Restrições disponíveis
Pode especificar políticas que usam as seguintes restrições.
Restrições geridas
Serviço(s) | Restrição | Descrição |
---|---|---|
Compute Engine | Desative os atributos de convidado dos metadados do Compute Engine | Esta restrição, quando aplicada, desativa o acesso da API Compute Engine aos atributos de convidado das VMs do Compute Engine. Por predefinição, a API Compute Engine pode ser usada para aceder aos atributos de hóspedes da VM do Compute Engine. Pode permitir que instâncias de VM específicas usem atributos de convidados aplicando primeiro etiquetas para marcar as instâncias. Em seguida, quando aplicar a política, use regras condicionais baseadas em valores de etiquetas para definir corretamente o âmbito dessas instâncias fora da aplicação. constraints/compute.managed.disableGuestAttributesAccess |
Compute Engine | Desative a virtualização aninhada da VM | Esta restrição booleana desativa a virtualização aninhada acelerada por hardware para todas as VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde esta restrição está definida como True .Por predefinição, a virtualização aninhada acelerada por hardware é permitida para todas as VMs do Compute Engine executadas em plataformas de CPU Intel Haswell ou mais recentes. constraints/compute.managed.disableNestedVirtualization |
Compute Engine | Desative o acesso à porta de série da VM | Esta restrição, quando aplicada, desativa o acesso à porta de série das VMs do Compute Engine. Por predefinição, os clientes podem ativar o acesso à porta de série para VMs do Compute Engine por VM, por zona ou por projeto através de atributos de metadados. Pode permitir que instâncias de VMs específicas ativem o acesso à porta série aplicando primeiro etiquetas para marcar as instâncias. Em seguida, quando aplicar a política, use regras condicionais baseadas em valores de etiquetas para excluir corretamente essas instâncias da aplicação. constraints/compute.managed.disableSerialPortAccess |
Compute Engine | Desative o registo da porta de série da VM no Stackdriver | Quando esta restrição é aplicada, desativa o registo da porta série no Stackdriver a partir das VMs do Compute Engine. Por predefinição, o registo da porta série para VMs do Compute Engine está desativado e pode ser ativado seletivamente por VM ou por projeto através de atributos de metadados. A desativação do registo da porta série pode fazer com que determinados serviços que dependem dele, como os clusters do Google Kubernetes Engine, não funcionem corretamente. Antes de aplicar esta restrição, verifique se os produtos no seu projeto não dependem do registo da porta série. Pode permitir que instâncias de VM específicas usem o registo de portas série aplicando primeiro etiquetas para marcar as instâncias. Em seguida, quando aplicar a política, use regras condicionais baseadas em valores de etiquetas para excluir corretamente essas instâncias da aplicação. constraints/compute.managed.disableSerialPortLogging |
Compute Engine | Restringe a utilização do DNS interno global (gDNS) para projetos que tenham uma definição de DNS ZonalOnly. | Esta restrição, quando aplicada, restringe a utilização do gDNS. Esta restrição desativa a criação de VMs do gDNS e a atualização de VMs para usar o gDNS. A reversão de um projeto zDNS para gDNS não é bloqueada, mas leva à aplicação da violação de políticas durante as invocações subsequentes da API Instance. constraints/compute.managed.disallowGlobalDns |
Compute Engine | Exigir configuração do SO | Esta restrição, quando aplicada, requer a ativação do VM Manager (OS Config) em todos os novos projetos. Em projetos novos e existentes, esta restrição impede atualizações de metadados que desativam o VM Manager ao nível do projeto, da zona do projeto ou da instância. Pode permitir que instâncias de VM específicas desativem o VM Manager aplicando primeiro etiquetas para marcar as instâncias. Em seguida, quando aplicar a política, use regras condicionais baseadas em valores de etiquetas para excluir corretamente essas instâncias da aplicação. constraints/compute.managed.requireOsConfig |
Compute Engine | Exija o Início de sessão do SO | Esta restrição, quando aplicada, requer a ativação do Início de sessão do SO em todos os projetos criados recentemente. Em projetos novos e existentes, esta restrição impede atualizações de metadados que desativam o início de sessão no SO ao nível do projeto, da zona do projeto ou da instância. Pode permitir que instâncias de VM específicas desativem o início de sessão no SO aplicando primeiro etiquetas para marcar as instâncias. Em seguida, quando aplicar a política, use regras condicionais baseadas em valores de etiquetas para excluir corretamente essas instâncias da aplicação. constraints/compute.managed.requireOsLogin |
Compute Engine | Restringe a utilização do encaminhamento de protocolos | Esta restrição permite-lhe restringir os tipos de implementações de encaminhamento de protocolos (internas ou externas) que podem ser criadas na sua organização. Para configurar a restrição, especifica uma lista de autorizações do tipo de implementação de encaminhamento de protocolos a permitir. A lista de autorizações só pode incluir os seguintes valores:
constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
Compute Engine | Restrinja o encaminhamento de IP da VM | Esta restrição define se as instâncias de VM do Compute Engine podem ativar o encaminhamento de IP. Por predefinição, se não for especificada nenhuma política, qualquer VM pode ativar o encaminhamento de IP em qualquer rede virtual. Se for aplicada, esta restrição nega a criação ou a atualização de instâncias de VMs com o encaminhamento de IP ativado. Pode permitir que instâncias de VMs específicas ativem o encaminhamento de IP aplicando primeiro etiquetas para marcar as instâncias. Em seguida, quando aplicar a política, use regras condicionais baseadas em valores de etiquetas para excluir corretamente essas instâncias da aplicação. constraints/compute.managed.vmCanIpForward |
Compute Engine | Restrinja IPs externos para instâncias de VM | Esta restrição define se as instâncias de VM do Compute Engine podem usar endereços IP externos IPv4. Por predefinição, todas as instâncias de VM podem usar endereços IP externos. Se for aplicada, esta restrição nega a criação ou a atualização de instâncias de VM com endereços IP externos IPv4. Esta restrição não restringe a utilização de endereços IP externos IPv6. Pode permitir que instâncias de VMs específicas usem endereços IP IPv4 externos aplicando primeiro etiquetas para marcar as instâncias. Em seguida, quando aplicar a política, use regras condicionais baseadas em valores de etiquetas para excluir corretamente essas instâncias da aplicação. constraints/compute.managed.vmExternalIpAccess |
Google Kubernetes Engine | Exigir a ativação da autorização binária para clusters do GKE. | Ative a autorização binária quando criar ou atualizar clusters do GKE. Para ver detalhes, consulte https://cloud.google.com/binary-authorization/docs/setting-up. constraints/container.managed.enableBinaryAuthorization |
Google Kubernetes Engine | Exigir a ativação dos Grupos Google para o RBAC em clusters do GKE. | Ative os Grupos Google para RBAC ao criar ou atualizar clusters do GKE. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac. constraints/container.managed.enableGoogleGroupsRBAC |
Google Kubernetes Engine | Exigir a ativação da aplicação da política de rede em clusters do GKE. | Ative a utilização de NetworkPolicies do Kubernetes ativando a aplicação da política de rede ou o GKE Dataplane V2. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy ou https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2. constraints/container.managed.enableNetworkPolicy |
Google Kubernetes Engine | Exigir a ativação das notificações de boletins de segurança em clusters do GKE. | Ativar notificações do boletim de segurança quando criar ou atualizar clusters do GKE. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin constraints/container.managed.enableSecurityBulletinNotifications |
Google Kubernetes Engine | Exigir a ativação da federação de identidade da carga de trabalho para o GKE. | Ative a federação de identidade da carga de trabalho para o GKE quando criar ou atualizar clusters. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity. constraints/container.managed.enableWorkloadIdentityFederation |
Google Kubernetes Engine | Impedir a utilização da conta de serviço do Compute Engine predefinida como conta de serviço do conjunto de nós. | Não use a conta de serviço do Compute Engine predefinida como a conta de serviço do cluster ou do conjunto de nós. Em alternativa, use uma conta de serviço da IAM com privilégios mínimos. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa constraints/container.managed.disallowDefaultComputeServiceAccount |
Google Kubernetes Engine | Exija a utilização apenas do ponto final baseado em DNS para aceder aos clusters do GKE. | Ative o ponto final baseado em DNS para o acesso ao painel de controlo do GKE e desative os pontos finais baseados em IP quando criar ou atualizar clusters. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint. constraints/container.managed.enableControlPlaneDNSOnlyAccess |
Google Kubernetes Engine | Exigir a ativação de nós privados em clusters do GKE. | Ative os nós privados quando criar ou atualizar clusters do GKE e conjuntos de nós. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking. constraints/container.managed.enablePrivateNodes |
Google Kubernetes Engine | Exigir a ativação da encriptação de segredos autogeridos em clusters do GKE. | Ative a encriptação de segredos com chaves autogeridas quando criar ou atualizar clusters do GKE. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets. constraints/container.managed.enableSecretsEncryption |
Google Kubernetes Engine | Requer a desativação das associações RBAC a identidades do sistema em clusters do GKE. | Desative as ClusterRoleBindings e as RoleBindings não predefinidas que referenciam as identidades do sistema system:anonymous, system:authenticated ou system:unauthenticated quando criar ou atualizar clusters do GKE. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage constraints/container.managed.disableRBACSystemBindings |
Google Kubernetes Engine | Exija a ativação de nós protegidos em clusters do GKE | Exigir que os nós protegidos permaneçam ativados. Os nós do GKE protegidos oferecem uma identidade e uma integridade de nós fortes e validáveis para aumentar a segurança dos nós do GKE. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes constraints/container.managed.enableShieldedNodes |
Google Kubernetes Engine | Exija a desativação da porta só de leitura do kubelet não segura em clusters do GKE | Exigir que a porta só de leitura do kubelet insegura (10255) permaneça desativada. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port constraints/container.managed.disableInsecureKubeletReadOnlyPort |
Google Kubernetes Engine | Exigir que a autenticação de certificados de cliente esteja desativada | Não ative manualmente o método antigo de autenticação de certificados de cliente. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate constraints/container.managed.disableLegacyClientCertificateIssuance |
Google Kubernetes Engine | Exigir que o Cloud Logging esteja ativado nos clusters do GKE | Exigir que todos os clusters do GKE usem, pelo menos, a configuração predefinida do Cloud Logging. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging constraints/container.managed.enableCloudLogging |
Google Kubernetes Engine | Exigir que o controlo de acesso baseado em atributos esteja desativado | Rejeitar pedidos para ativar o controlo de acesso baseado em atributos (ABAC) em clusters do GKE. O ABAC é um método de autenticação antigo que está desativado por predefinição em todos os novos clusters. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled constraints/container.managed.disableABAC |
Google Kubernetes Engine | Exigir que o controlador de admissão DenyServiceExternalIPs esteja ativado | Exija que o controlador de admissão DenyServiceExternalIPs permaneça ativado nos clusters do GKE. Para ver detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs constraints/container.managed.denyServiceExternalIPs |
Gestão de identidade e de acesso | Restrinja os membros da política permitidos nas políticas de permissão do IAM | Esta restrição define os conjuntos de principais da organização aos quais podem ser concedidos papéis do IAM na sua organização. A especificação de um conjunto de principais da organização permite que todas as identidades associadas a essa organização (incluindo contas do Workspace, grupos do Workspace, contas de serviço, identidades do workforce pool, identidades do workload pool e agentes de serviço) recebam funções na sua organização. O conjunto de entidades empresariais da sua organização não é permitido automaticamente e tem de ser incluído como um conjunto de entidades empresariais permitido. Pode especificar membros individuais através do prefixo do tipo principal (por exemplo, `user:` ou `serviceAccount:`) para lhes conceder funções e alias associados na sua organização. A aplicação desta restrição pode bloquear a criação de recursos de pastas devido a concessões automáticas das funções de administrador da pasta e editor da pasta, e pode bloquear a criação de recursos de projetos devido a concessões automáticas da função de proprietário. constraints/iam.managed.allowedPolicyMembers |
Gestão de identidade e de acesso | Desative a criação de contas de serviço | Esta restrição booleana desativa a criação de contas de serviço quando esta restrição está definida como "Verdadeiro". Por predefinição, as contas de serviço podem ser criadas por utilizadores com base nas respetivas funções e autorizações do Cloud IAM. constraints/iam.managed.disableServiceAccountCreation |
Gestão de identidade e de acesso | Bloqueie associações de chaves de API de contas de serviço | Quando aplicada, desativa a criação de chaves da API associadas a contas de serviço. constraints/iam.managed.disableServiceAccountApiKeyCreation |
Gestão de identidade e de acesso | Impeça funções básicas privilegiadas para contas de serviço predefinidas | Quando esta restrição é aplicada, impede que qualquer pessoa atribua a função de editor (roles/editor ) ou a função de proprietário (roles/owner ) às contas de serviço predefinidas do Compute Engine e do App Engine em qualquer altura. Para saber mais sobre as contas de serviço predefinidas, consulte o artigo https://cloud.google.com/iam/help/service-accounts/default. A aplicação desta restrição impede que as contas de serviço predefinidas recebam automaticamente a função de editor (roles/editor ). Isto pode causar problemas de autorização para os serviços que usam estas contas de serviço. Para saber que funções atribuir a cada conta de serviço, consulte https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default. constraints/iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts |
Gestão de identidade e de acesso | Desative a criação de chaves de contas de serviço | Esta restrição, quando aplicada, bloqueia a criação de chaves de contas de serviço. constraints/iam.managed.disableServiceAccountKeyCreation |
Gestão de identidade e de acesso | Desative o carregamento de chaves de contas de serviço | Esta restrição booleana desativa a funcionalidade que permite carregar chaves públicas para contas de serviço onde esta restrição está definida como "Verdadeiro". Por predefinição, os utilizadores podem carregar chaves públicas para contas de serviço com base nas respetivas funções e autorizações do Cloud IAM. constraints/iam.managed.disableServiceAccountKeyUpload |
Contactos essenciais | Restrinja domínios de contacto | Esta restrição define o conjunto de domínios permitidos que os endereços de email adicionados aos contactos essenciais podem ter. Por predefinição, os endereços de email com qualquer domínio podem ser adicionados aos contactos essenciais. A lista allowedDomains tem de especificar um ou mais domínios do formulário @example.com . Se esta restrição for aplicada, apenas os endereços de email com um sufixo correspondente a uma das entradas da lista de domínios permitidos podem ser adicionados aos contactos essenciais.Esta restrição não tem efeito na atualização nem na remoção de contactos existentes. constraints/essentialcontacts.managed.allowedContactDomains |
Cloud Run | Exija a verificação do invocador da IAM para serviços do Cloud Run | Quando aplicada, esta restrição requer que a verificação do invocador do IAM esteja ativada nos serviços do Cloud Run. Se esta restrição não for aplicada, pode definir o campo service.invoker_iam_disabled (v2) ou a anotação run.googleapis.com/invoker-iam-disabled (v1) nos serviços do Cloud Run como True . Também é possível alcançar um resultado semelhante concedendo a autorização run.routes.invoke a todos os utilizadores. Visite https://cloud.google.com/run/docs/securing/managing-access#make-service-public e https://cloud.google.com/run/docs/securing/security para mais informações. constraints/run.managed.requireInvokerIam |
Compute Engine | Bloqueie funcionalidades de pré-visualização do Compute Engine | Esta restrição garante que as atualizações de funcionalidades de pré-visualização são bloqueadas, a menos que sejam permitidas explicitamente. Controla que funcionalidades de pré-visualização podem ser atualizadas especificando-as individualmente para o seu projeto. Permite que apenas essas funcionalidades de pré-visualização sejam acedidas na sua organização. O âmbito atual está limitado ao acesso à API Compute Alpha. constraints/compute.managed.blockPreviewFeatures |
Compute Engine | Definições de encriptação de associações VLAN permitidas | Esta restrição de lista define as definições de encriptação permitidas para novas associações VLAN. Por predefinição, os anexos de VLAN podem usar quaisquer definições de encriptação. Defina IPSEC como o valor permitido para aplicar a criação apenas de anexos de VLAN encriptados. constraints/compute.managed.allowedVlanAttachmentEncryption |
Cloud Pub/Sub | Desativa as transformações de mensagens únicas (SMTs) de tópicos | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Quando esta restrição booleana é aplicada, os tópicos do Pub/Sub não podem definir transformações de mensagens únicas (SMTs). constraints/pubsub.managed.disableTopicMessageTransforms |
Cloud Pub/Sub | Desativa as transformações de mensagens únicas (SMTs) de subscrição | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Quando esta restrição booleana é aplicada, as subscrições do Pub/Sub não podem definir transformações de mensagens únicas (SMTs). constraints/pubsub.managed.disableSubscriptionMessageTransforms |
Restrições suportadas por vários serviços Google Cloud
Restrição | Descrição | Prefixos suportados |
---|---|---|
Grupos de trabalhadores permitidos (Cloud Build) | Esta restrição de lista define o conjunto de pools de trabalhadores do Cloud Build permitidos para realizar compilações através do Cloud Build. Quando esta restrição é aplicada, as compilações têm de ser criadas num conjunto de trabalhadores que corresponda a um dos valores permitidos. Por predefinição, o Cloud Build pode usar qualquer Worker Pool. A lista de autorizações de Worker Pools tem de estar no formato:
constraints/cloudbuild.allowedWorkerPools |
"is:" , "under:" |
Google Cloud Platform – Restrição de localização de recursos | Esta restrição de lista define o conjunto de localizações onde é possível criar recursos do Google Cloud baseados na localização. Importante: as informações nesta página não descrevem os compromissos de localização de dados da Google Cloud Platform para os Dados do Cliente (conforme definido no contrato ao abrigo do qual a Google aceitou fornecer serviços da Google Cloud Platform e conforme descrito no Resumo dos Serviços da Google Cloud Platform em https://cloud.google.com/terms/services) aos respetivos clientes. Para ver a lista de serviços da Google Cloud Platform para os quais os clientes podem selecionar a localização dos dados do cliente, consulte os serviços da Google Cloud Platform com residência de dados em https://cloud.google.com/terms/data-residency. Por predefinição, os recursos podem ser criados em qualquer localização. Para ver uma lista completa dos serviços suportados, consulte https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services. As políticas para esta restrição podem especificar várias regiões, como asia e europe , regiões como us-east1 ou europe-west1 como localizações permitidas ou recusadas. Permitir ou recusar uma região múltipla não implica que todas as sublocalizações incluídas também devam ser permitidas ou recusadas. Por exemplo, se a política negar a us multirregião (que se refere a recursos multirregionais, como alguns serviços de armazenamento), os recursos podem continuar a ser criados na localização regional us-east1 . Por outro lado, o grupo in:us-locations contém todas as localizações na região us e pode ser usado para bloquear todas as regiões. Recomendamos que use grupos de valores para definir a sua política. Pode especificar grupos de valores, coleções de localizações organizadas pela Google para oferecer uma forma simples de definir as localizações dos seus recursos. Para usar grupos de valores na sua política organizacional, prefixe as entradas com a string in: , seguida do grupo de valores. Por exemplo, para criar recursos que só estejam fisicamente localizados nos EUA, defina in:us-locations na lista de valores permitidos. Se o campo suggested_value for usado numa política de localização, deve ser uma região. Se o valor especificado for uma região, uma IU para um recurso zonal pode pré-preencher qualquer zona nessa região. constraints/gcp.resourceLocations |
"is:" , "in:" |
Restrinja os projetos que podem fornecer CryptoKeys do KMS para CMEK | Esta restrição de lista define que projetos podem ser usados para fornecer chaves de encriptação geridas pelo cliente (CMEK) ao criar recursos. Definir esta restrição como Allow (ou seja, permitir apenas chaves CMEK destes projetos) garante que as chaves CMEK de outros projetos não podem ser usadas para proteger recursos recém-criados. Os valores desta restrição têm de ser especificados no formato under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID ou projects/PROJECT_ID . Os serviços suportados que aplicam esta restrição são os seguintes:
Deny ou Deny All . A aplicação desta restrição não é retroativa. Os recursos do Google Cloud CMEK existentes com CryptoKeys do KMS de projetos não permitidos têm de ser reconfigurados ou recriados manualmente para garantir a aplicação. constraints/gcp.restrictCmekCryptoKeyProjects |
"is:" , "under:" |
Restrinja a utilização de pontos finais | Esta restrição de lista define o conjunto de pontos finais da API Google Cloud que podem ser usados para aceder a recursos numa organização, numa pasta ou num projeto. Esta restrição pode ser usada para bloquear o acesso a recursos do Google Cloud através de pontos finais da API global, aplicando a utilização de pontos finais regionais ou de localização. Por exemplo, especificar bigquery.googleapis.com na lista de negação desta política faz com que os pedidos a bigquery.googleapis.com/... falhem, mas os pedidos a {location}-bigquery.googleapis.com/... tenham êxito.Por predefinição, o acesso a todos os pontos finais da API Google Cloud é permitido. A lista de pontos finais negados tem de ser proveniente da lista abaixo. Se tentar guardar a lista recusada com outros valores, a operação falha. Para mais informações, incluindo a lista de valores de restrição válidos, consulte o guia do utilizador de utilização de pontos finais restrita. constraints/gcp.restrictEndpointUsage |
"is:" , "in:" |
Restrinja os serviços que podem criar recursos sem CMEK | Esta restrição de lista define que serviços requerem chaves de encriptação geridas pelo cliente (CMEK). Definir esta restrição como Deny (ou seja, recusar a criação de recursos sem CMEK) requer que, para os serviços especificados, os recursos recém-criados sejam protegidos por uma chave CMEK. Os serviços suportados que podem ser definidos nesta restrição são os seguintes:
Deny All . Não é permitido definir esta restrição como Allow . A aplicação desta restrição não é retroativa. Os recursos do Google Cloud existentes que não usam CMEK têm de ser reconfigurados ou recriados manualmente para garantir a aplicação. constraints/gcp.restrictNonCmekServices |
"is:" |
Restrinja a utilização do serviço de recursos | Esta restrição define o conjunto de serviços de recursos do Google Cloud que podem ser usados numa organização, numa pasta ou num projeto, como compute.googleapis.com e storage.googleapis.com. Por predefinição, todos os serviços de recursos do Google Cloud são permitidos. Para mais informações, consulte https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources. constraints/gcp.restrictServiceUsage |
"is:" |
Restrinja os conjuntos de cifras TLS | Esta restrição de lista define o conjunto de conjuntos de cifras TLS que podem ser usados para aceder a recursos numa organização, numa pasta ou num projeto onde esta restrição é aplicada. Por predefinição, todos os conjuntos de cifras TLS são permitidos. Os conjuntos de cifras TLS podem ser especificados como uma lista de autorizações ou uma lista de recusas e têm de ser identificados através dos respetivos nomes. Por exemplo, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 , TLS_AES_128_GCM_SHA256 .Também pode especificar grupos de valores, coleções de conjuntos de cifras selecionados pela Google para fornecer uma forma simples de definir a restrição. Para usar grupos de valores na sua política organizacional, prefixe as entradas com a string in: , seguida do grupo de valores. Por exemplo, in:CNSA-2.0-recommended-ciphers .Esta restrição só é aplicada a pedidos que usam TLS. Não é usado para restringir pedidos não encriptados. Para mais informações, consulte o guia do utilizador Restringir conjuntos de cifras TLS. constraints/gcp.restrictTLSCipherSuites |
"is:" , "in:" |
Restringir versões de TLS | Esta restrição define o conjunto de versões de TLS que não podem ser usadas na organização, na pasta ou no projeto onde esta restrição é aplicada, nem em nenhum dos elementos secundários desse recurso na hierarquia de recursos. Por predefinição, são permitidas todas as versões de TLS. As versões do TLS só podem ser especificadas na lista recusada e têm de ser identificadas no formato TLS_VERSION_1 ou TLS_VERSION_1_1 .Esta restrição só é aplicada a pedidos que usam o TLS. Não é usado para restringir pedidos não encriptados. Para mais informações, consulte https://cloud.google.com/assured-workloads/docs/restrict-tls-versions. constraints/gcp.restrictTLSVersion |
"is:" |
Desative a ativação do Identity-Aware Proxy (IAP) em recursos regionais | Esta restrição booleana, quando aplicada, desativa a ativação do Identity-Aware Proxy em recursos regionais. A ativação da CAs em recursos globais não é restringida por esta restrição. Por predefinição, a ativação das CAs em recursos regionais é permitida. constraints/iap.requireRegionalIapWebDisabled |
"is:" |
Restrinja as APIs e os serviços do Google Cloud permitidos | Esta restrição de lista restringe o conjunto de serviços e respetivas APIs que podem ser ativados neste recurso. Por predefinição, todos os serviços são permitidos. A lista de serviços recusados tem de ser proveniente da lista abaixo. A ativação explícita de APIs através desta restrição não é suportada atualmente. A especificação de uma API que não esteja nesta lista resulta num erro. A aplicação desta restrição não é retroativa. Se um serviço já estiver ativado num recurso quando esta restrição for aplicada, permanece ativado. constraints/serviceuser.services |
"is:" |
Restrições para serviços específicos
Serviço(s) | Restrição | Descrição | Prefixos suportados |
---|---|---|---|
Vertex AI Workbench | Defina o modo de acesso para instâncias e notebooks do Vertex AI Workbench | Esta restrição de lista define os modos de acesso permitidos aos blocos de notas e às instâncias do Vertex AI Workbench onde é aplicada. A lista de autorização ou recusa pode especificar vários utilizadores com o modo service-account ou o acesso de utilizador único com o modo single-user . O modo de acesso a permitir ou negar tem de ser indicado explicitamente. constraints/ainotebooks.accessMode |
"is:" |
Vertex AI Workbench | Desative os downloads de ficheiros em novas instâncias do Vertex AI Workbench | Esta restrição booleana, quando aplicada, impede a criação de instâncias do Vertex AI Workbench com a opção de transferência de ficheiros ativada. Por predefinição, a opção de transferência de ficheiros pode ser ativada em qualquer instância do Vertex AI Workbench. constraints/ainotebooks.disableFileDownloads |
"is:" |
Vertex AI Workbench | Desative o acesso raiz em novas instâncias e blocos de notas geridos pelo utilizador do Vertex AI Workbench | Esta restrição booleana, quando aplicada, impede que os novos Vertex AI Workbench user-managed notebooks e instâncias ativem o acesso de raiz. Por predefinição, os blocos de notas e as instâncias geridos pelo utilizador do Vertex AI Workbench podem ter o acesso de raiz ativado. constraints/ainotebooks.disableRootAccess |
"is:" |
Vertex AI Workbench | Desative o terminal em novas instâncias do Vertex AI Workbench | Esta restrição booleana, quando aplicada, impede a criação de instâncias do Vertex AI Workbench com o terminal ativado. Por predefinição, o terminal pode ser ativado em instâncias do Vertex AI Workbench. constraints/ainotebooks.disableTerminal |
"is:" |
Vertex AI Workbench | Restrinja as opções de ambiente em novos blocos de notas geridos pelo utilizador do Vertex AI Workbench | Esta restrição de lista define as opções de imagem de VM e contentor que um utilizador pode selecionar quando cria novos blocos de notas geridos pelo utilizador do Vertex AI Workbench. As opções a permitir ou recusar têm de ser indicadas explicitamente. O formato esperado para instâncias de VM é ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE . Substitua IMAGE_TYPE por image-family ou image-name . Exemplos: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu , ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 .O formato esperado para imagens de contentores é ainotebooks-container/CONTAINER_REPOSITORY:TAG . Exemplos: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest , ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48 . constraints/ainotebooks.environmentOptions |
"is:" |
Vertex AI Workbench | Exija atualizações agendadas automáticas em novas instâncias e blocos de notas geridos pelo utilizador do Vertex AI Workbench | Esta restrição booleana, quando aplicada, requer que as novas instâncias e blocos de notas geridos pelo utilizador do Vertex AI Workbench tenham um agendamento de atualização automática definido. Pode definir a agenda de atualização automática através da flag de metadados `notebook-upgrade-schedule` para especificar uma agenda cron para as atualizações automáticas. Por exemplo: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`. constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
Vertex AI Workbench | Restrinja o acesso ao IP público em novas instâncias e blocos de notas do Vertex AI Workbench | Esta restrição booleana, quando aplicada, restringe o acesso IP público a instâncias e blocos de notas do Vertex AI Workbench recém-criados. Por predefinição, os IPs públicos podem aceder a blocos de notas e instâncias do Vertex AI Workbench. constraints/ainotebooks.restrictPublicIp |
"is:" |
Vertex AI Workbench | Restrinja as redes da VPC em novas instâncias do Vertex AI Workbench | Esta restrição de lista define as redes de VPC que um utilizador pode selecionar quando cria novas instâncias do Vertex AI Workbench onde esta restrição é aplicada. Por predefinição, é possível criar uma instância do Vertex AI Workbench com qualquer rede de VPC. A lista de redes permitidas ou recusadas tem de ser identificada no formulário: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/ainotebooks.restrictVpcNetworks |
"is:" , "under:" |
Vertex AI | Defina o acesso aos modelos de IA generativa proprietários da Google na Vertex AI | Esta restrição de lista define o conjunto de modelos e funcionalidades de IA generativa que podem ser usados nas APIs Vertex AI. Os valores da lista de autorizações devem seguir o formato model_id:feature_family . Por exemplo, publishers/google/models/text-bison:predict . Esta restrição de lista apenas restringe o acesso a modelos de IA generativa proprietários da Google e não afeta modelos proprietários de terceiros nem modelos de código aberto. A restrição vertexai.allowedModels pode ser usada para definir o acesso a um conjunto mais amplo de modelos, incluindo modelos proprietários da Google, modelos proprietários de terceiros e modelos de código aberto. Por predefinição, todos os modelos podem ser usados nas APIs Vertex AI. constraints/vertexai.allowedGenAIModels |
"is:" |
Vertex AI | Defina o acesso a modelos no Vertex AI | Esta restrição de lista define o conjunto de modelos e funcionalidades que podem ser usados nas APIs Vertex AI. Os valores da lista de autorizações devem seguir o formato "model_id:feature_family ", por exemplo, "publishers/google/models/gemini-1.0-pro:predict ". Por predefinição, todos os modelos podem ser usados nas APIs Vertex AI. constraints/vertexai.allowedModels |
"is:" |
Vertex AI | Desative a fundamentação com a Pesquisa Google nas APIs de IA generativa | Esta restrição booleana, quando aplicada, desativa a funcionalidade de fundamentação com a Pesquisa Google nas APIs de IA generativa. Por predefinição, a funcionalidade está ativada. constraints/vertexai.disableGenAIGoogleSearchGrounding |
"is:" |
App Engine | Desative a transferência do código-fonte | Desativa os carregamentos de código do código-fonte carregado anteriormente para o App Engine. constraints/appengine.disableCodeDownload |
"is:" |
App Engine | Isenção de implementação do tempo de execução (App Engine) | Esta restrição de lista define o conjunto de runtimes antigos do App Engine Standard (Python 2.7, PHP 5.5 e Java 8) permitidos para implementações após o fim do apoio técnico. Os runtimes antigos do App Engine Standard vão atingir o fim do apoio técnico a 30 de janeiro de 2024. Geralmente, as tentativas de implementar aplicações com runtimes antigos após esta data são bloqueadas. Consulte a programação de apoio técnico do tempo de execução padrão do App Engine. Se definir esta restrição como "Permitir", desbloqueia as implementações do App Engine Standard para os tempos de execução antigos que especificar até à data de descontinuação do tempo de execução. A definição desta restrição como "Permitir tudo" desbloqueia as implementações do App Engine Standard para todos os runtimes antigos até à data de descontinuação do runtime. Os tempos de execução que atingiram o fim do suporte técnico não recebem patches de segurança e manutenção de rotina. Recomendamos vivamente que atualize as suas aplicações para usar uma versão de tempo de execução geralmente disponível. constraints/appengine.runtimeDeploymentExemption |
"is:" |
BigQuery | Desative o BigQuery Omni para o AWS Cloud | Quando esta restrição booleana é definida como True , impede que os utilizadores usem o BigQuery Omni para processar dados nos Amazon Web Services onde esta restrição é aplicada. constraints/bigquery.disableBQOmniAWS |
"is:" |
BigQuery | Desative o BigQuery Omni para o Google Cloud e o Microsoft Azure | Quando esta restrição booleana é definida como True , impede que os utilizadores usem o BigQuery Omni para processar dados no Microsoft Azure onde esta restrição é aplicada. constraints/bigquery.disableBQOmniAzure |
"is:" |
Cloud Build | Integrações permitidas (Cloud Build) | Esta restrição de lista define as integrações do Cloud Build permitidas para realizar compilações através da receção de webhooks de serviços fora do Google Cloud. Quando esta restrição é aplicada, apenas são processados webhooks para serviços cujo anfitrião corresponda a um dos valores permitidos. Por predefinição, o Cloud Build processa todos os webhooks para projetos que tenham, pelo menos, um acionador LIVE. constraints/cloudbuild.allowedIntegrations |
"is:" |
Cloud Build | Desative a opção Criar conta de serviço predefinida (Cloud Build) | Esta restrição booleana, quando aplicada, impede a criação da conta de serviço do Cloud Build antiga. constraints/cloudbuild.disableCreateDefaultServiceAccount |
"is:" |
Cloud Build | Usar conta de serviço predefinida (Cloud Build) | Esta restrição booleana, quando aplicada, permite que a conta de serviço do Cloud Build antiga seja usada por predefinição. constraints/cloudbuild.useBuildServiceAccount |
"is:" |
Cloud Build | Use a conta de serviço do Compute Engine por predefinição (Cloud Build) | Esta restrição booleana, quando aplicada, permite que a conta de serviço do Compute Engine seja usada por predefinição. constraints/cloudbuild.useComputeServiceAccount |
"is:" |
Cloud Deploy | Desative as etiquetas de serviço do Cloud Deploy | Esta restrição booleana, quando aplicada, impede que o Cloud Deploy adicione etiquetas de identificador do Cloud Deploy a objetos implementados. Por predefinição, as etiquetas que identificam os recursos do Cloud Deploy são adicionadas a objetos implementados durante a criação da versão. constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
Cloud Functions | Definições de entrada permitidas (Cloud Functions) | Esta restrição de lista define as definições de entrada permitidas para a implementação de uma função do Cloud (1.ª geração). Quando esta restrição é aplicada, as funções têm de ter definições de entrada que correspondam a um dos valores permitidos. Por predefinição, as Cloud Functions podem usar quaisquer definições de entrada. As definições de entrada têm de ser especificadas na lista permitida através dos valores da enumeração IngressSettings . A enumeração tem um valor predefinido de INGRESS_SETTINGS_UNSPECIFIED . Tem de alterar a enumeração para outro valor antes de a poder usar numa política da organização.Para as Cloud Functions (2.ª geração), use a restrição constraints/run.allowedIngress .constraints/cloudfunctions.allowedIngressSettings |
"is:" |
Cloud Functions | Definições de saída do conetor de VPC permitidas (Cloud Functions) | Esta restrição de lista define as definições de saída do conetor de VPC permitidas para a implementação de uma função do Cloud (1.ª geração). Quando esta restrição é aplicada, as funções têm de ter definições de saída do conector de VPC que correspondam a um dos valores permitidos. Por predefinição, as Cloud Functions podem usar quaisquer definições de saída do conector de VPC. As definições de saída do conector da VPC têm de ser especificadas na lista permitida através dos valores da enumeração VpcConnectorEgressSettings . O valor predefinido da enumeração, VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED , não é suportado e a sua inclusão numa política resulta num erro.Para as Cloud Functions (2.ª geração), use a restrição constraints/run.allowedVPCEgress .constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
Cloud Functions | Exigir conetor de VPC (Cloud Functions) | Esta restrição booleana aplica a definição de um conetor de VPC quando implementa uma função do Cloud (1.ª geração). Quando esta restrição é aplicada, as funções têm de especificar um conetor de VPC. Por predefinição, não é necessário especificar um conetor de VPC para implementar uma função do Cloud. constraints/cloudfunctions.requireVPCConnector |
"is:" |
Cloud Functions | Gerações de Funções do Google Cloud permitidas | Esta restrição de lista define o conjunto de gerações de funções da nuvem permitidas que podem ser usadas para criar novos recursos de funções. Os valores válidos são: 1stGen , 2ndGen . constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
Cloud KMS | Restringir os tipos CryptoKey do KMS que podem ser criados. | Esta restrição de lista define os tipos de chaves do Cloud KMS que podem ser criados num determinado nó da hierarquia. Quando esta restrição é aplicada, só é possível criar tipos de chaves do KMS especificados nesta política da organização no nó da hierarquia associado. A configuração desta política da organização também afeta o nível de proteção dos trabalhos de importação e das versões de chaves. Por predefinição, todos os tipos de chaves são permitidos. Os valores válidos são: SOFTWARE , HSM , EXTERNAL e EXTERNAL_VPC . As políticas de recusa não são permitidas. constraints/cloudkms.allowedProtectionLevels |
"is:" |
Cloud KMS | Restrinja a destruição de chaves a versões de chaves desativadas | Esta restrição booleana, quando aplicada, só permite a destruição de versões de chaves que estejam no estado desativado. Por predefinição, é possível destruir versões de chaves no estado ativado e versões de chaves no estado desativado. Quando esta restrição é aplicada, aplica-se a versões de chaves novas e existentes. constraints/cloudkms.disableBeforeDestroy |
"is:" |
Cloud KMS | Duração mínima agendada de destruição por chave | Esta restrição de lista define a duração agendada mínima de destruição em dias que o utilizador pode especificar quando cria uma nova chave. Não é possível criar chaves com uma duração agendada de destruição inferior a este valor após a aplicação da restrição. Por predefinição, a duração mínima agendada de destruição para todas as chaves é de 1 dia, exceto no caso das chaves apenas de importação, para as quais é de 0 dias. Só pode ser especificado um valor permitido no formato in:1d , in:7d , in:15d , in:30d , in:60d , in:90d ou in:120d . Por exemplo, se constraints/cloudkms.minimumDestroyScheduledDuration estiver definido como in:15d , os utilizadores podem criar chaves com uma duração agendada de destruição definida para qualquer valor superior a 15 dias, como 16 dias ou 31 dias. No entanto, os utilizadores não podem criar chaves com uma duração programada de destruição inferior a 15 dias, como 14 dias. Para cada recurso na hierarquia, a duração agendada mínima de destruição pode ser herdada, substituída ou unida à política do recurso principal. Quando a política do recurso é unida à política principal, o valor efetivo da duração agendada mínima de destruição no recurso é o mais baixo entre o valor especificado na política do recurso e a duração agendada mínima de destruição efetiva do principal. Por exemplo, se uma organização tiver uma duração agendada mínima de destruição de 7 dias e, num projeto filho, a política estiver definida como "Unir com o principal" com um valor de in:15d , a duração agendada mínima efetiva no projeto é de 7 dias. constraints/cloudkms.minimumDestroyScheduledDuration |
"is:" , "in:" |
Cloud Scheduler | Tipos de segmentação permitidos para tarefas | Esta restrição de lista define a lista de tipos de destino, como App Engine HTTP, HTTP ou Pubsub, permitidos para tarefas do Cloud Scheduler. Por predefinição, todos os alvos de emprego são permitidos. Os valores válidos são: APPENGINE , HTTP , PUBSUB . constraints/cloudscheduler.allowedTargetTypes |
"is:" |
Cloud SQL | Restrinja as redes autorizadas em instâncias do Cloud SQL | Esta restrição booleana restringe a adição de redes autorizadas para acesso à base de dados sem proxy a instâncias do Cloud SQL onde esta restrição está definida como True . Esta restrição não é retroativa. As instâncias do Cloud SQL com redes autorizadas existentes continuam a funcionar mesmo após a aplicação desta restrição. Por predefinição, as redes autorizadas podem ser adicionadas a instâncias do Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
"is:" |
Cloud SQL | Desative os caminhos de acesso administrativo e de diagnóstico no Cloud SQL para cumprir os requisitos de conformidade. | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Quando esta restrição booleana é aplicada, determinados aspetos da capacidade de apoio técnico são afetados e todos os caminhos de acesso para diagnósticos e outros exemplos de utilização do apoio técnico ao cliente que não cumprem os requisitos de soberania avançados para as Assured Workloads são desativados. constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Cloud SQL | Restrinja cargas de trabalho não em conformidade para instâncias do Cloud SQL. | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Quando esta restrição booleana é aplicada, determinados aspetos da capacidade de suporte são afetados e os recursos aprovisionados seguem rigorosamente os requisitos de soberania avançados para cargas de trabalho garantidas. Esta política é retroativa, uma vez que se aplica a projetos existentes, mas não afeta os recursos que já foram aprovisionados. Ou seja, as modificações à política só se refletem nos recursos criados após a modificação da política. constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
Cloud SQL | Restrinja o acesso ao IP público em instâncias do Cloud SQL | Esta restrição booleana restringe a configuração do IP público em instâncias do Cloud SQL onde esta restrição está definida como True . Esta restrição não é retroativa. As instâncias do Cloud SQL com acesso ao IP público existente continuam a funcionar mesmo após a aplicação desta restrição. Por predefinição, o acesso de IP público é permitido às instâncias do Cloud SQL. constraints/sql.restrictPublicIp |
"is:" |
Google Cloud Marketplace | Desative o mercado público | Esta restrição booleana, quando aplicada, desativa o Google Cloud Marketplace para todos os utilizadores da organização. Por predefinição, o acesso público ao mercado está ativado para a organização. Esta política só funciona quando o mercado privado está ativado (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace). Importante: para uma experiência mais otimizada, recomendamos vivamente que use a funcionalidade de restrições de acesso de utilizadores do mercado, conforme descrito em https://cloud.google.com/marketplace/docs/governance/strict-user-access, para impedir a utilização não autorizada do mercado na sua organização, em vez de o fazer através desta política da organização. constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
Google Cloud Marketplace | Restrinja o acesso a serviços de mercado | Esta restrição de lista define o conjunto de serviços permitidos para organizações de mercados e só pode incluir valores da lista abaixo:
IAAS_PROCUREMENT estiver na lista de valores permitidos, a experiência de governação de aprovisionamento de IaaS é ativada para todos os produtos. Por predefinição, a experiência de governação de aprovisionamento de IaaS está desativada. A política IAAS_PROCUREMENT funciona independentemente da capacidade de governação de aprovisionamento de pedidos, que se destina especificamente a produtos SaaS listados no Cloud Marketplace.Nota: o valor PRIVATE_MARKETPLACE já não é suportado e a sua utilização não tem efeito. Para ativar o Google Private Marketplace, tem de seguir as instruções em https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace. constraints/commerceorggovernance.marketplaceServices |
"is:" |
Compute Engine | Definições de encriptação de associações VLAN permitidas | Esta restrição de lista define as definições de encriptação permitidas para novas associações VLAN. Por predefinição, os anexos de VLAN podem usar quaisquer definições de encriptação. Defina IPSEC como o valor permitido para aplicar a criação apenas de anexos de VLAN encriptados. constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
Compute Engine | Desative toda a utilização de IPv6 | Esta restrição booleana, quando definida como True , desativa a criação ou a atualização de quaisquer recursos do Google Compute Engine envolvidos na utilização de IPv6. Por predefinição, qualquer pessoa com as autorizações do Cloud IAM adequadas pode criar ou atualizar recursos do Google Compute Engine com a utilização de IPv6 em quaisquer projetos, pastas e organizações. Se estiver definida, esta restrição tem uma prioridade mais elevada do que outras restrições de org IPv6, incluindo disableVpcInternalIpv6 , disableVpcExternalIpv6 e disableHybridCloudIpv6 . constraints/compute.disableAllIpv6 |
"is:" |
Compute Engine | Desative a criação de políticas de segurança do Cloud Armor | Esta restrição booleana, quando aplicada, desativa a criação de novas políticas de segurança do Cloud Armor globais e a adição ou a atualização de regras a políticas de segurança do Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a remoção, a descrição ou a listagem de políticas de segurança do Cloud Armor globais. Esta restrição não afeta as políticas de segurança regionais do Cloud Armor. Todas as políticas de segurança globais e regionais existentes antes da aplicação desta restrição permanecem em vigor. Por predefinição, pode criar ou atualizar políticas de segurança do Cloud Armor em qualquer organização, pasta ou projeto. constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
Compute Engine | Desative o balanceamento de carga global | Esta restrição booleana desativa a criação de produtos de balanceamento de carga global. Quando aplicada, só é possível criar produtos de balanceamento de carga regionais sem dependências globais. Por predefinição, a criação de balanceamento de carga global é permitida. constraints/compute.disableGlobalLoadBalancing |
"is:" |
Compute Engine | Desative a criação de certificados SSL autogeridos globais | Esta restrição booleana, quando aplicada, desativa a criação de certificados SSL autogeridos globais. Esta restrição não desativa a criação de certificados autogeridos regionais ou geridos pela Google. Por predefinição, pode criar certificados SSL autogeridos globais em qualquer organização, pasta ou projeto. constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
Compute Engine | Desative o acesso global às portas de série de VMs | Esta restrição booleana desativa o acesso global à porta série para VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde a restrição é aplicada. Por predefinição, os clientes podem ativar o acesso à porta de série para VMs do Compute Engine por VM ou por projeto através de atributos de metadados. A aplicação desta restrição desativa o acesso global à porta de série para VMs do Compute Engine, independentemente dos atributos de metadados. O acesso regional à porta de série não é afetado por esta restrição. Para desativar todo o acesso à porta de série, use a restrição compute.disableSerialPortAccess. constraints/compute.disableGlobalSerialPortAccess |
"is:" |
Compute Engine | Desative os atributos de convidado dos metadados do Compute Engine | Esta restrição booleana desativa o acesso da API Compute Engine aos atributos de convidado das VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde esta restrição está definida como True . Por predefinição, a API Compute Engine pode ser usada para aceder aos atributos de hóspedes da VM do Compute Engine. constraints/compute.disableGuestAttributesAccess |
"is:" |
Compute Engine | Desative a utilização de IPv6 na nuvem híbrida | Esta restrição booleana, quando aplicada, desativa a criação ou as atualizações de recursos da nuvem híbrida, incluindo anexos de interligação e gateways de VPN na nuvem com um stack_type de IPV4_IPV6 ou IPV6_ONLY , ou um gatewayIpVersion de IPv6 . Se for aplicada num recurso de router na nuvem, a capacidade de criar sessões do Protocolo de gateway de fronteira (BGP) IPv6 e a capacidade de ativar a troca de rotas IPv6 através de sessões do BGP IPv4 são desativadas. Por predefinição, qualquer pessoa com as autorizações do Cloud IAM adequadas pode criar ou atualizar recursos da nuvem híbrida com stack_type de IPV4_IPV6 em projetos, pastas e organizações. constraints/compute.disableHybridCloudIpv6 |
"is:" |
Compute Engine | Desative as APIs de acesso aos dados de instâncias | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Esta restrição booleana, quando aplicada, desativa as APIs GetSerialPortOutput e GetScreenshot que acedem à saída da porta de série da MV e capturam uma captura de ecrã das IUs da MV. constraints/compute.disableInstanceDataAccessApis |
"is:" |
Compute Engine | Desative grupos de pontos finais de rede da Internet | Esta restrição booleana restringe se um utilizador pode criar grupos de pontos finais de rede (NEGs) da Internet com um type de INTERNET_FQDN_PORT e INTERNET_IP_PORT .Por predefinição, qualquer utilizador com as autorizações de IAM adequadas pode criar NEGs da Internet em qualquer projeto. constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
Compute Engine | Desative a virtualização aninhada de VMs | Esta restrição booleana desativa a virtualização aninhada acelerada por hardware para todas as VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde esta restrição está definida como True .Por predefinição, a virtualização aninhada acelerada por hardware é permitida para todas as VMs do Compute Engine executadas em plataformas de CPU Intel Haswell ou mais recentes. constraints/compute.disableNestedVirtualization |
"is:" |
Compute Engine | Aplique tipos de máquinas compatíveis com FIPS | Quando esta restrição booleana é aplicada, desativa a criação de tipos de instâncias de VM que não estejam em conformidade com os requisitos da FIPS. constraints/compute.disableNonFIPSMachineTypes |
"is:" |
Compute Engine | Desative o Private Service Connect para consumidores | Esta restrição de lista define o conjunto de tipos de pontos finais do Private Service Connect para os quais os utilizadores não podem criar regras de encaminhamento. Quando esta restrição é aplicada, os utilizadores ficam impedidos de criar regras de encaminhamento para o tipo de ponto final do Private Service Connect. Esta restrição não é aplicada retroativamente. Por predefinição, as regras de encaminhamento podem ser criadas para qualquer tipo de ponto final do Private Service Connect. A lista de pontos finais do Private Service Connect permitidos/recusados tem de ser proveniente da lista abaixo:
GOOGLE_APIS na lista de permitidos/negados restringe a criação de regras de encaminhamento do Private Service Connect para aceder às APIs Google. A utilização de SERVICE_PRODUCERS na lista de permitidos/recusados restringe a criação de regras de encaminhamento do Private Service Connect para aceder a serviços noutra rede VPC. constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
Compute Engine | Desative o acesso à porta de série da VM | Esta restrição booleana desativa o acesso à porta de série para VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde esta restrição está definida como True . Por predefinição, os clientes podem ativar o acesso à porta de série para VMs do Compute Engine por VM ou por projeto através de atributos de metadados. A aplicação desta restrição desativa o acesso à porta de série para VMs do Compute Engine, independentemente dos atributos de metadados. constraints/compute.disableSerialPortAccess |
"is:" |
Compute Engine | Desative o registo da porta de série da VM no Stackdriver | Esta restrição booleana desativa o registo da porta série no Stackdriver a partir das VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde esta restrição está a ser aplicada. Por predefinição, o registo de portas série para VMs do Compute Engine está desativado e pode ser ativado seletivamente por VM ou por projeto através de atributos de metadados. Quando aplicada, esta restrição desativa o registo da porta série para novas VMs do Compute Engine sempre que é criada uma nova VM, além de impedir que os utilizadores alterem o atributo de metadados de quaisquer VMs (antigas ou novas) para True . A desativação do registo da porta série pode fazer com que determinados serviços que dependem dele, como os clusters do Google Kubernetes Engine, não funcionem corretamente. Antes de aplicar esta restrição, verifique se os produtos no seu projeto não dependem do registo da porta série. constraints/compute.disableSerialPortLogging |
"is:" |
Compute Engine | Desative o SSH no navegador | Esta restrição booleana desativa a ferramenta SSH no navegador na Cloud Console para VMs que usam o Início de sessão do SO e VMs do ambiente flexível do App Engine. Quando é aplicada, o botão SSH no navegador é desativado. Por predefinição, a utilização da ferramenta SSH no navegador é permitida. constraints/compute.disableSshInBrowser |
"is:" |
Compute Engine | Desative a utilização de IPv6 externo da VPC | Esta restrição booleana, quando definida como True , desativa a criação ou a atualização de sub-redes com um stack_type de IPV4_IPV6 e um ipv6_access_type de EXTERNAL . Por predefinição, qualquer pessoa com as autorizações do Cloud IAM adequadas pode criar ou atualizar sub-redes com stack_type de IPV4_IPV6 em quaisquer projetos, pastas e organizações. constraints/compute.disableVpcExternalIpv6 |
"is:" |
Compute Engine | Desative a utilização do IPv6 interno da VPC | Esta restrição booleana, quando definida como True , desativa a criação ou a atualização de sub-redes com um stack_type de IPV4_IPV6 e um ipv6_access_type de INTERNAL . Por predefinição, qualquer pessoa com as autorizações do Cloud IAM adequadas pode criar ou atualizar sub-redes com stack_type de IPV4_IPV6 em quaisquer projetos, pastas e organizações. constraints/compute.disableVpcInternalIpv6 |
"is:" |
Compute Engine | Ative as definições necessárias para cargas de trabalho de proteção de memória de conformidade | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Esta restrição controla as definições necessárias para eliminar potenciais caminhos de acesso à memória principal da VM. Quando aplicada, limita a capacidade de aceder à memória principal da VM desativando os caminhos de acesso e restringe a recolha de dados internos quando ocorre um erro. constraints/compute.enableComplianceMemoryProtection |
"is:" |
Compute Engine | Desative o comportamento de abertura em caso de falha para métodos de lista que apresentam informações de quota para uma região | Esta restrição booleana, quando aplicada, desativa o comportamento de falha aberta em falhas do lado do servidor para os métodos regions.list , regions.get e projects.get . Isto significa que, se as informações de quota não estiverem disponíveis, estes métodos falham quando a restrição é aplicada. Por predefinição, estes métodos são bem-sucedidos em falhas do lado do servidor e apresentam uma mensagem de aviso quando as informações de quota estão indisponíveis. constraints/compute.requireBasicQuotaInResponse |
"is:" |
Compute Engine | Exigir configuração do SO | Esta restrição booleana, quando aplicada, ativa o VM Manager (OS Config) em todos os novos projetos. Todas as instâncias de VM criadas em novos projetos têm o VM Manager ativado. Em projetos novos e existentes, esta restrição impede atualizações de metadados que desativam o VM Manager ao nível do projeto ou da instância. Por predefinição, o VM Manager está desativado nos projetos do Compute Engine. constraints/compute.requireOsConfig |
"is:" |
Compute Engine | Exija o Início de sessão do SO | Esta restrição booleana, quando definida como true , ativa o Início de sessão do SO em todos os projetos criados recentemente. Todas as instâncias de VM criadas em novos projetos têm o Início de sessão do SO ativado. Em projetos novos e existentes, esta restrição impede atualizações de metadados que desativam o início de sessão no SO ao nível do projeto ou da instância. Por predefinição, a funcionalidade Início de sessão no SO está desativada em projetos do Compute Engine. As instâncias do GKE em clusters privados que executam versões do node pool 1.20.5-gke.2000 e posteriores suportam o Início de sessão no SO. Atualmente, as instâncias do GKE em clusters públicos não suportam o início de sessão no SO. Se esta restrição for aplicada a um projeto que execute clusters públicos, as instâncias do GKE executadas nesse projeto podem não funcionar corretamente. constraints/compute.requireOsLogin |
"is:" |
Compute Engine | VMs protegidas | Esta restrição booleana, quando definida como True , requer que todas as novas instâncias de VM do Compute Engine usem imagens de disco protegidas com as opções de arranque seguro, vTPM e monitorização da integridade ativadas. Se quiser, pode desativar o arranque seguro após a criação. As instâncias em execução existentes vão continuar a funcionar como habitualmente. Por predefinição, não é necessário ativar as funcionalidades da VM protegida para criar instâncias de VM do Compute Engine. As funcionalidades da VM protegida adicionam integridade validável e resistência à exfiltração às suas VMs. constraints/compute.requireShieldedVm |
"is:" |
Compute Engine | Política de SSL obrigatória | Esta restrição de lista define o conjunto de proxies SSL de destino e proxies HTTPS de destino que podem usar a política SSL predefinida. Por predefinição, todos os proxies SSL de destino e proxies HTTPS de destino podem usar a política SSL predefinida. Quando esta restrição é aplicada, os novos proxies SSL de destino e proxies HTTPS de destino têm de especificar uma política SSL. A aplicação desta restrição não é retroativa. Os proxies de destino existentes que usam a política SSL predefinida não são afetados. A lista de proxies SSL de destino e proxies HTTPS de destino permitidos/recusados tem de ser identificada no formato:
constraints/compute.requireSslPolicy |
"is:" , "under:" |
Compute Engine | Exigir políticas predefinidas para registos de fluxo de VPC | Esta restrição de lista define o conjunto de políticas predefinidas que podem ser aplicadas aos registos de fluxo de VPC. Por predefinição, os registos de fluxo de VPC podem ser configurados com quaisquer definições em cada sub-rede. Esta restrição aplica a ativação dos registos de fluxo para todas as sub-redes no âmbito com uma taxa de amostragem mínima obrigatória. Especifique um ou mais dos seguintes valores válidos:
constraints/compute.requireVpcFlowLogs |
"is:" |
Compute Engine | Restrinja a utilização do Cloud NAT | Esta restrição de lista define o conjunto de sub-redes que podem usar o Cloud NAT. Por predefinição, todas as sub-redes podem usar o Cloud NAT. A lista de sub-redes permitidas/negadas tem de ser identificada no formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME . constraints/compute.restrictCloudNATUsage |
"is:" , "under:" |
Compute Engine | Restrinja os serviços de back-end e os contentores de back-end entre projetos | Esta restrição de lista limita os recursos BackendBucket e BackendService que um recurso urlMap pode anexar. Esta restrição não se aplica a BackendBuckets e BackendServices no mesmo projeto que o recurso urlMap. Por predefinição, um recurso urlMap num projeto pode referenciar backendBuckets e BackendServices compatíveis de outros projetos na mesma organização, desde que o utilizador tenha a autorização compute.backendService.use, compute.regionBackendServices.use ou compute.backendBuckets.use. Recomendamos que não use esta restrição com a restrição compute.restrictSharedVpcBackendServices para evitar conflitos. Os projetos, as pastas e os recursos da organização nas listas permitidas ou recusadas afetam todos os BackendBuckets e BackendServices abaixo deles na hierarquia de recursos. Apenas os recursos de projetos, pastas e organizações podem ser incluídos na lista permitida ou recusada e têm de ser especificados no formato:
constraints/compute.restrictCrossProjectServices |
"is:" , "under:" |
Compute Engine | Restrinja a utilização da interligação dedicada | Esta restrição de lista define o conjunto de redes do Compute Engine que têm autorização para usar a interligação dedicada. Por predefinição, as redes podem usar qualquer tipo de interconexão. A lista de redes permitidas/recusadas tem de ser identificada no formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictDedicatedInterconnectUsage |
"is:" , "under:" |
Compute Engine | Restrinja a criação de balanceadores de carga com base nos tipos de balanceadores de carga | Esta restrição de lista define o conjunto de tipos de equilibradores de carga que podem ser criados para uma organização, uma pasta ou um projeto. Todos os tipos de equilibradores de carga a permitir ou recusar têm de ser indicados explicitamente. Por predefinição, a criação de todos os tipos de equilibradores de carga é permitida. A lista de valores permitidos ou recusados tem de ser identificada como o nome da string de um equilibrador de carga e só pode incluir valores da lista abaixo:
Para incluir todos os tipos de balanceadores de carga internos ou externos, use o prefixo in: seguido de INTERNAL ou EXTERNAL. Por exemplo, permitir in:INTERNAL permite todos os tipos de equilibradores de carga da lista acima que incluem INTERNAL. constraints/compute.restrictLoadBalancerCreationForTypes |
"is:" , "in:" |
Compute Engine | Restrinja a computação não confidencial | A lista de negação desta restrição de lista define o conjunto de serviços que requerem que todos os novos recursos sejam criados com a computação confidencial ativada. Por predefinição, não é necessário que os novos recursos usem a computação confidencial. Embora esta restrição de lista seja aplicada, a computação confidencial não pode ser desativada durante todo o ciclo de vida do recurso. Os recursos existentes vão continuar a funcionar como habitualmente. A lista de serviços recusados tem de ser identificada como o nome de string de uma API e só pode incluir valores explicitamente recusados da lista abaixo. A permissão explícita de APIs não é suportada atualmente. A negação explícita de APIs que não constam desta lista resulta num erro. Lista de APIs suportadas: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
Compute Engine | Restrinja a utilização da Interligação de parceiro | Esta restrição de lista define o conjunto de redes do Compute Engine que têm autorização para usar o Partner Interconnect. Por predefinição, as redes podem usar qualquer tipo de interconexão. A lista de redes permitidas/recusadas tem de ser identificada no formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictPartnerInterconnectUsage |
"is:" , "under:" |
Compute Engine | Restrinja os consumidores do Private Service Connect permitidos | Esta restrição de lista define as organizações, as pastas e os projetos que se podem ligar a anexos de serviços na organização ou no projeto de um produtor. As listas permitidas ou recusadas têm de ser identificadas no seguinte formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID ou under:projects/PROJECT_ID . Por predefinição, todas as associações são permitidas. constraints/compute.restrictPrivateServiceConnectConsumer |
"is:" , "under:" |
Compute Engine | Restrinja os produtores do Private Service Connect permitidos | Esta restrição de lista define a que associações de serviços os consumidores do Private Service Connect se podem ligar. A restrição bloqueia a implementação de pontos finais ou back-ends do Private Service Connect com base no recurso de organização, pasta ou projeto da associação do serviço a que os pontos finais ou os back-ends se referem. As listas permitidas ou recusadas têm de ser identificadas no seguinte formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID ou under:projects/PROJECT_ID . Por predefinição, todas as associações são permitidas. constraints/compute.restrictPrivateServiceConnectProducer |
"is:" , "under:" |
Compute Engine | Restrinja a utilização do encaminhamento de protocolos | Esta restrição de lista define o tipo de objetos de regra de encaminhamento de protocolos com instância de destino que um utilizador pode criar. Quando esta restrição é aplicada, os novos objetos de regra de encaminhamento com instância de destino estão limitados a endereços IP internos e/ou externos, com base nos tipos especificados. Os tipos a permitir ou recusar têm de ser apresentados explicitamente. Por predefinição, a criação de objetos de regras de encaminhamento de protocolos internos e externos com a instância de destino é permitida. A lista de valores permitidos ou recusados só pode incluir valores da lista abaixo:
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
Compute Engine | Restrinja os serviços de back-end da VPC partilhada | Esta restrição de lista define o conjunto de serviços de back-end da VPC partilhada que os recursos elegíveis podem usar. Esta restrição não se aplica a recursos no mesmo projeto. Por predefinição, os recursos elegíveis podem usar quaisquer serviços de back-end da VPC partilhada. A lista de serviços de back-end permitidos/recusados tem de ser especificada no formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME ou projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME . Esta restrição não é retroativa. constraints/compute.restrictSharedVpcBackendServices |
"is:" , "under:" |
Compute Engine | Restrinja projetos anfitriões da VPC partilhada | Esta restrição de lista define o conjunto de projetos anfitriões da VPC partilhada aos quais os projetos neste recurso ou abaixo deste podem ser anexados. Por predefinição, um projeto pode ser anexado a qualquer projeto anfitrião na mesma organização, tornando-se assim um projeto de serviço. Os projetos, as pastas e as organizações nas listas permitidas/negadas afetam todos os objetos abaixo deles na hierarquia de recursos e têm de ser especificados no formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID ou projects/PROJECT_ID . constraints/compute.restrictSharedVpcHostProjects |
"is:" , "under:" |
Compute Engine | Restrinja as sub-redes da VPC partilhada | Esta restrição de lista define o conjunto de sub-redes da VPC partilhada que os recursos elegíveis podem usar. Esta restrição não se aplica a recursos no mesmo projeto. Por predefinição, os recursos elegíveis podem usar qualquer sub-rede da VPC partilhada. A lista de sub-redes permitidas/recusadas tem de ser especificada no formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME . constraints/compute.restrictSharedVpcSubnetworks |
"is:" , "under:" |
Compute Engine | Restrinja a utilização do intercâmbio da VPC | Esta restrição de lista define o conjunto de redes de VPC que podem ser interligadas com as redes de VPC pertencentes a este projeto, pasta ou organização. Cada extremidade da interligação tem de ter autorização de interligação. Por predefinição, um administrador de rede de uma rede pode estabelecer relações de parceria com qualquer outra rede. A lista de redes permitidas/recusadas tem de ser identificada no formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictVpcPeering |
"is:" , "under:" |
Compute Engine | Restrinja os IPs de intercâmbio da VPN | Esta restrição de lista define o conjunto de endereços IP válidos que podem ser configurados como IPs de pares de VPN. Por predefinição, qualquer IP pode ser um IP de par de VPN para uma rede de VPC. A lista de endereços IP permitidos/negados tem de ser especificada como endereços IP válidos no formato: IP_V4_ADDRESS ou IP_V6_ADDRESS . constraints/compute.restrictVpnPeerIPs |
"is:" |
Compute Engine | Define a definição de DNS interno para novos projetos como DNS zonal apenas | Quando definida como "Verdadeiro", os projetos recém-criados usam o DNS zonal como predefinição. Por predefinição, esta restrição está definida como "Falsa" e os projetos recém-criados vão usar o tipo de DNS predefinido. constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
Compute Engine | Projetos de proprietários de reservas partilhadas | Esta restrição de lista define o conjunto de projetos que podem criar e possuir reservas partilhadas na organização. Uma reserva partilhada é semelhante a uma reserva local, exceto que, em vez de poder ser consumida apenas por projetos proprietários, pode ser consumida por outros projetos do Compute Engine na hierarquia de recursos. A lista de projetos com autorização para aceder à reserva partilhada tem de estar no formato: projects/PROJECT_NUMBER ou under:projects/PROJECT_NUMBER . constraints/compute.sharedReservationsOwnerProjects |
"is:" , "under:" |
Compute Engine | Ignorar a criação da rede predefinida | Esta restrição booleana ignora a criação da rede predefinida e dos recursos relacionados durante a criação de recursos do projeto da Google Cloud Platform, onde esta restrição está definida como True . Por predefinição, é criada automaticamente uma rede predefinida e recursos de apoio quando cria um recurso de projeto.constraints/compute.skipDefaultNetworkCreation |
"is:" |
Compute Engine | Restrições de utilização de recursos de armazenamento de computação (discos, imagens e instantâneos do Compute Engine) | Esta restrição de lista define um conjunto de projetos que podem usar os recursos de armazenamento do Compute Engine. Por predefinição, qualquer pessoa com as autorizações do Cloud IAM adequadas pode aceder aos recursos do Compute Engine. Quando usar esta restrição, os utilizadores têm de ter autorizações do Cloud IAM e não podem estar restritos pela restrição para aceder ao recurso. Os projetos, as pastas e as organizações especificados nas listas permitidas ou recusadas têm de estar no formato: under:projects/PROJECT_ID , under:folders/FOLDER_ID , under:organizations/ORGANIZATION_ID . constraints/compute.storageResourceUseRestrictions |
"is:" , "under:" |
Compute Engine | Defina projetos de imagens fidedignas | Esta restrição de lista define o conjunto de projetos que podem ser usados para o armazenamento de imagens e a instanciação de discos para o Compute Engine. Por predefinição, é possível criar instâncias a partir de imagens em qualquer projeto que partilhe imagens publicamente ou explicitamente com o utilizador. A lista de projetos de publicadores permitidos/recusados tem de ser strings no formato: projects/PROJECT_ID . Se esta restrição estiver ativa, apenas são permitidas imagens de projetos fidedignos como origem para discos de arranque de novas instâncias.constraints/compute.trustedImageProjects |
"is:" |
Compute Engine | Restrinja o encaminhamento de IP da VM | Esta restrição de lista define o conjunto de instâncias de VM que podem ativar o encaminhamento de IP. Por predefinição, qualquer VM pode ativar o encaminhamento de IP em qualquer rede virtual. As instâncias de VM têm de ser especificadas no formato: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID ou projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME . Esta restrição não é retroativa. constraints/compute.vmCanIpForward |
"is:" , "under:" |
Compute Engine | Defina IPs externos permitidos para instâncias de VM | Esta restrição de lista define o conjunto de instâncias de VM do Compute Engine que têm autorização para usar endereços IPv4 externos. Esta restrição não limita a utilização de endereços IPv6. Por predefinição, todas as instâncias de VM podem usar endereços IPv4 e IPv6 externos. A lista de instâncias de VM permitidas/recusadas tem de ser identificada pelo nome da instância de VM, no formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess |
"is:" |
Compute Engine | Desative a ativação do Identity-Aware Proxy (IAP) em recursos globais | Esta restrição booleana, quando aplicada, desativa a ativação do Identity-Aware Proxy em recursos globais. A ativação de IAP em recursos regionais não é restringida por esta restrição. Por predefinição, a ativação da IAP em recursos globais é permitida. constraints/iap.requireGlobalIapWebDisabled |
"is:" |
Google Kubernetes Engine | Desative os caminhos de acesso administrativo de diagnóstico no GKE. | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Quando esta restrição booleana é aplicada, todos os caminhos de acesso para diagnósticos e outros exemplos de utilização do apoio técnico ao cliente que não estejam em conformidade com os requisitos dos Assured Workloads são desativados. constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Dataform | Restrinja os remotos do Git para repositórios no Dataform | Esta restrição de lista define um conjunto de remotos com os quais os repositórios no projeto do Dataform podem comunicar. Para bloquear a comunicação com todos os comandos, defina o valor como Deny all . Esta restrição é retroativa e bloqueia a comunicação para repositórios existentes que a violem. As entradas devem ser links para repositórios remotos fidedignos, no mesmo formato que o fornecido no Dataform.Por predefinição, os repositórios nos projetos do Dataform podem comunicar com qualquer repositório remoto. constraints/dataform.restrictGitRemotes |
"is:" |
Datastream | Datastream: bloqueie métodos de conetividade pública | Por predefinição, os perfis de ligação do fluxo de dados podem ser criados com métodos de conetividade públicos ou privados. Se a restrição booleana para esta política da organização for aplicada, só podem ser usados métodos de conetividade privada (por exemplo, interligação de VPCs) para criar perfis de ligação. constraints/datastream.disablePublicConnectivity |
"is:" |
Contactos essenciais | Contactos restritos ao domínio | Esta restrição de lista define o conjunto de domínios que os endereços de email adicionados aos contactos essenciais podem ter. Por predefinição, os endereços de email com qualquer domínio podem ser adicionados aos contactos essenciais. A lista de permitidos/recusados tem de especificar um ou mais domínios do formulário @example.com . Se esta restrição estiver ativa e configurada com valores permitidos, apenas os endereços de email com um sufixo correspondente a uma das entradas da lista de domínios permitidos podem ser adicionados aos contactos essenciais.Esta restrição não tem efeito na atualização nem na remoção de contactos existentes. constraints/essentialcontacts.allowedContactDomains |
"is:" |
Contactos essenciais | Desative os contactos de segurança do projeto | Esta restrição booleana, quando aplicada, permite que os administradores da política da organização garantam que apenas os contactos atribuídos ao nível da organização ou da pasta podem receber notificações de segurança. Especificamente, a aplicação desta restrição impede que os proprietários de projetos e os administradores de contactos criem ou atualizem um contacto essencial com um campo notification_category_subscriptions que contenha a categoria SECURITY ou ALL , se o contacto também tiver um recurso de projeto como principal. constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
Firestore | Exija o agente de serviço do Firestore para importação/exportação | Esta restrição booleana, quando aplicada, exige que as importações e exportações do Firestore usem o agente do serviço do Firestore. Por predefinição, as importações e exportações do Firestore podem usar a conta de serviço do App Engine. O Firestore vai deixar de usar a conta de serviço do App Engine para importações e exportações no futuro, e todas as contas vão ter de migrar para o agente de serviço do Firestore. Após esse período, esta restrição vai deixar de ser necessária. constraints/firestore.requireP4SAforImportExport |
"is:" |
Cloud Healthcare | Desative o Cloud Logging para a Cloud Healthcare API | Esta restrição booleana, quando aplicada, desativa o Cloud Logging para a Cloud Healthcare API. Os registos de auditoria não são afetados por esta restrição. Os registos do Google Cloud gerados para a API Cloud Healthcare antes de a restrição ser aplicada não são eliminados e continuam acessíveis. constraints/gcp.disableCloudLogging |
"is:" |
Gestão de identidade e de acesso | Permitir o prolongamento da duração das chaves de acesso de OAuth 2.0 até 12 horas | Esta restrição de lista define o conjunto de contas de serviço às quais podem ser concedidas chaves de acesso OAuth 2.0 com uma duração total máxima de 12 horas. Por predefinição, a duração máxima destas chaves de acesso é de 1 hora. A lista de contas de serviço permitidas/recusadas tem de especificar um ou mais endereços de email de contas de serviço. constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
Gestão de identidade e de acesso | Partilha restrita ao domínio | Esta restrição de lista define um ou mais IDs de clientes do Cloud ID ou do Google Workspace cujos diretores podem ser adicionados a políticas de IAM. Por predefinição, todas as identidades de utilizadores podem ser adicionadas às políticas de IAM. Só é possível definir valores permitidos nesta restrição. Os valores recusados não são suportados. Se esta restrição estiver ativa, só é possível adicionar principais pertencentes aos IDs de clientes permitidos às políticas de IAM. Não precisa de adicionar o ID de cliente google.com a esta lista para interagir com os serviços Google. A adição de google.com permite a partilha com funcionários da Google e sistemas de não produção, e só deve ser usada para partilhar dados com funcionários da Google. constraints/iam.allowedPolicyMemberDomains |
"is:" |
Gestão de identidade e de acesso | Desative a isenção do registo de auditoria | Esta restrição booleana, quando aplicada, impede que isente outros responsáveis da registo de auditoria. Esta restrição não afeta as isenções de registo de auditoria existentes antes de aplicar a restrição. constraints/iam.disableAuditLoggingExemption |
"is:" |
Gestão de identidade e de acesso | Desative a utilização da conta de serviço entre projetos | Quando aplicada, as contas de serviço só podem ser implementadas (através da função ServiceAccountUser) em tarefas (VMs, funções, etc.) executadas no mesmo projeto que a conta de serviço. constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
Gestão de identidade e de acesso | Desative a criação de contas de serviço | Esta restrição booleana desativa a criação de contas de serviço quando esta restrição está definida como "Verdadeiro". Por predefinição, as contas de serviço podem ser criadas por utilizadores com base nas respetivas funções e autorizações do Cloud IAM. constraints/iam.disableServiceAccountCreation |
"is:" |
Gestão de identidade e de acesso | Desative a criação de chaves de contas de serviço | Esta restrição booleana, quando aplicada, desativa a criação de chaves externas de contas de serviço e chaves HMAC do Cloud Storage. Por predefinição, as chaves externas da conta de serviço podem ser criadas pelos utilizadores com base nas respetivas funções e autorizações do Cloud IAM. constraints/iam.disableServiceAccountKeyCreation |
"is:" |
Gestão de identidade e de acesso | Desative o carregamento de chaves de contas de serviço | Esta restrição booleana desativa a funcionalidade que permite carregar chaves públicas para contas de serviço onde esta restrição está definida como "Verdadeiro". Por predefinição, os utilizadores podem carregar chaves públicas para contas de serviço com base nas respetivas funções e autorizações do Cloud IAM. constraints/iam.disableServiceAccountKeyUpload |
"is:" |
Gestão de identidade e de acesso | Desative a criação de clusters do Workload Identity | Esta restrição booleana, quando definida como "Verdadeiro", requer que todos os novos clusters do GKE tenham o Workload Identity desativado no momento da criação. Os clusters do GKE existentes com a Workload Identity já ativada vão continuar a funcionar como habitualmente. Por predefinição, o Workload Identity pode ser ativado para qualquer cluster do GKE. constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
Gestão de identidade e de acesso | Duração da validade da chave da conta de serviço em horas | Esta restrição de lista define a duração máxima permitida para a expiração da chave da conta de serviço. Por predefinição, as chaves criadas nunca expiram. A duração permitida é especificada em horas e tem de ser selecionada na lista abaixo. Só pode ser especificado um valor permitido e os valores recusados não são suportados. Se especificar uma duração que não esteja nesta lista, ocorre um erro.
inheritFromParent=false no ficheiro de política se usar a CLI gcloud. Não é possível unir esta restrição a uma política principal. A aplicação da restrição não é retroativa e não altera as chaves pré-existentes. constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
Gestão de identidade e de acesso | Resposta à exposição da chave da conta de serviço | Esta restrição de lista define a resposta tomada se a Google detetar que uma chave associada a uma conta de serviço está exposta publicamente. As chaves monitorizadas incluem chaves de conta de serviço de longa duração e chaves da API associadas a uma conta de serviço. Se não estiver definido, o comportamento predefinido é o descrito para DISABLE_KEY . Os valores permitidos são DISABLE_KEY e WAIT_FOR_ABUSE . Não é possível usar valores que não façam explicitamente parte desta lista. Só pode ser especificado um valor permitido e os valores recusados não são suportados. Permitir o valor DISABLE_KEY desativa automaticamente qualquer chave de conta de serviço exposta publicamente e cria uma entrada no registo de auditoria. Permitir o valor WAIT_FOR_ABUSE desativa esta proteção e não desativa automaticamente as chaves da conta de serviço expostas. No entanto, o Google Cloud pode desativar as chaves de contas de serviço expostas se forem usadas de formas que afetem negativamente a plataforma, mas não se compromete a fazê-lo. Para aplicar esta restrição, defina-a para substituir a política principal na Google Cloud Console ou defina inheritFromParent=false no ficheiro de política se usar a CLI gcloud. Não é possível unir esta restrição a uma política principal. constraints/iam.serviceAccountKeyExposureResponse |
"is:" |
Gestão de identidade e de acesso | Contas da AWS permitidas que podem ser configuradas para a federação de identidade da carga de trabalho no IAM do Google Cloud | Lista de IDs de contas da AWS que podem ser configurados para a federação de identidade da carga de trabalho na IAM da nuvem. constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
Gestão de identidade e de acesso | Fornecedores de identidade externos permitidos para cargas de trabalho no Cloud IAM | Fornecedores de identidade que podem ser configurados para autenticação de cargas de trabalho no Cloud IAM, especificados por URI/URLs. constraints/iam.workloadIdentityPoolProviders |
"is:" |
Plano de controlo gerido do Anthos Service Mesh | Modo de VPC Service Controls permitido para planos de controlo geridos do Anthos Service Mesh | Esta restrição determina os modos do VPC Service Controls que podem ser definidos quando aprovisiona um novo plano de controlo gerido do Anthos Service Mesh. Os valores válidos são "NONE" e "COMPATIBLE". constraints/meshconfig.allowedVpcscModes |
"is:" |
Configuração do SO | VM Manager - Restrinja a utilização de scripts inline e ficheiros de saída | Quando esta restrição booleana é definida como "Verdadeiro", aplica a conformidade com os requisitos dos Assured Workloads restringindo a criação ou a modificação de recursos do VM Manager que usam scripts inline ou ficheiros de saída binários. Especificamente, os campos "script" e "output_file_path" nos recursos OSPolicyAssignment e PolicyOrchestrator têm de permanecer vazios. constraints/osconfig.restrictInlineScriptAndOutputFileUsage |
"is:" |
Cloud Pub/Sub | Aplique regiões em trânsito para mensagens do Pub/Sub | Esta restrição booleana, quando aplicada, define MessageStoragePolicy::enforce_in_transit como verdadeira para todos os novos tópicos do Pub/Sub no momento da criação. Isto garante que os dados de clientes transitam apenas nas regiões permitidas especificadas na política de armazenamento de mensagens para o tópico. constraints/pubsub.enforceInTransitRegions |
"is:" |
Resource Manager | Restrinja a remoção da restrição do projeto de VPC partilhada | Esta restrição booleana restringe o conjunto de utilizadores que podem remover uma restrição de projeto anfitrião da VPC partilhada sem autorização ao nível da organização quando esta restrição está definida como True . Por predefinição, qualquer utilizador com a autorização para atualizar restrições de eliminação pode remover uma restrição de eliminação do projeto anfitrião da VPC partilhada. A aplicação desta restrição requer que a autorização seja concedida ao nível da organização. constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
Resource Manager | Restrinja a remoção de ónus de contas de serviço entre projetos | Esta restrição booleana, quando FORÇADA, impede que os utilizadores removam um ónus de uma conta de serviço entre projetos sem autorização ao nível da organização. Por predefinição, qualquer utilizador com a autorização para atualizar restrições pode remover uma restrição de conta de serviço entre projetos. A aplicação desta restrição requer que a autorização seja concedida ao nível da organização. constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
Resource Manager | Restrinja a visibilidade das consultas de recursos | Esta restrição de lista, quando aplicada a um recurso de organização, define o conjunto de recursos do Google Cloud que são devolvidos nos métodos de lista e de pesquisa para os utilizadores no domínio da organização onde esta restrição é aplicada. Isto pode ser usado para limitar os recursos visíveis em várias partes da Cloud Console, como o selecionador de recursos, a pesquisa e a página Gerir recursos. Tenha em atenção que esta restrição só é avaliada ao nível da organização. Os valores especificados nas listas de permissões/proibições têm de estar no formato: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.accessBoundaries |
"is:" , "under:" |
Resource Manager | Exija a lista de autorizações de serviços ativados para a mudança entre organizações | Esta restrição de lista funciona como uma verificação para confirmar se um projeto com um serviço ativado é elegível para a mudança entre organizações. Um recurso com um serviço suportado ativado tem de ter esta restrição aplicada e esse serviço suportado incluído nos valores permitidos para ser elegível para uma mudança entre organizações. A lista atual de valores permitidos para serviços compatíveis que podem ser usados é:
Esta restrição oferece um controlo adicional além das restrições/resourcemanager.allowedExportDestinations. Esta list_constraint está vazia por predefinição e não bloqueia as movimentações entre organizações, a menos que um serviço suportado esteja ativado no recurso a ser exportado. Esta restrição permite um controlo mais detalhado dos recursos através de funcionalidades que requerem mais cuidado quando são movidas para outra organização. Por predefinição, não é possível mover um recurso com um serviço suportado ativado entre organizações. constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
Resource Manager | Destinos permitidos para exportar recursos | Esta restrição de lista define o conjunto de organizações externas para as quais os recursos podem ser movidos e nega todas as movimentações para todas as outras organizações. Por predefinição, não é possível mover recursos entre organizações. Se esta restrição for aplicada a um recurso, o recurso só pode ser movido para organizações explicitamente permitidas por esta restrição. As movimentações dentro de uma organização não são regidas por esta restrição. A operação de movimento continua a exigir as mesmas autorizações da IAM que os movimentos de recursos normais. Os valores especificados nas listas de permissões/proibições têm de estar no formato: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.allowedExportDestinations |
"is:" , "under:" |
Resource Manager | Origens permitidas para importar recursos | Esta restrição de lista define o conjunto de organizações externas a partir das quais os recursos podem ser importados e nega todas as movimentações de todas as outras organizações. Por predefinição, não é possível mover recursos entre organizações. Se esta restrição for aplicada a um recurso, os recursos importados diretamente sob este recurso têm de ser permitidos explicitamente por esta restrição. As movimentações dentro de uma organização não são regidas por esta restrição. A operação de movimento continua a exigir as mesmas autorizações da IAM que os movimentos de recursos normais. Os valores especificados nas listas de permissões/proibições têm de estar no formato: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.allowedImportSources |
"is:" , "under:" |
Cloud Run | Políticas de autorização binária permitidas (Cloud Run) | Esta restrição de lista define o conjunto de nomes de políticas de autorização binária que podem ser especificados num recurso do Cloud Run. Para permitir/não permitir uma política predefinida, use o valor "default". Para permitir/não permitir uma ou mais políticas de plataforma personalizadas, o ID do recurso de cada uma dessas políticas tem de ser adicionado separadamente. constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
Cloud Run | Definições de entrada permitidas (Cloud Run) | Esta restrição de lista define as definições de entrada permitidas para os serviços do Cloud Run. Quando esta restrição é aplicada, os serviços têm de ter definições de entrada que correspondam a um dos valores permitidos. Os serviços do Cloud Run existentes com definições de entrada que violem esta restrição podem continuar a ser atualizados até que as definições de entrada do serviço sejam alteradas para estarem em conformidade com esta restrição. Assim que um serviço estiver em conformidade com esta restrição, só pode usar as definições de entrada permitidas por esta restrição. Por predefinição, os serviços do Cloud Run podem usar quaisquer definições de entrada. A lista permitida tem de conter valores de definições de entrada suportados, que são all , internal e internal-and-cloud-load-balancing .constraints/run.allowedIngress |
"is:" |
Cloud Run | Definições de saída da VPC permitidas (Cloud Run) | Esta restrição de lista define as definições de saída da VPC permitidas a especificar num recurso do Cloud Run. Quando esta restrição é aplicada, os recursos do Cloud Run têm de ser implementados com um conetor do Acesso a VPC sem servidor ou com a saída da VPC direta ativada, e as definições de saída da VPC têm de corresponder a um dos valores permitidos. Por predefinição, os recursos do Cloud Run podem definir as definições de saída da VPC para qualquer valor suportado. A lista de autorizações tem de conter valores de definições de saída do VPC suportados, que são private-ranges-only e all-traffic .Para os serviços do Cloud Run existentes, todas as novas revisões têm de estar em conformidade com esta restrição. Os serviços existentes com revisões que publicam tráfego que viola esta restrição podem continuar a migrar tráfego para revisões que violam esta restrição. Assim que todo o tráfego de um serviço for publicado por revisões em conformidade com esta restrição, todas as migrações de tráfego subsequentes só podem migrar tráfego para revisões em conformidade com esta restrição. constraints/run.allowedVPCEgress |
"is:" |
Gestão de consumidores de serviços | Desative as concessões de IAM automáticas para contas de serviço predefinidas | Esta restrição booleana, quando aplicada, impede que as contas de serviço predefinidas do App Engine e do Compute Engine criadas nos seus projetos recebam automaticamente qualquer função de IAM no projeto quando as contas são criadas. Por predefinição, estas contas de serviço recebem automaticamente a função de editor quando são criadas. Para saber mais sobre as contas de serviço predefinidas, consulte https://cloud.google.com/iam/help/service-accounts/default. Para saber que funções atribuir em vez da função Editor, consulte https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default. constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
Cloud Spanner | Ative o controlo de serviços avançado para cargas de trabalho de conformidade | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Quando esta restrição booleana é aplicada, determinados aspetos da capacidade de suporte são afetados e os recursos aprovisionados seguem rigorosamente os requisitos de soberania avançados para cargas de trabalho garantidas. Esta política aplica-se aos projetos existentes, mas não afeta os recursos que já foram aprovisionados. Ou seja, as modificações à política só se refletem nos recursos criados após a modificação da política. constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
Cloud Spanner | Desative a multirregião do Cloud Spanner se não for selecionada nenhuma localização | Não configure nem modifique esta política. Esta restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controlo regulamentar avançado do Assured Workloads. Esta restrição booleana, quando aplicada, impede a criação de instâncias do Spanner através da configuração de instâncias de várias regiões, a menos que seja selecionada uma localização. Atualmente, o Cloud Spanner ainda não suporta a seleção de localizações, pelo que todas as várias regiões não são permitidas. No futuro, o Spanner vai oferecer a funcionalidade para os utilizadores selecionarem uma localização para várias regiões. A aplicação desta restrição não é retroativa. As instâncias do Spanner que já foram criadas não são afetadas. constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
Cloud Storage | Google Cloud Platform – Modo de registo de auditoria detalhado | Quando o modo de registo de auditoria detalhado é aplicado, o pedido e a resposta são incluídos nos registos de auditoria do Cloud. As alterações a esta funcionalidade podem demorar até 10 minutos a refletirem-se. Esta política de organização é altamente recomendada em coordenação com o bloqueio de contentores quando procura conformidades como a Regra 17a-4(f) da SEC, a Regra 1.31(c)-(d) da CFTC e a Regra 4511(c) da FINRA. Atualmente, esta política só é suportada no Cloud Storage. constraints/gcp.detailedAuditLoggingMode |
"is:" |
Cloud Storage | Aplique a prevenção de acesso público | Proteja os seus dados do Cloud Storage contra a exposição pública aplicando a prevenção de acesso público. Esta política de governação impede o acesso a recursos existentes e futuros através da Internet pública desativando e bloqueando as ACLs e as autorizações IAM que concedem acesso ao allUsers e ao allAuthenticatedUsers . Aplique esta política a toda a organização (recomendado), a projetos específicos ou a pastas específicas para garantir que nenhum dado é exposto publicamente.Esta política substitui as autorizações públicas existentes. O acesso público é revogado para os objetos e os contentores existentes após a ativação desta política. Para mais detalhes sobre os efeitos da alteração da aplicação desta restrição nos recursos, consulte: https://cloud.google.com/storage/docs/public-access-prevention. constraints/storage.publicAccessPrevention |
"is:" |
Cloud Storage | Cloud Storage: restrinja os tipos de autenticação | A restrição define o conjunto de tipos de autenticação cujo acesso a quaisquer recursos de armazenamento na organização no Cloud Storage seria restrito. Os valores suportados são USER_ACCOUNT_HMAC_SIGNED_REQUESTS e SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS . Use in:ALL_HMAC_SIGNED_REQUESTS para incluir ambos. constraints/storage.restrictAuthTypes |
"is:" , "in:" |
Cloud Storage | Duração da política de retenção em segundos | Esta restrição de lista define o conjunto de durações para políticas de retenção que podem ser definidas em contentores do Cloud Storage. Por predefinição, se não for especificada nenhuma política organizacional, um contentor do Cloud Storage pode ter uma política de retenção de qualquer duração. A lista de durações permitidas tem de ser especificada como um valor inteiro positivo superior a zero, que representa a política de retenção em segundos. Qualquer operação de inserção, atualização ou aplicação de patches num contentor no recurso da organização tem de ter uma duração da política de retenção que corresponda à restrição. A aplicação desta restrição não é retroativa. Quando é aplicada uma nova política de organização, a política de retenção dos contentores existentes permanece inalterada e válida. constraints/storage.retentionPolicySeconds |
"is:" |
Cloud Storage | Restrinja o acesso HTTP não encriptado | Esta restrição booleana, quando aplicada, nega explicitamente o acesso HTTP (não encriptado) a todos os recursos de armazenamento. Por predefinição, a API XML do Cloud Storage permite o acesso HTTP não encriptado. Tenha em atenção que a API JSON do Cloud Storage, o gRPC e a consola do Google Cloud só permitem o acesso HTTP encriptado aos recursos do Cloud Storage. constraints/storage.secureHttpTransport |
"is:" |
Cloud Storage | Cloud Storage: duração da retenção da política de eliminação reversível em segundos | Esta restrição define as durações de retenção permitidas para políticas de eliminação reversível definidas em contentores do Cloud Storage onde esta restrição é aplicada. Qualquer operação de inserção, atualização ou aplicação de patch num contentor onde esta restrição é aplicada tem de ter uma duração da política de eliminação reversível que corresponda à restrição. Quando é aplicada uma nova política de organização, a política de eliminação reversível dos contentores existentes permanece inalterada e válida. Por predefinição, se não for especificada nenhuma política organizacional, um contentor do Cloud Storage pode ter uma política de eliminação reversível de qualquer duração. constraints/storage.softDeletePolicySeconds |
"is:" |
Cloud Storage | Aplique o acesso uniforme ao nível do contentor | Esta restrição booleana requer que os contentores usem o acesso uniforme ao nível do contentor quando esta restrição estiver definida como True . Todos os novos contentores no recurso da organização têm de ter o acesso uniforme ao nível do contentor ativado, e nenhum contentor existente no recurso da organização pode desativar o acesso uniforme ao nível do contentor. A aplicação desta restrição não é retroativa: os contentores existentes com o acesso uniforme ao nível do contentor desativado continuam a tê-lo desativado. O valor predefinido para esta restrição é False . O acesso de nível de contentor uniforme desativa a avaliação das ACLs atribuídas a objetos do Cloud Storage no contentor. Consequentemente, apenas as políticas de IAM concedem acesso a objetos nestes contentores. constraints/storage.uniformBucketLevelAccess |
"is:" |
Guias de instruções
Para mais informações sobre como usar restrições individuais:
Restrição | Guia de instruções |
---|---|
constraints/cloudbuild.allowedIntegrations |
Restrinja as compilações com base na política da organização |
constraints/cloudfunctions.allowedIngressSettings |
Configure políticas da organização |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
Configure políticas da organização |
constraints/cloudfunctions.requireVPCConnector |
Configure políticas da organização |
constraints/gcp.restrictNonCmekServices |
Políticas de organização de CMEK |
constraints/gcp.restrictCmekCryptoKeyProjects |
Políticas de organização de CMEK |
constraints/gcp.restrictEndpointUsage |
Restringir a utilização de pontos finais |
constraints/gcp.restrictTLSVersion |
Restrinja as versões de TLS |
constraints/compute.requireOsConfig |
Ative a política da organização de configuração do SO |
constraints/compute.restrictPrivateServiceConnectConsumer constraints/compute.restrictPrivateServiceConnectProducer |
Faça a gestão da segurança para consumidores do Private Service Connect |
constraints/compute.restrictCloudNATUsage |
Restrições de políticas da organização |
constraints/compute.restrictLoadBalancerCreationForTypes |
Restrições da política da organização para o Cloud Load Balancing |
constraints/compute.restrictProtocolForwardingCreationForTypes |
Vista geral do encaminhamento de protocolos |
constraints/compute.restrictDedicatedInterconnectUsage constraints/compute.restrictPartnerInterconnectUsage |
Restrinja a utilização do Cloud Interconnect |
constraints/compute.restrictVpnPeerIPs |
Restringir endereços IP de pares através de um túnel de VPN do Google Cloud |
constraints/compute.trustedImageProjects |
Defina restrições de acesso a imagens |
constraints/compute.vmExternalIpAccess |
Restrinja o acesso IP externo a instâncias específicas |
constraints/compute.requireVpcFlowLogs |
Configure restrições da política da organização para os registos de fluxo de VPC |
constraints/dataform.restrictGitRemotes |
Restrinja repositórios remotos |
constraints/gcp.restrictServiceUsage |
Restringir a utilização de recursos |
constraints/iam.allowedPolicyMemberDomains |
Restringir identidades por domínio |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
Prolongue a duração das chaves de acesso de OAuth 2.0 |
constraints/iam.disableCrossProjectServiceAccountUsage |
Configure para um recurso num projeto diferente |
constraints/iam.disableServiceAccountCreation |
Desative a criação de contas de serviço |
constraints/iam.disableServiceAccountKeyCreation |
Desative a criação de chaves de contas de serviço |
constraints/iam.disableServiceAccountKeyUpload |
Desative o carregamento da chave da conta de serviço |
constraints/iam.disableWorkloadIdentityClusterCreation |
Desative a criação de clusters do Workload Identity |
constraints/iam.managed.disableServiceAccountApiKeyCreation |
Ative a associação de chaves a contas de serviço |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
Configure para um recurso num projeto diferente |
constraints/gcp.detailedAuditLoggingMode constraints/storage.retentionPolicySeconds constraints/storage.uniformBucketLevelAccess constraints/storage.publicAccessPrevention |
Restrições da política da organização para o Cloud Storage |
constraints/gcp.disableCloudLogging |
Desative o Cloud Logging para a Cloud Healthcare API |
constraints/gcp.resourceLocations |
Restringir localizações de recursos |
constraints/resourcemanager.accessBoundaries |
Restringir a visibilidade do projeto para os utilizadores |
constraints/run.allowedIngress |
Restrinja as definições de entrada permitidas |
constraints/run.allowedVPCEgress |
Restrinja as definições de saída da VPC permitidas |
constraints/vertexai.allowedModels |
Controle o acesso aos modelos do Model Garden |
Saiba mais
Para saber mais sobre os conceitos principais da política de organização:
Leia sobre o que são restrições.
Leia como usar restrições para criar políticas da organização.
Leia sobre o funcionamento da avaliação hierárquica.