Einschränkungen für Organisationsrichtlinien

Verfügbare Einschränkungen

Sie können Richtlinien mit den folgenden Einschränkungen festlegen.

Von mehreren Google Cloud-Diensten unterstützte Einschränkungen

Einschränkung Beschreibung Unterstützte Präfixe
Google Cloud Platform – Beschränkung der Ressourcenstandorte Diese Listeneinschränkung definiert eine Gruppe von Standorten, an denen standortbezogene GCP-Ressourcen erstellt werden können.
Standardmäßig können Ressourcen an jedem Standort erstellt werden.
In den Richtlinien für diese Einschränkung können Mehrfachregionen wie asia und europe, Regionen wie us-east1 oder europe-west1 als erlaubte oder abgelehnte Standorte angegeben werden. Wenn eine Mehrfachregion erlaubt oder abgelehnt wird, bedeutet dies nicht, dass alle enthaltenen untergeordneten Standorte ebenfalls erlaubt oder abgelehnt sind. Wenn die Richtlinie beispielsweise die Multiregion us ablehnt, können dennoch Ressourcen am regionalen Standort us-east1 erstellt werden.
Wir empfehlen, Richtlinien mithilfe von Wertgruppen zu definieren.
Sie können von Google ausgewählte Wertgruppen und Standortsammlungen zum einfachen Definieren Ihrer Ressourcenstandorte angeben. Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran, dem dann die Wertgruppe folgt.
Wenn Sie beispielsweise Ressourcen erstellen möchten, die sich nur innerhalb der USA befinden, legen Sie in:us-locations in der Liste der zulässigen Werte fest.
Wenn das Feld suggested_value in einer Standortrichtlinie verwendet wird, sollte es eine Region sein. Wenn der angegebene Wert eine Region ist, kann eine Benutzeroberfläche für eine zonale Ressource jede Zone in dieser Region vorab angeben.
constraints/gcp.resourceLocations
"is:", "in:"
Zulässige Google Cloud APIs und -Dienste beschränken Diese Listeneinschränkung schränkt die Dienste und deren APIs ein, die für diese Ressource aktiviert werden können. Standardmäßig sind alle Dienste zulässig.
Die Liste der abgelehnten Dienste muss aus der folgenden Liste stammen. Die explizite Aktivierung von APIs über diese Einschränkung wird derzeit nicht unterstützt. Wenn Sie eine API angeben, die nicht in dieser Liste enthalten ist, wird ein Fehler ausgegeben.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn ein Dienst für eine Ressource beim Erzwingen dieser Einschränkung bereits aktiviert ist, bleibt er weiter aktiviert.

constraints/serviceuser.services
"is:"

Einschränkungen für bestimmte Dienste

Dienste Einschränkung Beschreibung Unterstützte Präfixe
App Engine Quellcode-Download deaktivieren Deaktiviert Code-Downloads von zuvor in App Engine hochgeladenen Quellcodes.
constraints/appengine.disableCodeDownload
"is:"
Cloud Functions Erlaubte Einstellungen für ausgehenden Traffic (Cloud Function-Funktionen) Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic zur Bereitstellung einer Cloud Functions-Funktion definiert. Wenn diese Einschränkung erzwungen wird, müssen die Funktionen Einstellungen für eingehenden Traffic haben, die einem der zulässigen Werte entsprechen.
Standardmäßig kann Cloud Functions beliebige Einstellungen für eingehenden Traffic verwenden.
Einstellungen für eingehenden Traffic müssen in der Liste der zulässigen Einstellungen mit IngressSettings-Enum-Werten angegeben werden.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Erlaubte Einstellungen für ausgehenden Traffic des VPC-Connectors (Cloud Function-Funktionen) Mit dieser Listeneinschränkung werden die erlaubten Einstellungen für ausgehenden Traffic des VPC-Connector für die Bereitstellung einer Cloud Function-Funktion definiert. Wenn diese Einschränkung erzwungen wird, sind bei den Funktionen Einstellungen für ausgehenden Traffic des VPC-Connectors erforderlich, die mit einem der erlaubten Werte übereinstimmen.
Standardmäßig können Cloud Function-Funktionen beliebige Einstellungen für ausgehenden Traffic des VPC-Connectors verwenden.
Einstellungen für ausgehenden Traffic des VPC-Connectors müssen in der Liste der zulässigen Einstellungen mit VpcConnectorEgressSettings-Enum-Werten angegeben werden.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
VPC-Connector erforderlich (Cloud Functions-Funktionen) Diese boolesche Einschränkung erzwingt die Einstellung eines VPC-Connectors, wenn eine Cloud Function-Funktion bereitgestellt wird. Wenn die Einschränkung erzwungen wird, ist bei den Funktionen die Spezifizierung eines VPC-Connectors erforderlich.
Standardmäßig ist die Spezifizierung eines VPC-Connectors nicht erforderlich, um eine Cloud Function-Funktion bereitzustellen.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL Standardmäßige von Google verwaltete Verschlüsselung bei Cloud SQL-Instanzen einschränken BETA: Wenn diese boolesche Einschränkung auf True gesetzt ist, müssen alle neu erstellten, neu gestarteten oder aktualisierten Cloud SQL-Instanzen von Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden. Sie ist nicht rückwirkend (bestehende Instanzen mit von Google verwalteter Verschlüsselung sind nicht betroffen, es sei denn, sie werden geupdated oder aktualisiert).
Standardmäßig ist diese Einschränkung auf False gesetzt, und von Google verwaltete Verschlüsselung ist für Cloud SQL-Instanzen erlaubt.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Autorisierte Netzwerke auf Cloud SQL-Instanzen einschränken Wenn für diese boolesche Einschränkung True festgelegt wird, ist das Hinzufügen autorisierter Netzwerke für Datenbankzugriff ohne Proxy zu Cloud SQL-Instanzen eingeschränkt. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehenden autorisierten Netzwerken funktionieren dennoch, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig können autorisierte Netzwerke Cloud SQL-Instanzen hinzugefügt werden.

constraints/sql.restrictAuthorizedNetworks
"is:"
Zugriff auf öffentliche IP-Adressen bei Cloud SQL-Instanzen einschränken Diese boolesche Einschränkung erfordert, dass die öffentliche IP-Adresse in Cloud SQL-Instanzen konfiguriert wird, wobei die Einschränkung auf True gesetzt ist. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehendem Zugriff auf eine öffentliche IP-Adresse funktionieren weiterhin, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig ist es der öffentlichen IP-Adresse erlaubt, auf Cloud SQL-Instanzen zuzugreifen.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Gastattribute von Compute Engine-Metadaten deaktivieren Diese boolesche Einschränkung deaktiviert den Compute Engine API-Zugriff auf die Gastattribute von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung auf Truegesetzt ist.
Standardmäßig kann die Compute Engine API für den Zugriff auf Compute Engine-VM-Gastattribute verwendet werden.

constraints/compute.disableGuestAttributesAccess
"is:"
Internetnetzwerk-Endpunktgruppen deaktivieren Diese boolesche Einschränkung gibt an, ob ein Nutzer Internetnetzwerk-Endpunktgruppen (NEGs) mit einem type von INTERNET_FQDN_PORT und INTERNET_IP_PORT erstellen kann.
Standardmäßig kann jeder Nutzer mit den entsprechenden IAM-Berechtigungen Internet-NEGs in jedem beliebigen Projekt erstellen.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Verschachtelte Virtualisierung für VM deaktivieren Mit dieser booleschen Einschränkung wird hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden.

constraints/compute.disableNestedVirtualization
"is:"
Zugriff auf serielle Ports der VM deaktivieren Mit dieser booleschen Einschränkung wird der Zugriff auf serielle Ports auf allen Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung können Kunden den Zugriff auf serielle Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Beim Erzwingen dieser Einschränkung wird der Zugriff des seriellen Ports für alle Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert.

constraints/compute.disableSerialPortAccess
"is:"
Logging des seriellen VM-Ports in Stackdriver deaktivieren Diese boolesche Einschränkung deaktiviert das Logging serieller Ports in Stackdriver von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung erzwungen wird.
Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Wenn diese Einschränkung erzwungen wird, deaktiviert sie das Logging serieller Ports für neu erstellte Compute Engine-VMs. Damit wird auch verhindert, dass Nutzer die Metadatenattribute von VMs (alt oder neu) ändern und auf True setzen.
constraints/compute.disableSerialPortLogging
"is:"
OS-Login erforderlich Diese boolesche Einschränkung, wenn auf true gesetzt, aktiviert OS Login bei allen neu erstellten Projekten. Bei allen in neuen Projekten erstellten VM-Instanzen ist OS Login aktiviert. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login für Projekte oder Instanzen deaktivieren.
Standardmäßig ist das OS Login-Feature bei Compute Engine-Projekten deaktiviert.
GKE-Instanzen unterstützen OS Login derzeit nicht. Wenn diese Einschränkung für ein Projekt angewendet wird, funktionieren GKE-Instanzen, die in diesem Projekt ausgeführt werden, eventuell nicht richtig.
constraints/compute.requireOsLogin
"is:"
Shielded VMs Wenn für diese boolesche Einschränkung True festgelegt ist, müssen alle neuen Compute Engine-VM-Instanzen Shielded-Laufwerk-Images mit aktiviertem Secure Boot, vTPM und Integrity Monitoring verwenden. Secure Boot kann bei Bedarf nach der Erstellung deaktiviert werden. Vorhandene ausgeführte Instanzen sind weiter funktionsfähig.
Standardmäßig müssen Shielded VM-Features für das Erstellen von Compute Engine-VM-Instanzen nicht aktiviert werden. Mit Shielded VM-Features erhalten Ihre VMs eine überprüfbare Integrität und einen Schutz vor Exfiltration.
constraints/compute.requireShieldedVm
"is:"
Authentifizierte Google-Verbindung einschränken Mit dieser Listeneinschränkung wird die Gruppe von Compute Engine-VMs definiert, die die authentifizierte Google-Verbindung (Prod-to-Cloud) verwenden können. Authentifizierte Google-Verbindung wird nicht unterstützt. VMs dürfen nur dann bidirektionalen Google-Zugriff verwenden, wenn VMs von "constraints/compute.restrictDirectGoogleAccess" (Cloud zu Produktion) und "constraints/compute.restrictAuthenticatedGoogleConnection" (Produktion zu Cloud) zugelassen werden. Standardmäßig können alle Subnetzwerke direkten Google-Zugriff jedes beliebigen Typs verwenden. Die Liste der zulässigen/abgelehnten VMs muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/zones/ZONE_NAME/instances/INSTANCE_NAME.
constraints/compute.restrictAuthenticatedGoogleConnection
"is:", "under:"
Nutzung von Cloud NAT einschränken Mit dieser Listeneinschränkung wird eine Gruppe von Subnetzwerken definiert, die Cloud NAT verwenden dürfen. Standardmäßig können alle Subnetzwerke Cloud NAT verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Dedicated Interconnect-Nutzung einschränken Mit dieser Listeneinschränkung wird die Gruppe von Compute Engine-Netzwerken definiert, die Dedicated Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Direkten Google-Zugriff einschränken Mit dieser Listeneinschränkung wird die Gruppe von Compute Engine-VMs definiert, die direkten Google-Zugriff (Cloud zu Produktion) verwenden dürfen. Standardmäßig können alle Subnetzwerke direkten Google-Zugriff jedes beliebigen Typs verwenden. Die Liste der zulässigen/abgelehnten VMs muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/zones/ZONE_NAME/instances/INSTANCE_NAME.
constraints/compute.restrictDirectGoogleAccess
"is:", "under:"
Load-Balancer-Erstellung basierend auf Load-Balancer-Typen einschränken Mit dieser Listeneinschränkung wird die Gruppe von Load-Balancer-Typen definiert, die für eine Organisation, einen Ordner oder ein Projekt erstellt werden können. Jeder erlaubte Load-Balancer-Typ muss explizit oder abgelehnt sein. Standardmäßig ist das Erstellen aller Typen von Load-Balancern zulässig.
Die Liste der zulässigen oder abgelehnten Werte muss als Stringname eines Load-Balancers identifiziert werden und darf nur Werte aus der folgenden Liste enthalten:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS

Verwenden Sie das Präfix "in:", gefolgt von "INTERNAL" oder "EXTERNAL", um alle internen und externen Load-Balancer-Typen einzubinden. Wenn Sie z. B. in:INTERNAL zulassen, werden alle Load-Balancer-Typen aus der obigen Liste mit "INTERNAL" zugelassen.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:", "in:"
Non-Confidential Computing einschränken Mit dieser Sperrliste zur Listeneinschränkung werden die Dienste definiert, für die alle neuen Ressourcen mit aktiviertem Confidential Computing erstellt werden müssen. Standardmäßig ist für neue Ressourcen die Verwendung von Confidential Computing nicht erforderlich. Wenn diese Listeneinschränkung erzwungen wird, kann Confidential Computing während des gesamten Lebenszyklus der Ressource nicht deaktiviert werden. Vorhandene Ressourcen funktionieren weiterhin wie gewohnt. Die Liste der abgelehnten Dienste muss über den Stringnamen einer API identifiziert werden und kann nur explizit abgelehnte Werte aus der nachfolgenden Liste enthalten. Das explizite Zulassen von APIs wird derzeit nicht unterstützt. Das explizite Ablehnen von APIs, die nicht in dieser Liste enthalten sind, führt zu einem Fehler. Liste der unterstützten APIs: [compute.googleapis.com]
constraints/compute.restrictNonConfidentialComputing
"is:"
Partner Interconnect-Nutzung einschränken Mit dieser Listeneinschränkung werden die Compute Engine-Netzwerke definiert, die Partner Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken Mit dieser Listeneinschränkung wird der Typ von Protokollweiterleitungsregel-Objekten mit Zielinstanzen definiert, die ein Nutzer erstellen kann. Wenn diese Einschränkung erzwungen wird, sind neue Weiterleitungsregelobjekte mit Zielinstanzen auf interne und/oder externe IP-Adressen beschränkt, basierend auf den angegebenen Typen. Die zulässigen oder abgelehnten Typen müssen explizit aufgeführt sein. Standardmäßig ist das Erstellen von internen und externen Protokollweiterleitungsregel-Objekten mit Zielinstanzen erlaubt.
Die Liste der zulässigen oder abgelehnten Werte darf nur Werte aus der folgenden Liste enthalten:
  • INTERN
  • EXTERN
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
Freigegebene VPC-Hostprojekte einschränken Mit dieser Listeneinschränkung wird die Gruppe von freigegebenen VPC-Hostprojekten definiert, denen Projekte auf oder unter dieser Ressource zugeordnet werden können. Ein Projekt kann standardmäßig einem beliebigen Hostprojekt in derselben Organisation zugeordnet werden, wodurch es zu einem Dienstprojekt wird. Projekte, Ordner und Organisationen in den Listen der zulässigen/abgelehnten Projekte, Ordner und Organisationen wirken sich in der Ressourcenhierarchie auf alle darunterliegenden Objekte aus und müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Freigegebene VPC-Subnetzwerke einschränken Mit dieser Listeneinschränkung wird eine Gruppe freigegebener VPC-Subnetzwerke definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts. Standardmäßig können zulässige Ressourcen jedes freigegebene VPC-Subnetzwerk verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
Nutzung von VPC-Peering einschränken Mit dieser Listeneinschränkung wird die Gruppe von VPC-Netzwerken definiert, bei denen ein Peering mit den VPC-Netzwerken möglich ist, die zu diesem Projekt, Ordner oder dieser Organisation gehören. Standardmäßig kann ein Netzwerkadministrator das Peering für ein Netzwerk mit jedem anderen Netzwerk vornehmen. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.
Diese Einschränkung ist rückwirkend.
constraints/compute.restrictVpcPeering
"is:", "under:"
VPN-Peer-IPs einschränken Mit dieser Listeneinschränkung wird die Gruppe gültiger IPv4-Adressen definiert, die als VPN-Peer-IPs konfiguriert werden können. Standardmäßig kann jede IP ein VPN-Peer-IP für ein VPC-Netzwerk sein. Die Liste der zulässigen/abgelehnten IP-Adressen muss mit gültigen IPv4-Adressen im folgenden Format angegeben werden: IP_V4_ADDRESS.
constraints/compute.restrictVpnPeerIPs
"is:"
Erstellen des Standardnetzwerks überspringen Diese boolesche Einschränkung überspringt die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen während der Ressourcenerstellung eines Google Cloud Platform-Projekts, wenn sie auf True gesetzt ist. Standardmäßig werden beim Erstellen einer Projektressource automatisch ein Standardnetzwerk und unterstützende Ressourcen erstellt.

constraints/compute.skipDefaultNetworkCreation
"is:"
Nutzungsbeschränkungen für Compute Storage-Ressourcen (Compute Engine-Festplatten, Images und Snapshots) Diese Listeneinschränkung definiert eine Gruppe von Projekten, welche die Speicherressourcen von Compute Engine verwenden dürfen. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen auf Compute Engine-Ressourcen zugreifen. Wenn diese Einschränkung verwendet wird, müssen Nutzer Cloud IAM-Berechtigungen haben und dürfen nicht unter die Zugriffseinschränkung für diese Ressource fallen.
Projekte, Ordner und Organisationen, die in den Listen mit zulässigen oder abgelehnten Elementen angegeben werden, müssen folgendes Format haben: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Trusted Image-Projekte definieren Mit dieser Listeneinschränkung werden die Projekte definiert, die zur Image-Speicherung und Instanziierung von Datenträgern für Compute Engine verwendet werden können.
Standardmäßig können Instanzen aus Images in einem beliebigen Projekt mit öffentlich oder explizit für den Nutzer freigegebenen Images erstellt werden.
Die Liste der zulässigen/abgelehnten Publisher-Projekte muss in Form von Strings im Format projects/PROJECT_ID angegeben werden. Wenn diese Einschränkung aktiviert ist, sind nur Images aus vertrauenswürdigen Projekten als Quelle für Bootlaufwerke neuer Instanzen zulässig.

constraints/compute.trustedImageProjects
"is:"
VM-IP-Weiterleitung einschränken Mit dieser Listeneinschränkung wird die Gruppe von VM-Instanzen definiert, welche die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren. VM-Instanzen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
constraints/compute.vmCanIpForward
"is:", "under:"
Zulässige externe IPs für VM-Instanzen definieren Diese Listeneinschränkung definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen verwenden dürfen.
Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden.
Die Liste der zulässigen/abgelehnten VM-Instanzen muss durch den Namen der VM-Instanz im folgenden Format identifiziert werden: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Cloud Healthcare Cloud Logging deaktivieren Deaktiviert Cloud Logging in jeder Organisation sowie jedem Projekt oder Ordner mit dieser erzwungenen Einschränkung. Audit-Logs sind von dieser Einschränkung nicht betroffen.
Logs, die vor der Erzwingung dieser Einschränkung generiert wurden, werden nicht gelöscht und können weiterhin aufgerufen werden.
Diese Einschränkung wird nur in der Cloud Healthcare API unterstützt.
constraints/gcp.disableCloudLogging
"is:"
Identity und Access Management Lebensdauer der OAuth 2.0-Zugriffstokens auf bis zu 12 Stunden verlängern Mit dieser Listeneinschränkung wird eine Gruppe von Dienstkonten definiert, denen OAuth 2.0-Zugriffstoken mit einer Lebensdauer von bis zu 12 Stunden gewährt werden kann. Standardmäßig beträgt die maximale Lebensdauer für diese Zugriffstokens 1 Stunde.
In der Liste der zugelassenen/abgelehnten Dienstkonten muss mindestens eine E-Mail-Adresse eines Dienstkontos angegeben sein.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
Domaineingeschränkte Freigabe Diese Listeneinschränkung definiert die Gruppe von Mitgliedern, die zu Cloud IAM-Richtlinien hinzugefügt werden können.
Standardmäßig können alle Nutzeridentitäten zu Cloud IAM-Richtlinien hinzugefügt werden.
In der Liste der zugelassenen/abgelehnten Identitäten muss mindestens eine Cloud Identity- oder G Suite-Kunden-ID angegeben werden. Wenn diese Einschränkung aktiviert ist, können nur Identitäten in der Liste der zugelassenen Identitäten in Cloud IAM-Richtlinien aufgenommen werden.

constraints/iam.allowedPolicyMemberDomains
"is:"
Erstellen von Dienstkonten deaktivieren Diese boolesche Einschränkung deaktiviert die Erstellung von Dienstkonten, wenn diese Einschränkung auf "True" gesetzt ist.
Standardmäßig können Dienstkonten von Nutzern mit den entsprechenden Cloud IAM-Rollen und -Berechtigungen erstellt werden.

constraints/iam.disableServiceAccountCreation
"is:"
Erstellen von Dienstkontoschlüsseln deaktivieren Diese boolesche Einschränkung deaktiviert das Erstellen von externen Dienstkontoschlüsseln, für die diese Einschränkung auf "True" gesetzt ist.
Standardmäßig können externe Schlüssel für Dienstkonten von Nutzern mit den entsprechenden Cloud IAM-Rollen und -Berechtigungen erstellt werden.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Hochladen von Dienstkontoschlüsseln deaktivieren Diese boolesche Einschränkung deaktiviert das Feature, mit dem öffentliche Schlüssel in Dienstkonten mit der Einstellung "True" für diese Einschränkung hochgeladen werden können.
Standardmäßig können Nutzer öffentliche Schlüssel entsprechend ihren Cloud IAM-Rollen und -Berechtigungen in Dienstkonten hochladen.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Workload Identity-Clustererstellung deaktivieren Wenn für diese boolesche Einschränkung "True" festgelegt ist, muss für alle neuen GKE-Cluster Workload Identity beim Erstellen deaktiviert sein. Vorhandene GKE-Cluster, für die Workload Identity bereits aktiviert ist, können wie gewohnt verwendet werden. Standardmäßig kann Workload Identity für jeden GKE-Cluster aktiviert werden.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Resource Manager Entfernen von Sperren gemeinsam genutzter VPC-Projekte einschränken Wenn diese boolesche Einschränkung auf True gesetzt ist, wird die Gruppe der Nutzer eingeschränkt, die eine Sperre für ein freigegebenes VPC-Projekt entfernen können, ohne eine Berechtigung auf Organisationsebene zu haben.
Standardmäßig kann jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren eine Sperre eines freigegebenen VPC-Projekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene gewährt werden.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Dienstnutzerverwaltung Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren Wenn diese boolesche Einschränkung erzwungen wird, wird verhindert, dass den in Ihren Projekten erstellten App Engine- und Compute Engine-Dienstkonten default beim Erstellen der Konten automatisch eine IAM-Rolle für das Projekt zugewiesen wird.
Diese Dienstkonten erhalten standardmäßig die Rolle "Bearbeiter", wenn sie erstellt werden.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
cl Google Cloud Platform – detaillierter Audit-Log-Modus Wenn der detaillierte Audit-Logging-Modus erzwungen wird, werden sowohl die Anfrage als auch die Antwort in Cloud-Audit-Logs einbezogen. Es kann bis zu 10 Minuten dauern, bis die Änderungen an dieser Funktion wirksam werden. Diese Organisationsrichtlinie wird dringend empfohlen, um die Einhaltung der Bucket-Sperre zu gewährleisten, wenn sie Konformität mit SEC-Regel 17a–4(f), CFTC-Regel 1.31(c)-(d) und FINRA-Artikel 4511(c) ist. Diese Richtlinie wird derzeit nur in Google Cloud Storage unterstützt.
constraints/gcp.detailedAuditLoggingMode
"is:"
Aufbewahrungsdauer in Sekunden Diese Listeneinschränkung definiert die Dauer der Aufbewahrungsrichtlinien, die für Cloud Storage-Buckets festgelegt werden können.
Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Aufbewahrungsrichtlinie beliebiger Dauer haben.
Die Liste der zulässigen Zeiträume für die Aufbewahrungsrichtlinie muss als positiver ganzzahliger Wert größer als Null in der Einheit Sekunden angegeben werden.
Bei allen Vorgängen zum Einfügen, Aktualisieren oder Reparieren für einen Bucket in der Organisationsressource muss die in der Aufbewahrungsrichtlinie angegebene Dauer der Einschränkung entsprechen.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn eine neue Organisationsrichtlinie angewendet wird, bleiben die Aufbewahrungsrichtlinien vorhandener Buckets unverändert gültig.

constraints/storage.retentionPolicySeconds
"is:"
Einheitlichen Zugriff auf Bucket-Ebene erzwingen Diese boolesche Einschränkung erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden, wenn die Einschränkung auf True gesetzt ist. Bei jedem neuen Bucket in der Organisationsressource muss der einheitliche Zugriff auf Bucket-Ebene aktiviert sein. Für keinen der hier vorhandenen Buckets kann diese Option deaktiviert werden.
Diese Einschränkung kann nicht rückwirkend erzwungen werden: Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene bleibt dieser deaktiviert. Der Standardwert für diese Einschränkung ist False.
Durch den einheitlichen Zugriff auf Bucket-Ebene wird die Auswertung von ACLs deaktiviert, die Cloud Storage-Objekten in dem Bucket zugeordnet sind. Daher gewähren nur IAM-Richtlinien Zugriff auf Objekte in diesen Buckets.

constraints/storage.uniformBucketLevelAccess
"is:"

Anleitungen

Weitere Informationen zur Verwendung einzelner Einschränkungen finden Sie in den folgenden Anleitungen:

Einschränkung Anleitung
constraints/cloudfunctions.allowedIngressSettings VPC Service Controls verwenden
constraints/compute.restrictCloudNATUsage Cloud NAT-Nutzung einschränken
constraints/compute.restrictLoadBalancerCreationForTypes Einschränkungen für Cloud Load Balancing
constraints/compute.restrictProtocolForwardingCreationForTypes Einschränkungen für die Protokollweiterleitung
constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Nutzung von Cloud Interconnect einschränken
constraints/compute.restrictVpnPeerIPs Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken
constraints/compute.trustedImageProjects Zugriff auf Images beschränken
constraints/compute.vmExternalIpAccess Externe IP-Adressen für VM-Instanzen deaktivieren
constraints/iam.allowedPolicyMemberDomains Identitäten nach Domain einschränken
constraints/iam.allowServiceAccountCredentialLifetimeExtension Lebensdauer von OAuth 2.0-Zugriffstokens verlängern
constraints/iam.disableServiceAccountCreation Erstellen von Dienstkonten einschränken
constraints/iam.disableServiceAccountKeyCreation Erstellen von Dienstkontoschlüsseln einschränken
constraints/iam.disableServiceAccountKeyUpload Upload des Dienstkontoschlüssels einschränken
constraints/iam.disableWorkloadIdentityClusterCreation Erstellen von Workload Identity-Clustern einschränken
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
Einschränkungen für Organisationsrichtlinien für Cloud Storage
constraints/gcp.disableCloudLogging Cloud Logging deaktivieren
constraints/gcp.resourceLocations Ressourcenstandorte einschränken
constraints/compute.restrictCloudNATUsage Organisationsrichtlinien in Cloud NAT festlegen

Mehr erfahren

Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien: