Batasan yang tersedia
Anda dapat menentukan kebijakan yang menggunakan batasan berikut.
Batasan terkelola
Layanan | Batasan | Deskripsi |
---|---|---|
Identity and Access Management | Menonaktifkan pembuatan kunci akun layanan | Batasan ini, jika diterapkan, akan memblokir pembuatan kunci akun layanan. constraints/iam.managed.disableServiceAccountKeyCreation |
Identity and Access Management | Nonaktifkan Upload Kunci Akun Layanan | Batasan boolean ini menonaktifkan fitur yang mengizinkan upload kunci publik ke akun layanan tempat batasan ini ditetapkan ke `Benar`. Secara default, pengguna dapat mengupload kunci publik ke akun layanan berdasarkan peran dan izin Cloud IAM-nya. constraints/iam.managed.disableServiceAccountKeyUpload |
Batasan yang didukung oleh beberapa layanan Google Cloud
Batasan | Deskripsi | Awalan yang Didukung |
---|---|---|
Kumpulan Pekerja yang Diizinkan (Cloud Build) | Batasan daftar ini menentukan kumpulan Kumpulan Pekerja Cloud Build yang diizinkan untuk melakukan Build menggunakan Cloud Build. Saat batasan ini diterapkan, build akan diwajibkan untuk di-build di Kumpulan Pekerja yang cocok dengan salah satu nilai yang diizinkan. Secara default, Cloud Build dapat menggunakan Kumpulan Pekerja apa pun. Daftar Kumpulan Pekerja yang diizinkan harus dalam format:
constraints/cloudbuild.allowedWorkerPools |
"is:" , "under:" |
Google Cloud Platform - Pembatasan Lokasi Resource | Batasan daftar ini menentukan kumpulan lokasi tempat resource Google Cloud berbasis lokasi dapat dibuat. Penting: Informasi di halaman ini tidak menjelaskan komitmen lokasi data Google Cloud Platform untuk Data Pelanggan (sebagaimana didefinisikan dalam perjanjian yang menjadi dasar Google menyetujui untuk menyediakan layanan Google Cloud Platform dan sebagaimana dijelaskan dalam Ringkasan Layanan Google Cloud Platform di https://cloud.google.com/terms/services) kepada pelanggannya. Untuk mengetahui daftar layanan Google Cloud Platform yang lokasi Data Pelanggan-nya dapat dipilih oleh pelanggan, lihat Layanan Google Cloud Platform dengan Residensi Data di https://cloud.google.com/terms/data-residency. Secara default, resource dapat dibuat di lokasi mana pun. Untuk mengetahui daftar lengkap layanan yang didukung, lihat https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services. Kebijakan untuk batasan ini dapat menentukan multi-region seperti asia dan europe , region seperti us-east1 atau europe-west1 sebagai lokasi yang diizinkan atau ditolak. Mengizinkan atau menolak multi-region tidak berarti bahwa semua sub-lokasi yang disertakan juga harus diizinkan atau ditolak. Misalnya, jika kebijakan menolak multi-region us (yang merujuk pada resource multi-region, seperti beberapa layanan penyimpanan), resource masih dapat dibuat di lokasi regional us-east1 . Di sisi lain, grup in:us-locations berisi semua lokasi dalam region us , dan dapat digunakan untuk memblokir setiap region. Sebaiknya gunakan grup nilai untuk menentukan kebijakan Anda. Anda dapat menentukan grup nilai, kumpulan lokasi yang dipilih oleh Google untuk menyediakan cara yang mudah dalam menentukan lokasi resource Anda. Untuk menggunakan grup nilai dalam kebijakan organisasi Anda, beri awalan pada entri Anda dengan string in: , diikuti dengan grup nilai. Misalnya, untuk membuat resource yang secara fisik hanya akan berlokasi di AS, tetapkan in:us-locations dalam daftar nilai yang diizinkan. Jika digunakan dalam kebijakan lokasi, kolom suggested_value harus berupa region. Jika nilai yang ditentukan adalah region, UI untuk resource zona dapat mengisi otomatis zona apa pun dalam region tersebut. constraints/gcp.resourceLocations |
"is:" , "in:" |
Membatasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK | Batasan daftar ini menentukan project yang dapat digunakan untuk menyediakan Kunci Enkripsi yang Dikelola Pelanggan (CMEK) saat membuat resource. Menetapkan batasan ini ke Allow (yaitu hanya mengizinkan kunci CMEK dari project ini) memastikan bahwa kunci CMEK dari project lain tidak dapat digunakan untuk melindungi resource yang baru dibuat. Nilai untuk batasan ini harus ditentukan dalam bentuk under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , atau projects/PROJECT_ID . Layanan yang didukung dan menerapkan batasan ini adalah:
Deny atau Deny All tidak diizinkan. Penerapan batasan ini tidak berlaku surut. Resource Google Cloud CMEK yang ada dengan KMS CryptoKeys dari project yang tidak diizinkan harus dikonfigurasi ulang atau dibuat ulang secara manual untuk memastikan penerapan. constraints/gcp.restrictCmekCryptoKeyProjects |
"is:" , "under:" |
Membatasi layanan mana yang dapat membuat resource tanpa CMEK | Batasan daftar ini menentukan layanan yang memerlukan Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Menetapkan batasan ini ke Deny (yaitu menolak pembuatan resource tanpa CMEK) mengharuskan, untuk layanan yang ditentukan, resource yang baru dibuat harus dilindungi oleh kunci CMEK. Layanan yang didukung dan dapat ditetapkan dalam batasan ini adalah:
Deny All tidak diizinkan. Menetapkan batasan ini ke Allow tidak diizinkan. Penerapan batasan ini tidak berlaku surut. Resource Google Cloud non-CMEK yang ada harus dikonfigurasi ulang atau dibuat ulang secara manual untuk memastikan penerapan. constraints/gcp.restrictNonCmekServices |
"is:" |
Membatasi Penggunaan Layanan Resource | Batasan ini menentukan kumpulan layanan resource Google Cloud yang dapat digunakan dalam organisasi, folder, atau project, seperti compute.googleapis.com dan storage.googleapis.com. Secara default, semua layanan resource Google Cloud diizinkan. Untuk informasi selengkapnya, lihat https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources. constraints/gcp.restrictServiceUsage |
"is:" |
Membatasi Versi TLS | Batasan ini menentukan kumpulan versi TLS yang tidak dapat digunakan di organisasi, folder, atau project tempat batasan ini diterapkan, atau salah satu turunan resource tersebut dalam hierarki resource. Secara default, semua versi TLS diizinkan. Versi TLS hanya dapat ditentukan dalam daftar yang ditolak, dan harus diidentifikasi dalam bentuk TLS_VERSION_1 atau TLS_VERSION_1_1 .Batasan ini hanya diterapkan untuk permintaan yang menggunakan TLS. Data ini tidak akan digunakan untuk membatasi permintaan yang tidak dienkripsi. Untuk informasi selengkapnya, lihat https://cloud.google.com/assured-workloads/docs/restrict-tls-versions. constraints/gcp.restrictTLSVersion |
"is:" |
Menonaktifkan Mengaktifkan Identity-Aware Proxy (IAP) di resource regional | Batasan boolean ini, jika diterapkan, akan menonaktifkan pengaktifan Identity-Aware Proxy di resource regional. Mengaktifkan IAP di resource global tidak dibatasi oleh batasan ini. Secara default, pengaktifan IAP di resource regional diizinkan. constraints/iap.requireRegionalIapWebDisabled |
"is:" |
Membatasi API dan layanan Google Cloud yang diperbolehkan | Batasan daftar ini membatasi set layanan dan API-nya yang dapat diaktifkan pada resource ini. Secara default, semua layanan diizinkan. Daftar layanan yang ditolak harus berasal dari daftar di bawah. Mengaktifkan API secara eksplisit melalui batasan ini saat ini tidak didukung. Menentukan API yang tidak termasuk dalam daftar ini akan mengakibatkan error. Penerapan batasan ini tidak berlaku surut. Jika telah diaktifkan pada resource saat batasan ini diterapkan, layanan ini akan tetap diaktifkan. constraints/serviceuser.services |
"is:" |
Batasan untuk layanan tertentu
Layanan | Batasan | Deskripsi | Awalan yang Didukung |
---|---|---|---|
Vertex AI Workbench | Menentukan mode akses untuk notebook dan instance Vertex AI Workbench | Batasan daftar ini menentukan mode akses yang diizinkan ke notebook dan instance Vertex AI Workbench tempat diterapkan. Daftar izinkan atau tolak dapat menentukan beberapa pengguna dengan mode service-account atau akses pengguna tunggal dengan mode single-user . Mode akses yang diizinkan atau ditolak harus dicantumkan secara eksplisit. constraints/ainotebooks.accessMode |
"is:" |
Vertex AI Workbench | Menonaktifkan download file di instance Vertex AI Workbench baru | Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance Vertex AI Workbench dengan opsi download file yang diaktifkan. Secara default, opsi download file dapat diaktifkan di semua instance Vertex AI Workbench. constraints/ainotebooks.disableFileDownloads |
"is:" |
Vertex AI Workbench | Menonaktifkan akses root di notebook dan instance baru yang dikelola pengguna Vertex AI Workbench | Jika diterapkan, batasan boolean ini akan mencegah notebook dan instance yang dikelola pengguna Vertex AI Workbench yang baru dibuat mengaktifkan akses root. Secara default, notebook dan instance yang dikelola pengguna Vertex AI Workbench dapat mengaktifkan akses root. constraints/ainotebooks.disableRootAccess |
"is:" |
Vertex AI Workbench | Menonaktifkan terminal di instance Vertex AI Workbench baru | Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance Vertex AI Workbench dengan terminal yang diaktifkan. Secara default, terminal dapat diaktifkan di instance Vertex AI Workbench. constraints/ainotebooks.disableTerminal |
"is:" |
Vertex AI Workbench | Membatasi opsi lingkungan di notebook Vertex AI Workbench yang dikelola pengguna baru | Batasan daftar ini menentukan opsi image VM dan container yang dapat dipilih pengguna saat membuat notebook baru yang dikelola pengguna Vertex AI Workbench. Opsi yang diizinkan atau ditolak harus dicantumkan secara eksplisit. Format yang diharapkan untuk instance VM adalah ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE . Ganti IMAGE_TYPE dengan image-family atau image-name . Contoh: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu , ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 .Format yang diharapkan untuk image penampung adalah ainotebooks-container/CONTAINER_REPOSITORY:TAG . Contoh: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest , ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48 . constraints/ainotebooks.environmentOptions |
"is:" |
Vertex AI Workbench | Mewajibkan upgrade terjadwal otomatis pada notebook dan instance baru yang dikelola pengguna Vertex AI Workbench | Batasan boolean ini, jika diterapkan, mewajibkan notebook dan instance yang dikelola pengguna Vertex AI Workbench yang baru dibuat untuk menetapkan jadwal upgrade otomatis. Jadwal upgrade otomatis dapat ditentukan menggunakan flag metadata `notebook-upgrade-schedule` untuk menentukan jadwal cron untuk upgrade otomatis. Misalnya: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`. constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
Vertex AI Workbench | Membatasi akses IP publik di notebook dan instance Vertex AI Workbench baru | Batasan boolean ini, jika diterapkan, akan membatasi akses IP publik ke notebook dan instance Vertex AI Workbench yang baru dibuat. Secara default, IP publik dapat mengakses notebook dan instance Vertex AI Workbench. constraints/ainotebooks.restrictPublicIp |
"is:" |
Vertex AI Workbench | Membatasi jaringan VPC di instance Vertex AI Workbench baru | Batasan daftar ini menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru tempat batasan ini diterapkan. Secara default, instance Vertex AI Workbench dapat dibuat dengan jaringan VPC apa pun. Daftar jaringan yang diizinkan atau ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , atau projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/ainotebooks.restrictVpcNetworks |
"is:" , "under:" |
Vertex AI | Menentukan akses ke model AI generatif eksklusif Google di Vertex AI | Batasan daftar ini menentukan kumpulan model dan fitur AI generatif yang diizinkan untuk digunakan di Vertex AI API. Nilai daftar yang diizinkan harus mengikuti format model_id:feature_family . Contoh, publishers/google/models/text-bison:predict . Batasan daftar ini hanya membatasi akses ke model AI generatif eksklusif Google, dan tidak memengaruhi model eksklusif pihak ketiga atau model open source. Batasan vertexai.allowedModels dapat digunakan untuk menentukan akses ke kumpulan model yang lebih luas, termasuk model eksklusif Google, model eksklusif pihak ketiga, dan model open source. Secara default, semua model dapat digunakan di Vertex AI API. constraints/vertexai.allowedGenAIModels |
"is:" |
Vertex AI | Menentukan akses ke model di Vertex AI | Batasan daftar ini menentukan kumpulan model dan fitur yang diizinkan untuk digunakan di Vertex AI API. Nilai daftar yang diizinkan harus mengikuti format "model_id:feature_family ", misalnya "publishers/google/models/gemini-1.0-pro:predict ". Secara default, semua model dapat digunakan di Vertex AI API. constraints/vertexai.allowedModels |
"is:" |
App Engine | Nonaktifkan Download Kode Sumber | Menonaktifkan download kode dari kode sumber yang diupload sebelumnya ke App Engine. constraints/appengine.disableCodeDownload |
"is:" |
App Engine | Pengecualian Deployment Runtime (App Engine) | Batasan daftar ini menentukan kumpulan runtime lama App Engine Standard (Python 2.7, PHP 5.5, dan Java 8) yang diizinkan untuk deployment setelah Akhir Dukungan. Runtime lama App Engine Standard akan mencapai Akhir Dukungan pada 30 Januari 2024. Umumnya, upaya untuk men-deploy aplikasi menggunakan runtime lama setelah tanggal ini akan diblokir. Lihat jadwal dukungan runtime App Engine Standard. Menetapkan batasan ini ke "Izinkan" akan membatalkan pemblokiran deployment App Engine Standard untuk runtime lama yang Anda tentukan hingga Tanggal Penghentian Runtime. Menyetel batasan ini ke "Izinkan Semua" akan membatalkan pemblokiran deployment App Engine Standard untuk semua runtime lama hingga Tanggal Penghentian Runtime. Runtime yang telah mencapai Akhir Dukungan tidak akan menerima patch keamanan dan pemeliharaan rutin. Sebaiknya upgrade aplikasi Anda untuk menggunakan versi runtime yang Tersedia Secara Umum. constraints/appengine.runtimeDeploymentExemption |
"is:" |
BigQuery | Menonaktifkan BigQuery Omni untuk Cloud AWS | Batasan boolean ini, jika ditetapkan ke True , akan menonaktifkan pengguna agar tidak menggunakan BigQuery Omni untuk memproses data di Amazon Web Services tempat batasan ini diterapkan. constraints/bigquery.disableBQOmniAWS |
"is:" |
BigQuery | Menonaktifkan BigQuery Omni untuk Cloud Azure | Batasan boolean ini, jika ditetapkan ke True , akan menonaktifkan pengguna agar tidak menggunakan BigQuery Omni untuk memproses data di Microsoft Azure tempat batasan ini diterapkan. constraints/bigquery.disableBQOmniAzure |
"is:" |
Cloud Build | Integrasi yang Diizinkan (Cloud Build) | Batasan daftar ini menentukan integrasi Cloud Build yang diizinkan untuk melakukan Build melalui penerimaan webhook dari layanan di luar Google Cloud. Jika batasan ini diterapkan, hanya webhook untuk layanan yang host-nya cocok dengan salah satu nilai yang diizinkan yang akan diproses. Secara default, Cloud Build memproses semua webhook untuk project yang memiliki setidaknya satu pemicu LIVE. constraints/cloudbuild.allowedIntegrations |
"is:" |
Cloud Build | Menonaktifkan Buat Akun Layanan Default (Cloud Build) | Batasan boolean ini, jika diterapkan, mencegah akun layanan Cloud Build lama dibuat. constraints/cloudbuild.disableCreateDefaultServiceAccount |
"is:" |
Cloud Build | Menggunakan akun layanan default (Cloud Build) | Batasan boolean ini, jika diterapkan, memungkinkan akun layanan Cloud Build lama digunakan secara default. constraints/cloudbuild.useBuildServiceAccount |
"is:" |
Cloud Build | Menggunakan Akun Layanan Compute Engine secara Default (Cloud Build) | Batasan boolean ini, jika diterapkan, memungkinkan akun layanan Compute Engine digunakan secara default. constraints/cloudbuild.useComputeServiceAccount |
"is:" |
Cloud Deploy | Menonaktifkan label layanan Cloud Deploy | Batasan boolean ini, jika diterapkan, akan mencegah Cloud Deploy menambahkan label ID Cloud Deploy ke objek yang di-deploy. Secara default, label yang mengidentifikasi resource Cloud Deploy ditambahkan ke objek yang di-deploy selama pembuatan rilis. constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
Cloud Functions | Setelan ingress yang diizinkan (Cloud Functions) | Batasan daftar ini menentukan setelan ingress yang diizinkan untuk deployment Cloud Function (generasi ke-1). Saat batasan ini diterapkan, fungsi akan diharuskan untuk memiliki setelan ingress yang cocok dengan salah satu nilai yang diizinkan. Secara default, Cloud Functions dapat menggunakan setelan ingress apa pun. Setelan ingress harus ditentukan dalam daftar yang diizinkan menggunakan nilai enum IngressSettings .Untuk Cloud Functions (generasi ke-2), gunakan batasan constraints/run.allowedIngress .constraints/cloudfunctions.allowedIngressSettings |
"is:" |
Cloud Functions | Setelan egress VPC Connector yang diizinkan (Cloud Functions) | Batasan daftar ini menetapkan setelan egress VPC Connector yang diizinkan untuk deployment Cloud Function (generasi ke-1). Ketika batasan ini diterapkan, fungsi akan diwajibkan untuk memiliki setelan egress VPC Connector yang cocok dengan salah satu nilai yang diizinkan. Secara default, Cloud Functions dapat menggunakan setelan egress VPC Connector apa pun. Setelan egress VPC Connector harus ditentukan dalam daftar yang diizinkan menggunakan nilai enum VpcConnectorEgressSettings .Untuk Cloud Functions (generasi ke-2), gunakan batasan constraints/run.allowedVPCEgress .constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
Cloud Functions | Perlu Konektor VPC (Cloud Functions) | Batasan boolean ini menerapkan penyetelan VPC Connector saat men-deploy Cloud Function (generasi ke-1). Saat batasan ini diterapkan, fungsi akan diperlukan untuk menetapkan VPC Connector. Secara default, penetapan VPC Connector tidak diperlukan untuk men-deploy Cloud Function. constraints/cloudfunctions.requireVPCConnector |
"is:" |
Cloud Functions | Pembuatan Cloud Functions yang Diizinkan | Batasan daftar ini menentukan kumpulan Generasi Cloud Function yang diizinkan yang dapat digunakan untuk membuat resource Function baru. Nilai yang valid adalah: 1stGen , 2ndGen . constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
Cloud KMS | Membatasi jenis CryptoKey KMS yang dapat dibuat. | Batasan daftar ini menentukan jenis kunci Cloud KMS yang dapat dibuat di bawah node hierarki tertentu. Jika batasan ini diterapkan, hanya jenis kunci KMS yang ditentukan dalam kebijakan organisasi ini yang dapat dibuat dalam node hierarki terkait. Mengonfigurasi kebijakan organisasi ini juga akan memengaruhi tingkat perlindungan tugas impor dan versi kunci. Secara default, semua jenis kunci diizinkan. Nilai yang valid adalah: SOFTWARE , HSM , EXTERNAL , EXTERNAL_VPC . Kebijakan tolak tidak diizinkan. constraints/cloudkms.allowedProtectionLevels |
"is:" |
Cloud KMS | Membatasi pemusnahan kunci ke versi kunci yang dinonaktifkan | Batasan boolean ini, jika diterapkan, hanya mengizinkan pemusnahan versi kunci yang dalam status dinonaktifkan. Secara default, versi kunci yang dalam status diaktifkan dan versi kunci yang dalam status dinonaktifkan dapat dihancurkan. Jika diterapkan, batasan ini berlaku untuk versi kunci baru dan yang sudah ada. constraints/cloudkms.disableBeforeDestroy |
"is:" |
Cloud KMS | Durasi minimum pemusnahan terjadwal per kunci | Batasan daftar ini menentukan durasi terjadwal penghapusan minimum dalam hari yang dapat ditentukan pengguna saat membuat kunci baru. Tidak ada kunci dengan durasi terjadwal penghapusan yang lebih rendah dari nilai ini yang dapat dibuat setelah batasan diterapkan. Secara default, durasi terjadwal penghapusan minimum untuk semua kunci adalah 1 hari, kecuali untuk kunci khusus impor yang durasinya 0 hari. Hanya satu nilai yang diizinkan yang dapat ditentukan dalam format in:1d , in:7d , in:15d , in:30d , in:60d , in:90d , atau in:120d . Misalnya, jika constraints/cloudkms.minimumDestroyScheduledDuration ditetapkan ke in:15d , pengguna dapat membuat kunci dengan durasi terjadwal penghapusan yang ditetapkan ke nilai apa pun yang lebih tinggi dari 15 hari, seperti 16 hari atau 31 hari. Namun, pengguna tidak dapat membuat kunci dengan durasi jadwal penghapusan yang lebih rendah dari 15 hari, seperti 14 hari. Untuk setiap resource dalam hierarki, durasi terjadwal penghapusan minimum dapat mewarisi, mengganti, atau digabungkan dengan kebijakan induk. Jika kebijakan resource digabungkan dengan kebijakan induk, nilai efektif durasi terjadwal penghapusan minimum di resource adalah nilai terendah antara nilai yang ditentukan di kebijakan resource dan durasi terjadwal penghapusan minimum efektif induk. Misalnya, jika organisasi memiliki durasi terjadwal penghapusan minimum 7 hari dan di project turunan, kebijakan ditetapkan ke 'Gabungkan dengan induk' dengan nilai in:15d , maka durasi terjadwal penghapusan minimum yang efektif di project adalah 7 hari. constraints/cloudkms.minimumDestroyScheduledDuration |
"is:" , "in:" |
Cloud Scheduler | Jenis target yang diizinkan untuk tugas | Batasan daftar ini menentukan daftar jenis target, seperti HTTP App Engine, HTTP, atau Pubsub, yang diizinkan untuk tugas Cloud Scheduler. Secara default, semua target tugas diizinkan. Nilai yang valid adalah: APPENGINE , HTTP , PUBSUB . constraints/cloudscheduler.allowedTargetTypes |
"is:" |
Cloud SQL | Batasi Jaringan yang Diizinkan di instance Cloud SQL | Batasan boolean ini membatasi penambahan Jaringan yang Diizinkan untuk akses database yang tidak menggunakan proxy ke instance Cloud SQL, tempat batasan ini ditetapkan ke True . Batasan ini tidak berlaku surut, instance Cloud SQL dengan Jaringan yang Diizinkan yang ada tetap berfungsi meskipun batasan ini telah diterapkan. Secara default, Jaringan yang Diizinkan dapat ditambahkan ke instance Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
"is:" |
Cloud SQL | Nonaktifkan jalur akses diagnostik dan administratif di Cloud SQL untuk memenuhi persyaratan kepatuhan. | Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, aspek tertentu dari dukungan akan terganggu dan semua jalur akses untuk diagnostik dan kasus penggunaan dukungan pelanggan lainnya yang tidak memenuhi persyaratan kedaulatan lanjutan untuk Assured Workloads akan dinonaktifkan. constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Cloud SQL | Batasi workload yang tidak mematuhi kebijakan untuk instance Cloud SQL. | Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, aspek tertentu dari dukungan akan terganggu dan resource yang disediakan akan mengikuti persyaratan kedaulatan lanjutan untuk Assured Workloads secara ketat. Kebijakan ini bersifat retroaktif karena akan berlaku untuk project yang ada, tetapi tidak akan memengaruhi resource yang telah disediakan; yaitu. modifikasi pada kebijakan hanya akan tercermin dalam resource yang dibuat setelah kebijakan diubah. constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
Cloud SQL | Batasi akses IP Publik di instance Cloud SQL | Batasan boolean ini membatasi konfigurasi IP Publik di instance Cloud SQL, tempat batasan ini ditetapkan ke True . Batasan ini tidak berlaku surut, instance Cloud SQL dengan akses IP Publik yang ada tetap berfungsi meskipun batasan ini telah diterapkan. Secara default, akses IP Publik diizinkan untuk instance Cloud SQL. constraints/sql.restrictPublicIp |
"is:" |
Google Cloud Marketplace | Menonaktifkan marketplace publik | Batasan boolean ini, jika diterapkan, akan menonaktifkan Google Cloud Marketplace untuk semua pengguna dalam organisasi. Secara default, akses marketplace publik diaktifkan untuk organisasi. Kebijakan ini hanya berfungsi jika Marketplace Pribadi diaktifkan (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace). Penting: Untuk pengalaman yang paling optimal, sebaiknya gunakan fitur batasan akses pengguna marketplace, seperti yang dijelaskan di https://cloud.google.com/marketplace/docs/governance/strict-user-access untuk mencegah penggunaan marketplace yang tidak sah di organisasi Anda, bukan melalui kebijakan organisasi ini. constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
Google Cloud Marketplace | Membatasi akses di layanan marketplace | Batasan daftar ini menentukan kumpulan layanan yang diizinkan untuk organisasi marketplace, dan hanya dapat menyertakan nilai dari daftar di bawah:
IAAS_PROCUREMENT ada dalam daftar nilai yang diizinkan, pengalaman tata kelola pengadaan IaaS akan diaktifkan untuk semua produk. Secara default, pengalaman tata kelola pengadaan IaaS dinonaktifkan. Kebijakan IAAS_PROCUREMENT berfungsi secara independen dari kemampuan tata kelola Permintaan Pengadaan, yang khusus untuk produk SaaS yang tercantum di Cloud Marketplace.Catatan: Nilai PRIVATE_MARKETPLACE tidak lagi didukung dan penggunaannya tidak akan berpengaruh. Untuk mengaktifkan Google Private Marketplace, Anda harus mengikuti petunjuk di https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace. constraints/commerceorggovernance.marketplaceServices |
"is:" |
Compute Engine | Setelan enkripsi Lampiran VLAN yang diizinkan | Batasan daftar ini menentukan setelan enkripsi yang diizinkan untuk Lampiran VLAN baru. Secara default, Lampiran VLAN diizinkan untuk menggunakan setelan enkripsi apa pun. Tetapkan IPSEC sebagai nilai yang diizinkan untuk mewajibkan pembuatan lampiran VLAN terenkripsi saja. constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
Compute Engine | Menonaktifkan Semua penggunaan IPv6 | Batasan boolean ini, jika ditetapkan ke True , akan menonaktifkan pembuatan atau update ke resource Google Compute Engine apa pun yang terlibat dalam penggunaan IPv6. Secara default, siapa pun yang memiliki izin Cloud IAM yang sesuai dapat membuat atau memperbarui resource Google Compute Engine dengan penggunaan IPv6 di project, folder, dan organisasi mana pun. Jika ditetapkan, batasan ini akan memiliki prioritas lebih tinggi daripada batasan organisasi IPv6 lainnya, termasuk disableVpcInternalIpv6 , disableVpcExternalIpv6 , dan disableHybridCloudIpv6 . constraints/compute.disableAllIpv6 |
"is:" |
Compute Engine | Menonaktifkan Pembuatan Kebijakan Keamanan Cloud Armor | Jika diterapkan, batasan boolean ini akan menonaktifkan pembuatan kebijakan keamanan Cloud Armor. Secara default, Anda dapat membuat kebijakan keamanan Cloud Armor di organisasi, folder, atau project mana pun. constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
Compute Engine | Menonaktifkan Load Balancing Global | Batasan boolean ini menonaktifkan pembuatan produk load balancing global. Jika diterapkan, hanya produk load balancing regional tanpa dependensi global yang dapat dibuat. Secara default, pembuatan load balancing global diizinkan. constraints/compute.disableGlobalLoadBalancing |
"is:" |
Compute Engine | Menonaktifkan Pembuatan Sertifikat SSL global yang dikelola sendiri | Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan Sertifikat SSL global yang dikelola sendiri. Pembuatan sertifikat yang dikelola Google atau dikelola sendiri secara regional tidak dinonaktifkan oleh batasan ini. Secara default, Anda dapat membuat Sertifikat SSL global yang dikelola sendiri di organisasi, folder, atau project mana pun. constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
Compute Engine | Menonaktifkan Akses Global ke Port Serial VM | Batasan boolean ini menonaktifkan akses port serial global ke VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang memberlakukan batasan ini. Secara default, pelanggan dapat mengaktifkan akses port serial untuk VM Compute Engine per VM atau per project menggunakan atribut metadata. Memberlakukan batasan ini akan menonaktifkan akses port serial global untuk VM Compute Engine, terlepas dari atribut metadata. Akses port serial regional tidak terpengaruh oleh batasan ini. Untuk menonaktifkan semua akses port serial, gunakan batasan compute.disableSerialPortAccess. constraints/compute.disableGlobalSerialPortAccess |
"is:" |
Compute Engine | Nonaktifkan Atribut Tamu metadata Compute Engine | Batasan boolean ini menonaktifkan akses Compute Engine API ke Atribut Tamu VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang menetapkan batasan ini ke True . Secara default, Compute Engine API dapat digunakan untuk mengakses atribut tamu VM Compute Engine. constraints/compute.disableGuestAttributesAccess |
"is:" |
Compute Engine | Menonaktifkan penggunaan IPv6 Hybrid Cloud | Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan, atau pembaruan, resource cloud hybrid termasuk Lampiran Interconnect dan gateway Cloud VPN dengan stack_type IPV4_IPV6 atau IPV6_ONLY , atau gatewayIpVersion IPv6 . Jika diterapkan pada resource Cloud Router, kemampuan untuk membuat sesi Border Gateway Protocol (BGP) IPv6 dan kemampuan untuk mengaktifkan pertukaran rute IPv6 melalui sesi BGP IPv4 akan dinonaktifkan. Secara default, siapa pun yang memiliki izin Cloud IAM yang sesuai dapat membuat atau memperbarui resource cloud hybrid dengan stack_type dari IPV4_IPV6 di project, folder, dan organisasi. constraints/compute.disableHybridCloudIpv6 |
"is:" |
Compute Engine | Menonaktifkan Instance Data Access API | Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Batasan boolean ini, jika diterapkan, akan menonaktifkan GetSerialPortOutput dan GetScreenshot API yang mengakses output port serial VM dan mengambil screenshot dari UI VM. constraints/compute.disableInstanceDataAccessApis |
"is:" |
Compute Engine | Nonaktifkan Grup Endpoint Jaringan Internet | Batasan boolean ini membatasi apakah pengguna dapat membuat Grup Endpoint Jaringan (Network Endpoint Group/NEG) Internet dengan type INTERNET_FQDN_PORT dan INTERNET_IP_PORT .Secara default, setiap pengguna dengan izin IAM yang sesuai dapat membuat NEG Internet di project mana pun. constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
Compute Engine | Menonaktifkan virtualisasi bertingkat VM | Batasan boolean ini menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk semua VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang menetapkan batasan ini ke True .Secara default, virtualisasi bertingkat dengan akselerasi hardware diizinkan untuk semua VM Compute Engine yang berjalan di platform CPU Intel Haswell atau yang lebih baru. constraints/compute.disableNestedVirtualization |
"is:" |
Compute Engine | Menerapkan jenis mesin yang mematuhi FIPS | Jika diterapkan, batasan boolean ini akan menonaktifkan pembuatan jenis instance VM yang tidak mematuhi persyaratan FIPS. constraints/compute.disableNonFIPSMachineTypes |
"is:" |
Compute Engine | Menonaktifkan Private Service Connect untuk Konsumen | Batasan daftar ini menentukan kumpulan jenis endpoint Private Service Connect yang aturan penerusannya tidak dapat dibuat oleh pengguna. Jika batasan ini diterapkan, pengguna akan diblokir agar tidak membuat aturan penerusan untuk jenis endpoint Private Service Connect. Batasan ini tidak diterapkan secara surut. Secara default, aturan penerusan dapat dibuat untuk jenis endpoint Private Service Connect apa pun. Daftar endpoint Private Service Connect yang diizinkan/ditolak harus berasal dari daftar di bawah:
GOOGLE_APIS dalam daftar yang diizinkan/ditolak akan membatasi pembuatan aturan penerusan Private Service Connect untuk mengakses Google API. Menggunakan SERVICE_PRODUCERS dalam daftar yang diizinkan/ditolak akan membatasi pembuatan aturan penerusan Private Service Connect untuk mengakses layanan di jaringan VPC lain. constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
Compute Engine | Menonaktifkan akses port serial VM | Batasan boolean ini menonaktifkan akses port serial ke VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang menetapkan batasan ini ke True . Secara default, pelanggan dapat mengaktifkan akses port serial untuk VM Compute Engine per VM atau per project menggunakan atribut metadata. Menerapkan batasan ini akan menonaktifkan akses port serial untuk VM Compute Engine, terlepas dari atribut metadata. constraints/compute.disableSerialPortAccess |
"is:" |
Compute Engine | Nonaktifkan logging port serial VM ke Stackdriver | Batasan boolean ini menonaktifkan logging port serial ke Stackdriver dari VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang memberlakukan batasan ini. Secara default, logging port serial untuk VM Compute Engine dinonaktifkan, dan dapat diaktifkan secara selektif per VM atau per project menggunakan atribut metadata. Jika diberlakukan, batasan ini akan menonaktifkan logging port serial untuk VM Compute Engine baru setiap kali VM baru dibuat, serta mencegah pengguna mengubah atribut metadata VM apa pun (lama atau baru) ke True . Menonaktifkan logging port serial dapat menyebabkan layanan tertentu yang mengandalkannya, seperti cluster Google Kubernetes Engine, tidak berfungsi dengan benar. Sebelum menerapkan batasan ini, pastikan produk dalam project Anda tidak bergantung pada logging port serial. constraints/compute.disableSerialPortLogging |
"is:" |
Compute Engine | Menonaktifkan SSH-in-browser | Batasan boolean ini menonaktifkan alat SSH-in-browser di Konsol Cloud untuk VM yang menggunakan Login OS dan VM lingkungan fleksibel App Engine. Jika diterapkan, tombol SSH-in-browser akan dinonaktifkan. Secara default, penggunaan alat SSH-in-browser diizinkan. constraints/compute.disableSshInBrowser |
"is:" |
Compute Engine | Nonaktifkan penggunaan IPv6 Eksternal VPC | Batasan boolean ini, jika ditetapkan ke True , akan menonaktifkan pembuatan atau pembaruan ke subnetwork dengan stack_type IPV4_IPV6 dan ipv6_access_type EXTERNAL . Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat membuat atau memperbarui subnetwork dengan stack_type dari IPV4_IPV6 di project, folder, dan organisasi mana pun. constraints/compute.disableVpcExternalIpv6 |
"is:" |
Compute Engine | Menonaktifkan penggunaan IPv6 Internal VPC | Batasan boolean ini, jika ditetapkan ke True , akan menonaktifkan pembuatan atau pembaruan ke subnetwork dengan stack_type IPV4_IPV6 dan ipv6_access_type INTERNAL . Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat membuat atau memperbarui subnetwork dengan stack_type dari IPV4_IPV6 di project, folder, dan organisasi mana pun. constraints/compute.disableVpcInternalIpv6 |
"is:" |
Compute Engine | Mengaktifkan setelan yang diperlukan untuk workload perlindungan memori kepatuhan | Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Batasan ini mengontrol setelan yang diperlukan untuk menghilangkan kemungkinan jalur akses ke memori inti VM. Jika diterapkan, kebijakan ini akan membatasi kemampuan untuk mengakses memori inti VM dengan menonaktifkan jalur akses dan membatasi pengumpulan data internal saat terjadi error. constraints/compute.enableComplianceMemoryProtection |
"is:" |
Compute Engine | Menonaktifkan perilaku fail-open untuk metode daftar yang menampilkan informasi kuota untuk suatu region | Batasan boolean ini, jika diterapkan, akan menonaktifkan perilaku fail-open pada kegagalan sisi server untuk metode regions.list , regions.get , dan projects.get . Artinya, jika informasi kuota tidak tersedia, metode ini akan gagal saat batasan diterapkan. Secara default, metode ini berhasil pada kegagalan sisi server dan menampilkan pesan peringatan saat informasi kuota tidak tersedia. constraints/compute.requireBasicQuotaInResponse |
"is:" |
Compute Engine | Memerlukan Konfigurasi OS | Batasan boolean ini, jika diterapkan, akan mengaktifkan VM Manager (OS Config) di semua project baru. Semua instance VM yang dibuat di project baru akan mengaktifkan VM Manager. Pada project baru dan yang sudah ada, batasan ini mencegah pembaruan metadata yang dapat menonaktifkan VM Manager di tingkat project atau instance. Secara default, VM Manager dinonaktifkan di project Compute Engine. constraints/compute.requireOsConfig |
"is:" |
Compute Engine | Perlu Login OS | Batasan boolean ini, jika disetel ke true , akan mengaktifkan Login OS di semua Project yang baru dibuat. Semua instance VM yang dibuat di project baru akan mengaktifkan Login OS. Pada project baru dan yang sudah ada, batasan ini mencegah pembaruan metadata yang dapat menonaktifkan Login OS di tingkatan project atau instance. Secara default, fitur Login OS dinonaktifkan di project Compute Engine. Instance GKE di cluster pribadi yang menjalankan node pool versi 1.20.5-gke.2000 dan yang lebih baru mendukung Login OS. Instance GKE di cluster publik saat ini tidak mendukung Login OS. Jika batasan ini diterapkan ke Project yang menjalankan cluster publik, instance GKE yang berjalan di Project tersebut mungkin tidak berfungsi dengan baik. constraints/compute.requireOsLogin |
"is:" |
Compute Engine | Shielded VM | Batasan boolean ini, jika ditetapkan ke True , mengharuskan semua instance VM Compute Engine yang baru untuk menggunakan disk image Terlindung dengan opsi Booting Aman, vTPM, dan Pemantauan Integritas diaktifkan. Booting Aman dapat dinonaktifkan setelah pembuatan, jika diinginkan. Instance yang sedang berjalan akan terus berfungsi seperti biasa. Secara default, fitur Shielded VM tidak perlu diaktifkan untuk membuat instance VM Compute Engine. Fitur VM Terlindung akan menambah integritas yang dapat diverifikasi dan resistansi pemindahan yang tidak sah ke VM Anda. constraints/compute.requireShieldedVm |
"is:" |
Compute Engine | Kebijakan Wajib SSL | Batasan daftar ini menentukan kumpulan proxy SSL target dan proxy HTTPS target yang diizinkan untuk menggunakan kebijakan SSL default. Secara default, semua proxy SSL target dan proxy HTTPS target diizinkan untuk menggunakan kebijakan SSL default. Saat batasan ini diterapkan, proxy SSL target baru dan proxy HTTPS target akan diwajibkan untuk menentukan kebijakan SSL. Penerapan batasan ini tidak berlaku surut. Proxy target yang ada dan menggunakan kebijakan SSL default tidak akan terpengaruh. Daftar proxy SSL target dan proxy HTTPS target yang diizinkan/ditolak harus diidentifikasi dalam bentuk:
constraints/compute.requireSslPolicy |
"is:" , "under:" |
Compute Engine | Mewajibkan kebijakan yang telah ditetapkan untuk log aliran VPC | Batasan daftar ini menentukan kumpulan kebijakan standar yang dapat diterapkan untuk Log Aliran VPC. Secara default, Log Aliran VPC dapat dikonfigurasi dengan setelan apa pun di setiap subnet. Batasan ini menerapkan pengaktifan log alur untuk semua subnet dalam cakupan dengan frekuensi pengambilan sampel minimum yang diperlukan. Tentukan satu atau beberapa nilai valid berikut:
constraints/compute.requireVpcFlowLogs |
"is:" |
Compute Engine | Membatasi penggunaan Cloud NAT | Batasan daftar ini menentukan kumpulan subnet yang diizinkan untuk menggunakan Cloud NAT. Secara default, semua subnet diizinkan untuk menggunakan Cloud NAT. Daftar subnet yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , atau projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME . constraints/compute.restrictCloudNATUsage |
"is:" , "under:" |
Compute Engine | Membatasi bucket backend dan layanan backend lintas project | Batasan daftar ini membatasi resource BackendBucket dan BackendService yang dapat dilampirkan ke resource urlMap. Batasan ini tidak berlaku untuk BackendBuckets dan BackendServices dalam project yang sama dengan resource urlMap. Secara default, resource urlMap di satu project dapat mereferensikan backendBuckets dan BackendServices yang kompatibel dari project lain di organisasi yang sama selama pengguna memiliki izin compute.backendService.use, compute.regionBackendServices.use, atau compute.backendBuckets.use. Sebaiknya jangan gunakan batasan ini dengan batasan compute.restrictSharedVpcBackendServices untuk menghindari konflik. Resource project, folder, dan organisasi dalam daftar yang diizinkan atau ditolak memengaruhi semua BackendBuckets dan BackendServices di bawahnya dalam hierarki resource. Hanya project, folder, dan resource organisasi yang dapat disertakan dalam daftar yang diizinkan atau ditolak, dan harus ditentukan dalam format:
constraints/compute.restrictCrossProjectServices |
"is:" , "under:" |
Compute Engine | Membatasi penggunaan Dedicated Interconnect | Batasan daftar ini menentukan kumpulan jaringan Compute Engine yang diizinkan untuk menggunakan Dedicated Interconnect. Secara default, jaringan diizinkan untuk menggunakan semua jenis Interconnect. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , atau projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictDedicatedInterconnectUsage |
"is:" , "under:" |
Compute Engine | Membatasi Pembuatan Load Balancer Berdasarkan Jenis Load Balancer | Batasan daftar ini menentukan kumpulan jenis load balancer yang dapat dibuat untuk organisasi, folder, atau project. Setiap jenis load balancer yang akan diizinkan atau ditolak harus dicantumkan secara eksplisit. Secara default, pembuatan semua jenis load balancer diizinkan. Daftar nilai yang diizinkan atau ditolak harus diidentifikasi sebagai nama string load balancer, dan hanya dapat menyertakan nilai dari daftar di bawah:
Untuk menyertakan semua jenis load balancer internal atau eksternal, gunakan awalan in: diikuti dengan INTERNAL atau EXTERNAL. Misalnya, mengizinkan in:INTERNAL akan mengizinkan semua jenis load balancer dari daftar di atas yang mengandung INTERNAL. constraints/compute.restrictLoadBalancerCreationForTypes |
"is:" , "in:" |
Compute Engine | Batasi Non-Confidential Computing | Daftar yang ditolak dalam batasan daftar ini menentukan kumpulan layanan yang mengharuskan semua resource baru dibuat dengan mengaktifkan Confidential Computing. Secara default, resource baru tidak diperlukan untuk menggunakan Confidential Computing. Meski batasan daftar ini diterapkan, Confidential Computing tidak dapat dinonaktifkan selama siklus proses resource. Resource yang ada akan terus berfungsi seperti biasa. Daftar layanan yang ditolak harus diidentifikasi sebagai nama string API, dan hanya dapat menyertakan nilai yang ditolak secara eksplisit dari daftar di bawah. Mengizinkan API secara eksplisit saat ini tidak didukung. Menolak API secara eksplisit yang tidak ada dalam daftar ini akan mengakibatkan error. Daftar API yang didukung: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
Compute Engine | Membatasi penggunaan Partner Interconnect | Batasan daftar ini menentukan kumpulan jaringan Compute Engine yang diizinkan untuk menggunakan Partner Interconnect. Secara default, jaringan diizinkan untuk menggunakan semua jenis Interconnect. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , atau projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictPartnerInterconnectUsage |
"is:" , "under:" |
Compute Engine | Membatasi Konsumen Private Service Connect yang diizinkan | Batasan daftar ini menentukan organisasi, folder, dan project yang dapat terhubung ke lampiran layanan dalam organisasi atau project produsen. Daftar yang diizinkan atau ditolak harus diidentifikasi dalam bentuk berikut: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , atau under:projects/PROJECT_ID . Secara default, semua koneksi diizinkan. constraints/compute.restrictPrivateServiceConnectConsumer |
"is:" , "under:" |
Compute Engine | Membatasi Produsen Private Service Connect yang diizinkan | Batasan daftar ini menentukan lampiran layanan yang dapat dihubungkan oleh konsumen Private Service Connect. Batasan ini memblokir deployment endpoint atau backend Private Service Connect berdasarkan organisasi, folder, atau resource project lampiran layanan yang dirujuk oleh endpoint atau backend. Daftar yang diizinkan atau ditolak harus diidentifikasi dalam bentuk berikut: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , atau under:projects/PROJECT_ID . Secara default, semua koneksi diizinkan. constraints/compute.restrictPrivateServiceConnectProducer |
"is:" , "under:" |
Compute Engine | Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP | Batasan daftar ini menentukan jenis objek aturan penerusan protokol dengan instance target yang dapat dibuat oleh pengguna. Ketika batasan ini diterapkan, objek aturan penerusan baru dengan instance target akan dibatasi ke alamat IP internal dan/atau eksternal, berdasarkan jenis yang ditentukan. Jenis yang diizinkan atau ditolak harus dicantumkan secara eksplisit. Secara default, pembuatan objek aturan penerusan protokol internal dan eksternal dengan instance target diizinkan. Daftar nilai yang diizinkan atau ditolak hanya dapat berisi nilai dari daftar di bawah:
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
Compute Engine | Membatasi Layanan Backend VPC Bersama | Batasan daftar ini menentukan kumpulan Layanan Backend VPC bersama yang dapat digunakan oleh resource yang memenuhi syarat. Batasan ini tidak berlaku pada resource dalam project yang sama. Secara default, resource yang memenuhi syarat dapat menggunakan Layanan Backend VPC bersama mana pun. Daftar Layanan Backend yang diizinkan/ditolak harus ditentukan dalam bentuk: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME , atau projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME . Batasan ini tidak berlaku surut. constraints/compute.restrictSharedVpcBackendServices |
"is:" , "under:" |
Compute Engine | Batasi Project Host VPC Bersama | Batasan daftar ini menentukan kumpulan project host VPC Bersama yang dapat dilampiri project pada atau di bawah resource ini. Secara default, sebuah project dapat terhubung ke project host mana pun dalam organisasi yang sama, sehingga menjadi project layanan. Project, folder, dan organisasi dalam daftar diizinkan/ditolak memengaruhi semua objek di bawahnya dalam hierarki resource tersebut, dan harus ditentukan dalam format: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , atau projects/PROJECT_ID . constraints/compute.restrictSharedVpcHostProjects |
"is:" , "under:" |
Compute Engine | Batasi Subnetwork VPC yang Dibagikan | Batasan daftar ini menentukan kumpulan subnetwork VPC bersama yang dapat digunakan oleh resource yang memenuhi syarat. Batasan ini tidak berlaku pada resource dalam project yang sama. Secara default, resource yang memenuhi syarat dapat menggunakan subnetwork VPC bersama mana pun. Daftar subnetwork yang diizinkan/ditolak harus ditentukan dalam format: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , atau projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME . constraints/compute.restrictSharedVpcSubnetworks |
"is:" , "under:" |
Compute Engine | Batasi penggunaan peering VPC | Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan melakukan peering dengan jaringan VPC yang termasuk dalam project, folder, atau organisasi ini. Setiap ujung peering harus memiliki izin peering. Secara default, Admin Jaringan untuk satu jaringan dapat melakukan peering dengan jaringan lain mana pun. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , atau projects/PROJECT_ID/global/networks/NETWORK_NAME . constraints/compute.restrictVpcPeering |
"is:" , "under:" |
Compute Engine | Batasi IP Peer VPN | Batasan daftar ini menentukan kumpulan alamat IP valid yang dapat dikonfigurasi sebagai IP peer VPN. Secara default, semua IP bisa menjadi IP peer VPN untuk jaringan VPC. Daftar alamat IP yang diizinkan/ditolak harus ditentukan sebagai alamat IP yang valid dalam format: IP_V4_ADDRESS atau IP_V6_ADDRESS . constraints/compute.restrictVpnPeerIPs |
"is:" |
Compute Engine | Menetapkan setelan DNS internal untuk project baru ke Zonal DNS Only | Jika disetel ke `True`, project yang baru dibuat akan menggunakan DNS Zona sebagai default. Secara default, batasan ini disetel ke `False` dan project yang baru dibuat akan menggunakan jenis DNS default. constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
Compute Engine | Project Pemilik Pemesanan Bersama | Batasan daftar ini menentukan kumpulan project yang diizinkan untuk membuat dan memiliki pemesanan bersama di organisasi. Pemesanan bersama mirip dengan pemesanan lokal, kecuali bahwa pemesanan bersama dapat digunakan oleh project Compute Engine lain dalam hierarki resource, bukan hanya oleh project pemilik. Daftar project yang diizinkan untuk mengakses pemesanan bersama harus dalam format: projects/PROJECT_NUMBER atau under:projects/PROJECT_NUMBER . constraints/compute.sharedReservationsOwnerProjects |
"is:" , "under:" |
Compute Engine | Melewati pembuatan jaringan default | Pembatasan boolean ini tidak akan membuat jaringan default dan resource terkait selama pembuatan resource Project Google Cloud Platform, tempat pembatasan tersebut ditetapkan ke True . Secara default, jaringan default dan resource yang mendukung akan otomatis dibuat saat membuat project Project.constraints/compute.skipDefaultNetworkCreation |
"is:" |
Compute Engine | Pembatasan penggunaan resource Compute Storage (disk, gambar, dan snapshot Compute Engine) | Batasan daftar ini menentukan kumpulan project yang diizinkan untuk menggunakan resource penyimpanan Compute Engine. Secara default, siapa saja yang memiliki izin Cloud IAM yang sesuai dapat mengakses resource Compute Engine. Saat menggunakan batasan ini, pengguna harus memiliki izin Cloud IAM, dan mereka tidak boleh dibatasi oleh batasan untuk mengakses resource. Project, folder, dan organisasi yang ditentukan dalam daftar yang diizinkan atau ditolak harus dalam bentuk: under:projects/PROJECT_ID , under:folders/FOLDER_ID , under:organizations/ORGANIZATION_ID . constraints/compute.storageResourceUseRestrictions |
"is:" , "under:" |
Compute Engine | Menentukan project gambar tepercaya | Batasan daftar ini menentukan kumpulan project yang dapat digunakan untuk penyimpanan image dan pembuatan instance disk untuk Compute Engine. Secara default, instance dapat dibuat dari image di project apa pun yang membagikan image secara publik atau secara eksplisit kepada pengguna. Daftar project penayang yang diizinkan/ditolak harus berupa string dalam format: projects/PROJECT_ID . Jika batasan ini aktif, hanya image dari project tepercaya yang akan diizinkan sebagai sumber untuk disk booting bagi instance baru.constraints/compute.trustedImageProjects |
"is:" |
Compute Engine | Batasi Penerusan IP VM | Batasan daftar ini menentukan kumpulan instance VM yang dapat mengaktifkan penerusan IP. Secara default, semua VM dapat mengaktifkan penerusan IP di jaringan virtual mana pun. Instance VM harus ditentukan dalam bentuk: under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , atau projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME . Batasan ini tidak berlaku surut. constraints/compute.vmCanIpForward |
"is:" , "under:" |
Compute Engine | Menentukan IP eksternal yang diizinkan untuk instance VM | Batasan daftar ini menentukan kumpulan instance VM Compute Engine yang diizinkan untuk menggunakan alamat IP eksternal. Secara default, semua instance VM diizinkan untuk menggunakan alamat IP eksternal. Daftar instance VM yang diizinkan/ditolak harus diidentifikasi dengan nama instance VM, dalam bentuk: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess |
"is:" |
Compute Engine | Menonaktifkan Mengaktifkan Identity-Aware Proxy (IAP) di resource global | Batasan boolean ini, jika diterapkan, akan menonaktifkan pengaktifan Identity-Aware Proxy di resource global. Mengaktifkan IAP pada resource regional tidak dibatasi oleh batasan ini. Secara default, pengaktifan IAP di resource global diizinkan. constraints/iap.requireGlobalIapWebDisabled |
"is:" |
Google Kubernetes Engine | Menonaktifkan jalur akses administratif diagnostik di GKE. | Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, semua jalur akses untuk diagnostik dan kasus penggunaan dukungan pelanggan lainnya yang tidak mematuhi persyaratan Assured Workloads akan dinonaktifkan. constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Dataform | Membatasi repositori jarak jauh git di Dataform | Batasan daftar ini menentukan kumpulan remote yang dapat dikomunikasikan oleh repositori dalam project Dataform. Untuk memblokir komunikasi dengan semua remote, tetapkan nilai ke Deny all . Batasan ini berlaku surut, dan memblokir komunikasi untuk repositori yang ada yang melanggarnya. Entri harus berupa link ke remote tepercaya, dalam format yang sama seperti yang disediakan di Dataform.Secara default, repositori dalam project Dataform dapat berkomunikasi dengan remote apa pun. constraints/dataform.restrictGitRemotes |
"is:" |
Datastream | Datastream - Memblokir Metode Konektivitas Publik | Secara default, profil koneksi Datastream dapat dibuat dengan metode konektivitas publik atau pribadi. Jika batasan boolean untuk kebijakan organisasi ini diterapkan, hanya metode konektivitas pribadi (misalnya, peering VPC) yang dapat digunakan untuk membuat profil koneksi. constraints/datastream.disablePublicConnectivity |
"is:" |
Kontak Penting | Kontak yang dibatasi domain | Batasan daftar ini menentukan kumpulan domain yang dapat dimiliki oleh alamat email yang ditambahkan ke Kontak Penting. Secara default, alamat email dengan domain apa pun dapat ditambahkan ke Kontak Penting. Daftar yang diizinkan/ditolak harus menentukan satu atau beberapa domain dalam bentuk @example.com . Jika batasan ini aktif dan dikonfigurasi dengan nilai yang diizinkan, hanya alamat email dengan akhiran yang cocok dengan salah satu entri dari daftar domain yang diizinkan yang dapat ditambahkan di Kontak Penting.Batasan ini tidak memengaruhi pembaruan atau penghapusan kontak yang ada. constraints/essentialcontacts.allowedContactDomains |
"is:" |
Kontak Penting | Menonaktifkan Kontak Keamanan Project | Batasan boolean ini, jika diterapkan, memungkinkan administrator kebijakan organisasi memastikan bahwa hanya kontak yang ditetapkan di tingkat organisasi atau folder yang dapat menerima notifikasi keamanan. Secara khusus, penerapan batasan ini akan memblokir pemilik project dan administrator kontak agar tidak membuat atau memperbarui Kontak Penting dengan kolom notification_category_subscriptions yang berisi kategori SECURITY atau ALL , jika kontak tersebut juga memiliki resource project sebagai induk. constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
Firestore | Mewajibkan Agen Layanan Firestore untuk impor/ekspor | Batasan boolean ini, jika diterapkan, mengharuskan impor dan ekspor Firestore menggunakan Agen Layanan Firestore. Secara default, impor dan ekspor Firestore dapat menggunakan akun layanan App Engine. Firestore akan berhenti menggunakan akun layanan App Engine untuk impor dan ekspor pada masa mendatang dan semua akun harus dimigrasikan ke Agen Layanan Firestore. Setelah itu, batasan ini tidak akan diperlukan lagi. constraints/firestore.requireP4SAforImportExport |
"is:" |
Cloud Healthcare | Menonaktifkan Cloud Logging untuk Cloud Healthcare API | Batasan boolean ini, jika diterapkan, akan menonaktifkan Cloud Logging untuk Cloud Healthcare API. Log audit tidak terpengaruh oleh batasan ini. Cloud Logging yang dibuat untuk Cloud Healthcare API sebelum batasan diberlakukan tidak akan dihapus dan tetap dapat diakses. constraints/gcp.disableCloudLogging |
"is:" |
Identity and Access Management | Mengizinkan perpanjangan masa pakai token akses OAuth 2.0 hingga 12 jam | Batasan daftar ini menentukan kumpulan akun layanan yang dapat diberi token akses OAuth 2.0 dengan masa pakai hingga 12 jam. Secara default, masa pakai maksimum untuk token akses ini adalah 1 jam. Daftar akun layanan yang diizinkan/ditolak harus menentukan satu atau beberapa alamat email akun layanan. constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
Identity and Access Management | Berbagi dengan domain terbatas | Batasan daftar ini menentukan satu atau beberapa ID pelanggan Cloud Identity atau Google Workspace yang akun utamanya dapat ditambahkan ke kebijakan IAM. Secara default, semua identitas pengguna dapat ditambahkan ke kebijakan IAM. Hanya nilai yang diizinkan yang dapat ditentukan dalam batasan ini, nilai yang ditolak tidak didukung. Jika batasan ini aktif, hanya akun utama yang termasuk dalam ID pelanggan yang diizinkan yang dapat ditambahkan ke kebijakan IAM. Anda tidak perlu menambahkan ID pelanggan google.com ke daftar ini agar dapat berinteraksi dengan layanan Google. Menambahkan google.com memungkinkan berbagi dengan karyawan Google dan sistem non-produksi, dan hanya boleh digunakan untuk berbagi data dengan karyawan Google. constraints/iam.allowedPolicyMemberDomains |
"is:" |
Identity and Access Management | Menonaktifkan pengecualian Logging Audit | Batasan boolean ini, jika diterapkan, akan mencegah Anda mengecualikan akun utama tambahan dari logging audit. Batasan ini tidak memengaruhi pengecualian logging audit yang ada sebelum Anda menerapkan batasan. constraints/iam.disableAuditLoggingExemption |
"is:" |
Identity and Access Management | Menonaktifkan Penggunaan Akun Layanan Lintas Project | Jika diterapkan, akun layanan hanya dapat di-deploy (menggunakan peran ServiceAccountUser) ke tugas (vm, fungsi, dll.) yang berjalan di project yang sama dengan akun layanan. constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
Identity and Access Management | Menonaktifkan pembuatan akun layanan | Batasan boolean ini menonaktifkan pembuatan akun layanan, tempat batasan ini ditetapkan ke `True`. Secara default, akun layanan dapat dibuat oleh pengguna berdasarkan peran dan izin Cloud IAM mereka. constraints/iam.disableServiceAccountCreation |
"is:" |
Identity and Access Management | Menonaktifkan pembuatan kunci akun layanan | Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan kunci eksternal akun layanan dan kunci HMAC Cloud Storage. Secara default, kunci eksternal akun layanan dapat dibuat oleh pengguna berdasarkan peran dan izin Cloud IAM-nya. constraints/iam.disableServiceAccountKeyCreation |
"is:" |
Identity and Access Management | Nonaktifkan Upload Kunci Akun Layanan | Batasan boolean ini menonaktifkan fitur yang mengizinkan upload kunci publik ke akun layanan tempat batasan ini ditetapkan ke `Benar`. Secara default, pengguna dapat mengupload kunci publik ke akun layanan berdasarkan peran dan izin Cloud IAM-nya. constraints/iam.disableServiceAccountKeyUpload |
"is:" |
Identity and Access Management | Nonaktifkan Pembuatan Cluster Workload Identity | Batasan boolean ini, ketika disetel ke `True`, mengharuskan semua cluster GKE baru untuk menonaktifkan Workload Identity pada saat dibuat. Cluster GKE saat ini yang Workload Identity-nya aktif akan terus berfungsi seperti biasa. Secara default, Workload Identity dapat diaktifkan untuk semua cluster GKE. constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
Identity and Access Management | Durasi masa berlaku kunci akun layanan dalam jam | Batasan daftar ini menentukan durasi maksimum yang diizinkan untuk masa berlaku kunci akun layanan. Secara default, masa berlaku kunci yang dibuat tidak akan pernah berakhir. Durasi yang diizinkan ditentukan dalam jam, dan harus berasal dari daftar di bawah. Hanya satu nilai yang diizinkan yang dapat ditentukan, dan nilai yang ditolak tidak didukung. Menentukan durasi yang tidak ada dalam daftar ini akan mengakibatkan error.
inheritFromParent=false dalam file kebijakan jika menggunakan gcloud CLI. Batasan ini tidak dapat digabungkan dengan kebijakan induk. Penerapan batasan ini tidak berlaku surut dan tidak akan mengubah kunci yang sudah ada. constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
Identity and Access Management | Respons eksposur kunci akun layanan | Batasan daftar ini menentukan respons yang diambil jika Google mendeteksi bahwa kunci akun layanan diekspos secara publik. Jika tidak ditetapkan, setelan defaultnya adalah perilaku yang dijelaskan untuk DISABLE_KEY . Nilai yang diizinkan adalah DISABLE_KEY dan WAIT_FOR_ABUSE . Nilai yang tidak secara eksplisit merupakan bagian dari daftar ini tidak dapat digunakan. Hanya satu nilai yang diizinkan yang dapat ditentukan, dan nilai yang ditolak tidak didukung. Mengizinkan nilai DISABLE_KEY akan otomatis menonaktifkan kunci akun layanan yang ditampilkan secara publik, dan membuat entri di log audit. Mengizinkan nilai WAIT_FOR_ABUSE memilih tidak ikut perlindungan ini, dan tidak menonaktifkan kunci akun layanan yang terekspos secara otomatis. Namun, Google Cloud dapat menonaktifkan kunci akun layanan yang diekspos jika kunci tersebut digunakan dengan cara yang berdampak buruk pada platform, tetapi tidak berjanji untuk melakukannya. Untuk menerapkan batasan ini, tetapkan batasan ini untuk mengganti kebijakan induk di Konsol Google Cloud, atau tetapkan inheritFromParent=false dalam file kebijakan jika menggunakan gcloud CLI. Batasan ini tidak dapat digabungkan dengan kebijakan induk. constraints/iam.serviceAccountKeyExposureResponse |
"is:" |
Identity and Access Management | Akun AWS yang diizinkan yang dapat dikonfigurasi untuk workload identity federation di Cloud IAM | Daftar ID akun AWS yang dapat dikonfigurasi untuk workload identity federation di Cloud IAM. constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
Identity and Access Management | Penyedia Identitas eksternal yang diizinkan untuk beban kerja di Cloud IAM | Penyedia Identitas yang dapat dikonfigurasi untuk autentikasi beban kerja dalam Cloud IAM, ditentukan oleh URI/URL. constraints/iam.workloadIdentityPoolProviders |
"is:" |
Bidang Kontrol Terkelola Anthos Service Mesh | Mode Kontrol Layanan VPC yang Diizinkan untuk Platform Kontrol Terkelola Anthos Service Mesh | Batasan ini menentukan mode Kontrol Layanan VPC yang dapat ditetapkan saat menyediakan Bidang Kontrol Terkelola Anthos Service Mesh baru. Nilai yang valid adalah "NONE" dan "COMPATIBLE". constraints/meshconfig.allowedVpcscModes |
"is:" |
Cloud Pub/Sub | Menerapkan region dalam pengiriman untuk pesan Pub/Sub | Batasan boolean ini, jika diterapkan, akan menetapkan MessageStoragePolicy::enforce_in_transit ke benar untuk semua topik Pub/Sub baru pada saat pembuatan. Hal ini memastikan bahwa Data Pelanggan hanya ditransisikan dalam region yang diizinkan yang ditentukan dalam kebijakan penyimpanan pesan untuk topik tersebut. constraints/pubsub.enforceInTransitRegions |
"is:" |
Resource Manager | Membatasi penghapusan lien project VPC bersama | Batasan boolean ini membatasi kumpulan pengguna yang dapat menghapus lien project host VPC Bersama tanpa izin tingkat organisasi jika batasan ini ditetapkan ke True . Secara default, setiap pengguna yang memiliki izin untuk memperbarui lien dapat menghapus lien project host VPC Bersama. Penerapan batasan ini memerlukan izin yang diberikan di tingkat organisasi. constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
Resource Manager | Membatasi penghapusan lien Akun Layanan Lintas Project | Batasan boolean ini, jika DITERAPKAN, mencegah pengguna menghapus lien Akun Layanan Lintas Project tanpa izin tingkat organisasi. Secara default, setiap pengguna yang memiliki izin untuk memperbarui lien dapat menghapus lien Akun Layanan Lintas Project. Penerapan batasan ini memerlukan izin yang diberikan di tingkat organisasi. constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
Resource Manager | Membatasi visibilitas kueri resource | Batasan daftar ini, jika diterapkan pada resource organisasi, menentukan kumpulan resource Google Cloud yang ditampilkan dalam metode daftar dan penelusuran untuk pengguna di domain organisasi tempat batasan ini diterapkan. Hal ini dapat digunakan untuk membatasi resource yang terlihat di berbagai bagian Cloud Console, seperti halaman Pemilih Resource, Penelusuran, dan Mengelola Resource. Perhatikan bahwa Batasan ini hanya dievaluasi di tingkat Organisasi. Nilai yang ditentukan dalam daftar izinkan/tolak harus dalam bentuk: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.accessBoundaries |
"is:" , "under:" |
Resource Manager | Mewajibkan Daftar yang Diizinkan untuk Layanan yang Diaktifkan untuk Pemindahan Lintas Organisasi | Batasan daftar ini berfungsi sebagai pemeriksaan untuk memverifikasi bahwa project dengan layanan yang diaktifkan memenuhi syarat untuk pemindahan lintas organisasi. Resource dengan layanan yang didukung yang diaktifkan harus menerapkan batasan ini dan layanan yang didukung tersebut harus disertakan dalam nilai yang diizinkan agar memenuhi syarat untuk pemindahan lintas organisasi. Daftar nilai yang diizinkan saat ini untuk layanan yang didukung yang dapat digunakan adalah:
Batasan ini memberikan kontrol tambahan di atas constraints/resourcemanager.allowedExportDestinations. List_constraint ini kosong secara default dan tidak akan memblokir perpindahan lintas organisasi kecuali jika layanan yang didukung diaktifkan pada resource yang akan diekspor. Batasan ini memungkinkan kontrol yang lebih terperinci atas resource menggunakan fitur yang memerlukan lebih banyak kehati-hatian saat dipindahkan ke organisasi lain. Secara default, resource dengan layanan yang didukung yang diaktifkan tidak dapat dipindahkan ke seluruh organisasi. constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
Resource Manager | Tujuan yang Diizinkan untuk Mengekspor Resource | Batasan daftar ini menentukan kumpulan Organisasi eksternal tempat resource dapat dipindahkan, dan menolak semua pemindahan ke semua Organisasi lainnya. Secara default, resource tidak dapat dipindahkan antar-Organisasi. Jika batasan ini diterapkan ke resource, resource tersebut hanya dapat dipindahkan ke Organisasi yang secara eksplisit diizinkan oleh batasan ini. Perpindahan dalam Organisasi tidak diatur oleh batasan ini. Operasi pemindahan akan tetap memerlukan izin IAM yang sama dengan pemindahan resource normal. Nilai yang ditentukan dalam daftar izinkan/tolak harus dalam bentuk: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.allowedExportDestinations |
"is:" , "under:" |
Resource Manager | Sumber yang Diizinkan untuk Mengimpor Resource | Batasan daftar ini menentukan kumpulan Organisasi eksternal tempat resource dapat diimpor, dan menolak semua pemindahan dari semua Organisasi lainnya. Secara default, resource tidak dapat dipindahkan antar-Organisasi. Jika batasan ini diterapkan ke resource, resource yang diimpor langsung di bawah resource ini harus diizinkan secara eksplisit oleh batasan ini. Perpindahan dalam Organisasi tidak diatur oleh batasan ini. Operasi pemindahan akan tetap memerlukan izin IAM yang sama dengan pemindahan resource normal. Nilai yang ditentukan dalam daftar izinkan/tolak harus dalam bentuk: under:organizations/ORGANIZATION_ID . constraints/resourcemanager.allowedImportSources |
"is:" , "under:" |
Cloud Run | Kebijakan Otorisasi Biner yang Diizinkan (Cloud Run) | Batasan daftar ini menentukan kumpulan nama kebijakan Otorisasi Biner yang diizinkan untuk ditentukan di resource Cloud Run. Untuk mengizinkan/melarang kebijakan default, gunakan nilai `default`. Untuk mengizinkan/melarang satu atau beberapa kebijakan platform kustom, ID resource dari setiap kebijakan tersebut harus ditambahkan secara terpisah. constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
Cloud Run | Setelan ingress yang diizinkan (Cloud Run) | Batasan daftar ini menentukan setelan ingress yang diizinkan untuk layanan Cloud Run. Saat batasan ini diterapkan, layanan akan diwajibkan untuk memiliki setelan ingress yang cocok dengan salah satu nilai yang diizinkan. Layanan Cloud Run yang ada dengan setelan ingress yang melanggar batasan ini dapat terus diupdate hingga setelan ingress layanan diubah agar mematuhi batasan ini. Setelah layanan mematuhi batasan ini, layanan hanya dapat menggunakan setelan traffic masuk yang diizinkan oleh batasan ini. Secara default, layanan Cloud Run dapat menggunakan setelan ingress apa pun. Daftar yang diizinkan harus berisi nilai setelan traffic masuk yang didukung, yaitu all , internal , dan internal-and-cloud-load-balancing .constraints/run.allowedIngress |
"is:" |
Cloud Run | Setelan egress VPC yang diizinkan (Cloud Run) | Batasan daftar ini menentukan setelan egress VPC yang diizinkan untuk ditentukan di resource Cloud Run. Saat batasan ini diterapkan, resource Cloud Run harus di-deploy dengan konektor Akses VPC Serverless atau dengan traffic keluar VPC Langsung diaktifkan, dan setelan traffic keluar VPC harus cocok dengan salah satu nilai yang diizinkan. Secara default, resource Cloud Run dapat menetapkan setelan traffic keluar VPC ke nilai apa pun yang didukung. Daftar yang diizinkan harus berisi nilai setelan traffic keluar VPC yang didukung, yaitu private-ranges-only dan all-traffic .Untuk layanan Cloud Run yang ada, semua revisi baru harus mematuhi batasan ini. Layanan yang ada dengan revisi yang menayangkan traffic yang melanggar batasan ini dapat terus memigrasikan traffic ke revisi yang melanggar batasan ini. Setelah semua traffic untuk layanan ditayangkan oleh revisi yang mematuhi batasan ini, semua migrasi traffic berikutnya hanya boleh memigrasikan traffic ke revisi yang mematuhi batasan ini. constraints/run.allowedVPCEgress |
"is:" |
Service Consumer Management | Menonaktifkan Pemberian IAM Otomatis untuk Akun Layanan Default | Batasan boolean ini, jika diterapkan, mencegah akun layanan App Engine dan Compute Engine default yang dibuat di project Anda agar tidak otomatis diberi peran IAM di project saat akun dibuat. Secara default, akun layanan ini secara otomatis menerima peran Editor saat dibuat. constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
Cloud Spanner | Mengaktifkan kontrol layanan lanjutan untuk workload kepatuhan | Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, aspek tertentu dari dukungan akan terganggu dan resource yang disediakan akan mengikuti persyaratan kedaulatan lanjutan untuk Assured Workloads secara ketat. Kebijakan ini akan berlaku untuk project yang ada, tetapi tidak akan memengaruhi resource yang telah disediakan; yaitu, perubahan pada kebijakan hanya akan tercermin dalam resource yang dibuat setelah kebijakan diubah. constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
Cloud Spanner | Menonaktifkan multi-region Cloud Spanner jika tidak ada lokasi yang dipilih | Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama orientasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance spanner menggunakan konfigurasi instance multi-region, kecuali jika lokasi dipilih. Saat ini, Cloud Spanner belum mendukung pemilihan lokasi, sehingga semua multi-region tidak akan diizinkan. Di masa mendatang, Spanner akan menyediakan fungsi bagi pengguna untuk memilih lokasi untuk multi-region. Penerapan batasan ini tidak berlaku surut. Instance Spanner yang telah dibuat tidak akan terpengaruh. constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
Cloud Storage | Google Cloud Platform - Mode Logging Audit Mendetail | Saat Mode Logging Audit Mendetail diterapkan, baik permintaan maupun respons akan disertakan dalam Cloud Audit Logs. Perubahan pada fitur ini dapat memerlukan waktu hingga 10 menit untuk diterapkan. Kebijakan Organisasi ini sangat dianjurkan untuk digunakan dengan Bucket Lock ketika mengupayakan kepatuhan seperti Aturan SEC 17a-4(f), Aturan CFTC 1.31(c)-(d), dan Aturan FINRA 4511(c). Kebijakan ini saat ini hanya didukung di Cloud Storage. constraints/gcp.detailedAuditLoggingMode |
"is:" |
Cloud Storage | Menerapkan Pencegahan Akses Publik | Amankan data Cloud Storage Anda dari eksposur publik dengan menerapkan pencegahan akses publik. Kebijakan tata kelola ini mencegah resource yang ada dan yang akan datang diakses melalui internet publik dengan menonaktifkan dan memblokir ACL dan izin IAM yang memberikan akses ke allUsers dan allAuthenticatedUsers . Terapkan kebijakan ini di seluruh organisasi (direkomendasikan), project tertentu, atau folder tertentu untuk memastikan tidak ada data yang ditampilkan secara publik.Kebijakan ini akan menggantikan izin publik yang ada. Akses publik akan dicabut untuk bucket dan objek yang ada setelah kebijakan ini diaktifkan. Untuk mengetahui detail selengkapnya tentang efek perubahan penerapan batasan ini pada resource, lihat: https://cloud.google.com/storage/docs/public-access-prevention. constraints/storage.publicAccessPrevention |
"is:" |
Cloud Storage | Cloud Storage - membatasi jenis autentikasi | Batasan ini menentukan kumpulan jenis autentikasi yang akan dibatasi agar tidak dapat mengakses resource penyimpanan apa pun di bawah organisasi di Cloud Storage. Nilai yang didukung adalah USER_ACCOUNT_HMAC_SIGNED_REQUESTS dan SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS . Gunakan in:ALL_HMAC_SIGNED_REQUESTS untuk menyertakan keduanya. constraints/storage.restrictAuthTypes |
"is:" , "in:" |
Cloud Storage | Durasi kebijakan retensi dalam detik | Batasan daftar ini menentukan rangkaian durasi untuk kebijakan retensi yang dapat ditetapkan pada bucket Cloud Storage. Secara default, jika tidak ada kebijakan organisasi yang ditentukan, bucket Cloud Storage dapat memiliki kebijakan retensi dengan durasi berapa pun. Daftar durasi yang diizinkan harus ditentukan sebagai nilai bilangan bulat positif yang lebih besar dari nol, yang menunjukkan kebijakan retensi dalam detik. Semua operasi penyisipan, pembaruan, atau patch pada bucket di resource organisasi harus memiliki durasi kebijakan retensi yang cocok dengan batasan tersebut. Penerapan batasan ini tidak berlaku surut. Jika kebijakan organisasi baru diterapkan, kebijakan retensi dari bucket yang ada tetap valid dan tidak berubah. constraints/storage.retentionPolicySeconds |
"is:" |
Cloud Storage | Membatasi akses HTTP yang tidak dienkripsi | Jika diterapkan, batasan boolean ini akan secara eksplisit menolak akses HTTP (tidak dienkripsi) ke semua resource penyimpanan. Secara default, Cloud Storage XML API mengizinkan akses HTTP yang tidak dienkripsi. Perhatikan bahwa Cloud Storage JSON API, gRPC, dan Konsol Cloud hanya mengizinkan akses HTTP terenkripsi ke resource Cloud Storage. constraints/storage.secureHttpTransport |
"is:" |
Cloud Storage | Cloud Storage - durasi retensi kebijakan penghapusan sementara dalam detik | Batasan ini menentukan durasi retensi yang diizinkan untuk kebijakan penghapusan sementara yang ditetapkan di bucket Cloud Storage tempat batasan ini diterapkan. Semua operasi penyisipan, update, atau patch pada bucket tempat batasan ini diterapkan harus memiliki durasi kebijakan penghapusan sementara yang cocok dengan batasan tersebut. Jika kebijakan organisasi baru diterapkan, kebijakan penghapusan sementara dari bucket yang ada tetap valid dan tidak berubah. Secara default, jika tidak ada kebijakan organisasi yang ditentukan, bucket Cloud Storage dapat memiliki kebijakan penghapusan sementara dengan durasi berapa pun. constraints/storage.softDeletePolicySeconds |
"is:" |
Cloud Storage | Terapkan akses level bucket yang seragam | Batasan boolean ini memerlukan bucket untuk menggunakan akses level bucket seragam, tempat batasan ini ditetapkan ke True . Semua bucket baru dalam resource Organisasi harus mengaktifkan akses level bucket seragam, dan bucket yang ada dalam resource organisasi tidak dapat menonaktifkan akses level bucket seragam. Penerapan batasan ini tidak berlaku surut: bucket yang ada dengan akses level bucket seragam nonaktif akan tetap nonaktif. Nilai default untuk batasan ini adalah False . Akses level bucket seragam menonaktifkan evaluasi ACL yang ditetapkan ke objek Cloud Storage pada bucket. Akibatnya, hanya kebijakan IAM yang memberikan akses ke objek dalam bucket tersebut. constraints/storage.uniformBucketLevelAccess |
"is:" |
Panduan cara kerja
Untuk mengetahui informasi selengkapnya tentang cara menggunakan setiap batasan:
Batasan | Panduan cara kerja |
---|---|
constraints/cloudbuild.allowedIntegrations |
Gate dibuat berdasarkan kebijakan organisasi |
constraints/cloudfunctions.allowedIngressSettings |
Menggunakan Kontrol Layanan VPC |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
Menggunakan Kontrol Layanan VPC |
constraints/cloudfunctions.requireVPCConnector |
Menggunakan Kontrol Layanan VPC |
constraints/gcp.restrictNonCmekServices |
Kebijakan organisasi CMEK |
constraints/gcp.restrictCmekCryptoKeyProjects |
Kebijakan organisasi CMEK |
constraints/gcp.restrictTLSVersion |
Membatasi versi TLS |
constraints/compute.restrictPrivateServiceConnectConsumer constraints/compute.restrictPrivateServiceConnectProducer |
Mengelola keamanan untuk konsumen Private Service Connect |
constraints/compute.restrictCloudNATUsage |
Membatasi penggunaan Cloud NAT |
constraints/compute.restrictLoadBalancerCreationForTypes |
Batasan Cloud Load Balancing |
constraints/compute.restrictProtocolForwardingCreationForTypes |
Batasan penerusan protokol |
constraints/compute.restrictDedicatedInterconnectUsage constraints/compute.restrictPartnerInterconnectUsage |
Membatasi penggunaan Cloud Interconnect |
constraints/compute.restrictVpnPeerIPs |
Membatasi alamat IP Peer melalui tunnel Cloud VPN |
constraints/compute.trustedImageProjects |
Membatasi akses ke gambar |
constraints/compute.vmExternalIpAccess |
Menonaktifkan akses IP eksternal untuk VM |
constraints/compute.requireVpcFlowLogs |
Batasan kebijakan organisasi untuk Log Aliran VPC |
constraints/dataform.restrictGitRemotes |
Membatasi repositori jarak jauh |
constraints/gcp.restrictServiceUsage |
Membatasi penggunaan resource |
constraints/iam.allowedPolicyMemberDomains |
Membatasi identitas menurut domain |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
Memperpanjang masa berlaku token akses OAuth 2.0 |
constraints/iam.disableCrossProjectServiceAccountUsage |
Melampirkan akun layanan ke resource dalam project yang berbeda |
constraints/iam.disableServiceAccountCreation |
Membatasi pembuatan akun layanan |
constraints/iam.disableServiceAccountKeyCreation |
Membatasi pembuatan kunci akun layanan |
constraints/iam.disableServiceAccountKeyUpload |
Membatasi upload kunci akun layanan |
constraints/iam.disableWorkloadIdentityClusterCreation |
Membatasi pembuatan cluster workload identity |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
Melampirkan akun layanan ke resource dalam project yang berbeda |
constraints/gcp.detailedAuditLoggingMode constraints/storage.retentionPolicySeconds constraints/storage.uniformBucketLevelAccess constraints/storage.publicAccessPrevention |
Batasan kebijakan organisasi untuk Cloud Storage |
constraints/gcp.disableCloudLogging |
Menonaktifkan Cloud Logging |
constraints/gcp.resourceLocations |
Membatasi Lokasi Resource |
constraints/resourcemanager.accessBoundaries |
Membatasi visibilitas project untuk pengguna |
constraints/run.allowedIngress |
Menggunakan kontrol layanan VPC |
constraints/run.allowedVPCEgress |
Menggunakan kontrol layanan VPC |
constraints/constraints/vertexai.allowedModels |
Mengontrol akses ke model Model Garden |
Pelajari lebih lanjut
Untuk mempelajari lebih lanjut konsep inti kebijakan organisasi:
Baca tentang pengertian batasan.
Baca cara menggunakan batasan untuk membuat kebijakan organisasi.
Baca cara kerja evaluasi hierarkis.