Vincoli disponibili
Puoi specificare criteri che utilizzano i seguenti vincoli.
Vincoli supportati da più servizi Google Cloud
| Vincolo | Descrizione | Prefissi supportati |
|---|---|---|
| Pool di worker consentiti (Cloud Build) | Questo vincolo dell'elenco definisce l'insieme di pool di worker di Cloud Build consentiti per l'esecuzione delle build utilizzando Cloud Build. Quando questo vincolo viene applicato, sarà necessario creare le build in un pool di worker che corrisponda a uno dei valori consentiti. Per impostazione predefinita, Cloud Build può utilizzare qualsiasi pool di worker. L'elenco consentiti di pool di worker deve essere nel formato:
constraints/cloudbuild.allowedWorkerPools |
"is:", "under:" |
| Google Cloud Platform - Restrizione sulla località delle risorse | Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare le risorse Google Cloud basate sulla località. Per impostazione predefinita, le risorse possono essere create in qualsiasi località. In base ai criteri per questo vincolo, è possibile specificare come località consentite o negate più regioni, come asia e europe, e regioni come us-east1 o europe-west1. Autorizzare o meno aree geografiche multiple non significa che bisogna autorizzare o meno anche tutte le località secondarie. Ad esempio, se il criterio non consente l'utilizzo della località a più regioni us (che fa riferimento a risorse multiregionali, come alcuni servizi di archiviazione), è comunque possibile creare risorse nella località a livello di regione us-east1. Il gruppo in:us-locations contiene tutte le località all'interno della regione us e può essere utilizzato per bloccare ogni regione. Ti consigliamo di utilizzare gruppi di valori per definire il criterio. Puoi specificare gruppi di valori, ovvero raccolte di località curate da Google per definire in modo semplice le località delle tue risorse. Per utilizzare i gruppi di valori nel criterio dell'organizzazione, aggiungi il prefisso in: alle voci, seguito dal gruppo di valori. Ad esempio, per creare risorse che si troveranno fisicamente solo all'interno degli Stati Uniti, imposta in:us-locations nell'elenco dei valori consentiti.Se il campo suggested_value viene utilizzato in un criterio di località, questo deve essere una regione. Se il valore specificato è un'area geografica, una UI di una risorsa di zona può pre-popolare qualsiasi zona dell'area geografica. constraints/gcp.resourceLocations |
"is:", "in:" |
| Limita i progetti che possono fornire CryptoKey KMS per CMEK | Questo vincolo dell'elenco definisce i progetti che possono essere utilizzati per fornire chiavi di crittografia gestite dal cliente (CMEK) durante la creazione delle risorse. L'impostazione di questo vincolo su Allow (ad esempio, consenti solo le chiavi CMEK di questi progetti) garantisce che non sia possibile utilizzare le chiavi CMEK di altri progetti per proteggere le risorse create di recente. I valori di questo vincolo devono essere specificati nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. I servizi supportati che applicano questo vincolo sono:
Deny o Deny All. L'applicazione di questo vincolo non è retroattiva. Le risorse Google Cloud CMEK esistenti con CryptoKey KMS provenienti da progetti non consentiti devono essere riconfigurate o ricreate manualmente per garantire l'applicazione. constraints/gcp.restrictCmekCryptoKeyProjects |
"is:", "under:" |
| Limita i servizi che possono creare risorse senza CMEK | Questo vincolo dell'elenco definisce i servizi che richiedono chiavi di crittografia gestite dal cliente (CMEK). L'impostazione di questo vincolo su Deny (ad esempio, per negare la creazione di risorse senza CMEK) richiede che le risorse create di recente siano protette da una chiave CMEK per i servizi specificati. I servizi supportati che possono essere impostati in questo vincolo sono:
Deny All. Non è consentito impostare questo vincolo su Allow. L'applicazione di questo vincolo non è retroattiva. Le risorse Google Cloud non CMEK esistenti devono essere riconfigurate o ricreate manualmente per garantire l'applicazione. constraints/gcp.restrictNonCmekServices |
"is:" |
| Limita utilizzo del servizio risorse | Questo vincolo definisce l'insieme dei servizi di risorse Google Cloud che possono essere utilizzati all'interno di un'organizzazione, una cartella o un progetto, ad esempio compute.googleapis.com e storage.googleapis.com. Per impostazione predefinita, sono consentiti tutti i servizi di risorse Google Cloud. Per ulteriori informazioni, vedi https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources. constraints/gcp.restrictServiceUsage |
"is:" |
| Disabilita l'abilitazione di Identity-Aware Proxy (IAP) nelle risorse di regione | Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse di regione. L'abilitazione di IAP nelle risorse globali non è limitata da questo vincolo. Per impostazione predefinita, è consentito abilitare IAP nelle risorse di regione. constraints/iap.requireRegionalIapWebDisabled |
"is:" |
| Limita API e servizi Google Cloud consentiti | Questo vincolo dell'elenco limita l'insieme di servizi e relative API che è possibile abilitare su questa risorsa. Per impostazione predefinita, sono consentiti tutti i servizi. L'elenco dei servizi negati deve essere incluso nell'elenco che segue. Attualmente l'abilitazione esplicita delle API tramite questo vincolo non è supportata. Se viene specificata un'API non compresa in questo elenco verrà restituito un errore. L'applicazione di questo vincolo non è retroattiva. Se un servizio è già abilitato su una risorsa al momento dell'applicazione di questo vincolo, rimarrà abilitato. constraints/serviceuser.services |
"is:" |
Vincoli per servizi specifici
| Servizi | Vincolo | Descrizione | Prefissi supportati |
|---|---|---|---|
| Vertex AI Workbench | Definisci la modalità di accesso per blocchi note e istanze Vertex AI Workbench | Questo vincolo dell'elenco definisce le modalità di accesso consentite a blocchi note e istanze di Vertex AI Workbench, se applicate. L'elenco di utenti consentiti o non autorizzati può specificare più utenti con la modalità service-account o l'accesso per utente singolo con la modalità single-user. La modalità di accesso da consentire o bloccare deve essere elencata in modo esplicito. constraints/ainotebooks.accessMode |
"is:" |
| Vertex AI Workbench | Disabilita i download dei file sulle nuove istanze Vertex AI Workbench | Quando applicato, questo vincolo booleano impedisce di creare istanze di Vertex AI Workbench con l'opzione Download file abilitata. Per impostazione predefinita, l'opzione Download file può essere attivata su qualsiasi istanza di Vertex AI Workbench. constraints/ainotebooks.disableFileDownloads |
"is:" |
| Vertex AI Workbench | Disabilita l'accesso root alle nuove istanze e ai nuovi blocchi note gestiti dall'utente di Vertex AI Workbench | Quando applicato, questo vincolo booleano impedisce alle istanze e ai blocchi note gestiti dall'utente di Vertex AI Workbench appena creati di abilitare l'accesso root. Per impostazione predefinita, le istanze e i blocchi note gestiti dall'utente di Vertex AI Workbench possono avere l'accesso root abilitato. constraints/ainotebooks.disableRootAccess |
"is:" |
| Vertex AI Workbench | Disattiva il terminale sulle nuove istanze di Vertex AI Workbench | Se applicato, questo vincolo booleano impedisce la creazione di istanze di Vertex AI Workbench in cui sia abilitato il terminale. Per impostazione predefinita, il terminale può essere abilitato nelle istanze di Vertex AI Workbench. constraints/ainotebooks.disableTerminal |
"is:" |
| Vertex AI Workbench | Limita le opzioni di ambiente nelle nuove istanze e nei nuovi blocchi note di Vertex AI Workbench | Questo vincolo dell'elenco definisce le opzioni per le immagini VM e container che l'utente può selezionare quando crea nuovi blocchi note e nuove istanze di Vertex AI Workbench in cui è applicato il vincolo. Le opzioni consentite o negate devono essere elencate in modo esplicito. Il formato previsto per le istanze VM è ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Sostituisci IMAGE_TYPE con image-family o image-name. Esempi: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.Il formato previsto per le immagini container sarà ainotebooks-container/CONTAINER_REPOSITORY:TAG. Esempi: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48. constraints/ainotebooks.environmentOptions |
"is:" |
| Vertex AI Workbench | Richiedi gli upgrade automatici pianificati dei nuovi blocchi note e istanze gestiti dall'utente di Vertex AI Workbench | Se applicato, questo vincolo booleano richiede che nelle nuove istanze e nei nuovi blocchi note gestiti dall'utente di Vertex AI Workbench sia impostata una pianificazione automatica degli upgrade. Per definirla, usa il flag di metadati `notebook-upgrade-schedule` per specificare una pianificazione cron per gli upgrade automatici. Ad esempio: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`. constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
| Vertex AI Workbench | Limita l'accesso all'IP pubblico sui nuovi blocchi note e istanze di Vertex AI Workbench. | Se applicato, questo vincolo booleano restringe l'accesso degli IP pubblici a istanze e blocchi note di Vertex AI Workbench appena creati. Per impostazione predefinita, gli IP pubblici possono accedere alle istanze e ai blocchi note di Vertex AI Workbench. constraints/ainotebooks.restrictPublicIp |
"is:" |
| Vertex AI Workbench | Limita le reti VPC sulle nuove istanze di Vertex AI Workbench | Questo vincolo dell'elenco definisce le reti VPC che l'utente può selezionare quando crea nuove istanze Vertex AI Workbench in cui questo vincolo è applicato. Per impostazione predefinita, un'istanza Vertex AI Workbench può essere creata con qualsiasi rete VPC. L'elenco delle reti consentite o negate deve essere identificato nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/ainotebooks.restrictVpcNetworks |
"is:", "under:" |
| App Engine | Disabilita il download del codice sorgente | Disabilita i download del codice sorgente precedentemente caricati su App Engine. constraints/appengine.disableCodeDownload |
"is:" |
| App Engine | Esenzione deployment runtime (App Engine) | Questo vincolo dell'elenco definisce l'insieme dei runtime legacy di App Engine Standard (Python 2.7, PHP 5.5 e Java 8) consentiti per i deployment dopo la fine del supporto. Il supporto dei runtime legacy di App Engine Standard terminerà il 30 gennaio 2024. Di norma, i tentativi di deployment delle applicazioni che utilizzano runtime legacy dopo questa data verranno bloccati. Consulta il programma di supporto del runtime di App Engine Standard. L'impostazione di questo vincolo su "Consenti" sblocca i deployment dei runtime legacy specificati di App Engine Standard fino alla data di ritiro. L'impostazione di questo vincolo su "Consenti tutti" sblocca i deployment di tutti i runtime legacy di App Engine Standard fino alla data di ritiro. I runtime che hanno raggiunto la fine del supporto non ricevono le patch di routine per manutenzione e sicurezza. Ti consigliamo vivamente di aggiornare le applicazioni in modo da utilizzare una versione di runtime in disponibilità generale. constraints/appengine.runtimeDeploymentExemption |
"is:" |
| BigQuery | Disattiva BigQuery Omni per Cloud AWS | Se impostato su True, questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Amazon Web Services a cui è applicato il vincolo. constraints/bigquery.disableBQOmniAWS |
"is:" |
| BigQuery | Disattiva BigQuery Omni per Cloud Azure | Se impostato su True, questo vincolo booleano impedirà agli utenti di utilizzare BigQuery Omni per elaborare i dati su Microsoft Azure a cui è applicato il vincolo. constraints/bigquery.disableBQOmniAzure |
"is:" |
| Cloud Build | Integrazioni consentite (Cloud Build) | Questo vincolo dell'elenco definisce le integrazioni di Cloud Build consentite per l'esecuzione delle build tramite la ricezione di webhook da servizi esterni a Google Cloud. Quando questo vincolo viene applicato, vengono elaborati solo i webhook per i servizi il cui host corrisponde a uno dei valori consentiti. Per impostazione predefinita, Cloud Build elabora tutti i webhook per i progetti che hanno almeno un trigger ATTIVO. constraints/cloudbuild.allowedIntegrations |
"is:" |
| Cloud Build | Disabilita creazione account di servizio predefinito (Cloud Build) | Quando applicato, questo vincolo booleano impedisce di creare un account di servizio Cloud Build legacy. constraints/cloudbuild.disableCreateDefaultServiceAccount |
"is:" |
| Cloud Deploy | Disabilita etichette di servizio Cloud Deploy | Quando applicato, questo vincolo booleano impedisce a Cloud Deploy di aggiungere etichette di identificazione di Cloud Deploy agli oggetti di cui è stato eseguito il deployment. Per impostazione predefinita, le etichette che identificano le risorse Cloud Deploy vengono aggiunte agli oggetti di cui è stato eseguito il deployment durante la creazione della release. constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
| Cloud Functions | Impostazioni di traffico in entrata consentite (Cloud Functions) | Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per il deployment di una Cloud Function (1ª generazione). Quando questo vincolo viene applicato, le funzioni devono avere delle impostazioni di traffico in entrata che corrispondano a uno dei valori consentiti. Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in entrata. Le impostazioni in entrata devono essere specificate nell'elenco delle impostazioni consentite utilizzando i valori dell'enum IngressSettings.Per Cloud Functions (2nd gen), utilizza il vincolo constraints/run.allowedIngress.constraints/cloudfunctions.allowedIngressSettings |
"is:" |
| Cloud Functions | Impostazioni di traffico in uscita del Connettore VPC consentite (Cloud Functions) | Questo vincolo dell'elenco definisce le impostazioni di uscita del connettore VPC consentite per il deployment di una Cloud Function (1ª generazione). Quando questo vincolo viene applicato, le impostazioni di traffico in uscita del Connettore VPC delle funzioni devono corrispondere ai valori consentiti. Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in uscita del connettore VPC. Le impostazioni in uscita del connettore VPC devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione VpcConnectorEgressSettings.Per Cloud Functions (2nd gen), utilizza il vincolo constraints/run.allowedVPCEgress.constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
| Cloud Functions | Richiede Connettore VPC (Cloud Functions) | Questo vincolo booleano impone l'impostazione di un connettore VPC durante il deployment di una Cloud Function (1ª generazione). Quando questo vincolo viene applicato, le funzioni dovranno specificare un Connettore VPC. Per impostazione predefinita, non è necessario specificare un connettore VPC per eseguire il deployment di una Cloud Function. constraints/cloudfunctions.requireVPCConnector |
"is:" |
| Cloud Functions | Generazioni Cloud Functions consentite | Questo vincolo di elenco definisce l'insieme di generazioni consentite di funzioni Cloud Functions per creare nuove risorse delle funzioni. I valori validi sono: 1stGen, 2ndGen. constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
| Cloud KMS | Limita i tipi di CryptoKey KMS che possono essere creati. | Questo vincolo dell'elenco definisce i tipi di chiavi Cloud KMS che possono essere creati in un determinato nodo della gerarchia. Quando questo vincolo viene applicato, solo i tipi di chiavi KMS specificati in questo criterio dell'organizzazione possono essere creati all'interno del nodo della gerarchia associata. La configurazione di questo criterio dell'organizzazione influirà anche sul livello di protezione dei job di importazione e delle versioni delle chiavi. Per impostazione predefinita sono consentiti tutti i tipi di chiavi. I valori validi sono: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. I criteri di rifiuto non sono consentiti. constraints/cloudkms.allowedProtectionLevels |
"is:" |
| Cloud KMS | Limita l'eliminazione delle chiavi alle versioni delle chiavi disattivate | Quando applicato, questo vincolo booleano consente di eliminare solo le versioni delle chiavi in stato disattivato. Per impostazione predefinita, è possibile eliminare sia le versioni delle chiavi in stato attivato che quelle in stato disattivato. Quando applicato, questo vincolo è valido sia per le versioni nuove che per quelle esistenti della chiave. constraints/cloudkms.disableBeforeDestroy |
"is:" |
| Cloud KMS | Durata pianificata minima dell'eliminazione per chiave | Questo vincolo di elenco definisce la durata pianificata minima dell'eliminazione in giorni che l'utente può specificare quando crea una nuova chiave. Dopo l'applicazione del vincolo, non sarà possibile creare chiavi con una durata pianificata dell'eliminazione inferiore a questo valore. Per impostazione predefinita, la durata pianificata minima dell'eliminazione per tutte le chiavi è di 1 giorno, tranne che per le chiavi di sola importazione, per le quali la durata minima è pari a 0 giorni. È possibile specificare un solo valore consentito nel formato in:1d, in:7d, in:15d, in:30d, in:60d, in:90d o in:120d. Ad esempio, se constraints/cloudkms.minimumDestroyScheduleDuration è impostato in:15d, gli utenti possono creare chiavi con una durata pianificata dell'eliminazione impostata su qualsiasi valore superiore a 15 giorni, ad esempio 16 o 31 giorni. Non possono, però, creare chiavi con una durata pianificata dell'eliminazione inferiore a 15 giorni, ad esempio 14 giorni. Per ogni risorsa nella gerarchia, la durata pianificata minima dell'eliminazione può ereditare, sostituire o essere unita con il criterio dell'elemento padre. In questo caso, il valore effettivo della durata pianificata minima dell'eliminazione della risorsa è il più basso tra il valore specificato nel criterio della risorsa e la durata pianificata minima dell'eliminazione effettiva dell'elemento padre. Ad esempio, se un'organizzazione ha una durata minima pianificata per l'eliminazione di 7 giorni e in un progetto figlio il criterio è impostato su "Unisci con padre" con un valore di in:15d, la durata minima pianificata dell'eliminazione per il progetto è di 7 giorni. constraints/cloudkms.minimumDestroyScheduledDuration |
"is:", "in:" |
| Cloud Scheduler | Tipi di target consentiti per i job | Questo vincolo di elenco definisce l'elenco dei tipi di destinazione, come HTTP App Engine, HTTP o Pub/Sub, consentiti per i job di Cloud Scheduler. Per impostazione predefinita, sono consentite tutte le destinazioni dei job. I valori validi sono: APPENGINE, HTTP, PUBSUB. constraints/cloudscheduler.allowedTargetTypes |
"is:" |
| Cloud SQL | Limita reti autorizzate nelle istanze di Cloud SQL | Questo vincolo booleano limita l'aggiunta di reti autorizzate per l'accesso al database senza proxy alle istanze Cloud SQL in cui il vincolo è impostato su True. Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente connesse a reti autorizzate continueranno a funzionare anche dopo l'applicazione di questo vincolo. Per impostazione predefinita, le reti autorizzate possono essere aggiunte alle istanze Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
"is:" |
| Cloud SQL | Disattiva i percorsi di accesso diagnostico e amministrativo in Cloud SQL per soddisfare i requisiti di conformità. | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Se viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e verranno disabilitati tutti i percorsi di accesso per la diagnostica e altri casi d'uso legati all'assistenza clienti che non soddisfano i requisiti avanzati di sovranità per Assured Workloads. constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
| Cloud SQL | Limita carichi di lavoro non conformi per le istanze Cloud SQL. | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e le risorse sottoposte a provisioning seguiranno rigorosamente i requisiti di sovranità avanzata per Assured Workloads. Questo criterio è retroattivo e si applica ai progetti esistenti, ma non influisce sulle risorse già sottoposte a provisioning; ad esempio, le modifiche al criterio si rifletteranno solo sulle risorse create dopo che il criterio è stato modificato. constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
| Cloud SQL | Limita l'accesso IP pubblico nelle istanze Cloud SQL | Questo vincolo booleano limita la configurazione dell'IP pubblico nelle istanze Cloud SQL in cui il vincolo è impostato su True. Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente dotate di accesso IP pubblico continueranno a funzionare anche dopo l'applicazione di questo vincolo. Per impostazione predefinita, alle istanze Cloud SQL è consentito l'accesso IP pubblico. constraints/sql.restrictPublicIp |
"is:" |
| Google Cloud Marketplace | Disattiva Marketplace pubblico | Se applicato, questo vincolo booleano disabilita il Marketplace pubblico per tutti gli utenti nell'organizzazione. Per impostazione predefinita, il Marketplace pubblico è abilitato per tutta l'organizzazione. constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
| Google Cloud Marketplace | Limita accesso ai servizi di marketplace | Questo vincolo dell'elenco definisce l'insieme di servizi consentiti per le organizzazioni del marketplace e può includere solo i valori dell'elenco seguente:
PRIVATE_MARKETPLACE è nell'elenco dei valori consentiti, il marketplace privato è abilitato. Se IAAS_PROCUREMENT è nell'elenco dei valori consentiti, l'esperienza di governance dell'approvvigionamento IaaS viene attivata per tutti i prodotti. Per impostazione predefinita, il marketplace privato è disattivato e l'esperienza di governance dell'approvvigionamento IaaS è disattivata. Inoltre, le norme IAAS_PROCUREMENT funzionano in modo indipendente dalla funzionalità di governance delle richieste di approvvigionamento, che è specifica per i prodotti SaaS elencati sul marketplace. constraints/commerceorggovernance.marketplaceServices |
"is:" |
| Compute Engine | Impostazioni della crittografia dei collegamenti VLAN consentite | Questo vincolo di elenco definisce le impostazioni di crittografia consentite per i nuovi collegamenti VLAN. Per impostazione predefinita, i collegamenti VLAN possono utilizzare qualsiasi impostazione di crittografia. Imposta IPSEC come valore consentito per applicare la creazione solo di collegamenti VLAN criptati. constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
| Compute Engine | Disattiva tutti gli utilizzi di IPv6 | Se impostato su True, questo vincolo booleano disattiva la creazione o l'aggiornamento di qualsiasi risorsa Google Compute Engine coinvolta nell'utilizzo di IPv6. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse Google Compute Engine con l'utilizzo di IPv6 in qualsiasi progetto, cartella e organizzazione. Se viene configurato, questo vincolo avrà una priorità più elevata rispetto ad altri vincoli dell'organizzazione IPv6, tra cui disableVpcInternalIpv6, disableVpcExternalIpv6 e disableHybridCloudIpv6. constraints/compute.disableAllIpv6 |
"is:" |
| Compute Engine | Disabilita la creazione dei criteri di sicurezza di Cloud Armor | Quando applicato, questo vincolo booleano disabilita la creazione dei criteri di sicurezza di Cloud Armor. Per impostazione predefinita, puoi creare criteri di sicurezza di Cloud Armor in qualsiasi organizzazione, cartella o progetto. constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
| Compute Engine | Disabilita bilanciamento del carico globale | Questo vincolo booleano disabilita la creazione di prodotti di bilanciamento del carico globale. Quando applicato, è possibile creare solo prodotti di bilanciamento del carico a livello di area geografica senza dipendenze globali. Per impostazione predefinita, è consentita la creazione del bilanciamento del carico globale. constraints/compute.disableGlobalLoadBalancing |
"is:" |
| Compute Engine | Disabilita la creazione di certificati SSL autogestiti globali | Quando applicato, questo vincolo booleano disabilita la creazione di certificati SSL autogestiti globali. La creazione di certificati gestiti da Google o autogestiti a livello di regione non è disabilitata da questo vincolo. Per impostazione predefinita, puoi creare certificati SSL autogestiti globali in qualsiasi organizzazione, cartella o progetto. constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
| Compute Engine | Disattiva l'accesso globale alle porte seriali della VM | Questo vincolo booleano disabilita l'accesso alle porte seriali delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è applicato. Per impostazione predefinita, i clienti possono abilitare l'accesso alle porte seriali su una singola VM o un singolo progetto di Compute Engine utilizzando gli attributi dei metadati. Se applichi questo vincolo, l'accesso alle porte seriali per le VM di Compute Engine viene disabilito, a prescindere dagli attributi dei metadati. L'accesso alle porte seriali regionali non è influenzato da questo vincolo. Per disabilitare l'accesso a tutte le porte seriali, utilizza invece il vincolo compute.disableSerialPortAccess. constraints/compute.disableGlobalSerialPortAccess |
"is:" |
| Compute Engine | Disattiva attributi guest dei metadati di Compute Engine | Questo vincolo booleano disabilita l'accesso dell'API Compute Engine agli attributi guest delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui il vincolo è impostato su True. Per impostazione predefinita, l'API Compute Engine può essere utilizzata per accedere agli attributi guest delle VM di Compute Engine. constraints/compute.disableGuestAttributesAccess |
"is:" |
| Compute Engine | Disattiva utilizzo di IPv6 per il cloud ibrido | Se impostato su True, questo vincolo booleano disattiva la creazione di risorse cloud ibride o l'aggiornamento a risorse cloud ibride, tra cui router Cloud, collegamenti di interconnessione e Cloud VPN con valore stack_type pari a IPV4_IPV6. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare risorse cloud ibrido con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione. constraints/compute.disableHybridCloudIpv6 |
"is:" |
| Compute Engine | Disabilita le API di accesso ai dati dell'istanza | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando applicato, questo vincolo booleano disabilita le API GetSerialPortOutput e GetScreenshot che accedono all'output della porta seriale della VM e acquisiscono screenshot dalle interfacce utente delle VM. constraints/compute.disableInstanceDataAccessApis |
"is:" |
| Compute Engine | Disabilita gruppi di endpoint di rete Internet | Questo vincolo booleano limita la possibilità da parte di un utente di creare gruppi di endpoint di rete (NEG) internet con un valore type pari a INTERNET_FQDN_PORT e INTERNET_IP_PORT.Per impostazione predefinita, qualsiasi utente con le autorizzazioni IAM appropriate può creare NEG internet in qualsiasi progetto. constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
| Compute Engine | Disattiva virtualizzazione nidificata delle VM | Questo vincolo booleano disabilita la virtualizzazione nidificata con accelerazione hardware per tutte le VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui il vincolo è impostato su True.Per impostazione predefinita, la virtualizzazione nidificata con accelerazione hardware è consentita per tutte le VM di Compute Engine in esecuzione su Intel Haswell o sulle piattaforme CPU più recenti. constraints/compute.disableNestedVirtualization |
"is:" |
| Compute Engine | Forza l'applicazione di tipi di macchine conformi a FIPS | Se applicato, questo vincolo booleano disabilita la creazione di tipi di istanze VM non conformi ai requisiti FIPS. constraints/compute.disableNonFIPSMachineTypes |
"is:" |
| Compute Engine | Disabilita Private Service Connect per i consumatori | Questo vincolo dell'elenco definisce l'insieme di tipi di endpoint di Private Service Connect per cui gli utenti non possono creare regole di forwarding. Quando questo vincolo viene applicato, gli utenti non possono creare regole di forwarding per il tipo di endpoint Private Service Connect. Questo vincolo non viene applicato retroattivamente. Per impostazione predefinita, è possibile creare regole di forwarding per qualsiasi tipo di endpoint Private Service Connect. L'elenco di endpoint di Private Service Connect consentiti/negati deve provenire dall'elenco seguente:
GOOGLE_APIS nell'elenco degli elementi consentiti/negati limiterà la creazione di regole di forwarding di Private Service Connect per l'accesso alle API di Google. L'utilizzo di SERVICE_PRODUCERS nell'elenco delle autorizzazioni consentite/negate limiterà la creazione di regole di forwarding di Private Service Connect per l'accesso ai servizi in un'altra rete VPC. constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
| Compute Engine | Disattiva l'accesso alla porta seriale VM | Questo vincolo booleano disabilita l'accesso alla porta seriale delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui il vincolo è impostato su True. Per impostazione predefinita, i clienti possono abilitare l'accesso alla porta seriale delle VM di Compute Engine a livello di singola VM o di singolo progetto utilizzando gli attributi dei metadati. L'applicazione di questo vincolo disattiverà l'accesso alla porta seriale per le VM di Compute Engine, indipendentemente dagli attributi dei metadati. constraints/compute.disableSerialPortAccess |
"is:" |
| Compute Engine | Disabilita il logging delle porte seriali delle VM in Stackdriver | Questo vincolo booleano disattiva il logging delle porte seriali in Stackdriver dalle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui è applicato il vincolo. Per impostazione predefinita, il logging delle porte seriali per le VM di Compute Engine è disabilitato e può essere abilitato selettivamente a livello di singola VM o di singolo progetto utilizzando gli attributi dei metadati. Se applicato, questo vincolo disabilita il logging delle porte seriali delle nuove VM di Compute Engine ogni volta che viene creata una nuova VM, oltre a impedire agli utenti di modificare l'attributo dei metadati di qualsiasi VM (vecchia o nuova) in True. La disattivazione del logging delle porte seriali può causare il malfunzionamento di determinati servizi che lo utilizzano, ad esempio i cluster di Google Kubernetes Engine. Prima di applicare questo vincolo, verifica che i prodotti nel tuo progetto non utilizzino il logging delle porte seriali. constraints/compute.disableSerialPortLogging |
"is:" |
| Compute Engine | Disattiva SSH nel browser | Questo vincolo booleano disabilita lo strumento SSH nel browser nella console Cloud. Quando è applicato, l'SSH nel browser viene disabilitato. Lo strumento SSH nel browser è consentito per impostazione predefinita. constraints/compute.disableSshInBrowser |
"is:" |
| Compute Engine | Disabilita l'utilizzo di IPv6 all'esterno di VPC | Se impostato su True, questo vincolo booleano disattiva la creazione o l'aggiornamento delle subnet con stack_type pari a IPV4_IPV6 e ipv6_access_type pari a EXTERNAL. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione. constraints/compute.disableVpcExternalIpv6 |
"is:" |
| Compute Engine | Disattiva uso di IPv6 all'interno di VPC | Se impostato su True, questo vincolo booleano disattiva la creazione o l'aggiornamento delle subnet con stack_type pari a IPV4_IPV6 e ipv6_access_type pari a INTERNAL. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione. constraints/compute.disableVpcInternalIpv6 |
"is:" |
| Compute Engine | Abilita le impostazioni necessarie per i carichi di lavoro di protezione della memoria per la conformità | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Questo vincolo controlla le impostazioni necessarie per eliminare i potenziali percorsi di accesso alla memoria principale delle VM. Se applicato, limita la possibilità di accedere alla memoria principale delle VM mediante la disabilitazione dei percorsi di accesso, oltre a limitare la raccolta dei dati interni quando si verifica un errore. constraints/compute.enableComplianceMemoryProtection |
"is:" |
| Compute Engine | Richiedi accesso al sistema operativo | Se impostato su true, questo vincolo booleano abilita OS Login in tutti i nuovi progetti creati. OS Login sarà abilitato in tutte le istanze VM create nei nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano OS Login a livello di progetto o di istanza. Per impostazione predefinita, la funzionalità OS Login è disabilitata sui progetti Compute Engine. Le istanze GKE in cluster privati che eseguono pool di nodi versioni 1.20.5-gke.2000 e successive supportano OS Login. Attualmente le istanze GKE nei cluster pubblici non supportano OS Login. Se questo vincolo viene applicato a un progetto che esegue cluster pubblici, le istanze GKE in esecuzione in quel progetto potrebbero non funzionare correttamente. constraints/compute.requireOsLogin |
"is:" |
| Compute Engine | Shielded VM | Questo vincolo booleano, se impostato su True, richiede che tutte le nuove istanze VM di Compute Engine utilizzino immagini disco schermate con le opzioni Avvio protetto, vTPM e monitoraggio dell'integrità abilitate. Se vuoi, puoi disabilitare l'avvio protetto dopo la creazione. Le istanze esistenti in esecuzione continueranno a funzionare come al solito. Per impostazione predefinita, le funzionalità delle VM schermate non devono essere abilitate per poter creare istanze VM di Compute Engine. Le funzionalità delle VM schermate aggiungono l'integrità verificabile e la resistenza all'esfiltrazione alle VM. constraints/compute.requireShieldedVm |
"is:" |
| Compute Engine | Richiedi criteri predefiniti per i log di flusso VPC | Questo vincolo dell'elenco definisce l'insieme di criteri predefiniti che possono essere applicati ai log di flusso VPC. Per impostazione predefinita, i log di flusso VPC possono essere configurati con qualsiasi impostazione in ogni subnet. Questo vincolo impone l'abilitazione dei log di flusso per tutte le subnet nell'ambito con una frequenza di campionamento minima richiesta. Specifica uno o più dei seguenti valori validi:
constraints/compute.requireVpcFlowLogs |
"is:" |
| Compute Engine | Limita l'utilizzo di Cloud NAT | Questo vincolo dell'elenco definisce l'insieme di subnet a cui è consentito utilizzare Cloud NAT. Per impostazione predefinita, tutte le subnet possono utilizzare Cloud NAT. L'elenco di subnet consentite o negate deve essere identificato nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME. constraints/compute.restrictCloudNATUsage |
"is:", "under:" |
| Compute Engine | Limita i bucket di backend e i servizi di backend tra progetti | Questo vincolo dell'elenco limita le risorse BackendBucket e BackendService a cui è possibile aggiungere una risorsa urlMap. Il vincolo non si applica alle risorse BackendBucket e BackendService all'interno dello stesso progetto della risorsa urlMap. Per impostazione predefinita, una risorsa urlMap in un progetto può fare riferimento a risorse BackendBucket e BackendService compatibili di altri progetti nella stessa organizzazione, purché l'utente abbia l'autorizzazione compute.backendService.use, compute.regionBackendServices.use o compute.backendBuckets.use. Consigliamo di non usare questo vincolo insieme al vincolo compute.restrictSharedVpcBackendServices per evitare conflitti. Progetti, cartelle e risorse dell'organizzazione nell'elenco di elementi consentiti o negati influiscono su tutte le risorse BackendBucket e BackendService sottostanti nella gerarchia delle risorse. Solo progetti, cartelle e risorse dell'organizzazione possono essere inclusi nell'elenco degli elementi consentiti o negati e devono essere specificati nel formato:
constraints/compute.restrictCrossProjectServices |
"is:", "under:" |
| Compute Engine | Limita utilizzo dell'Dedicated Interconnect | Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'Dedicated Interconnect. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle reti consentite o negate deve essere identificato nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictDedicatedInterconnectUsage |
"is:", "under:" |
| Compute Engine | Limita la creazione del bilanciatore del carico in base ai tipi di bilanciatore del carico | Questo vincolo dell'elenco definisce l'insieme dei tipi di bilanciatore del carico che è possibile creare per un'organizzazione, una cartella o un progetto. Ogni tipo di bilanciatore del carico da consentire o non consentire deve essere elencato in modo esplicito. Per impostazione predefinita, è consentita la creazione di tutti i tipi di bilanciatore del carico. L'elenco dei valori consentiti o negati deve essere identificato come il nome stringa di un bilanciatore del carico e può includere solo i valori dell'elenco seguente:
Per includere tutti i tipi di bilanciatori del carico interni o esterni, utilizza il prefisso in: seguito da INTERNAL o EXTERNAL. Ad esempio, consentendo in:INTERNAL autorizzi tutti i tipi di bilanciatore del carico nell'elenco precedente che includono INTERNAL. constraints/compute.restrictLoadBalancerCreationForTypes |
"is:", "in:" |
| Compute Engine | Limita elementi non Confidential Computing | L'elenco degli elementi bloccati di questo vincolo dell'elenco definisce l'insieme di servizi per i quali tutte le nuove risorse devono essere create con Confidential Computing. Per impostazione predefinita, non è obbligatorio che le nuove risorse utilizzino Confidential Computing. Se viene applicato questo vincolo di elenco, Confidential Computing non può essere disabilitato durante il ciclo di vita della risorsa. Le risorse esistenti continueranno a funzionare normalmente. L'elenco dei servizi non consentiti deve essere identificato dal nome di stringa di un'API e può includere solo valori esplicitamente negati presenti nell'elenco riportata di seguito. L'autorizzazione esplicita delle API non è attualmente supportata. Verrà restituito un errore se vengono vietate in modo esplicito API non comprese in questo elenco. Elenco delle API supportate: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
| Compute Engine | Limita utilizzo dell'Partner Interconnect | Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'Partner Interconnect. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle reti consentite o negate deve essere identificato nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictPartnerInterconnectUsage |
"is:", "under:" |
| Compute Engine | Limita i consumer Private Service Connect consentiti | Questo vincolo dell'elenco definisce quali organizzazioni, cartelle e progetti possono connettersi ai collegamenti di servizi all'interno dell'organizzazione o del progetto di un producer. Gli elenchi di utenti consentiti o negati devono essere identificati nel seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. Per impostazione predefinita sono consentite tutte le connessioni. constraints/compute.restrictPrivateServiceConnectConsumer |
"is:", "under:" |
| Compute Engine | Limita producer consentiti di Private Service Connect | Questo vincolo di elenco definisce a quali collegamenti di servizio possono collegarsi i consumatori di Private Service Connect. Il vincolo blocca la distribuzione di endpoint o backend di Private Service Connect in base all'organizzazione, alla cartella o alla risorsa di progetto del collegamento di servizio a cui fanno riferimento gli endpoint o i backend. Gli elenchi di utenti consentiti o negati devono essere identificati nel seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. Per impostazione predefinita sono consentite tutte le connessioni. constraints/compute.restrictPrivateServiceConnectProducer |
"is:", "under:" |
| Compute Engine | Limita forwarding di protocollo in base al tipo di indirizzo IP | Questo vincolo dell'elenco definisce il tipo di oggetti regola di forwarding di protocollo con istanza di destinazione che possono essere creati da un utente. Quando questo vincolo viene applicato, i nuovi oggetti regola di forwarding con istanza di destinazione saranno limitati a indirizzi IP interni e/o esterni, in base ai tipi specificati. I tipi da consentire o negare devono essere elencati in modo esplicito. Per impostazione predefinita, è consentita la creazione di oggetti regola di forwarding di protocollo con istanza di destinazione sia interni che esterni. L'elenco dei valori consentiti o negati può includere solo i valori dell'elenco seguente:
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
| Compute Engine | Limita servizi di backend del VPC condiviso | Questo vincolo di elenco definisce l'insieme di servizi di backend del VPC condiviso che le risorse idonee possono utilizzare. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi servizio di backend del VPC condiviso. L'elenco di servizi di backend consentiti o negati deve essere specificato nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME o projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Questo vincolo non è retroattivo. constraints/compute.restrictSharedVpcBackendServices |
"is:", "under:" |
| Compute Engine | Limita progetti host con VPC condivise | Questo vincolo dell'elenco definisce l'insieme di progetti host con VPC condivise ai quali è possibile associare i progetti allo stesso livello o a un livello inferiore rispetto alla risorsa. Per impostazione predefinita, un progetto può essere associato a qualsiasi progetto host nella stessa organizzazione, diventando quindi un progetto di servizio. I progetti, le cartelle e le organizzazioni negli elenchi autorizzati/negati influiscono su tutti gli oggetti sottostanti nella gerarchia delle risorse e devono essere specificati nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. constraints/compute.restrictSharedVpcHostProjects |
"is:", "under:" |
| Compute Engine | Limita subnet VPC condivise | Questo vincolo dell'elenco definisce l'insieme di subnet VPC condivise utilizzabili dalle risorse idonee. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi subnet VPC condivisa. L'elenco di subnet consentite/negate deve essere specificato nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME. constraints/compute.restrictSharedVpcSubnetworks |
"is:", "under:" |
| Compute Engine | Limita utilizzo del peering di VPC | Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a questo progetto, cartella o organizzazione. Ogni estremità di peering deve disporre dell'autorizzazione di peering. Per impostazione predefinita, un Amministratore di rete di una rete può eseguire il peering con qualsiasi altra rete. L'elenco delle reti consentite o negate deve essere identificato nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictVpcPeering |
"is:", "under:" |
| Compute Engine | Limita IP peer VPN | Questo vincolo dell'elenco definisce l'insieme di indirizzi IP validi che possono essere configurati come IP peer VPN. Per impostazione predefinita, qualsiasi IP può essere un IP peer VPN per una rete VPC. L'elenco di indirizzi IP consentiti/negati deve essere specificato come indirizzi IP validi nel formato IP_V4_ADDRESS o IP_V6_ADDRESS. constraints/compute.restrictVpnPeerIPs |
"is:" |
| Compute Engine | Configura l'impostazione del DNS interno per i nuovi progetti per utilizzare solo il DNS di zona | Se impostato su "True", i nuovi progetti creati utilizzeranno il DNS di zona come predefinito. Per impostazione predefinita, questo vincolo è impostato su "False" e i progetti appena creati utilizzeranno il tipo DNS predefinito. constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
| Compute Engine | Progetti del proprietario con prenotazioni condivise | Questo vincolo dell'elenco definisce l'insieme di progetti autorizzati a creare e possedere prenotazioni condivise nell'organizzazione. Una prenotazione condivisa è simile a una prenotazione locale con la differenza che, anziché essere sfruttata solo dai progetti del proprietario, può essere utilizzata da altri progetti Compute Engine nella gerarchia delle risorse. L'elenco dei progetti autorizzati ad accedere alla prenotazione condivisa deve essere nel formato projects/PROJECT_NUMBER o under:projects/PROJECT_NUMBER. constraints/compute.sharedReservationsOwnerProjects |
"is:", "under:" |
| Compute Engine | Ignora creazione rete predefinita | Questo vincolo booleano ignora la creazione della rete predefinita e delle risorse correlate durante la creazione delle risorse del progetto Google Cloud in cui il vincolo è impostato su True. Per impostazione predefinita, quando si crea una risorsa del progetto vengono automaticamente create una rete predefinita e le risorse di supporto.constraints/compute.skipDefaultNetworkCreation |
"is:" |
| Compute Engine | Restrizioni di utilizzo delle risorse di Compute Storage (dischi, immagini e snapshot di Compute Engine) | Questo vincolo dell'elenco definisce un insieme di progetti a cui è consentito utilizzare le risorse di archiviazione di Compute Engine. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può accedere alle risorse di Compute Engine. Utilizzando questo vincolo, gli utenti devono disporre di autorizzazioni Cloud IAM e non devono essere limitati dal vincolo per accedere alla risorsa. I progetti, le cartelle e le organizzazioni specificati negli elenchi autorizzati o rifiutati devono essere nel formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID. constraints/compute.storageResourceUseRestrictions |
"is:", "under:" |
| Compute Engine | Definisci progetti con immagini attendibili | Questo vincolo dell'elenco definisce l'insieme di progetti che possono essere utilizzati per l'archiviazione delle immagini e l'istanza del disco per Compute Engine. Per impostazione predefinita, le istanze possono essere create a partire da immagini in qualsiasi progetto che condivide immagini pubblicamente o esplicitamente con l'utente. L'elenco dei progetti del publisher consentiti/negati deve essere costituito da stringhe nel formato: projects/PROJECT_ID. Se questo vincolo è attivo, solo le immagini di progetti attendibili saranno consentite come origine dei dischi di avvio per le nuove istanze.constraints/compute.trustedImageProjects |
"is:" |
| Compute Engine | Limita inoltro IP VM | Questo vincolo dell'elenco definisce l'insieme di istanze VM che possono abilitare il forwarding IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Le istanze VM devono essere specificate nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Questo vincolo non è retroattivo. constraints/compute.vmCanIpForward |
"is:", "under:" |
| Compute Engine | Definisci IP esterni consentiti per le istanze VM | Questo vincolo dell'elenco definisce l'insieme di istanze VM di Compute Engine a cui è consentito utilizzare indirizzi IP esterni. Per impostazione predefinita, tutte le istanze VM possono utilizzare indirizzi IP esterni. L'elenco di istanze VM consentite/negate deve essere identificato dal nome dell'istanza VM, nel formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess |
"is:" |
| Compute Engine | Disabilita l'abilitazione di Identity-Aware Proxy (IAP) nelle risorse globali | Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse globali. L'abilitazione di IAP nelle risorse di regione non è limitata da questo vincolo. Per impostazione predefinita, è consentito abilitare IAP nelle risorse globali. constraints/iap.requireGlobalIapWebDisabled |
"is:" |
| Google Kubernetes Engine | Disabilita i percorsi di accesso amministrativo diagnostico in GKE. | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, tutti i percorsi di accesso per la diagnostica e altri casi d'uso dell'assistenza clienti non conformi ai requisiti di Assured Workloads saranno disattivati. constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
| Dataform | Limita i git remote per i repository in Dataform | Questo vincolo di elenco definisce un insieme di repository Git remoti con cui possono comunicare i repository nel progetto Dataform. Per bloccare la comunicazione con tutti i telecomandi, imposta il valore su Deny all. Questo vincolo è retroattivo e blocca le comunicazioni per i repository esistenti che lo violano. Le voci devono essere link a telecomandi remoti attendibili, nello stesso formato fornito in Dataform.Per impostazione predefinita, i repository nei progetti Dataform possono comunicare con qualsiasi dispositivo remoto. constraints/dataform.restrictGitRemotes |
"is:" |
| Datastream | Datastream - Metodi di blocco della connettività pubblica | Per impostazione predefinita, i profili di connessione di Datastream possono essere creati con metodi di connettività pubblica o privata. Se il vincolo booleano per questo criterio dell'organizzazione viene applicato, è possibile utilizzare solo i metodi di connettività privata (ad esempio peering VPC) per creare profili di connessione. constraints/datastream.disablePublicConnectivity |
"is:" |
| Contatti necessari | Contatti limitati per i domini | Questo vincolo dell'elenco definisce l'insieme di domini che gli indirizzi email aggiunti ai Contatti necessari possono avere. Per impostazione predefinita, gli indirizzi email con qualsiasi dominio possono essere aggiunti ai contatti necessari. L'elenco di domini consentiti/negati deve specificare uno o più domini nel formato @example.com. Se questo vincolo è attivo e configurato con valori consentiti, solo gli indirizzi email con un suffisso corrispondente a una delle voci dell'elenco dei domini consentiti possono essere aggiunti in Contatti necessari.Questo vincolo non ha alcun effetto sull'aggiornamento o sulla rimozione dei contatti esistenti. constraints/essentialcontacts.allowedContactDomains |
"is:" |
| Contatti necessari | Disattiva contatti per la sicurezza del progetto | Quando applicato, questo vincolo booleano consente agli amministratori dei criteri dell'organizzazione di garantire che solo i contatti assegnati a livello di organizzazione o di cartella possano ricevere notifiche di sicurezza. In particolare, l'applicazione di questo vincolo impedisce ai proprietari del progetto e agli amministratori di contattare gli amministratori di creare o aggiornare un contatto necessario con un campo notification_category_subscriptions contenente la categoria SECURITY o ALL, se il contatto ha anche una risorsa di progetto come padre. constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
| Firestore | Richiede l'agente di servizio Firestore per l'importazione/esportazione | Quando applicato, questo vincolo booleano richiede che le importazioni e le esportazioni di Firestore utilizzino l'agente di servizio Firestore. Per impostazione predefinita, le importazioni e le esportazioni in Firestore potrebbero utilizzare l'account di servizio App Engine. In futuro, Firestore smetterà di utilizzare l'account di servizio App Engine per le importazioni e le esportazioni e tutti gli account dovranno eseguire la migrazione all'agente di servizio Firestore. Trascorso questo periodo, questo vincolo non sarà più necessario. constraints/firestore.requireP4SAforImportExport |
"is:" |
| Cloud Healthcare | Disabilita Cloud Logging per l'API Cloud Healthcare | Quando applicato, questo vincolo booleano disabilita Cloud Logging per l'API Cloud Healthcare. Gli audit log non sono interessati da questo vincolo. I log di Cloud generati per l'API Cloud Healthcare prima dell'applicazione del vincolo non vengono eliminati e sono comunque accessibili. constraints/gcp.disableCloudLogging |
"is:" |
| Identity and Access Management | Consenti estensione della durata dei token di accesso OAuth 2.0 fino a 12 ore | Questo vincolo dell'elenco definisce l'insieme di account di servizio a cui possono essere concessi token di accesso OAuth 2.0 con una durata massima di 12 ore. Per impostazione predefinita, la durata massima di questi token di accesso è di 1 ora. L'elenco di account di servizio consentiti/negati deve specificare uno o più indirizzi email di account di servizio. constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
| Identity and Access Management | Condivisione limitata per i domini | Questo vincolo di elenco definisce uno o più ID cliente di Cloud Identity o Google Workspace le cui entità possono essere aggiunte ai criteri IAM. Per impostazione predefinita, tutte le identità utente possono essere aggiunte ai criteri IAM. In questo vincolo possono essere definiti solo i valori consentiti. I valori negati non sono supportati. Se questo vincolo è attivo, solo le entità che appartengono agli ID cliente consentiti possono essere aggiunte ai criteri IAM. Non è necessario aggiungere l'ID cliente google.com all'elenco per interagire con i servizi Google. L'aggiunta di google.com consente la condivisione con i dipendenti e i sistemi non di produzione di Google e deve essere utilizzato solo per condividere i dati con i dipendenti di Google. constraints/iam.allowedPolicyMemberDomains |
"is:" |
| Identity and Access Management | Disabilita esenzione per l'audit logging | Quando applicato, questo vincolo booleano impedisce di escludere entità aggiuntive dall'audit logging. Questo vincolo non influisce sulle esenzioni dall'audit logging che esistevano prima dell'applicazione del vincolo. constraints/iam.disableAuditLoggingExemption |
"is:" |
| Identity and Access Management | Disabilita l'utilizzo degli account di servizio tra i progetti | Una volta applicato, il deployment degli account di servizio è possibile solo (utilizzando il ruolo ServiceAccountUser) nei job (VM, funzioni e così via) in esecuzione nello stesso progetto dell'account di servizio. constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
| Identity and Access Management | Disattiva creazione account di servizio | Questo vincolo booleano disabilita la creazione di account di servizio per i quali il vincolo è impostato su "True". Per impostazione predefinita, gli account di servizio possono essere creati dagli utenti in base ai ruoli e alle autorizzazioni Cloud IAM. constraints/iam.disableServiceAccountCreation |
"is:" |
| Identity and Access Management | Disattiva creazione chiavi account di servizio | Questo vincolo booleano disabilita la creazione di chiavi esterne degli account di servizio se il vincolo è impostato su "True". Per impostazione predefinita, le chiavi esterne degli account di servizio possono essere create dagli utenti in base ai ruoli e alle autorizzazioni Cloud IAM. constraints/iam.disableServiceAccountKeyCreation |
"is:" |
| Identity and Access Management | Disabilita caricamento di chiavi account di servizio | Questo vincolo booleano disabilita la funzionalità che consente di caricare le chiavi pubbliche negli account di servizio per i quali il vincolo è impostato su "True". Per impostazione predefinita, gli utenti possono caricare chiavi pubbliche negli account di servizio in base ai propri ruoli e autorizzazioni Cloud IAM. constraints/iam.disableServiceAccountKeyUpload |
"is:" |
| Identity and Access Management | Disabilita creazione cluster Workload Identity | Se impostato su "True", questo vincolo booleano richiede che in tutti i nuovi cluster GKE sia disabilitato Workload Identity al momento della creazione. I cluster GKE esistenti in cui Workload Identity è già abilitato continueranno a funzionare come al solito. Per impostazione predefinita, Workload Identity può essere abilitato per qualsiasi cluster GKE. constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
| Identity and Access Management | Durata per la scadenza della chiave dell'account di servizio in ore | Questo vincolo dell'elenco definisce la durata massima consentita prima che scada la chiave dell'account di servizio. Per impostazione predefinita, le chiavi create non scadono mai. La durata consentita è specificata in ore e deve essere compresa nell'elenco sotto. Puoi specificare un solo valore consentito. I valori negati non sono supportati. Se viene specificata una durata non presente in questo elenco, verrà restituito un errore.
inheritFromParent=false nel file dei criteri se utilizzi gcloud CLI. Questo vincolo non può essere unito a un criterio padre. L'applicazione del vincolo non è retroattiva e non modifica le chiavi preesistenti. constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
| Identity and Access Management | Risposta esposizione chiave account di servizio | Questo vincolo di elenco definisce la risposta adottata se Google rileva che la chiave di un account di servizio è esposta pubblicamente. Per impostazione predefinita, non c'è risposta. I valori consentiti sono DISABLE_KEY e WAIT_FOR_ABUSE. Non è possibile utilizzare valori che non fanno esplicitamente parte di questo elenco. Puoi specificare un solo valore consentito. I valori negati non sono supportati. Se consenti il valore DISABLE_KEY, viene disabilitata automaticamente qualsiasi chiave dell'account di servizio esposta pubblicamente e viene creata una voce nell'audit log. Se consenti il valore WAIT_FOR_ABUSE, questa protezione viene disattivata e le chiavi degli account di servizio compromesse non vengono disattivate automaticamente. Tuttavia, Google Cloud potrebbe disabilitare le chiavi degli account di servizio esposte se vengono utilizzate in modi che influiscono negativamente sulla piattaforma, ma non promette di farlo. Per applicare questo vincolo, impostalo in modo da sostituire il criterio padre nella Google Cloud Console oppure imposta inheritFromParent=false nel file dei criteri se utilizzi gcloud CLI. Questo vincolo non può essere unito a un criterio padre. constraints/iam.serviceAccountKeyExposureResponse |
"is:" |
| Identity and Access Management | Account AWS consentiti che possono essere configurati per la federazione delle identità per i carichi di lavoro in Cloud IAM. | Elenco di ID account AWS che possono essere configurati per la federazione delle identità per i carichi di lavoro in Cloud IAM. constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
| Identity and Access Management | Provider di identità esterni consentiti per i carichi di lavoro in Cloud IAM | Provider di identità che possono essere configurati per l'autenticazione dei carichi di lavoro all'interno di Cloud IAM, specificati da URI/URL. constraints/iam.workloadIdentityPoolProviders |
"is:" |
| Piano di controllo gestito da Anthos Service Mesh | Modalità Controlli di servizio VPC consentita per i piani di controllo gestiti di Anthos Service Mesh | Questo vincolo determina quali modalità di Controlli di servizio VPC possono essere impostate durante il provisioning di un nuovo piano di controllo gestito da Anthos Service Mesh. I valori validi sono "NONE" e "COMPATIBLE". constraints/meshconfig.allowedVpcscModes |
"is:" |
| Cloud Pub/Sub | Applica le regioni in transito per i messaggi Pub/Sub | Se applicato, questo vincolo booleano imposta MessageStoragePolicy::enforce_in_transit su true per tutti i nuovi argomenti Pub/Sub al momento della creazione. Ciò garantisce che i dati dei clienti transitino solo all'interno delle regioni consentite che sono specificate nel criterio di archiviazione dei messaggi per l'argomento. constraints/pubsub.enforceInTransitRegions |
"is:" |
| Resource Manager | Limita la rimozione dei blocchi sul progetto del VPC condiviso | Questo vincolo booleano limita l'insieme di utenti che possono rimuovere un blocco su un progetto host del VPC condiviso senza autorizzazione a livello di organizzazione in cui il vincolo è impostato su True. Per impostazione predefinita, qualsiasi utente con l'autorizzazione ad aggiornare i blocchi può rimuovere un blocco sul progetto host del VPC condiviso. L'applicazione di questo vincolo richiede che venga concessa l'autorizzazione a livello di organizzazione. constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
| Resource Manager | Limita la rimozione dei blocchi degli account di servizio tra progetti | Questo vincolo booleano, quando corrisponde a ENFORCED, impedisce agli utenti di rimuovere un blocco degli account di servizio tra progetti senza autorizzazione a livello di organizzazione. Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco degli account di servizio tra progetti. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione. constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
| Resource Manager | Limita visibilità query risorsa | Quando applicato a una risorsa dell'organizzazione, questo vincolo dell'elenco definisce l'insieme di risorse Google Cloud che vengono restituite nei metodi di elencazione e ricerca per gli utenti nel dominio dell'organizzazione a cui il vincolo è applicato. Consente di limitare le risorse visibili in varie parti di Cloud Console, tra cui il selettore risorse, la funzionalità di ricerca e la pagina Gestisci risorse. Tieni presente che questo vincolo viene valutato sempre e solo a livello di organizzazione. I valori specificati negli elenchi di autorizzazione/nega devono essere nel formato: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.accessBoundaries |
"is:", "under:" |
| Resource Manager | Richiedi l'elenco dei servizi consentiti abilitati per lo spostamento tra organizzazioni | Questo vincolo dell'elenco funge da controllo per verificare se un progetto con un servizio abilitato può essere spostato tra le organizzazioni. Questo vincolo deve essere applicato in una risorsa in cui è abilitato un servizio supportato, che a sua volta deve essere incluso nei valori consentiti per poter essere spostato tra le organizzazioni. L'elenco attuale di valori consentiti per i servizi supportati che è possibile utilizzare è:
Questo vincolo fornisce un controllo aggiuntivo oltre a constraints/resourcemanager.allowedExportDestinations. Questo vincolo dell'elenco (list_constraint) è vuoto per impostazione predefinita e non bloccherà gli spostamenti tra organizzazioni, a meno che un servizio supportato non venga abilitato nella risorsa da esportare. Questo vincolo consente un controllo più dettagliato sulle risorse che utilizzano funzionalità che richiedono maggiore attenzione quando vengono spostate in un'altra organizzazione. Per impostazione predefinita, una risorsa in cui è abilitato un servizio supportato non può essere spostata tra le organizzazioni. constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
| Resource Manager | Destinazioni consentite per l'esportazione delle risorse | Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne in cui è possibile spostare le risorse e nega gli spostamenti in tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, questa può essere spostata solo nelle organizzazioni consentite esplicitamente dal vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi di autorizzazione/nega devono essere nel formato: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.allowedExportDestinations |
"is:", "under:" |
| Resource Manager | Origini consentite per l'importazione delle risorse | Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne da cui è possibile importare le risorse e nega gli spostamenti da tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, le risorse importate direttamente in questa risorsa devono essere consentite esplicitamente da questo vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi di autorizzazione/nega devono essere nel formato: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.allowedImportSources |
"is:", "under:" |
| Cloud Run | Criteri di autorizzazione binaria consentiti (Cloud Run) | Questo vincolo dell'elenco definisce l'insieme dei nomi dei criteri di autorizzazione binaria che è possibile specificare in una risorsa Cloud Run. Per consentire/negare un criterio predefinito, utilizza il valore "default". Per consentire/negare uno o più criteri personalizzati della piattaforma, l'ID risorsa di ciascun criterio deve essere aggiunto separatamente. constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
| Cloud Run | Impostazioni di traffico in entrata consentite (Cloud Run) | Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per i servizi Cloud Run. Quando questo vincolo viene applicato, le impostazioni del traffico in entrata dei servizi devono corrispondere a uno dei valori consentiti. I servizi Cloud Run esistenti con impostazioni di traffico in entrata che violano questo vincolo possono continuare a essere aggiornati finché tali impostazioni non vengono modificate per rispettare il vincolo. Quando un servizio rispetta questo vincolo, può utilizzare solo le relative impostazioni di traffico in entrata consentite. Per impostazione predefinita, i servizi Cloud Run possono utilizzare qualsiasi impostazione di traffico in entrata. L'elenco degli utenti consentiti deve contenere i valori delle impostazioni di traffico in entrata supportati: all, internal e internal-and-cloud-load-balancing.constraints/run.allowedIngress |
"is:" |
| Cloud Run | Impostazioni di traffico VPC in uscita consentite (Cloud Run) | Questo vincolo dell'elenco definisce le impostazioni di traffico VPC in uscita consentite da specificare su una risorsa Cloud Run. Quando viene applicato questo vincolo, è necessario eseguire il deployment delle risorse Cloud Run con un connettore di accesso VPC serverless o con il traffico VPC diretto in uscita abilitato; le impostazioni di traffico devono corrispondere a uno dei valori consentiti. Per impostazione predefinita, le risorse Cloud Run possono configurare le impostazioni del traffico VPC in uscita su qualsiasi valore supportato. L'elenco degli account autorizzati deve contenere i valori delle impostazioni di traffico VPC in uscita supportati, ovvero private-ranges-only e all-traffic.Per i servizi Cloud Run esistenti, tutte le nuove revisioni devono essere conformi a questo vincolo. I servizi esistenti con revisioni che gestiscono traffico e violano questo vincolo possono continuare a eseguire la migrazione del traffico verso queste revisioni. Quando tutto il traffico per un servizio viene gestito da revisioni conformi a questo vincolo, tutte le migrazioni di traffico successive devono eseguire la migrazione del traffico solo verso queste revisioni. constraints/run.allowedVPCEgress |
"is:" |
| Service Consumer Management | Disabilita l'assegnazione automatica di diritti IAM agli account di servizio predefiniti | Quando applicato, questo vincolo booleano impedisce agli account di servizio App Engine e Compute Engine predefiniti di App Engine e Compute Engine creati nei tuoi progetti di ricevere automaticamente qualsiasi ruolo IAM per il progetto al momento della creazione degli account. Per impostazione predefinita, questi account di servizio ricevono automaticamente il ruolo Editor al momento della creazione. constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
| Service Control | Limita versioni TLS | Questo vincolo definisce l'insieme di versioni TLS che non possono essere utilizzate nell'organizzazione, nella cartella o nel progetto in cui viene applicato il vincolo né in nessun elemento figlio della risorsa nella rispettiva gerarchia. Per impostazione predefinita, sono consentite tutte le versioni TLS. Le versioni TLS possono essere specificate solo nell'elenco negato e devono essere identificate nel formato TLS_VERSION_1 o TLS_VERSION_1_1.Questo vincolo viene applicato solo alle richieste che utilizzano TLS. Non verrà utilizzato per limitare le richieste non criptate. Per ulteriori informazioni, vedi https://cloud.google.com/assured-workloads/docs/restrict-tls-versions. constraints/gcp.restrictTLSVersion |
"is:" |
| Cloud Spanner | Abilita il controllo avanzato dei servizi per i carichi di lavoro di conformità | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e le risorse sottoposte a provisioning seguiranno rigorosamente i requisiti di sovranità avanzata per Assured Workloads. Questo criterio si applica ai progetti esistenti, ma non influisce sulle risorse già sottoposte a provisioning; ad esempio, le modifiche al criterio si rifletteranno solo sulle risorse create dopo che il criterio è stato modificato. constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
| Cloud Spanner | Disabilita le istanze multiregionali di Cloud Spanner se non è selezionata una località | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando applicato, questo vincolo booleano impedisce di creare istanze Spanner utilizzando la configurazione di istanze multiregionali, a meno che non sia selezionata una località. Cloud Spanner non supporta ancora la selezione della località, quindi tutte le istanze multiregionali non sono consentite. In futuro, Spanner offrirà agli utenti la possibilità di selezionare una località per più regioni. L'applicazione di questo vincolo non è retroattiva. Le istanze Spanner già create non saranno interessate. constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
| Cloud Storage | Google Cloud Platform - Modalità audit logging dettagliato | Quando è applicata la modalità di audit logging dettagliata, sia la richiesta che la risposta vengono incluse in Cloud Audit Logs. L'applicazione delle modifiche a questa funzionalità può richiedere fino a 10 minuti. Questo criterio dell'organizzazione è vivamente consigliato in coordinamento con il blocco dei bucket per la conformità a norme quali regola SEC 17a-4(f), regola CFTC 1.31(c)-(d) e regola FINRA 4511(c). Questo criterio è attualmente supportato solo in Cloud Storage. constraints/gcp.detailedAuditLoggingMode |
"is:" |
| Cloud Storage | Applica prevenzione dell'accesso pubblico | Impedisci che i dati di Cloud Storage vengano esposti pubblicamente mediante l'attivazione della prevenzione dell'accesso pubblico. Questo criterio di governance impedisce l'accesso alle risorse esistenti e future tramite la rete internet pubblica disattivando e bloccando gli ACL e le autorizzazioni IAM che concedono l'accesso a allUsers e allAuthenticatedUsers. Applica questo criterio all'intera organizzazione (opzione consigliata), a progetti specifici o a cartelle specifiche per garantire che nessun dato sia esposto pubblicamente.Questo criterio sostituisce le autorizzazioni pubbliche esistenti. Dopo l'attivazione di questo criterio, l'accesso pubblico viene revocato per i bucket e gli oggetti esistenti. constraints/storage.publicAccessPrevention |
"is:" |
| Cloud Storage | Cloud Storage - Limita tipi di autenticazione | Il vincolo definisce l'insieme di tipi di autenticazione a cui verrebbe impedito l'accesso alle risorse di archiviazione nell'organizzazione in Cloud Storage. I valori supportati sono USER_ACCOUNT_HMAC_SIGNED_REQUESTS e SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Usa in:ALL_HMAC_SIGNED_REQUESTS per includerli entrambi. constraints/storage.restrictAuthTypes |
"is:", "in:" |
| Cloud Storage | Durata del criterio di conservazione in secondi | Questo vincolo dell'elenco definisce l'insieme di durate dei criteri di conservazione che possono essere impostati sui bucket Cloud Storage. Per impostazione predefinita, se non viene specificato alcun criterio dell'organizzazione, un bucket Cloud Storage può avere un criterio di conservazione di qualsiasi durata. L'elenco delle durate consentite deve essere specificato con un valore intero positivo maggiore di zero, che rappresenta il criterio di conservazione in secondi. Qualsiasi operazione di inserimento, aggiornamento o applicazione di patch in un bucket nella risorsa dell'organizzazione deve avere una durata del criterio di conservazione corrispondente al vincolo. L'applicazione di questo vincolo non è retroattiva. Quando viene applicato un nuovo criterio dell'organizzazione, il criterio di conservazione dei bucket esistenti rimane invariato e valido. constraints/storage.retentionPolicySeconds |
"is:" |
| Cloud Storage | Limita accesso HTTP non criptato | Quando applicato, questo vincolo booleano nega esplicitamente l'accesso HTTP (non criptato) a tutte le risorse di archiviazione. Per impostazione predefinita, l'API XML di Cloud Storage consente l'accesso HTTP non criptato. Tieni presente che l'API JSON di Cloud Storage, gRPC e la console Cloud consentono solo l'accesso HTTP criptato alle risorse di Cloud Storage. constraints/storage.secureHttpTransport |
"is:" |
| Cloud Storage | Applica accesso uniforme a livello di bucket | Questo vincolo booleano richiede che i bucket utilizzino un accesso uniforme a livello di bucket quando il vincolo è impostato su True. L'accesso uniforme a livello di bucket deve essere abilitato per tutti i nuovi bucket nella risorsa Organizzazione e tale opzione non può essere disabilitata in alcun bucket esistente nella risorsa Organizzazione. L'applicazione di questo vincolo non è retroattiva: per i bucket esistenti con accesso uniforme a livello di bucket disabilitato, il vincolo è ancora disabilitato. Il valore predefinito di questo vincolo è False. L'accesso uniforme a livello di bucket disabilita la valutazione degli ACL assegnati agli oggetti Cloud Storage nel bucket. Di conseguenza, solo i criteri IAM consentono l'accesso agli oggetti in tali bucket. constraints/storage.uniformBucketLevelAccess |
"is:" |
Guide illustrative
Per ulteriori informazioni su come utilizzare i singoli vincoli:
| Vincolo | Guida illustrativa |
|---|---|
constraints/cloudbuild.allowedIntegrations |
Gate si basa sul criterio dell'organizzazione |
constraints/cloudfunctions.allowedIngressSettings |
Utilizzo dei Controlli di servizio VPC |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
Utilizzo dei Controlli di servizio VPC |
constraints/cloudfunctions.requireVPCConnector |
Utilizzo dei Controlli di servizio VPC |
constraints/gcp.restrictNonCmekServices |
Criteri dell'organizzazione CMEK |
constraints/gcp.restrictCmekCryptoKeyProjects |
Criteri dell'organizzazione CMEK |
constraints/gcp.restrictTLSVersion |
Limitare le versioni TLS |
constraints/compute.restrictPrivateServiceConnectConsumerconstraints/compute.restrictPrivateServiceConnectProducer |
Gestire la sicurezza per i consumer Private Service Connect |
constraints/compute.restrictCloudNATUsage |
Limita l'utilizzo di Cloud NAT |
constraints/compute.restrictLoadBalancerCreationForTypes |
Vincoli di Cloud Load Balancing |
constraints/compute.restrictProtocolForwardingCreationForTypes |
Vincoli di forwarding del protocollo |
constraints/compute.restrictDedicatedInterconnectUsageconstraints/compute.restrictPartnerInterconnectUsage |
Limitazione dell'utilizzo di Cloud Interconnect |
constraints/compute.restrictVpnPeerIPs |
Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN |
constraints/compute.trustedImageProjects |
Limitare l'accesso alle immagini |
constraints/compute.vmExternalIpAccess |
Disabilitazione dell'accesso IP esterno per le VM |
constraints/compute.requireVpcFlowLogs |
Vincoli dei criteri dell'organizzazione per i log di flusso VPC |
constraints/dataform.restrictGitRemotes |
Limitare i repository remoti |
constraints/gcp.restrictServiceUsage |
Limitazione dell'utilizzo delle risorse |
constraints/iam.allowedPolicyMemberDomains |
Limitazione delle identità per dominio |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
Estensione della durata dei token di accesso OAuth 2.0 |
constraints/iam.disableCrossProjectServiceAccountUsage |
Collegare un account di servizio a una risorsa in un altro progetto |
constraints/iam.disableServiceAccountCreation |
Limitare la creazione degli account di servizio |
constraints/iam.disableServiceAccountKeyCreation |
Limitazione della creazione di chiavi dell'account di servizio |
constraints/iam.disableServiceAccountKeyUpload |
Limitazione del caricamento delle chiavi dell'account di servizio |
constraints/iam.disableWorkloadIdentityClusterCreation |
Limitazione della creazione di cluster Workload Identity |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
Collegare un account di servizio a una risorsa in un altro progetto |
constraints/gcp.detailedAuditLoggingModeconstraints/storage.retentionPolicySecondsconstraints/storage.uniformBucketLevelAccessconstraints/storage.publicAccessPrevention |
Vincoli dei criteri dell'organizzazione per Cloud Storage |
constraints/gcp.disableCloudLogging |
Disabilitazione di Cloud Logging |
constraints/gcp.resourceLocations |
Limitazione delle località delle risorse |
constraints/resourcemanager.accessBoundaries |
Limitare la visibilità del progetto per gli utenti |
constraints/run.allowedIngress |
Utilizzo dei Controlli di servizio VPC |
constraints/run.allowedVPCEgress |
Utilizzo dei Controlli di servizio VPC |
Scopri di più
Per scoprire di più sui concetti principali dei criteri dell'organizzazione:
Scopri cosa sono i vincoli.
Scopri come utilizzare i vincoli per creare criteri dell'organizzazione.
Leggi come funziona la valutazione gerarchica.