untuk permintaan yang menggunakan TLS. Informasi tersebut tidak akan digunakan untuk membatasi permintaan yang tidak dienkripsi.
    Untuk informasi selengkapnya, lihat https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.
    constraints/gcp.restrictTLSVersion
    "is:"
    Cloud Spanner Mengaktifkan kontrol layanan lanjutan untuk workload kepatuhan Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan bagi Assured Workloads. Saat batasan boolean ini diterapkan, aspek dukungan tertentu akan terganggu dan resource yang disediakan akan benar-benar mengikuti persyaratan kedaulatan lanjutan untuk Assured Workloads. Kebijakan ini akan berlaku untuk project yang ada, tetapi tidak akan memengaruhi resource yang telah disediakan; yaitu modifikasi kebijakan hanya akan terlihat pada resource yang dibuat setelah kebijakan diubah.
    constraints/spanner.assuredWorkloadsAdvancedServiceControls
    "is:"
    Cloud Spanner Menonaktifkan multi-region Cloud Spanner jika tidak ada lokasi yang dipilih Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan bagi Assured Workloads. Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance spanner menggunakan konfigurasi instance multi-region, kecuali jika lokasi dipilih. Cloud Spanner saat ini belum mendukung pemilihan lokasi, sehingga semua multi-region tidak akan diizinkan. Di masa mendatang, Spanner akan menyediakan fungsi bagi pengguna untuk memilih lokasi untuk multi-region. Penerapan batasan ini tidak berlaku surut. Instance Spanner yang telah dibuat tidak akan terpengaruh.
    constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected
    "is:"
    Cloud Storage Google Cloud Platform - Mode Logging Audit Mendetail Saat Mode Logging Audit Mendetail diterapkan, baik permintaan maupun respons akan disertakan dalam Cloud Audit Logs. Perubahan pada fitur ini dapat memerlukan waktu hingga 10 menit untuk diterapkan. Kebijakan Organisasi ini sangat dianjurkan untuk digunakan dengan Bucket Lock ketika mengupayakan kepatuhan seperti Aturan SEC 17a-4(f), Aturan CFTC 1.31(c)-(d), dan Aturan FINRA 4511(c). Kebijakan ini saat ini hanya didukung di Cloud Storage.
    constraints/gcp.detailedAuditLoggingMode
    "is:"
    Cloud Storage Terapkan Pencegahan Akses Publik Amankan data Cloud Storage Anda dari eksposur publik dengan menerapkan pencegahan akses publik. Kebijakan tata kelola ini mencegah resource yang ada dan yang akan datang diakses melalui internet publik dengan menonaktifkan dan memblokir izin ACL dan IAM yang memberikan akses ke allUsers dan allAuthenticatedUsers. Terapkan kebijakan ini di seluruh organisasi (direkomendasikan), project tertentu, atau folder tertentu untuk memastikan tidak ada data yang ditampilkan kepada publik.
    Kebijakan ini menggantikan izin publik yang ada. Akses publik akan dicabut untuk bucket dan objek yang ada setelah kebijakan ini diaktifkan.
    constraints/storage.publicAccessPrevention
    "is:"
    Cloud Storage Cloud Storage - membatasi jenis autentikasi Batasan ini menentukan kumpulan jenis autentikasi yang akan dibatasi agar tidak dapat mengakses resource penyimpanan apa pun dalam organisasi di Cloud Storage. Nilai yang didukung adalah USER_ACCOUNT_HMAC_SIGNED_REQUESTS dan SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Gunakan in:ALL_HMAC_SIGNED_REQUESTS untuk menyertakan keduanya.
    constraints/storage.restrictAuthTypes
    "is:", "in:"
    Cloud Storage Durasi kebijakan retensi dalam detik Batasan daftar ini menentukan rangkaian durasi untuk kebijakan retensi yang dapat ditetapkan pada bucket Cloud Storage.
    Secara default, jika tidak ada kebijakan organisasi yang ditentukan, bucket Cloud Storage dapat memiliki kebijakan retensi dengan durasi berapa pun.
    Daftar durasi yang diizinkan harus ditentukan sebagai nilai bilangan bulat positif yang lebih besar dari nol, yang mewakili kebijakan retensi dalam detik.
    Setiap operasi penyisipan, update, atau patch pada bucket di resource organisasi harus memiliki durasi kebijakan retensi yang cocok dengan batasan tersebut.
    Pemberlakuan batasan ini tidak berlaku surut. Saat kebijakan organisasi baru diterapkan, kebijakan retensi bucket yang ada tetap tidak berubah dan valid.

    constraints/storage.retentionPolicySeconds
    "is:"
    Cloud Storage Membatasi akses HTTP yang tidak terenkripsi Batasan boolean ini, saat diterapkan, secara eksplisit menolak akses HTTP (tidak dienkripsi) ke semua resource penyimpanan. Secara default, Cloud Storage XML API memungkinkan akses HTTP yang tidak terenkripsi. Perhatikan bahwa Cloud Storage JSON API, gRPC, dan Cloud Console hanya mengizinkan akses HTTP terenkripsi ke resource Cloud Storage.
    constraints/storage.secureHttpTransport
    "is:"
    Cloud Storage Terapkan akses level bucket yang seragam Batasan boolean ini memerlukan bucket untuk menggunakan akses level bucket seragam, tempat batasan ini ditetapkan ke True. Semua bucket baru dalam resource Organisasi harus mengaktifkan akses level bucket seragam, dan bucket yang ada dalam resource organisasi tidak dapat menonaktifkan akses level bucket seragam.
    Penerapan batasan ini tidak berlaku surut: bucket yang ada dengan akses level bucket seragam yang dinonaktifkan akan terus dinonaktifkan. Nilai default untuk batasan ini adalah False.
    Akses level bucket seragam menonaktifkan evaluasi ACL yang ditetapkan ke objek Cloud Storage di dalam bucket. Akibatnya, hanya kebijakan IAM yang memberikan akses ke objek dalam bucket tersebut.

    constraints/storage.uniformBucketLevelAccess
    "is:"

    Panduan cara kerja

    Untuk informasi selengkapnya tentang cara menggunakan batasan individual:

    Batasan Panduan cara kerja
    constraints/cloudbuild.allowedIntegrations Gerbang dibuat berdasarkan kebijakan organisasi
    constraints/cloudfunctions.allowedIngressSettings Menggunakan Kontrol Layanan VPC
    constraints/cloudfunctions.allowedVpcConnectorEgressSettings Menggunakan Kontrol Layanan VPC
    constraints/cloudfunctions.requireVPCConnector Menggunakan Kontrol Layanan VPC
    constraints/gcp.restrictNonCmekServices Kebijakan organisasi CMEK
    constraints/gcp.restrictCmekCryptoKeyProjects Kebijakan organisasi CMEK
    constraints/gcp.restrictTLSVersion Membatasi versi TLS
    constraints/compute.restrictPrivateServiceConnectConsumer
    constraints/compute.restrictPrivateServiceConnectProducer
    Mengelola keamanan untuk konsumen Private Service Connect
    constraints/compute.restrictCloudNATUsage Membatasi penggunaan Cloud NAT
    constraints/compute.restrictLoadBalancerCreationForTypes Batasan Cloud Load Balancing
    constraints/compute.restrictProtocolForwardingCreationForTypes Batasan penerusan protokol
    constraints/compute.restrictDedicatedInterconnectUsage
    constraints/compute.restrictPartnerInterconnectUsage
    Membatasi penggunaan Cloud Interconnect
    constraints/compute.restrictVpnPeerIPs Membatasi alamat IP Peer melalui tunnel Cloud VPN
    constraints/compute.trustedImageProjects Membatasi akses ke gambar
    constraints/compute.vmExternalIpAccess Menonaktifkan akses IP eksternal untuk VM
    constraints/compute.requireVpcFlowLogs Batasan kebijakan organisasi untuk Log Aliran VPC
    constraints/dataform.restrictGitRemotes Membatasi repositori jarak jauh
    constraints/gcp.restrictServiceUsage Membatasi penggunaan resource
    constraints/iam.allowedPolicyMemberDomains Membatasi identitas menurut domain
    constraints/iam.allowServiceAccountCredentialLifetimeExtension Memperpanjang masa pakai token akses OAuth 2.0
    constraints/iam.disableCrossProjectServiceAccountUsage Melampirkan akun layanan ke resource di project yang berbeda
    constraints/iam.disableServiceAccountCreation Membatasi pembuatan akun layanan
    constraints/iam.disableServiceAccountKeyCreation Membatasi pembuatan kunci akun layanan
    constraints/iam.disableServiceAccountKeyUpload Membatasi upload kunci akun layanan
    constraints/iam.disableWorkloadIdentityClusterCreation Membatasi pembuatan cluster workload identity
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval Melampirkan akun layanan ke resource di project yang berbeda
    constraints/gcp.detailedAuditLoggingMode
    constraints/storage.retentionPolicySeconds
    constraints/storage.uniformBucketLevelAccess
    constraints/storage.publicAccessPrevention
    Batasan kebijakan organisasi untuk Cloud Storage
    constraints/gcp.disableCloudLogging Menonaktifkan Cloud Logging
    constraints/gcp.resourceLocations Membatasi Lokasi Resource
    constraints/resourcemanager.accessBoundaries Membatasi visibilitas project bagi pengguna
    constraints/run.allowedIngress Menggunakan kontrol layanan VPC
    constraints/run.allowedVPCEgress Menggunakan kontrol layanan VPC

    Pelajari lebih lanjut

    Untuk mempelajari konsep inti kebijakan organisasi lebih lanjut: