Vincoli disponibili
Puoi specificare criteri che utilizzano i seguenti vincoli.
Vincoli gestiti
Servizi | Vincolo | Descrizione |
---|---|---|
Identity and Access Management | Disattiva creazione chiavi service account | Se applicato, questo vincolo blocca la creazione di chiavi dell'account di servizio. constraints/iam.managed.disableServiceAccountKeyCreation |
Identity and Access Management | Disabilita caricamento di chiavi service account | Questo vincolo booleano, se impostato su "True", disattiva la funzionalità che consente di caricare chiavi pubbliche negli account di servizio. Per impostazione predefinita, gli utenti possono caricare le chiavi pubbliche negli account di servizio in base ai propri ruoli e autorizzazioni Cloud IAM. constraints/iam.managed.disableServiceAccountKeyUpload |
Vincoli supportati da più servizi Google Cloud
Vincolo | Descrizione | Prefissi supportati |
---|---|---|
Pool di worker consentiti (Cloud Build) | Questo vincolo dell'elenco definisce l'insieme di pool di worker di Cloud Build consentiti per l'esecuzione delle build utilizzando Cloud Build. Quando questo vincolo viene applicato, sarà necessario creare le build in un pool di worker che corrisponda a uno dei valori consentiti. Per impostazione predefinita, Cloud Build può utilizzare qualsiasi pool di worker. L'elenco dei pool di worker deve essere nel formato:
constraints/cloudbuild.allowedWorkerPools |
"is:" , "under:" |
Google Cloud Platform - Restrizione sulla località delle risorse | Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare risorse Google Cloud basate sulla località. Importante: le informazioni in questa pagina non descrivono gli impegni di Google Cloud in merito alla posizione dei dati dei clienti (come definiti nel contratto in base al quale Google ha accettato di fornire ai propri clienti i servizi Google Cloud e come descritto nel riepilogo dei servizi Google Cloud all'indirizzo https://cloud.google.com/terms/services). Per visualizzare l'elenco dei servizi Google Cloud per i quali i clienti possono selezionare la località dei dati dei clienti, consulta la pagina dedicata ai servizi Google Cloud con residenza dei dati all'indirizzo https://cloud.google.com/terms/data-residency. Per impostazione predefinita, le risorse possono essere create in qualsiasi località. Per un elenco completo dei servizi supportati, visita la pagina all'indirizzo https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services. Con i criteri di questo vincolo è possibile specificare come località consentite o non consentite località con più aree geografiche, ad esempio asia e europe , e località a singola area geografica come us-east1 o europe-west1 . Autorizzare o meno aree geografiche multiple non significa che bisogna autorizzare o meno anche tutte le località secondarie. Ad esempio, se il criterio non autorizza la località con più aree geografiche us (che fa riferimento a risorse su più aree geografiche, come alcuni servizi di archiviazione), è comunque possibile creare risorse nella località a singola area geografica us-east1 . D'altra parte, il gruppo in:us-locations contiene tutte le località all'interno della regione us e può essere utilizzato per bloccare ogni regione. Ti consigliamo di utilizzare gruppi di valori per definire il criterio. Puoi specificare gruppi di valori, cioè raccolte di località curate da Google per offrire una soluzione semplice al fine di definire le località delle tue risorse. Per utilizzare i gruppi di valori nei criteri dell'organizzazione, aggiungi il prefisso in: alle voci, seguito dal gruppo di valori. Ad esempio, per creare risorse che saranno situate fisicamente solo all'interno degli Stati Uniti, imposta in:us-locations nell'elenco dei valori consentiti. Se il campo suggested_value è utilizzato in un criterio di località, deve essere una regione. Se il valore specificato è un'area geografica, una UI di una risorsa di zona può pre-popolare qualsiasi zona dell'area geografica. constraints/gcp.resourceLocations |
"is:" , "in:" |
Limita i progetti che possono fornire CryptoKey KMS per CMEK | Questo vincolo dell'elenco definisce i progetti che possono essere utilizzati per fornire chiavi di crittografia gestite dal cliente (CMEK) durante la creazione delle risorse. L'impostazione di questo vincolo su Allow (ad esempio, per consentire solo le chiavi CMEK di questi progetti) garantisce che le chiavi CMEK di altri progetti non possano essere utilizzate per proteggere le risorse appena create. I valori di questo vincolo devono essere specificati nel formato under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID o projects/PROJECT_ID . I servizi supportati che applicano questo vincolo sono:
Deny o Deny All . L'applicazione di questo vincolo non è retroattiva. Le risorse Google Cloud CMEK esistenti con CryptoKey KMS provenienti da progetti non consentiti devono essere riconfigurate o ricreate manualmente per garantire l'applicazione. constraints/gcp.restrictCmekCryptoKeyProjects |
"is:" , "under:" |
Limita i servizi che possono creare risorse senza CMEK | Questo vincolo dell'elenco definisce i servizi che richiedono chiavi di crittografia gestite dal cliente (CMEK). L'impostazione di questo vincolo su Deny (ad esempio, per negare la creazione di risorse senza CMEK) richiede che le risorse create di recente siano protette da una chiave CMEK per i servizi specificati. I servizi supportati che possono essere impostati in questo vincolo sono:
Deny All . Non è consentito impostare questo vincolo su Allow . L'applicazione di questo vincolo non è retroattiva. Le risorse Google Cloud non CMEK esistenti devono essere riconfigurate o ricreate manualmente per garantire l'applicazione. constraints/gcp.restrictNonCmekServices |
"is:" |
Limita utilizzo del servizio risorse | Questo vincolo definisce l'insieme dei servizi di risorse di Google Cloud che possono essere utilizzati all'interno di un'organizzazione, una cartella o un progetto, ad esempio compute.googleapis.com e storage.googleapis.com. Per impostazione predefinita, sono consentiti tutti i servizi di risorse di Google Cloud. Per ulteriori informazioni, visita la pagina https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources. constraints/gcp.restrictServiceUsage |
"is:" |
Limita versioni TLS | Questo vincolo definisce l'insieme di versioni TLS che non possono essere utilizzate nell'organizzazione, nella cartella o nel progetto in cui viene applicato il vincolo né in nessun elemento figlio della risorsa nella rispettiva gerarchia. Per impostazione predefinita, sono consentite tutte le versioni TLS. Le versioni TLS possono essere specificate solo nell'elenco degli elementi negati e devono essere identificate nel formato TLS_VERSION_1 o TLS_VERSION_1_1 .Questo vincolo si applica solo alle richieste che utilizzano TLS. Non verrà utilizzato per limitare le richieste non criptate. Per ulteriori informazioni, consulta https://cloud.google.com/assured-workloads/docs/restrict-tls-versions. constraints/gcp.restrictTLSVersion |
"is:" |
Disabilita l'abilitazione di Identity-Aware Proxy (IAP) nelle risorse di regione | Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse di regione. L'abilitazione di IAP nelle risorse globali non è limitata da questo vincolo. Per impostazione predefinita, è consentito abilitare IAP nelle risorse di regione. constraints/iap.requireRegionalIapWebDisabled |
"is:" |
Limita API e servizi Google Cloud consentiti | Questo vincolo dell'elenco limita l'insieme di servizi e relative API che è possibile abilitare su questa risorsa. Per impostazione predefinita, sono consentiti tutti i servizi. L'elenco dei servizi non consentiti deve essere creato a partire dall'elenco seguente. Attualmente l'abilitazione esplicita delle API tramite questo vincolo non è supportata. Se viene specificata un'API non compresa in questo elenco verrà restituito un errore. L'applicazione di questo vincolo non è retroattiva. Se un servizio è già abilitato su una risorsa al momento dell'applicazione di questo vincolo, rimarrà abilitato. constraints/serviceuser.services |
"is:" |
Limitazioni per servizi specifici
Servizi | Vincolo | Descrizione | Prefissi supportati |
---|---|---|---|
Vertex AI Workbench | Definisci la modalità di accesso per notebook e istanze Vertex AI Workbench | Questo vincolo dell'elenco definisce le modalità di accesso consentite a blocchi note e istanze di Vertex AI Workbench, se applicate. L'elenco consentito o bloccato può specificare più utenti con la modalità service-account o l'accesso di un singolo utente con la modalità single-user . La modalità di accesso da consentire o bloccare deve essere elencata in modo esplicito. constraints/ainotebooks.accessMode |
"is:" |
Vertex AI Workbench | Disabilita i download dei file sulle nuove istanze Vertex AI Workbench | Quando applicato, questo vincolo booleano impedisce di creare istanze di Vertex AI Workbench con l'opzione Download file abilitata. Per impostazione predefinita, l'opzione Download file può essere attivata su qualsiasi istanza di Vertex AI Workbench. constraints/ainotebooks.disableFileDownloads |
"is:" |
Vertex AI Workbench | Disabilita l'accesso root alle nuove istanze e ai nuovi notebook gestiti dall'utente di Vertex AI Workbench | Quando applicato, questo vincolo booleano impedisce alle istanze e ai blocchi note gestiti dall'utente di Vertex AI Workbench appena creati di abilitare l'accesso root. Per impostazione predefinita, le istanze e i blocchi note gestiti dall'utente di Vertex AI Workbench possono avere l'accesso root abilitato. constraints/ainotebooks.disableRootAccess |
"is:" |
Vertex AI Workbench | Disattiva il terminale sulle nuove istanze di Vertex AI Workbench | Se applicato, questo vincolo booleano impedisce la creazione di istanze di Vertex AI Workbench in cui sia abilitato il terminale. Per impostazione predefinita, il terminale può essere abilitato nelle istanze di Vertex AI Workbench. constraints/ainotebooks.disableTerminal |
"is:" |
Vertex AI Workbench | Limita le opzioni di ambiente nei nuovi notebook gestiti dall'utente di Vertex AI Workbench | Questo vincolo dell'elenco definisce le opzioni per le immagini VM e container che l'utente può selezionare quando crea nuovi notebook gestiti dall'utente di Vertex AI Workbench. Le opzioni da consentire o negare devono essere elencate esplicitamente. Il formato previsto per le istanze VM è ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE . Sostituisci IMAGE_TYPE con image-family o image-name . Esempi: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu , ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 .Il formato previsto per le immagini del contenitore sarà ainotebooks-container/CONTAINER_REPOSITORY:TAG . Esempi: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest , ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48 . constraints/ainotebooks.environmentOptions |
"is:" |
Vertex AI Workbench | Richiedi gli upgrade automatici pianificati dei nuovi notebook e istanze gestiti dall'utente di Vertex AI Workbench | Se applicato, questo vincolo booleano richiede che nelle nuove istanze e nei nuovi blocchi note gestiti dall'utente di Vertex AI Workbench sia impostata una pianificazione automatica degli upgrade. Per definirla, usa il flag di metadati `notebook-upgrade-schedule` per specificare una pianificazione cron per gli upgrade automatici. Ad esempio: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`. constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
Vertex AI Workbench | Limita l'accesso all'IP pubblico sui nuovi notebook e istanze di Vertex AI Workbench. | Se applicato, questo vincolo booleano restringe l'accesso degli IP pubblici a istanze e blocchi note di Vertex AI Workbench appena creati. Per impostazione predefinita, gli IP pubblici possono accedere alle istanze e ai blocchi note di Vertex AI Workbench. constraints/ainotebooks.restrictPublicIp |
"is:" |
Vertex AI Workbench | Limita le reti VPC sulle nuove istanze di Vertex AI Workbench | Questo vincolo dell'elenco definisce le reti VPC che l'utente può selezionare quando crea nuove istanze Vertex AI Workbench in cui questo vincolo è applicato. Per impostazione predefinita, un'istanza Vertex AI Workbench può essere creata con qualsiasi rete VPC. L'elenco delle emittenti consentite o vietate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/ainotebooks.restrictVpcNetworks |
"is:" , "under:" |
Vertex AI | Definisci l'accesso ai modelli di AI generativa di proprietà di Google in Vertex AI | Questo vincolo dell'elenco definisce il set di modelli e funzionalità di AI generativa che è possibile utilizzare nelle API Vertex AI. I valori della lista consentita devono seguire il formato model_id:feature_family . Ad esempio, publishers/google/models/text-bison:predict . Questo vincolo dell'elenco limita l'accesso solo ai modelli di AI generativa proprietari di Google e non influisce sui modelli proprietari di terze parti o su quelli open source. Il vincolo vertexai.allowedModels può essere utilizzato per definire l'accesso a un set più ampio di modelli, inclusi i modelli proprietari di Google, quelli proprietari di terze parti e i modelli open source. Per impostazione predefinita, tutti i modelli possono essere utilizzati nelle API Vertex AI. constraints/vertexai.allowedGenAIModels |
"is:" |
Vertex AI | Definisci l'accesso ai modelli in Vertex AI | Questo vincolo dell'elenco definisce il set di modelli e funzionalità che è possibile utilizzare nelle API Vertex AI. I valori della lista consentita devono seguire il formato "model_id:feature_family ", ad esempio "publishers/google/models/gemini-1.0-pro:predict ". Per impostazione predefinita, tutti i modelli possono essere utilizzati nelle API Vertex AI. constraints/vertexai.allowedModels |
"is:" |
App Engine | Disabilita il download del codice sorgente | Disabilita i download del codice sorgente precedentemente caricati su App Engine. constraints/appengine.disableCodeDownload |
"is:" |
App Engine | Esenzione deployment runtime (App Engine) | Questo vincolo dell'elenco definisce l'insieme dei runtime legacy di App Engine Standard (Python 2.7, PHP 5.5 e Java 8) consentiti per i deployment dopo la fine del supporto. Il supporto dei runtime legacy di App Engine Standard terminerà il 30 gennaio 2024. Di norma, i tentativi di deployment delle applicazioni che utilizzano runtime legacy dopo questa data verranno bloccati. Consulta il programma di supporto del runtime di App Engine Standard. L'impostazione di questo vincolo su "Consenti" sblocca i deployment dei runtime legacy specificati di App Engine Standard fino alla data di ritiro. L'impostazione di questo vincolo su "Consenti tutti" sblocca i deployment di tutti i runtime legacy di App Engine Standard fino alla data di ritiro. I runtime che hanno raggiunto la fine del supporto non ricevono le patch di routine per manutenzione e sicurezza. Ti consigliamo vivamente di aggiornare le applicazioni in modo da utilizzare una versione di runtime in disponibilità generale. constraints/appengine.runtimeDeploymentExemption |
"is:" |
BigQuery | Disattiva BigQuery Omni per Cloud AWS | Se ha valore True , questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Amazon Web Services a cui è applicato il vincolo. constraints/bigquery.disableBQOmniAWS |
"is:" |
BigQuery | Disattiva BigQuery Omni per Cloud Azure | Se ha valore True , questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Microsoft Azure a cui è applicato il vincolo. constraints/bigquery.disableBQOmniAzure |
"is:" |
Cloud Build | Integrazioni consentite (Cloud Build) | Questo vincolo dell'elenco definisce le integrazioni di Cloud Build consentite per l'esecuzione delle build tramite la ricezione di webhook da servizi esterni a Google Cloud. Quando questo vincolo viene applicato, vengono elaborati solo i webhook per i servizi il cui host corrisponde a uno dei valori consentiti. Per impostazione predefinita, Cloud Build elabora tutti i webhook per i progetti che hanno almeno un trigger ATTIVO. constraints/cloudbuild.allowedIntegrations |
"is:" |
Cloud Build | Disabilita creazione service account predefinito (Cloud Build) | Quando applicato, questo vincolo booleano impedisce di creare un service account Cloud Build legacy. constraints/cloudbuild.disableCreateDefaultServiceAccount |
"is:" |
Cloud Build | Usa il service account predefinito (Cloud Build) | Quando applicato, questo vincolo booleano consente di usare per impostazione predefinita il service account Cloud Build legacy. constraints/cloudbuild.useBuildServiceAccount |
"is:" |
Cloud Build | Usa il service account Compute Engine per impostazione predefinita (Cloud Build) | Quando applicato, questo vincolo booleano consente di usare per impostazione predefinita il service account Compute Engine. constraints/cloudbuild.useComputeServiceAccount |
"is:" |
Cloud Deploy | Disabilita etichette di servizio Cloud Deploy | Quando applicato, questo vincolo booleano impedisce a Cloud Deploy di aggiungere etichette di identificazione Cloud Deploy agli oggetti di cui è stato eseguito il deployment. Per impostazione predefinita, le etichette che identificano le risorse Cloud Deploy vengono aggiunte agli oggetti di cui è stato eseguito il deployment durante la creazione della release. constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
Cloud Functions | Impostazioni di traffico in entrata consentite (Cloud Functions) | Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le impostazioni di traffico in entrata delle funzioni devono corrispondere a uno dei valori consentiti. Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in entrata. Le impostazioni di traffico in entrata devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione IngressSettings .Per Cloud Functions (2nd gen), utilizza il vincolo constraints/run.allowedIngress .constraints/cloudfunctions.allowedIngressSettings |
"is:" |
Cloud Functions | Impostazioni di traffico in uscita del Connettore VPC consentite (Cloud Functions) | Questo vincolo dell'elenco definisce le impostazioni di traffico in uscita consentite del Connettore VPC per il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le impostazioni di traffico in uscita del Connettore VPC delle funzioni devono corrispondere a uno dei valori consentiti. Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in uscita del Connettore VPC. Le impostazioni di traffico in uscita del Connettore VPC devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione VpcConnectorEgressSettings .Cloud Functions (2nd gen), utilizza il vincolo constraints/run.allowedVPCEgress .constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
Cloud Functions | Richiede Connettore VPC (Cloud Functions) | Questo vincolo booleano richiede l'impostazione di un Connettore VPC durante il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le funzioni devono specificare un Connettore VPC. Per impostazione predefinita, non è necessario specificare un Connettore VPC per eseguire il deployment di una Cloud Function. constraints/cloudfunctions.requireVPCConnector |
"is:" |
Cloud Functions | Generazioni Cloud Functions consentite | Questo vincolo di elenco definisce l'insieme di generazioni consentite di funzioni Cloud Functions per creare nuove risorse delle funzioni. I valori validi sono: 1stGen , 2ndGen . constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
Cloud KMS | Limita i tipi di CryptoKey KMS che possono essere creati. | Questo vincolo dell'elenco definisce i tipi di chiavi Cloud KMS che possono essere creati in un determinato nodo della gerarchia. Quando questo vincolo viene applicato, solo i tipi di chiavi KMS specificati in questo criterio dell'organizzazione possono essere creati all'interno del nodo della gerarchia associata. La configurazione di questo criterio dell'organizzazione influirà anche sul livello di protezione dei job di importazione e delle versioni delle chiavi. Per impostazione predefinita sono consentiti tutti i tipi di chiavi. I valori validi sono: SOFTWARE , HSM , EXTERNAL , EXTERNAL_VPC . I criteri di rifiuto non sono consentiti. constraints/cloudkms.allowedProtectionLevels |
"is:" |
Cloud KMS | Limita l'eliminazione delle chiavi alle versioni delle chiavi disattivate | Quando applicato, questo vincolo booleano consente di eliminare solo le versioni delle chiavi in stato disattivato. Per impostazione predefinita, è possibile eliminare sia le versioni delle chiavi in stato attivato che quelle in stato disattivato. Quando applicato, questo vincolo è valido sia per le versioni nuove che per quelle esistenti della chiave. constraints/cloudkms.disableBeforeDestroy |
"is:" |
Cloud KMS | Durata pianificata minima dell'eliminazione per chiave | Questo vincolo di elenco definisce la durata pianificata minima dell'eliminazione in giorni che l'utente può specificare quando crea una nuova chiave. Dopo l'applicazione del vincolo, non sarà possibile creare chiavi con una durata pianificata dell'eliminazione inferiore a questo valore. Per impostazione predefinita, la durata pianificata minima dell'eliminazione per tutte le chiavi è di 1 giorno, tranne che per le chiavi di sola importazione, per le quali la durata minima è pari a 0 giorni. È possibile specificare un solo valore consentito nel formato in:1d , in:7d , in:15d , in:30d , in:60d , in:90d o in:120d . Ad esempio, se constraints/cloudkms.minimumDestroyScheduledDuration è impostato su in:15d , gli utenti possono creare chiavi con una durata pianificata dell'eliminazione che sia superiore a 15 giorni, ad esempio 16 giorni o 31 giorni. Non possono, però, creare chiavi con una durata pianificata dell'eliminazione inferiore a 15 giorni, ad esempio 14 giorni. Per ogni risorsa nella gerarchia, la durata pianificata minima dell'eliminazione può ereditare, sostituire o essere unita con il criterio dell'elemento padre. In questo caso, il valore effettivo della durata pianificata minima dell'eliminazione della risorsa è il più basso tra il valore specificato nel criterio della risorsa e la durata pianificata minima dell'eliminazione effettiva dell'elemento padre. Ad esempio, se un'organizzazione ha una durata pianificata minima dell'eliminazione di 7 giorni e in un progetto secondario il criterio è impostato su "Unisci con risorsa padre" con un valore di in:15d , la durata pianificata minima effettiva dell'eliminazione del progetto sarà di 7 giorni. constraints/cloudkms.minimumDestroyScheduledDuration |
"is:" , "in:" |
Cloud Scheduler | Tipi di target consentiti per i job | Questo vincolo di elenco definisce l'elenco dei tipi di destinazione, come HTTP App Engine, HTTP o Pub/Sub, consentiti per i job di Cloud Scheduler. Per impostazione predefinita, sono consentite tutte le destinazioni dei job. I valori validi sono: APPENGINE , HTTP , PUBSUB . constraints/cloudscheduler.allowedTargetTypes |
"is:" |
Cloud SQL | Limita reti autorizzate nelle istanze di Cloud SQL | Questo vincolo booleano limita l'aggiunta di reti autorizzate per l'accesso ai database senza proxy alle istanze di Cloud SQL per cui il vincolo ha valore True . Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente connesse a reti autorizzate continueranno a funzionare anche dopo l'applicazione di questo vincolo. Per impostazione predefinita, è consentito aggiungere reti autorizzate alle istanze di Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
"is:" |
Cloud SQL | Disattiva i percorsi di accesso diagnostico e amministrativo in Cloud SQL per soddisfare i requisiti di conformità. | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Se viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e verranno disabilitati tutti i percorsi di accesso per la diagnostica e altri casi d'uso legati all'assistenza clienti che non soddisfano i requisiti avanzati di sovranità per Assured Workloads. constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Cloud SQL | Limita workload non conformi per le istanze Cloud SQL. | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e le risorse sottoposte a provisioning seguiranno rigorosamente i requisiti di sovranità avanzata per Assured Workloads. Questo criterio è retroattivo e si applica ai progetti esistenti, ma non influisce sulle risorse già sottoposte a provisioning; ad esempio, le modifiche al criterio si rifletteranno solo sulle risorse create dopo che il criterio è stato modificato. constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
Cloud SQL | Limita l'accesso IP pubblico nelle istanze Cloud SQL | Questo vincolo booleano limita la configurazione dell'indirizzo IP pubblico nelle istanze di Cloud SQL in cui questo vincolo ha valore True . Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente dotate di accesso IP pubblico continueranno a funzionare anche dopo l'applicazione di questo vincolo. Per impostazione predefinita, alle istanze Cloud SQL è consentito l'accesso IP pubblico. constraints/sql.restrictPublicIp |
"is:" |
Google Cloud Marketplace | Disattiva Marketplace pubblico | Quando applicato, questo vincolo booleano disattiva Google Cloud Marketplace per tutti gli utenti dell'organizzazione. Per impostazione predefinita, il Marketplace pubblico è attivato per l'organizzazione. Questo criterio funziona solo quando il marketplace privato è attivato (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace). Importante: per un'esperienza ottimale, ti consigliamo vivamente di utilizzare la funzionalità di limitazioni di accesso utente al marketplace, come descritto in https://cloud.google.com/marketplace/docs/governance/strict-user-access per impedire l'utilizzo non autorizzato del marketplace nella tua organizzazione, anziché farlo tramite questo criterio dell'organizzazione. constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
Google Cloud Marketplace | Limita accesso ai servizi di marketplace | Questo vincolo dell'elenco definisce l'insieme di servizi consentiti per le organizzazioni del marketplace e può includere solo i valori dell'elenco seguente:
IAAS_PROCUREMENT è nell'elenco dei valori consentiti, l'esperienza di governance dell'approvvigionamento IaaS è abilitata per tutti i prodotti. Per impostazione predefinita, l'esperienza di governance dell'approvvigionamento IaaS è disattivata. Il criterio IAAS_PROCUREMENT funziona indipendentemente dalla funzionalità di governance Richiedi approvvigionamento, che è specifica per i prodotti SaaS elencati su Cloud Marketplace.Nota: il valore PRIVATE_MARKETPLACE non è più supportato e il suo utilizzo non ha alcun effetto. Per attivare Google Private Marketplace, devi seguire le istruzioni all'indirizzo https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace. constraints/commerceorggovernance.marketplaceServices |
"is:" |
Compute Engine | Impostazioni della crittografia dei collegamenti VLAN consentite | Questo vincolo di elenco definisce le impostazioni di crittografia consentite per i nuovi collegamenti VLAN. Per impostazione predefinita, i collegamenti VLAN possono utilizzare qualsiasi tipo di crittografia. Imposta IPSEC come valore consentito per forzare la creazione di collegamenti VLAN solo criptati. constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
Compute Engine | Disattiva tutti gli utilizzi di IPv6 | Se impostato su True , questo vincolo booleano disattiva la creazione o l'aggiornamento di qualunque risorsa Google Compute Engine coinvolta nell'utilizzo di IPv6. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse Google Compute Engine utilizzando IPv6 in qualsiasi progetto, cartella e organizzazione. Se impostato, questo vincolo ha una priorità superiore a quella degli altri vincoli dell'organizzazione IPv6, inclusi disableVpcInternalIpv6 , disableVpcExternalIpv6 e disableHybridCloudIpv6 . constraints/compute.disableAllIpv6 |
"is:" |
Compute Engine | Disabilita la creazione dei criteri di sicurezza di Cloud Armor | Quando applicato, questo vincolo booleano disabilita la creazione dei criteri di sicurezza di Cloud Armor. Per impostazione predefinita, puoi creare criteri di sicurezza di Cloud Armor in qualsiasi organizzazione, cartella o progetto. constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
Compute Engine | Disabilita bilanciamento del carico globale | Questo vincolo booleano disabilita la creazione di prodotti di bilanciamento del carico globale. Quando applicato, è possibile creare solo prodotti di bilanciamento del carico a livello di area geografica senza dipendenze globali. Per impostazione predefinita, è consentita la creazione del bilanciamento del carico globale. constraints/compute.disableGlobalLoadBalancing |
"is:" |
Compute Engine | Disabilita la creazione di certificati SSL autogestiti globali | Quando applicato, questo vincolo booleano disabilita la creazione di certificati SSL autogestiti globali. La creazione di certificati gestiti da Google o autogestiti a livello di regione non è disabilitata da questo vincolo. Per impostazione predefinita, puoi creare certificati SSL autogestiti globali in qualsiasi organizzazione, cartella o progetto. constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
Compute Engine | Disattiva l'accesso globale alle porte seriali della VM | Questo vincolo booleano disabilita l'accesso alle porte seriali delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è applicato. Per impostazione predefinita, i clienti possono abilitare l'accesso alle porte seriali su una singola VM o un singolo progetto di Compute Engine utilizzando gli attributi dei metadati. Se applichi questo vincolo, l'accesso alle porte seriali per le VM di Compute Engine viene disabilito, a prescindere dagli attributi dei metadati. L'accesso alle porte seriali regionali non è influenzato da questo vincolo. Per disabilitare l'accesso a tutte le porte seriali, utilizza invece il vincolo compute.disableSerialPortAccess. constraints/compute.disableGlobalSerialPortAccess |
"is:" |
Compute Engine | Disattiva attributi guest dei metadati di Compute Engine | Questo vincolo booleano impedisce all'API Compute Engine di accedere agli attributi guest delle VM Compute Engine appartenenti all'organizzazione, al progetto o alla cartella per cui questo vincolo è impostato su True . Per impostazione predefinita, l'API Compute Engine può essere utilizzata per accedere agli attributi guest delle VM Compute Engine. constraints/compute.disableGuestAttributesAccess |
"is:" |
Compute Engine | Disattiva utilizzo di IPv6 per il cloud ibrido | Quando applicato, questo vincolo booleano disabilita la creazione o l'aggiornamento alle risorse cloud ibrido, inclusi collegamenti di interconnessione e gateway Cloud VPN con stack_type di IPV4_IPV6 o IPV6_ONLY o gatewayIpVersion di IPv6 . Se applicato su una risorsa router Cloud, viene disabilitata la possibilità di creare sessioni Border Gateway Protocol (BGP) IPv6 e di abilitare lo scambio di route IPv6 nelle sessioni BGP IPv4. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse cloud ibrido con stack_type di IPV4_IPV6 in progetti, cartelle e organizzazioni. constraints/compute.disableHybridCloudIpv6 |
"is:" |
Compute Engine | Disabilita le API di accesso ai dati dell'istanza | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando applicato, questo vincolo booleano disabilita le API GetSerialPortOutput e GetScreenshot che accedono all'output della porta seriale della VM e acquisiscono screenshot dalle interfacce utente delle VM. constraints/compute.disableInstanceDataAccessApis |
"is:" |
Compute Engine | Disabilita gruppi di endpoint di rete Internet | Questo vincolo booleano impedisce a un utente di creare gruppi di endpoint di rete (NEG) internet con type di INTERNET_FQDN_PORT e INTERNET_IP_PORT .Per impostazione predefinita, qualunque utente con le autorizzazioni IAM appropriate può creare NEG internet in qualsiasi progetto. constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
Compute Engine | Disattiva virtualizzazione nidificata delle VM | Questo vincolo booleano disattiva la virtualizzazione nidificata con accelerazione hardware per tutte le VM Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è impostato su True .Per impostazione predefinita, la virtualizzazione nidificata con accelerazione hardware è consentita per tutte le VM Compute Engine in esecuzione su piattaforme CPU Intel Haswell o successive. constraints/compute.disableNestedVirtualization |
"is:" |
Compute Engine | Forza l'applicazione di tipi di macchine conformi a FIPS | Se applicato, questo vincolo booleano disabilita la creazione di tipi di istanze VM non conformi ai requisiti FIPS. constraints/compute.disableNonFIPSMachineTypes |
"is:" |
Compute Engine | Disabilita Private Service Connect per i consumatori | Questo vincolo dell'elenco definisce l'insieme di tipi di endpoint di Private Service Connect per cui gli utenti non possono creare regole di forwarding. Quando questo vincolo viene applicato, gli utenti non possono creare regole di forwarding per il tipo di endpoint Private Service Connect. Questo vincolo non viene applicato retroattivamente. Per impostazione predefinita, è possibile creare regole di inoltro per qualsiasi tipo di endpoint di Private Service Connect. L'elenco di endpoint di Private Service Connect consentiti/non consentiti deve provenire dall'elenco seguente:
GOOGLE_APIS nell'elenco dei tipi consentiti o non consentiti limiterà la creazione di regole di inoltro di Private Service Connect per l'accesso alle API di Google. L'uso di SERVICE_PRODUCERS nell'elenco dei tipi consentiti o non consentiti limiterà la creazione di regole di inoltro di Private Service Connect per l'accesso ai servizi in un'altra rete VPC. constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
Compute Engine | Disattiva l'accesso alla porta seriale VM | Questo vincolo booleano disattiva l'accesso alle porte seriali delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è impostato su True . Per impostazione predefinita, i clienti possono abilitare l'accesso alle porte seriali su una singola VM o un singolo progetto di Compute Engine utilizzando gli attributi dei metadati. Se applichi questo vincolo, l'accesso alle porte seriali per le VM di Compute Engine viene disabilitato, a prescindere dagli attributi dei metadati. constraints/compute.disableSerialPortAccess |
"is:" |
Compute Engine | Disabilita il logging delle porte seriali delle VM in Stackdriver | Questo vincolo booleano disabilita il logging della porta seriale in Stackdriver dalle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui è applicato il vincolo. Per impostazione predefinita, il logging delle porte seriali per le VM di Compute Engine è disattivato e può essere attivato selettivamente su una singola VM o un singolo progetto utilizzando gli attributi dei metadati. Quando applicato, questo vincolo disattiva il logging delle porte seriali per le nuove VM di Compute Engine ogni volta che ne viene creata una. Inoltre, impedisce agli utenti di impostare su True l'attributo dei metadati di qualsiasi VM (esistenti o nuove). La disattivazione del logging delle porte seriali può causare il malfunzionamento di determinati servizi che lo utilizzano, ad esempio i cluster di Google Kubernetes Engine. Prima di applicare questo vincolo, verifica che i prodotti nel tuo progetto non utilizzino il logging delle porte seriali. constraints/compute.disableSerialPortLogging |
"is:" |
Compute Engine | Disattiva SSH nel browser | Questo vincolo booleano disabilita lo strumento SSH nel browser nella console Cloud per le VM che utilizzano OS Login e le VM dell'ambiente flessibile di App Engine. Quando è applicato, lo strumento SSH nel browser viene disabilitato. Lo strumento SSH nel browser è consentito per impostazione predefinita. constraints/compute.disableSshInBrowser |
"is:" |
Compute Engine | Disabilita l'utilizzo di IPv6 all'esterno di VPC | Se impostato su True , questo vincolo booleano disattiva la creazione o l'aggiornamento delle subnet con stack_type pari a IPV4_IPV6 e ipv6_access_type pari a EXTERNAL . Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione. constraints/compute.disableVpcExternalIpv6 |
"is:" |
Compute Engine | Disattiva uso di IPv6 all'interno di VPC | Se impostato su True , questo vincolo booleano disattiva la creazione o l'aggiornamento delle subnet con stack_type pari a IPV4_IPV6 e ipv6_access_type pari a INTERNAL . Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione. constraints/compute.disableVpcInternalIpv6 |
"is:" |
Compute Engine | Abilita le impostazioni necessarie per i workload di protezione della memoria per la conformità | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Questo vincolo controlla le impostazioni necessarie per eliminare i potenziali percorsi di accesso alla memoria principale delle VM. Se applicato, limita la possibilità di accedere alla memoria principale delle VM mediante la disabilitazione dei percorsi di accesso, oltre a limitare la raccolta dei dati interni quando si verifica un errore. constraints/compute.enableComplianceMemoryProtection |
"is:" |
Compute Engine | Disabilita il comportamento Fail Open per i metodi list che visualizzano informazioni relative alla quota per una regione | Se applicato, questo vincolo booleano disabilita il comportamento Fail Open in caso di errori sul lato server per i metodi regions.list , regions.get e projects.get . Di conseguenza, se le informazioni relative alla quota non sono disponibili e questo vincolo è abilitato, i suddetti metodi generano errore. Per impostazione predefinita, questi metodi vengono eseguiti correttamente in caso di errori sul lato server e visualizzano un messaggio di avviso quando le informazioni relative alla quota non sono disponibili. constraints/compute.requireBasicQuotaInResponse |
"is:" |
Compute Engine | Richiedi OS Config | Quando applicato, questo vincolo booleano abilita VM Manager (OS Config) su tutti i nuovi progetti. VM Manager sarà abilitato in tutte le istanze VM create nei nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano VM Manager a livello di progetto o di istanza. Per impostazione predefinita, VM Manager è disabilitato nei progetti Compute Engine. constraints/compute.requireOsConfig |
"is:" |
Compute Engine | Richiedi accesso al sistema operativo | Se impostato su true , questo vincolo booleano abilita OS Login in tutti i nuovi progetti creati. OS Login sarà abilitato in tutte le istanze VM create nei nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano OS Login a livello di progetto o di istanza. Per impostazione predefinita, la funzionalità di OS Login è disabilitata nei progetti Compute Engine. Le istanze GKE nei cluster privati che eseguono pool di nodi versione 1.20.5-gke.2000 o successive supportano l'accesso al OS Login operativo. Attualmente le istanze GKE nei cluster pubblici non supportano OS Login. Se questo vincolo viene applicato a un progetto che esegue cluster pubblici, le istanze GKE in esecuzione in quel progetto potrebbero non funzionare correttamente. constraints/compute.requireOsLogin |
"is:" |
Compute Engine | Shielded VM | Questo vincolo booleano, se impostato su True , richiede che tutte le nuove istanze VM Compute Engine utilizzino immagini disco schermate in cui siano abilitate le opzioni di avvio protetto, monitoraggio dell'integrità e vTPM. Se vuoi, puoi disabilitare l'avvio protetto dopo la creazione. Le istanze esistenti in esecuzione continueranno a funzionare come al solito. Per impostazione predefinita, le funzionalità delle VM schermate non devono essere abilitate per poter creare istanze di VM Compute Engine. Le funzionalità delle VM schermate aggiungono l'integrità verificabile e la resistenza all'esfiltrazione alle VM. constraints/compute.requireShieldedVm |
"is:" |
Compute Engine | Richiedi criterio SSL | Questo vincolo di elenco definisce l'insieme di proxy target SSL e HTTPS che possono usare il criterio SSL predefinito. Per impostazione predefinita, tutti i proxy target SSL e HTTPS possono usare il criterio SSL predefinito. Quando viene applicato questo vincolo, i nuovi proxy target SSL e HTTPS dovranno specificare obbligatoriamente un criterio SSL predefinito. L'applicazione di questo vincolo non è retroattiva. I proxy target esistenti che usano il criterio SSL predefinito non sono interessati. L'elenco di proxy target SSL e proxy target HTTPS consentiti o non consentiti deve essere identificato nel seguente formato:
constraints/compute.requireSslPolicy |
"is:" , "under:" |
Compute Engine | Richiedi criteri predefiniti per i log di flusso VPC | Questo vincolo dell'elenco definisce l'insieme di criteri predefiniti che possono essere applicati ai log di flusso VPC. Per impostazione predefinita, i log di flusso VPC possono essere configurati con qualsiasi impostazione in ciascuna subnet. Questo vincolo impone l'abilitazione dei log di flusso per tutte le subnet nell'ambito con una frequenza di campionamento minima richiesta. Specifica uno o più dei seguenti valori validi:
constraints/compute.requireVpcFlowLogs |
"is:" |
Compute Engine | Limita l'utilizzo di Cloud NAT | Questo vincolo dell'elenco definisce l'insieme di sottoreti che possono utilizzare Cloud NAT. Per impostazione predefinita, tutte le sottoreti possono utilizzare Cloud NAT. L'elenco di sottoreti consentite/rifiutate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME . constraints/compute.restrictCloudNATUsage |
"is:" , "under:" |
Compute Engine | Limita i bucket di backend e i servizi di backend tra progetti | Questo vincolo dell'elenco limita le risorse BackendBucket e BackendService a cui è possibile aggiungere una risorsa urlMap. Il vincolo non si applica alle risorse BackendBucket e BackendService all'interno dello stesso progetto della risorsa urlMap. Per impostazione predefinita, una risorsa urlMap in un progetto può fare riferimento a risorse BackendBucket e BackendService compatibili di altri progetti nella stessa organizzazione, purché l'utente abbia l'autorizzazione compute.backendService.use, compute.regionBackendServices.use o compute.backendBuckets.use. Consigliamo di non usare questo vincolo insieme al vincolo compute.restrictSharedVpcBackendServices per evitare conflitti. Progetti, cartelle e risorse dell'organizzazione nell'elenco di elementi consentiti o negati influiscono su tutte le risorse BackendBucket e BackendService sottostanti nella gerarchia delle risorse. Solo progetti, cartelle e risorse dell'organizzazione possono essere inclusi nell'elenco consentiti o rifiutati e devono essere specificati nel seguente formato:
constraints/compute.restrictCrossProjectServices |
"is:" , "under:" |
Compute Engine | Limita utilizzo dell'interconnessione dedicata | Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'interconnessione dedicata. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle emittenti consentite/rifiutate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictDedicatedInterconnectUsage |
"is:" , "under:" |
Compute Engine | Limita la creazione del bilanciatore del carico in base ai tipi di bilanciatore del carico | Questo vincolo dell'elenco definisce l'insieme dei tipi di bilanciatore del carico che è possibile creare per un'organizzazione, una cartella o un progetto. Ogni tipo di bilanciatore del carico da consentire o non consentire deve essere elencato in modo esplicito. Per impostazione predefinita, è consentita la creazione di tutti i tipi di bilanciatore del carico. L'elenco dei valori consentiti o negati deve essere identificato come il nome stringa di un bilanciatore del carico e può includere solo valori compresi nell'elenco seguente:
Per includere tutti i tipi di bilanciatore del carico interni o esterni, utilizza il prefisso in: seguito da INTERNAL o EXTERNAL. Ad esempio, consentendo in:INTERNAL autorizzi tutti i tipi di bilanciatore del carico nell'elenco precedente che includono INTERNAL. constraints/compute.restrictLoadBalancerCreationForTypes |
"is:" , "in:" |
Compute Engine | Limita elementi non Confidential Computing | L'elenco degli elementi bloccati di questo vincolo dell'elenco definisce l'insieme di servizi per i quali tutte le nuove risorse devono essere create con Confidential Computing. Per impostazione predefinita, non è obbligatorio che le nuove risorse utilizzino Confidential Computing. Se viene applicato questo vincolo di elenco, Confidential Computing non può essere disabilitato durante il ciclo di vita della risorsa. Le risorse esistenti continueranno a funzionare normalmente. L'elenco di servizi negati deve essere identificato dal nome di stringa di un'API e può includere solo valori esplicitamente negati presenti nell'elenco riportato di seguito. L'autorizzazione esplicita delle API non è attualmente supportata. Verrà restituito un errore se vengono vietate in modo esplicito API non comprese in questo elenco. Elenco delle API supportate: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
Compute Engine | Limita utilizzo dell'interconnessione partner | Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'interconnessione partner. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle emittenti consentite/rifiutate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictPartnerInterconnectUsage |
"is:" , "under:" |
Compute Engine | Limita i consumer Private Service Connect consentiti | Questo vincolo dell'elenco definisce quali organizzazioni, cartelle e progetti possono connettersi ai collegamenti di servizi all'interno dell'organizzazione o del progetto di un producer. Gli elenchi di elementi consentiti o negati devono essere identificati nel seguente formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID o under:projects/PROJECT_ID . Per impostazione predefinita sono consentite tutte le connessioni. constraints/compute.restrictPrivateServiceConnectConsumer |
"is:" , "under:" |
Compute Engine | Limita producer consentiti di Private Service Connect | Questo vincolo di elenco definisce a quali collegamenti di servizio possono collegarsi i consumatori di Private Service Connect. Il vincolo blocca la distribuzione di endpoint o backend di Private Service Connect in base all'organizzazione, alla cartella o alla risorsa di progetto del collegamento di servizio a cui fanno riferimento gli endpoint o i backend. Gli elenchi di elementi consentiti o negati devono essere identificati nel seguente formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID o under:projects/PROJECT_ID . Per impostazione predefinita sono consentite tutte le connessioni. constraints/compute.restrictPrivateServiceConnectProducer |
"is:" , "under:" |
Compute Engine | Limita forwarding di protocollo in base al tipo di indirizzo IP | Questo vincolo dell'elenco definisce il tipo di oggetti regola di forwarding di protocollo con istanza di destinazione che possono essere creati da un utente. Quando questo vincolo viene applicato, i nuovi oggetti regola di forwarding con istanza di destinazione saranno limitati a indirizzi IP interni e/o esterni, in base ai tipi specificati. I tipi da consentire o negare devono essere elencati in modo esplicito. Per impostazione predefinita, è consentita la creazione di oggetti regola di forwarding di protocollo con istanza di destinazione sia interni che esterni. L'elenco dei valori consentiti o negati può includere solo valori compresi nell'elenco seguente:
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
Compute Engine | Limita servizi di backend del VPC condiviso | Questo vincolo di elenco definisce l'insieme di servizi di backend del VPC condiviso che le risorse idonee possono utilizzare. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi servizio di backend del VPC condiviso. L'elenco dei servizi di backend consentiti/rifiutati deve essere specificato nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME o projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME . Questo vincolo non è retroattivo. constraints/compute.restrictSharedVpcBackendServices |
"is:" , "under:" |
Compute Engine | Limita progetti host con VPC condivise | Questo vincolo dell'elenco definisce l'insieme di progetti host con VPC condivise ai quali è possibile associare i progetti allo stesso livello o a un livello inferiore rispetto alla risorsa. Per impostazione predefinita, un progetto può essere associato a qualsiasi progetto host nella stessa organizzazione, diventando quindi un progetto di servizio. I progetti, le cartelle e le organizzazioni negli elenchi di elementi consentiti/negati influiscono su tutti gli oggetti sottostanti nella gerarchia delle risorse e devono essere specificati nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID o projects/PROJECT_ID . constraints/compute.restrictSharedVpcHostProjects |
"is:" , "under:" |
Compute Engine | Limita subnet VPC condivise | Questo vincolo dell'elenco definisce l'insieme di subnet VPC condivise utilizzabili dalle risorse idonee. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi subnet VPC condivisa. L'elenco di subnet consentite o negate deve essere specificato nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME . constraints/compute.restrictSharedVpcSubnetworks |
"is:" , "under:" |
Compute Engine | Limita utilizzo del peering di VPC | Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a questo progetto, cartella o organizzazione. Ogni estremità del peering deve avere l'autorizzazione per il peering. Per impostazione predefinita, un Amministratore di rete di una rete può eseguire il peering con qualsiasi altra rete. L'elenco delle emittenti consentite/rifiutate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictVpcPeering |
"is:" , "under:" |
Compute Engine | Limita IP peer VPN | Questo vincolo dell'elenco definisce l'insieme di indirizzi IP validi che possono essere configurati come IP peer VPN. Per impostazione predefinita, qualsiasi IP può essere un IP peer VPN per una rete VPC. L'elenco di indirizzi IP consentiti o negati deve essere specificato come indirizzi IP validi nel formato: IP_V4_ADDRESS o IP_V6_ADDRESS . constraints/compute.restrictVpnPeerIPs |
"is:" |
Compute Engine | Configura l'impostazione del DNS interno per i nuovi progetti per utilizzare solo il DNS di zona | Se impostato su "True", i nuovi progetti creati utilizzeranno il DNS di zona come predefinito. Per impostazione predefinita, questo vincolo è impostato su "False" e i nuovi progetti creati utilizzeranno il tipo DNS predefinito. constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
Compute Engine | Progetti del proprietario con prenotazioni condivise | Questo vincolo dell'elenco definisce l'insieme di progetti autorizzati a creare e possedere prenotazioni condivise nell'organizzazione. Una prenotazione condivisa è simile a una prenotazione locale con la differenza che, anziché essere sfruttata solo dai progetti del proprietario, può essere utilizzata da altri progetti Compute Engine nella gerarchia delle risorse. L'elenco dei progetti autorizzati ad accedere alla prenotazione condivisa deve essere nel seguente formato: projects/PROJECT_NUMBER o under:projects/PROJECT_NUMBER . constraints/compute.sharedReservationsOwnerProjects |
"is:" , "under:" |
Compute Engine | Ignora creazione rete predefinita | Questo vincolo booleano ignora la creazione della rete predefinita e delle risorse correlate durante la creazione delle risorse del progetto Google Cloud Platform per cui questo vincolo è impostato su True . Per impostazione predefinita, quando si crea una risorsa del progetto vengono automaticamente create una rete predefinita e le risorse di supporto.constraints/compute.skipDefaultNetworkCreation |
"is:" |
Compute Engine | Restrizioni di utilizzo delle risorse di Compute Storage (dischi, immagini e snapshot di Compute Engine) | Questo vincolo dell'elenco definisce un insieme di progetti a cui è consentito utilizzare le risorse di archiviazione di Compute Engine. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può accedere alle risorse di Compute Engine. Utilizzando questo vincolo, gli utenti devono disporre di autorizzazioni Cloud IAM e non devono essere limitati dal vincolo per accedere alla risorsa. I progetti, le cartelle e le organizzazioni specificati negli elenchi consentiti o rifiutati devono essere nel seguente formato: under:projects/PROJECT_ID , under:folders/FOLDER_ID , under:organizations/ORGANIZATION_ID . constraints/compute.storageResourceUseRestrictions |
"is:" , "under:" |
Compute Engine | Definisci progetti con immagini attendibili | Questo vincolo dell'elenco definisce l'insieme di progetti che possono essere utilizzati per l'archiviazione delle immagini e l'instanziazione dei dischi per Compute Engine. Per impostazione predefinita, le istanze possono essere create dalle immagini di qualsiasi progetto che condivide le immagini pubblicamente o esplicitamente con l'utente. L'elenco di progetti dell'editore consentiti/rifiutati deve essere costituito da stringhe nel formato: projects/PROJECT_ID . Se questo vincolo è attivo, come origine per i dischi di avvio delle nuove istanze saranno consentite solo le immagini dei progetti attendibili.constraints/compute.trustedImageProjects |
"is:" |
Compute Engine | Limita inoltro IP VM | Questo vincolo dell'elenco definisce l'insieme di istanze VM che possono abilitare il forwarding IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Le istanze VM devono essere specificate nel formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME . Questo vincolo non è retroattivo. constraints/compute.vmCanIpForward |
"is:" , "under:" |
Compute Engine | Definisci IP esterni consentiti per le istanze VM | Questo vincolo dell'elenco definisce l'insieme di istanze VM Compute Engine autorizzate a utilizzare indirizzi IP esterni. Per impostazione predefinita, tutte le istanze VM sono autorizzate a utilizzare indirizzi IP esterni. L'elenco delle istanze VM consentite o negate deve essere identificato dal nome dell'istanza VM, nel formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess |
"is:" |
Compute Engine | Disabilita l'abilitazione di Identity-Aware Proxy (IAP) nelle risorse globali | Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse globali. L'abilitazione di IAP nelle risorse di regione non è limitata da questo vincolo. Per impostazione predefinita, è consentito abilitare IAP sulle risorse globali. constraints/iap.requireGlobalIapWebDisabled |
"is:" |
Google Kubernetes Engine | Disabilita i percorsi di accesso amministrativo diagnostico in GKE. | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, tutti i percorsi di accesso per la diagnostica e altri casi d'uso dell'assistenza clienti non conformi ai requisiti di Assured Workloads saranno disattivati. constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Dataform | Limita i git remote per i repository in Dataform | Questo vincolo di elenco definisce un insieme di repository Git remoti con cui possono comunicare i repository nel progetto Dataform. Per bloccare le comunicazioni con tutti i repository Git remoti, imposta il valore su Deny all . Questo vincolo è retroattivo e blocca le comunicazioni per i repository esistenti che lo violano. Le voci devono essere link a repository Git remoti attendibili, nello stesso formato fornito da Dataform.Per impostazione predefinita, i repository nei progetti Dataform possono comunicare con qualsiasi repository Git remoto. constraints/dataform.restrictGitRemotes |
"is:" |
Datastream | Datastream - Metodi di blocco della connettività pubblica | Per impostazione predefinita, i profili di connessione di Datastream possono essere creati con metodi di connettività pubblica o privata. Se il vincolo booleano per questo criterio dell'organizzazione viene applicato, è possibile utilizzare solo i metodi di connettività privata (ad esempio peering VPC) per creare profili di connessione. constraints/datastream.disablePublicConnectivity |
"is:" |
Contatti fondamentali | Contatti limitati per i domini | Questo vincolo dell'elenco definisce l'insieme di domini che gli indirizzi email aggiunti ai Contatti necessari possono avere. Per impostazione predefinita, gli indirizzi email con qualsiasi dominio possono essere aggiunti ai Contatti necessari. L'elenco delle identità consentite/negate deve specificare uno o più domini del formato @example.com . Se questo vincolo è attivo e configurato con valori consentiti, in Contatti necessari possono essere aggiunti solo gli indirizzi email con un suffisso corrispondente a una delle voci dell'elenco dei domini consentiti.Questo vincolo non influisce sull'aggiornamento o sulla rimozione dei contatti esistenti. constraints/essentialcontacts.allowedContactDomains |
"is:" |
Contatti fondamentali | Disattiva contatti per la sicurezza del progetto | Quando applicato, questo vincolo booleano consente agli amministratori dei criteri dell'organizzazione di garantire che solo i contatti assegnati a livello di organizzazione o di cartella possano ricevere notifiche di sicurezza. In particolare, l'applicazione di questo vincolo impedisce ai proprietari dei progetti e agli amministratori dei contatti di creare o aggiornare un contatto essenziale con un campo notification_category_subscriptions che contiene la categoria SECURITY o ALL , se il contatto ha anche una risorsa di progetto come padre. constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
Firestore | Richiede l'agente di servizio Firestore per l'importazione/esportazione | Quando applicato, questo vincolo booleano richiede che le importazioni e le esportazioni di Firestore utilizzino l'agente di servizio Firestore. Per impostazione predefinita, le importazioni ed esportazioni di Firestore possono utilizzare l'account di servizio App Engine. In futuro, Firestore smetterà di utilizzare l'account di servizio App Engine per le importazioni e le esportazioni e tutti gli account dovranno eseguire la migrazione all'agente di servizio Firestore. Dopo di ciò, questo vincolo non sarà più necessario. constraints/firestore.requireP4SAforImportExport |
"is:" |
Cloud Healthcare | Disabilita Cloud Logging per l'API Cloud Healthcare | Quando applicato, questo vincolo booleano disabilita Cloud Logging per l'API Cloud Healthcare. Gli audit log non sono interessati da questo vincolo. I log di Cloud generati per l'API Cloud Healthcare prima dell'applicazione del vincolo non vengono eliminati e sono comunque accessibili. constraints/gcp.disableCloudLogging |
"is:" |
Identity and Access Management | Consenti estensione della durata dei token di accesso OAuth 2.0 fino a 12 ore | Questo vincolo dell'elenco definisce l'insieme di account di servizio a cui possono essere concessi token di accesso OAuth 2.0 con una durata massima di 12 ore. Per impostazione predefinita, la durata massima di questi token di accesso è di 1 ora. L'elenco degli account di servizio consentiti/negati deve specificare uno o più indirizzi email di account di servizio. constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
Identity and Access Management | Condivisione limitata per i domini | Questo vincolo dell'elenco definisce uno o più ID cliente di Cloud Identity o Google Workspace le cui entità possono essere aggiunte ai criteri IAM. Per impostazione predefinita, è consentito aggiungere tutte le identità utente ai criteri IAM. In questo vincolo possono essere definiti solo i valori consentiti. I valori negati non sono supportati. Se questo vincolo è attivo, solo le entità che appartengono agli ID cliente consentiti possono essere aggiunte ai criteri IAM. Non è necessario aggiungere l'ID cliente google.com a questo elenco per interagire con i servizi Google. L'aggiunta di google.com consente la condivisione con i dipendenti e i sistemi non di produzione di Google e deve essere utilizzato solo per condividere i dati con i dipendenti di Google. constraints/iam.allowedPolicyMemberDomains |
"is:" |
Identity and Access Management | Disabilita esenzione per l'audit logging | Quando applicato, questo vincolo booleano impedisce di escludere entità aggiuntive dall'audit logging. Questo vincolo non influisce sulle esenzioni dall'audit logging che esistevano prima dell'applicazione del vincolo. constraints/iam.disableAuditLoggingExemption |
"is:" |
Identity and Access Management | Disabilita l'utilizzo dei service account tra i progetti | Una volta applicato, il deployment dei service account è possibile solo (utilizzando il ruolo ServiceAccountUser) nei job (VM, funzioni e così via) in esecuzione nello stesso progetto del service account. constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
Identity and Access Management | Disattiva creazione service account | Questo vincolo booleano, se impostato su True, disattiva la creazione di service account. Per impostazione predefinita, i service account possono essere creati dagli utenti in base ai propri ruoli e autorizzazioni Cloud IAM. constraints/iam.disableServiceAccountCreation |
"is:" |
Identity and Access Management | Disattiva creazione chiavi service account | Quando applicato, questo vincolo booleano disattiva la creazione di chiavi esterne dell'account di servizio e di chiavi HMAC di Cloud Storage. Per impostazione predefinita, le chiavi esterne dei account di servizio possono essere create dagli utenti in base ai propri ruoli e autorizzazioni Cloud IAM. constraints/iam.disableServiceAccountKeyCreation |
"is:" |
Identity and Access Management | Disabilita caricamento di chiavi service account | Questo vincolo booleano, se impostato su "True", disattiva la funzionalità che consente di caricare chiavi pubbliche negli account di servizio. Per impostazione predefinita, gli utenti possono caricare le chiavi pubbliche negli account di servizio in base ai propri ruoli e autorizzazioni Cloud IAM. constraints/iam.disableServiceAccountKeyUpload |
"is:" |
Identity and Access Management | Disabilita creazione cluster Workload Identity | Se impostato su "True", questo vincolo booleano richiede che in tutti i nuovi cluster GKE sia disabilitato Workload Identity al momento della creazione. I cluster GKE esistenti in cui Workload Identity è già abilitato continueranno a funzionare come al solito. Per impostazione predefinita, Workload Identity può essere abilitato per qualsiasi cluster GKE. constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
Identity and Access Management | Durata per la scadenza della chiave del service account in ore | Questo vincolo dell'elenco definisce la durata massima consentita prima che scada la chiave dell'account di servizio. Per impostazione predefinita, le chiavi create non scadono mai. La durata consentita è specificata in ore e deve essere compresa nell'elenco seguente. Puoi specificare un solo valore consentito. I valori negati non sono supportati. Se viene specificata una durata non compresa in questo elenco, verrà generato un errore.
inheritFromParent=false nel file dei criteri, se usi gcloud CLI. Questo vincolo non può essere unito a un criterio padre. L'applicazione del vincolo non è retroattiva e non modifica le chiavi preesistenti. constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
Identity and Access Management | Risposta esposizione chiave service account | Questo vincolo di elenco definisce la risposta adottata se Google rileva che la chiave di un service account è esposta pubblicamente. Se non viene impostato, il valore predefinito corrisponde al comportamento descritto per DISABLE_KEY . I valori consentiti sono DISABLE_KEY e WAIT_FOR_ABUSE . Non è possibile utilizzare valori che non fanno esplicitamente parte di questo elenco. Puoi specificare un solo valore consentito. I valori negati non sono supportati. Se consenti il valore DISABLE_KEY , viene automaticamente disabilitata qualsiasi chiave del account di servizio esposta pubblicamente e viene creata una voce nell'audit log. Se consenti il valore WAIT_FOR_ABUSE , questa protezione viene disattivata e le chiavi dell'account di servizio esposte non vengono disabilitate automaticamente. Tuttavia, Google Cloud potrebbe disattivare le chiavi dell'account di servizio esposte se vengono utilizzate in modi che influiscono negativamente sulla piattaforma, ma non garantisce di farlo. Per applicare questo vincolo, impostalo in modo da sostituire il criterio padre nella Google Cloud Console oppure imposta inheritFromParent=false nel file dei criteri se utilizzi gcloud CLI. Questo vincolo non può essere unito a un criterio padre. constraints/iam.serviceAccountKeyExposureResponse |
"is:" |
Identity and Access Management | Account AWS consentiti che possono essere configurati per la federazione delle identità per i workload in Cloud IAM. | Elenco di ID account AWS che possono essere configurati per la federazione delle identità per i workload in Cloud IAM. constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
Identity and Access Management | Provider di identità esterni consentiti per i workload in Cloud IAM | Provider di identità che possono essere configurati per l'autenticazione del workload in Cloud IAM, specificato da URI/URL. constraints/iam.workloadIdentityPoolProviders |
"is:" |
Control plane gestito di Anthos Service Mesh | Modalità Controlli di servizio VPC consentita per i control plane gestiti di Anthos Service Mesh | Questo vincolo determina quali modalità di Controlli di servizio VPC possono essere impostate durante il provisioning di un nuovo piano di controllo gestito da Anthos Service Mesh. I valori validi sono "NONE" e "COMPATIBLE". constraints/meshconfig.allowedVpcscModes |
"is:" |
Cloud Pub/Sub | Applica le regioni in transito per i messaggi Pub/Sub | Se applicato, questo vincolo booleano imposta MessageStoragePolicy::enforce_in_transit su true per tutti i nuovi argomenti Pub/Sub al momento della creazione. Ciò garantisce che i dati dei clienti transitino solo all'interno delle regioni consentite che sono specificate nel criterio di archiviazione dei messaggi per l'argomento. constraints/pubsub.enforceInTransitRegions |
"is:" |
Resource Manager | Limita la rimozione dei blocchi sul progetto del VPC condiviso | Questo vincolo booleano limita l'insieme di utenti che possono rimuovere un blocco del progetto host VPC condiviso senza autorizzazione a livello di organizzazione se questo vincolo è impostato su True . Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco del progetto host VPC condiviso. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione. constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
Resource Manager | Limita la rimozione dei blocchi dei service account tra progetti | Questo vincolo booleano, quando corrisponde a ENFORCED, impedisce agli utenti di rimuovere un blocco degli account di servizio tra progetti senza autorizzazione a livello di organizzazione. Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco degli account di servizio tra progetti. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione. constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
Resource Manager | Limita visibilità query risorsa | Quando applicato a una risorsa dell'organizzazione, questo vincolo dell'elenco definisce l'insieme di risorse Google Cloud che vengono restituite nei metodi di elencazione e ricerca per gli utenti nel dominio dell'organizzazione a cui il vincolo è applicato. Consente di limitare le risorse visibili in varie parti di Cloud Console, tra cui il selettore risorse, la funzionalità di ricerca e la pagina Gestisci risorse. Tieni presente che questo vincolo viene valutato sempre e solo a livello di organizzazione. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.accessBoundaries |
"is:" , "under:" |
Resource Manager | Richiedi l'elenco dei servizi consentiti abilitati per lo spostamento tra organizzazioni | Questo vincolo dell'elenco funge da controllo per verificare se un progetto con un servizio abilitato può essere spostato tra le organizzazioni. Questo vincolo deve essere applicato in una risorsa in cui è abilitato un servizio supportato, che a sua volta deve essere incluso nei valori consentiti per poter essere spostato tra le organizzazioni. L'elenco attuale di valori consentiti per i servizi supportati che è possibile utilizzare è:
Questo vincolo fornisce un controllo aggiuntivo rispetto a constraints/resourcemanager.allowedExportDestinations. Questo vincolo dell'elenco (list_constraint) è vuoto per impostazione predefinita e non bloccherà gli spostamenti tra organizzazioni, a meno che un servizio supportato non venga abilitato nella risorsa da esportare. Questo vincolo consente un controllo più dettagliato sulle risorse che utilizzano funzionalità che richiedono maggiore attenzione quando vengono spostate in un'altra organizzazione. Per impostazione predefinita, una risorsa in cui è abilitato un servizio supportato non può essere spostata tra le organizzazioni. constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
Resource Manager | Destinazioni consentite per l'esportazione delle risorse | Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne in cui è possibile spostare le risorse e nega gli spostamenti in tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, questa può essere spostata solo nelle organizzazioni consentite esplicitamente dal vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.allowedExportDestinations |
"is:" , "under:" |
Resource Manager | Origini consentite per l'importazione delle risorse | Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne da cui è possibile importare le risorse e nega gli spostamenti da tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, quelle importate direttamente sotto questa risorsa devono essere consentite in modo esplicito da questo vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.allowedImportSources |
"is:" , "under:" |
Cloud Run | Criteri di autorizzazione binaria consentiti (Cloud Run) | Questo vincolo dell'elenco definisce l'insieme dei nomi dei criteri di autorizzazione binaria che è possibile specificare in una risorsa Cloud Run. Per consentire/negare un criterio predefinito, utilizza il valore "default". Per consentire/negare uno o più criteri personalizzati della piattaforma, l'ID risorsa di ciascun criterio deve essere aggiunto separatamente. constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
Cloud Run | Impostazioni di traffico in entrata consentite (Cloud Run) | Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per i servizi Cloud Run. Quando questo vincolo viene applicato, le impostazioni del traffico in entrata dei servizi devono corrispondere a uno dei valori consentiti. I servizi Cloud Run esistenti con impostazioni di traffico in entrata che violano questo vincolo possono continuare a essere aggiornati finché tali impostazioni non vengono modificate per rispettare il vincolo. Quando un servizio rispetta questo vincolo, può utilizzare solo le relative impostazioni di traffico in entrata consentite. Per impostazione predefinita, i servizi Cloud Run possono utilizzare qualsiasi impostazione di traffico in entrata. L'elenco consentito deve contenere i valori supportati per le impostazioni di traffico in entrata: all , internal e internal-and-cloud-load-balancing .constraints/run.allowedIngress |
"is:" |
Cloud Run | Impostazioni di traffico VPC in uscita consentite (Cloud Run) | Questo vincolo dell'elenco definisce le impostazioni di traffico VPC in uscita consentite da specificare su una risorsa Cloud Run. Quando viene applicato questo vincolo, è necessario eseguire il deployment delle risorse Cloud Run con un connettore di accesso VPC serverless o con il traffico VPC diretto in uscita abilitato; le impostazioni di traffico devono corrispondere a uno dei valori consentiti. Per impostazione predefinita, le risorse Cloud Run possono configurare le impostazioni di traffico VPC in uscita su qualsiasi valore supportato. L'elenco consentito deve contenere i valori delle impostazioni di traffico VPC in uscita supportati, ovvero private-ranges-only e all-traffic .Per i servizi Cloud Run esistenti, tutte le nuove revisioni devono rispettare questo vincolo. I servizi esistenti con revisioni che gestiscono traffico e violano questo vincolo possono continuare a eseguire la migrazione del traffico a tali revisioni. Quando tutto il traffico per un servizio viene gestito da revisioni conformi a questo vincolo, tutte le migrazioni di traffico successive devono eseguire la migrazione del traffico solo verso queste revisioni. constraints/run.allowedVPCEgress |
"is:" |
Service Consumer Management | Disabilita l'assegnazione automatica di diritti IAM ai service account predefiniti | Quando applicato, questo vincolo booleano impedisce di concedere automaticamente qualsiasi ruolo IAM sul progetto durante la creazione degli account di servizio App Engine e Compute Engine predefiniti nei progetti. Per impostazione predefinita, questi account di servizio ricevono automaticamente il ruolo Editor alla creazione. constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
Cloud Spanner | Abilita il controllo avanzato dei servizi per i workload di conformità | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e le risorse sottoposte a provisioning seguiranno rigorosamente i requisiti di sovranità avanzata per Assured Workloads. Questo criterio si applica ai progetti esistenti, ma non influisce sulle risorse già sottoposte a provisioning; ad esempio, le modifiche al criterio si rifletteranno solo sulle risorse create dopo che il criterio è stato modificato. constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
Cloud Spanner | Disabilita le istanze multiregionali di Cloud Spanner se non è selezionata una località | Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando applicato, questo vincolo booleano impedisce di creare istanze Spanner utilizzando la configurazione di istanze multiregionali, a meno che non sia selezionata una località. Cloud Spanner non supporta ancora la selezione della località, quindi tutte le istanze multiregionali non sono consentite. In futuro, Spanner offrirà agli utenti la possibilità di selezionare una località per più regioni. L'applicazione di questo vincolo non è retroattiva. Le istanze Spanner già create non saranno interessate. constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
Cloud Storage | Google Cloud Platform - Modalità audit logging dettagliato | Quando è applicata la modalità di audit logging dettagliata, sia la richiesta che la risposta vengono incluse in Cloud Audit Logs. L'applicazione delle modifiche a questa funzionalità può richiedere fino a 10 minuti. Questo criterio dell'organizzazione è vivamente consigliato in coordinamento con il blocco dei bucket per la conformità a norme quali regola SEC 17a-4(f), regola CFTC 1.31(c)-(d) e regola FINRA 4511(c). Questo criterio è attualmente supportato solo in Cloud Storage. constraints/gcp.detailedAuditLoggingMode |
"is:" |
Cloud Storage | Applica prevenzione dell'accesso pubblico | Impedisci che i dati di Cloud Storage vengano esposti pubblicamente mediante l'attivazione della prevenzione dell'accesso pubblico. Questo criterio di governance impedisce l'accesso alle risorse esistenti e future tramite la rete internet pubblica, disattivando e bloccando gli ACL e le autorizzazioni IAM che consentono di accedere a allUsers e allAuthenticatedUsers . Applica questo criterio all'intera organizzazione (consigliato), a progetti specifici o a cartelle specifiche, per impedire che i dati vengano esposti al pubblico.Questo criterio ha la precedenza sulle autorizzazioni pubbliche esistenti. Dopo l'attivazione di questo criterio, l'accesso pubblico viene revocato per i bucket e gli oggetti esistenti. Per ulteriori dettagli sugli effetti della modifica dell'applicazione di questo vincolo sulle risorse, visita la pagina https://cloud.google.com/storage/docs/public-access-prevention. constraints/storage.publicAccessPrevention |
"is:" |
Cloud Storage | Cloud Storage - Limita tipi di autenticazione | Il vincolo definisce l'insieme di tipi di autenticazione a cui verrebbe impedito l'accesso alle risorse di archiviazione nell'organizzazione in Cloud Storage. I valori supportati sono USER_ACCOUNT_HMAC_SIGNED_REQUESTS e SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS . Utilizza in:ALL_HMAC_SIGNED_REQUESTS per includerli entrambi. constraints/storage.restrictAuthTypes |
"is:" , "in:" |
Cloud Storage | Durata del criterio di conservazione in secondi | Questo vincolo dell'elenco definisce l'insieme di durate per i criteri di conservazione che possono essere impostati sui bucket Cloud Storage. Per impostazione predefinita, se non viene specificato nessun criterio dell'organizzazione, un bucket Cloud Storage può avere un criterio di conservazione di qualsiasi durata. L'elenco delle durate consentite deve essere specificato come un valore intero positivo maggiore di zero, che rappresenta il criterio di conservazione in secondi. Qualsiasi operazione di inserimento, aggiornamento o patch su un bucket nella risorsa Organizzazione deve avere una durata del criterio di conservazione corrispondente al vincolo. L'applicazione di questo vincolo non è retroattiva. Quando viene applicato un nuovo criterio dell'organizzazione, il criterio di conservazione dei bucket esistenti rimane valido e invariato. constraints/storage.retentionPolicySeconds |
"is:" |
Cloud Storage | Limita accesso HTTP non criptato | Quando applicato, questo vincolo booleano nega esplicitamente l'accesso HTTP (non criptato) a tutte le risorse di archiviazione. Per impostazione predefinita, l'API XML di Cloud Storage consente l'accesso HTTP non criptato. Tieni presente che l'API JSON di Cloud Storage, gRPC e la console Cloud consentono solo l'accesso HTTP criptato alle risorse di Cloud Storage. constraints/storage.secureHttpTransport |
"is:" |
Cloud Storage | Cloud Storage: durata di conservazione dei criteri di eliminazione temporanea in secondi | Questo vincolo definisce le durate di conservazione consentite per i criteri di eliminazione temporanea impostati sui bucket Cloud Storage in cui viene applicato il vincolo. Qualsiasi operazione di inserimento, aggiornamento o patch su un bucket in cui viene applicato questo vincolo deve avere una durata del criterio di eliminazione temporanea corrispondente al vincolo. Quando viene applicato un nuovo criterio dell'organizzazione, il criterio di eliminazione temporanea dei bucket esistenti rimane valido e invariato. Per impostazione predefinita, se non viene specificato nessun criterio dell'organizzazione, un bucket Cloud Storage può avere un criterio di eliminazione temporanea di qualsiasi durata. constraints/storage.softDeletePolicySeconds |
"is:" |
Cloud Storage | Applica accesso uniforme a livello di bucket | Dove impostato su True , questo vincolo booleano richiede che i bucket utilizzino un accesso uniforme a livello di bucket. L'accesso uniforme a livello di bucket deve essere abilitato per tutti i nuovi bucket nella risorsa Organizzazione e tale opzione non può essere disabilitata in alcun bucket esistente nella risorsa Organizzazione. L'applicazione di questo vincolo non è retroattiva: per i bucket esistenti con accesso uniforme a livello di bucket disabilitato, l'opzione resta disabilitata. Il valore predefinito per questo vincolo è False . L'accesso uniforme a livello di bucket disattiva la valutazione degli ACL assegnati agli oggetti Cloud Storage nel bucket. Di conseguenza, solo i criteri IAM consentono l'accesso agli oggetti in tali bucket. constraints/storage.uniformBucketLevelAccess |
"is:" |
Guide illustrative
Per ulteriori informazioni su come utilizzare i singoli vincoli:
Vincolo | Guida illustrativa |
---|---|
constraints/cloudbuild.allowedIntegrations |
Gate si basa sui criteri dell'organizzazione |
constraints/cloudfunctions.allowedIngressSettings |
Utilizzare i Controlli di servizio VPC |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
Utilizzare i Controlli di servizio VPC |
constraints/cloudfunctions.requireVPCConnector |
Utilizzare i Controlli di servizio VPC |
constraints/gcp.restrictNonCmekServices |
Criteri dell'organizzazione CMEK |
constraints/gcp.restrictCmekCryptoKeyProjects |
Criteri dell'organizzazione CMEK |
constraints/gcp.restrictTLSVersion |
Limita le versioni TLS |
constraints/compute.restrictPrivateServiceConnectConsumer constraints/compute.restrictPrivateServiceConnectProducer |
Gestire la sicurezza per i consumer Private Service Connect |
constraints/compute.restrictCloudNATUsage |
Limita l'utilizzo di Cloud NAT |
constraints/compute.restrictLoadBalancerCreationForTypes |
Limitazioni di Cloud Load Balancing |
constraints/compute.restrictProtocolForwardingCreationForTypes |
Vincoli di inoltro del protocollo |
constraints/compute.restrictDedicatedInterconnectUsage constraints/compute.restrictPartnerInterconnectUsage |
Limitazione dell'utilizzo di Cloud Interconnect |
constraints/compute.restrictVpnPeerIPs |
Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN |
constraints/compute.trustedImageProjects |
Limitare l'accesso alle immagini |
constraints/compute.vmExternalIpAccess |
Disattivazione dell'accesso all'IP esterno per le VM |
constraints/compute.requireVpcFlowLogs |
Vincoli dei criteri dell'organizzazione per i log di flusso VPC |
constraints/dataform.restrictGitRemotes |
Limitare i repository remoti |
constraints/gcp.restrictServiceUsage |
Limitare l'utilizzo delle risorse |
constraints/iam.allowedPolicyMemberDomains |
Limitazione delle identità per dominio |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
Estendere la durata dei token di accesso OAuth 2.0 |
constraints/iam.disableCrossProjectServiceAccountUsage |
Collegare un account di servizio a una risorsa in un altro progetto |
constraints/iam.disableServiceAccountCreation |
Limitare la creazione di account di servizio |
constraints/iam.disableServiceAccountKeyCreation |
Limitare la creazione delle chiavi dell'account di servizio |
constraints/iam.disableServiceAccountKeyUpload |
Limitare il caricamento delle chiavi dell'account di servizio |
constraints/iam.disableWorkloadIdentityClusterCreation |
Limitazione della creazione di cluster di identità per i carichi di lavoro |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
Collegare un account di servizio a una risorsa in un altro progetto |
constraints/gcp.detailedAuditLoggingMode constraints/storage.retentionPolicySeconds constraints/storage.uniformBucketLevelAccess constraints/storage.publicAccessPrevention |
Vincoli dei criteri dell'organizzazione per Cloud Storage |
constraints/gcp.disableCloudLogging |
Disattivazione di Cloud Logging |
constraints/gcp.resourceLocations |
Limitazione delle località delle risorse |
constraints/resourcemanager.accessBoundaries |
Limitare la visibilità del progetto per gli utenti |
constraints/run.allowedIngress |
Utilizzare i Controlli di servizio VPC |
constraints/run.allowedVPCEgress |
Utilizzare i Controlli di servizio VPC |
constraints/constraints/vertexai.allowedModels |
Controllare l'accesso ai modelli di Model Garden |
Scopri di più
Per scoprire di più sui concetti fondamentali dei criteri dell'organizzazione:
Scopri che cosa sono i vincoli.
Scopri come utilizzare i vincoli per creare criteri dell'organizzazione.
Scopri come funziona la valutazione gerarchica.