Verfügbare Einschränkungen
Sie können Richtlinien mit den folgenden Einschränkungen festlegen.
Von mehreren Google Cloud-Diensten unterstützte Einschränkungen
| Einschränkung | Beschreibung | Unterstützte Präfixe |
|---|---|---|
| Zulässige Worker-Pools (Cloud Build) | Mit dieser Listeneinschränkung werden die zulässigen Cloud Build-Worker-Pools zum Ausführen von Builds mit Cloud Build festgelegt. Wenn diese Einschränkung erzwungen wird, müssen Builds in einem Worker-Pool der zulässigen Werte erstellt werden. Standardmäßig kann Cloud Build jeden beliebigen Worker-Pool verwenden. Die Liste der zulässigen Worker-Pools muss das folgende Format haben:
constraints/cloudbuild.allowedWorkerPools |
"is:", "under:" |
| Google Cloud Platform – Beschränkung der Ressourcenstandorte | Mit dieser Listeneinschränkung wird eine Gruppe von Standorten definiert, an denen standortbezogene Google Cloud-Ressourcen erstellt werden können. Standardmäßig können Ressourcen an jedem Standort erstellt werden. In den Richtlinien für diese Einschränkung können Mehrfachregionen wie asia und europe, Regionen wie us-east1 oder europe-west1 als erlaubte oder abgelehnte Standorte angegeben werden. Wenn eine Mehrfachregion erlaubt oder abgelehnt wird, bedeutet dies nicht, dass alle enthaltenen untergeordneten Standorte ebenfalls erlaubt oder abgelehnt sind. Wenn die Richtlinie beispielsweise den multiregionalen Standort us ablehnt (der sich auf multiregionale Ressourcen wie einige Speicherdienste bezieht), können trotzdem Ressourcen am regionalen Standort us-east1 erstellt werden. Die Gruppe in:us-locations hingegen enthält alle Standorte innerhalb der Region us und kann verwendet werden, um jede Region zu blockieren. Wir empfehlen, Richtlinien mithilfe von Wertegruppen zu definieren. Sie können von Google ausgewählte Wertgruppen – also Standortsammlungen – angeben, um Ihre Ressourcenstandorte auf einfache Weise zu definieren. Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran, gefolgt von der Wertgruppe. Wenn Sie beispielsweise Ressourcen erstellen möchten, die sich nur in den USA befinden, legen Sie in:us-locations in der Liste der zulässigen Werte fest.Wenn das Feld suggested_value in einer Standortrichtlinie verwendet wird, sollte es eine Region sein. Wenn der angegebene Wert eine Region ist, kann eine Benutzeroberfläche für eine zonale Ressource jede Zone in dieser Region vorab angeben. constraints/gcp.resourceLocations |
"is:", "in:" |
| Einschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können | Mit dieser Listeneinschränkung wird definiert, welche Projekte verwendet werden können, um vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) beim Erstellen von Ressourcen bereitzustellen. Wenn Sie diese Einschränkung auf Allow festlegen, also nur CMEK-Schlüssel aus diesen Projekten zulassen, können CMEK-Schlüssel aus anderen Projekten nicht zum Schutz neu erstellter Ressourcen verwendet werden. Werte für diese Einschränkung müssen im Format under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID angegeben werden. Unterstützte Dienste, die diese Einschränkung erzwingen, sind:
Deny oder Deny All ist nicht zulässig. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Vorhandene CMEK-Google Cloud-Ressourcen mit KMS-CryptoKeys aus nicht zugelassenen Projekten müssen manuell neu konfiguriert oder neu erstellt werden, um die Erzwingung sicherzustellen. constraints/gcp.restrictCmekCryptoKeyProjects |
"is:", "under:" |
| Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können | Mit dieser Listeneinschränkung wird definiert, für welche Dienste vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) erforderlich sind. Wenn Sie diese Einschränkung auf Deny festlegen (d.h. Ressourcenerstellung ohne CMEK ablehnen), müssen neu erstellte Ressourcen für die angegebenen Dienste durch einen CMEK-Schlüssel geschützt werden. Unterstützte Dienste, die in dieser Einschränkung festgelegt werden können, sind:
Deny All ist nicht zulässig. Das Festlegen dieser Einschränkung auf Allow ist nicht zulässig. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Vorhandene Google Cloud-Ressourcen ohne CMEK müssen manuell neu konfiguriert oder neu erstellt werden, um die Erzwingung sicherzustellen. constraints/gcp.restrictNonCmekServices |
"is:" |
| Nutzung von Ressourcendiensten einschränken | Mit dieser Einschränkung werden die Google Cloud-Ressourcendienste definiert, die in einer Organisation, einem Ordner oder einem Projekt verwendet werden können, z. B. „compute.googleapis.com“ und „storage.googleapis.com“. Standardmäßig sind alle Google Cloud-Ressourcendienste zulässig. Weitere Informationen finden Sie unter https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources. constraints/gcp.restrictServiceUsage |
"is:" |
| Aktivieren von Identity-Aware Proxy (IAP) für regionale Ressourcen deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Aktivieren von Identity-Aware Proxy für regionale Ressourcen deaktiviert. Das Aktivieren von IAP für globale Ressourcen ist von dieser Einschränkung nicht betroffen. Standardmäßig ist das Aktivieren von IAP für regionale Ressourcen zulässig. constraints/iap.requireRegionalIapWebDisabled |
"is:" |
| Zulässige Google Cloud APIs und -Dienste einschränken | Diese Listeneinschränkung schränkt die Dienste und deren APIs ein, die für diese Ressource aktiviert werden können. Standardmäßig sind alle Dienste zulässig. Die Liste der abgelehnten Dienste muss aus der folgenden Liste stammen. Die explizite Aktivierung von APIs über diese Einschränkung wird derzeit nicht unterstützt. Wenn Sie eine API angeben, die nicht in dieser Liste enthalten ist, wird ein Fehler ausgegeben. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn ein Dienst für eine Ressource beim Erzwingen dieser Einschränkung bereits aktiviert ist, bleibt er weiter aktiviert. constraints/serviceuser.services |
"is:" |
Einschränkungen für bestimmte Dienstleistungen
| Dienste | Einschränkung | Beschreibung | Unterstützte Präfixe |
|---|---|---|---|
| Vertex AI Workbench | Zugriffsmodus für Vertex AI Workbench-Notebooks und -Instanzen definieren | Mit dieser Listeneinschränkung werden die Zugriffsmodi definiert, die für Vertex AI Workbench-Notebooks und -Instanzen zulässig sind, sofern sie erzwungen werden. In der Zulassungs- oder Ablehnungsliste können mehrere Nutzer mit dem Modus „service-account“ oder der Zugriff für einzelne Nutzer im Modus „single-user“ angegeben werden. Der zugelassene oder abgelehnte Zugriffsmodus muss explizit aufgeführt sein. constraints/ainotebooks.accessMode |
"is:" |
| Vertex AI Workbench | Dateidownloads auf neuen Vertex AI Workbench-Instanzen deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, wird das Erstellen von Vertex AI Workbench-Instanzen mit aktivierter Option zum Dateidownload verhindert. Standardmäßig kann die Option für den Dateidownload auf jeder Vertex AI Workbench-Instanz aktiviert werden. constraints/ainotebooks.disableFileDownloads |
"is:" |
| Vertex AI Workbench | Root-Zugriff auf neue nutzerverwaltete Notebooks und Instanzen in Vertex AI Workbench deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, wird verhindert, dass neu erstellte nutzerverwaltete Notebooks und Instanzen in Vertex AI Workbench den Root-Zugriff aktivieren. Standardmäßig kann der Root-Zugriff für nutzerverwaltete Notebooks und Instanzen von Vertex AI Workbench aktiviert sein. constraints/ainotebooks.disableRootAccess |
"is:" |
| Vertex AI Workbench | Terminal auf neuen Vertex AI Workbench-Instanzen deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, verhindert sie das Erstellen von Vertex AI Workbench-Instanzen mit aktiviertem Terminal. Standardmäßig kann das Terminal auf Vertex AI Workbench-Instanzen aktiviert werden. constraints/ainotebooks.disableTerminal |
"is:" |
| Vertex AI Workbench | Umgebungsoptionen für neue Vertex AI Workbench-Notebooks und -Instanzen einschränken | Mit dieser Listeneinschränkung werden die VM- und Container-Image-Optionen definiert, die ein Nutzer beim Erstellen neuer Vertex AI Workbench-Notebooks und Instanzen auswählen kann, in denen diese Einschränkung erzwungen wird. Die zulässigen oder abgelehnten Optionen müssen explizit aufgeführt werden. Das erwartete Format für VM-Instanzen ist ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Ersetzen Sie IMAGE_TYPE durch image-family oder image-name. Beispiele: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.Das erwartete Format für Container-Images ist ainotebooks-container/CONTAINER_REPOSITORY:TAG. Beispiele: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48. constraints/ainotebooks.environmentOptions |
"is:" |
| Vertex AI Workbench | Erforderliche automatische geplante Upgrades auf neuen nutzerverwalteten Vertex AI Workbench-Notebooks und -Instanzen | Wenn diese boolesche Einschränkung erzwungen wird, muss für neu erstellte nutzerverwaltete Notebooks und Instanzen in Vertex AI Workbench ein Zeitplan für automatische Upgrades festgelegt sein. Der Zeitplan für automatische Upgrades kann mit dem Metadaten-Flag „notebook-upgrade-schedule“ definiert werden, um einen Cron-Zeitplan für die automatischen Upgrades anzugeben. Beispiel: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`. constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
| Vertex AI Workbench | Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und -Instanzen einschränken | Wenn diese boolesche Einschränkung erzwungen wird, schränkt sie den Zugriff von öffentlichen IP-Adressen auf neu erstellte Vertex AI Workbench-Notebooks und -Instanzen ein. Standardmäßig können öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und -Instanzen zugreifen. constraints/ainotebooks.restrictPublicIp |
"is:" |
| Vertex AI Workbench | VPC-Netzwerke auf neuen Vertex AI Workbench-Instanzen einschränken | Mit dieser Listeneinschränkung werden die VPC-Netzwerke definiert, die ein Nutzer beim Erstellen neuer Vertex AI Workbench-Instanzen auswählen kann, in denen diese Einschränkung erzwungen wird. Standardmäßig kann eine Vertex AI Workbench-Instanz mit einem beliebigen VPC-Netzwerk erstellt werden. Die Liste der zulässigen oder abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/ainotebooks.restrictVpcNetworks |
"is:", "under:" |
| App Engine | Quellcode-Download deaktivieren | Deaktiviert Code-Downloads von zuvor in App Engine hochgeladenen Quellcodes. constraints/appengine.disableCodeDownload |
"is:" |
| App Engine | Ausnahme für Laufzeitbereitstellung (App Engine) | Mit dieser Listeneinschränkung werden die alten App Engine-Standardlaufzeiten (Python 2.7, PHP 5.5 und Java 8) definiert, die nach Ende des Supports für Bereitstellungen zulässig sind. Für die Legacy-Laufzeiten der App Engine-Standardumgebung endet der Support am 30. Januar 2024. Im Allgemeinen werden Versuche, Anwendungen mit Legacy-Laufzeiten nach diesem Datum bereitzustellen, blockiert. Siehe Zeitplan für den Support der App Engine-Standardlaufzeit. Wenn Sie diese Einschränkung auf „Zulassen“ festlegen, wird die Blockierung von App Engine-Standardbereitstellungen für die Legacy-Laufzeit(en) aufgehoben, die Sie bis zum Datum der Außerbetriebnahme der Laufzeit angeben. Wenn Sie diese Einschränkung auf „Alle zulassen“ festlegen, wird die Blockierung von App Engine-Standardbereitstellungen für alle Legacy-Laufzeiten bis zum Datum der Außerbetriebnahme der Laufzeit aufgehoben. Laufzeiten, die das Ende des Supports erreicht haben, erhalten keine routinemäßigen Sicherheits- und Wartungspatches. Wir empfehlen Ihnen dringend, Ihre Anwendungen auf eine allgemein verfügbare Laufzeitversion zu aktualisieren. constraints/appengine.runtimeDeploymentExemption |
"is:" |
| BigQuery | BigQuery Omni für Cloud AWS deaktivieren | Wenn diese boolesche Einschränkung auf True gesetzt ist, können Nutzer BigQuery Omni nicht verwenden, um Daten in Amazon Web Services zu verarbeiten, wenn diese Einschränkung erzwungen wird. constraints/bigquery.disableBQOmniAWS |
"is:" |
| BigQuery | BigQuery Omni für Cloud Azure deaktivieren | Wenn diese boolesche Einschränkung auf True gesetzt ist, können Nutzer BigQuery Omni nicht zur Verarbeitung von Daten in Microsoft Azure verwenden, wenn diese Einschränkung erzwungen wird. constraints/bigquery.disableBQOmniAzure |
"is:" |
| Cloud Build | Zulässige Integrationen (Cloud Build) | Mit dieser Listeneinschränkung werden die zulässigen Cloud Build-Integrationen zum Ausführen von Builds durch den Empfang von Webhooks von Diensten außerhalb von Google Cloud definiert. Wenn diese Einschränkung erzwungen wird, werden nur Webhooks für Dienste verarbeitet, deren Host mit einem der zulässigen Werte übereinstimmt. Standardmäßig verarbeitet Cloud Build alle Webhooks für Projekte, die mindestens einen LIVE-Trigger haben. constraints/cloudbuild.allowedIntegrations |
"is:" |
| Cloud Deploy | Cloud Deploy-Dienstlabels deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, kann Cloud Deploy bereitgestellten Objekten keine Cloud Deploy-Kennzeichnungslabels hinzufügen. Standardmäßig werden Labels zur Identifizierung von Cloud Deploy-Ressourcen bereitgestellten Objekten beim Erstellen des Release hinzugefügt. constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
| Cloud Functions | Erlaubte Einstellungen für ausgehenden Traffic (Cloud Function-Funktionen) | Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic zur Bereitstellung einer Cloud Functions-Funktion definiert. Wenn diese Einschränkung erzwungen wird, müssen die Funktionen Einstellungen für eingehenden Traffic haben, die einem der zulässigen Werte entsprechen. Standardmäßig kann Cloud Functions beliebige Einstellungen für eingehenden Traffic verwenden. Einstellungen für eingehenden Traffic müssen in der Liste der zulässigen Einstellungen mit IngressSettings-Enum-Werten angegeben werden.constraints/cloudfunctions.allowedIngressSettings |
"is:" |
| Cloud Functions | Erlaubte Einstellungen für ausgehenden Traffic des VPC-Connectors (Cloud Function-Funktionen) | Mit dieser Listeneinschränkung werden die erlaubten Einstellungen für ausgehenden Traffic des VPC-Connector für die Bereitstellung einer Cloud Function-Funktion definiert. Wenn diese Einschränkung erzwungen wird, sind bei den Funktionen Einstellungen für ausgehenden Traffic des VPC-Connectors erforderlich, die mit einem der erlaubten Werte übereinstimmen. Standardmäßig können Cloud Function-Funktionen beliebige Einstellungen für ausgehenden Traffic des VPC-Connectors verwenden. Einstellungen für ausgehenden Traffic des VPC-Connectors müssen in der Liste der zulässigen Einstellungen mit VpcConnectorEgressSettings-Enum-Werten angegeben werden.constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
| Cloud Functions | VPC-Connector erforderlich (Cloud Functions) | Diese boolesche Einschränkung erzwingt die Einstellung eines VPC-Connectors, wenn eine Cloud Function-Funktion bereitgestellt wird. Wenn die Einschränkung erzwungen wird, ist bei den Funktionen die Spezifizierung eines VPC-Connectors erforderlich. Standardmäßig ist die Spezifizierung eines VPC-Connectors nicht erforderlich, um eine Cloud Function-Funktion bereitzustellen. constraints/cloudfunctions.requireVPCConnector |
"is:" |
| Cloud Functions | Zulässige Cloud Functions-Generierungen | Mit dieser Listeneinschränkung werden die zulässigen Cloud Functions-Generierungen definiert, die zum Erstellen neuer Funktionsressourcen verwendet werden können. Gültige Werte sind: 1stGen, 2ndGen. constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
| Cloud KMS | Einschränken, welche KMS-CryptoKey-Typen erstellt werden dürfen. | Mit dieser Listeneinschränkung werden die Cloud KMS-Schlüsseltypen definiert, die unter einem bestimmten Hierarchieknoten erstellt werden dürfen. Wenn diese Einschränkung erzwungen wird, dürfen innerhalb des zugehörigen Hierarchieknotens nur KMS-Schlüsseltypen erstellt werden, die in dieser Organisationsrichtlinie angegeben sind. Das Konfigurieren dieser Organisationsrichtlinie wirkt sich auch auf das Schutzniveau von Importjobs und Schlüsselversionen aus. Standardmäßig sind alle Schlüsseltypen zulässig. Gültige Werte sind: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. Ablehnungsrichtlinien sind unzulässig. constraints/cloudkms.allowedProtectionLevels |
"is:" |
| Cloud KMS | Löschen von Schlüsseln auf deaktivierte Schlüsselversionen beschränken | Wenn diese boolesche Einschränkung erzwungen wird, lässt sie nur das Löschen von Schlüsselversionen zu, die sich im deaktivierten Status befinden. Standardmäßig können Schlüsselversionen mit dem Status „Aktiviert“ und Schlüsselversionen mit dem Status „Deaktiviert“ gelöscht werden. Wenn diese Einschränkung erzwungen wird, gilt sie sowohl für neue als auch für vorhandene Schlüsselversionen. constraints/cloudkms.disableBeforeDestroy |
"is:" |
| Cloud KMS | Geplante Mindestdauer für das Löschen pro Schlüssel | Mit dieser Listeneinschränkung wird die geplante Mindestdauer für das Löschen in Tagen definiert, die der Nutzer beim Erstellen eines neuen Schlüssels angeben kann. Nach dem Erzwingen der Einschränkung dürfen keine Schlüssel mit einer geplanten Dauer für das Löschen erstellt werden, die unter diesem Wert liegt. Standardmäßig beträgt die geplante Mindestdauer des geplanten Löschens für alle Schlüssel 1 Tag, außer bei reinen Importschlüsseln, für die sie 0 Tage beträgt. Es kann nur ein zulässiger Wert im Format in:1d, in:7d, in:15d, in:30d, in:60d, in:90d oder in:120d angegeben werden. Wenn beispielsweise „constraints/cloudkms.minimumDestroyScheduledDuration“ auf in:15d festgelegt ist, können Nutzer Schlüssel mit einer geplanten Dauer für das Löschen erstellen, die auf einen beliebigen Wert über 15 Tage festgelegt ist, z. B. 16 oder 31 Tage. Nutzer können jedoch keine Schlüssel mit einer geplanten Dauer von 15 Tagen, z. B. 14 Tagen, erstellen. Für jede Ressource in der Hierarchie kann die Mindestdauer des geplanten Löschens die Richtlinie der übergeordneten Ressource übernehmen, ersetzen oder mit ihr zusammengeführt werden. Wenn die Richtlinie der Ressource mit der Richtlinie der übergeordneten Ressource zusammengeführt wird, ist der Effektivwert der geplanten Mindestdauer für das Löschen an der Ressource der niedrigste Wert zwischen dem in der Richtlinie der Ressource angegebenen Wert und der effektiven minimalen geplanten Dauer des Löschens. Wenn für eine Organisation beispielsweise die geplante Mindestdauer für das Löschen 7 Tage beträgt und die Richtlinie in einem untergeordneten Projekt auf „Mit übergeordnetem Element zusammenführen“ mit dem Wert in:15d festgelegt ist, beträgt die effektive minimale geplante Dauer für das Löschen im Projekt 7 Tage. constraints/cloudkms.minimumDestroyScheduledDuration |
"is:", "in:" |
| Cloud Scheduler | Zulässige Zieltypen für Jobs | Mit dieser Listeneinschränkung wird die Liste der Zieltypen definiert, die für Cloud Scheduler-Jobs zulässig sind, z. B. HTTP, HTTP oder Pub/Sub von App Engine. Standardmäßig sind alle Jobziele zulässig. Gültige Werte sind: APPENGINE, HTTP, PUBSUB. constraints/cloudscheduler.allowedTargetTypes |
"is:" |
| Cloud SQL | Autorisierte Netzwerke auf Cloud SQL-Instanzen einschränken | Wenn für diese boolesche Einschränkung True festgelegt wird, ist das Hinzufügen autorisierter Netzwerke für Datenbankzugriff ohne Proxy zu Cloud SQL-Instanzen eingeschränkt. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehenden autorisierten Netzwerken funktionieren dennoch, selbst wenn diese Einschränkung erzwungen wird. Standardmäßig können autorisierte Netzwerke Cloud SQL-Instanzen hinzugefügt werden. constraints/sql.restrictAuthorizedNetworks |
"is:" |
| Cloud SQL | Deaktivieren Sie Pfade für den Diagnose- und Administratorzugriff in Cloud SQL, um Compliance-Anforderungen zu erfüllen. | Diese Richtlinie darf nicht konfiguriert oder geändert werden. Diese Einschränkung wird beim Onboarding von Assured Workloads automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle für Assured Workloads. Wenn diese boolesche Einschränkung erzwungen wird, werden bestimmte Aspekte der Unterstützung eingeschränkt und alle Zugriffspfade für Diagnosen und andere Kundensupport-Anwendungsfälle, die die erweiterten Anforderungen an die Souveränität für Assured Workloads nicht erfüllen, deaktiviert. constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
| Cloud SQL | Schränken Sie nicht konforme Arbeitslasten für Cloud SQL-Instanzen ein. | Diese Richtlinie darf nicht konfiguriert oder geändert werden. Diese Einschränkung wird beim Onboarding von Assured Workloads automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle für Assured Workloads. Wenn diese boolesche Einschränkung erzwungen wird, werden bestimmte Aspekte der Unterstützung beeinträchtigt und die bereitgestellten Ressourcen entsprechen den erweiterten Souveränitätsanforderungen für Assured Workloads. Diese Richtlinie gilt rückwirkend, da sie auf vorhandene Projekte angewendet wird. Sie wirkt sich jedoch nicht auf bereits bereitgestellte Ressourcen aus. Änderungen an der Richtlinie gelten also nur für Ressourcen, die nach dem Ändern der Richtlinie erstellt wurden. constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
| Cloud SQL | Zugriff über öffentliche IP-Adressen auf Cloud SQL-Instanzen einschränken | Diese boolesche Einschränkung erfordert, dass die öffentliche IP-Adresse in Cloud SQL-Instanzen konfiguriert wird, wobei die Einschränkung auf True gesetzt ist. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehendem Zugriff auf eine öffentliche IP-Adresse funktionieren weiterhin, selbst wenn diese Einschränkung erzwungen wird. Standardmäßig ist es der öffentlichen IP-Adresse erlaubt, auf Cloud SQL-Instanzen zuzugreifen. constraints/sql.restrictPublicIp |
"is:" |
| Google Cloud Marketplace | Öffentlichen Marktplatz deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, wird der öffentliche Marktplatz für alle Nutzer in der Organisation deaktiviert. Standardmäßig ist der Zugriff auf den öffentlichen Marktplatz für die Organisation aktiviert. constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
| Google Cloud Marketplace | Zugriff auf Marketplace-Dienste einschränken | Mit dieser Listeneinschränkung werden die Dienste definiert, die für Marktplatzorganisationen zulässig sind. Sie kann nur Werte aus der folgenden Liste enthalten:
PRIVATE_MARKETPLACE in der Liste der zulässigen Werte steht, ist der private Marktplatz aktiviert. Wenn IAAS_PROCUREMENT in der Liste der zulässigen Werte steht, wird die IaaS-Beschaffungssteuerung für alle Produkte aktiviert. Standardmäßig ist der private Marktplatz deaktiviert und die IaaS-Beschaffungssteuerung ist deaktiviert. Außerdem funktioniert die Richtlinie IAAS_PROCUREMENT unabhängig von der Governance-Funktion für Beschaffungsanfragen, die speziell für SaaS-Produkte im Marketplace gilt. constraints/commerceorggovernance.marketplaceServices |
"is:" |
| Compute Engine | Zulässige Einstellungen für die Verschlüsselung von VLAN-Anhängen | Mit dieser Listeneinschränkung werden die zulässigen Verschlüsselungseinstellungen für neue VLAN-Anhänge definiert. Standardmäßig können VLAN-Anhänge beliebige Verschlüsselungseinstellungen verwenden. Legen Sie IPSEC als zulässigen Wert fest, um nur das Erstellen verschlüsselter VLAN-Anhänge zu erzwingen. constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
| Compute Engine | Gesamte IPv6-Nutzung deaktivieren | Wenn diese boolesche Einschränkung auf True gesetzt ist, wird das Erstellen oder Aktualisieren von Google Compute Engine-Ressourcen deaktiviert, die an der IPv6-Nutzung beteiligt sind. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Google Compute Engine-Ressourcen mit IPv6-Nutzung in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren. Wenn festgelegt, hat diese Einschränkung eine höhere Priorität als andere IPv6-Organisationseinschränkungen wie disableVpcInternalIpv6, disableVpcExternalIpv6 und disableHybridCloudIpv6. constraints/compute.disableAllIpv6 |
"is:" |
| Compute Engine | Erstellen von Cloud Armor-Sicherheitsrichtlinien deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von Cloud Armor-Sicherheitsrichtlinien deaktiviert. Standardmäßig können Sie Cloud Armor-Sicherheitsrichtlinien in jeder Organisation, jedem Ordner oder jedem Projekt erstellen. constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
| Compute Engine | Globales Load-Balancing deaktivieren | Diese boolesche Einschränkung deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Wenn sie erzwungen wird, können nur regionale Load-Balancing-Produkte ohne globale Abhängigkeiten erstellt werden. Standardmäßig ist das Erstellen von globalem Load-Balancing zulässig. constraints/compute.disableGlobalLoadBalancing |
"is:" |
| Compute Engine | Erstellen von globalen selbstverwalteten SSL-Zertifikaten deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen globaler selbstverwalteter SSL-Zertifikate deaktiviert. Das Erstellen von regionalen selbstverwalteten oder von Google verwalteten Zertifikaten wird durch diese Einschränkung nicht deaktiviert. Standardmäßig können Sie globale selbstverwaltete SSL-Zertifikate in jeder Organisation, jedem Ordner oder jedem Projekt erstellen. constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
| Compute Engine | Globalen Zugriff auf serielle Ports der VM deaktivieren | Diese boolesche Einschränkung deaktiviert den globalen seriellen Portzugriff auf Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die die Einschränkung erzwungen wird. In der Standardeinstellung können Kunden den Zugriff des seriellen Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Durch das Erzwingen dieser Einschränkung wird der globale serielle Portzugriff für Compute Engine-VMs unabhängig von den Metadatenattributen deaktiviert. Der Zugriff auf regionale serielle Ports ist von dieser Einschränkung nicht betroffen. Wenn Sie den gesamten Zugriff auf serielle Ports deaktivieren möchten, verwenden Sie stattdessen die Einschränkung „compute.disableSerialPortAccess“. constraints/compute.disableGlobalSerialPortAccess |
"is:" |
| Compute Engine | Gastattribute von Compute Engine-Metadaten deaktivieren | Diese boolesche Einschränkung deaktiviert den Compute Engine API-Zugriff auf die Gastattribute von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung auf Truegesetzt ist. Standardmäßig kann die Compute Engine API für den Zugriff auf Compute Engine-VM-Gastattribute verwendet werden. constraints/compute.disableGuestAttributesAccess |
"is:" |
| Compute Engine | Hybrid-Cloud-IPv6-Nutzung deaktivieren | Wenn diese boolesche Einschränkung auf True festgelegt ist, wird das Erstellen oder Aktualisieren von Hybrid-Cloud-Ressourcen wie Cloud Router, Interconnect-Anhängen und Cloud VPN mit dem stack_type von IPV4_IPV6 deaktiviert. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Hybrid-Cloud-Ressourcen mit stack_type von IPV4_IPV6 in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren. constraints/compute.disableHybridCloudIpv6 |
"is:" |
| Compute Engine | Instanzdatenzugriffs-APIs deaktivieren | Diese Richtlinie darf nicht konfiguriert oder geändert werden. Diese Einschränkung wird beim Onboarding von Assured Workloads automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle für Assured Workloads. Wenn diese boolesche Einschränkung erzwungen wird, werden die GetSerialPortOutput- und GetScreenshot APIs deaktiviert, die auf die Ausgabe des seriellen Ports der VM zugreifen und Screenshots von VM-UIs erstellen. constraints/compute.disableInstanceDataAccessApis |
"is:" |
| Compute Engine | Internetnetzwerk-Endpunktgruppen deaktivieren | Diese boolesche Einschränkung beschränkt, ob ein Nutzer Internetnetzwerk-Endpunktgruppen (NEGs) mit einem type von INTERNET_FQDN_PORT und INTERNET_IP_PORT erstellen kann.Standardmäßig kann jeder Nutzer mit den entsprechenden IAM-Berechtigungen Internet-NEGs in jedem Projekt erstellen. constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
| Compute Engine | Verschachtelte Virtualisierung für VM deaktivieren | Mit dieser booleschen Einschränkung wird hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden. constraints/compute.disableNestedVirtualization |
"is:" |
| Compute Engine | FIPS-konforme Maschinentypen erzwingen | Wenn diese boolesche Einschränkung erzwungen wird, wird das Erstellen von VM-Instanztypen deaktiviert, die nicht den FIPS-Anforderungen entsprechen. constraints/compute.disableNonFIPSMachineTypes |
"is:" |
| Compute Engine | Private Service Connect für Nutzer deaktivieren | Mit dieser Listeneinschränkung wird die Gruppe von Private Service Connect-Endpunkttypen definiert, für die Nutzer keine Weiterleitungsregeln erstellen können. Wenn diese Einschränkung erzwungen wird, können Nutzer keine Weiterleitungsregeln für den Private Service Connect-Endpunkttyp erstellen. Diese Einschränkung wird nicht rückwirkend erzwungen. Standardmäßig können Weiterleitungsregeln für jeden Private Service Connect-Endpunkttyp erstellt werden. Die Liste der zulässigen/abgelehnten Private Service Connect-Endpunkte muss aus der folgenden Liste stammen:
GOOGLE_APIS in der Liste der zulässigen/abgelehnten Werte verwenden, wird das Erstellen von Private Service Connect-Weiterleitungsregeln für den Zugriff auf Google APIs eingeschränkt. Wenn Sie SERVICE_PRODUCERS in der Liste der zulässigen/abgelehnten Werte verwenden, wird das Erstellen von Private Service Connect-Weiterleitungsregeln für den Zugriff auf Dienste in einem anderen VPC-Netzwerk eingeschränkt. constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
| Compute Engine | Zugriff auf serielle Ports der VM deaktivieren | Mit dieser booleschen Einschränkung wird der Zugriff auf serielle Ports auf allen Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist. In der Standardeinstellung können Kunden den Zugriff auf serielle Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Beim Erzwingen dieser Einschränkung wird der Zugriff des seriellen Ports für alle Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert. constraints/compute.disableSerialPortAccess |
"is:" |
| Compute Engine | Logging des seriellen VM-Ports in Stackdriver deaktivieren | Diese boolesche Einschränkung deaktiviert das Logging serieller Ports in Stackdriver von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung erzwungen wird. Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Wenn diese Einschränkung erzwungen wird, deaktiviert sie das Logging serieller Ports für neu erstellte Compute Engine-VMs. Damit wird auch verhindert, dass Nutzer die Metadatenattribute von VMs (alt oder neu) ändern und auf True setzen. Das Deaktivieren des Loggings serieller Ports kann dazu führen, dass bestimmte Dienste, die darauf angewiesen sind, z. B. Google Kubernetes Engine-Cluster, nicht mehr richtig funktionieren. Bestätigen Sie vor dem Erzwingen dieser Einschränkung, dass die Produkte in Ihrem Projekt nicht auf das Logging serieller Ports angewiesen sind. constraints/compute.disableSerialPortLogging |
"is:" |
| Compute Engine | SSH im Browser deaktivieren | Durch diese boolesche Einschränkung wird das Tool „SSH im Browser“ in der Cloud Console deaktiviert. Wenn diese Richtlinie erzwungen wird, ist die Schaltfläche „SSH im Browser“ deaktiviert. Standardmäßig ist die Verwendung des Tools „SSH im Browser“ zulässig. constraints/compute.disableSshInBrowser |
"is:" |
| Compute Engine | Externe VPC-IPv6-Nutzung deaktivieren | Wenn diese boolesche Einschränkung auf True gesetzt ist, wird das Erstellen oder Aktualisieren von Subnetzwerken mit einem stack_type von IPV4_IPV6 und ipv6_access_type von EXTERNAL deaktiviert. Standardmäßig kann jeder mit entsprechenden Cloud IAM-Berechtigungen Subnetzwerke mit stack_type von IPV4_IPV6 in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren. constraints/compute.disableVpcExternalIpv6 |
"is:" |
| Compute Engine | Interne VPC-IPv6-Nutzung deaktivieren | Wenn diese boolesche Einschränkung auf True gesetzt ist, wird das Erstellen oder Aktualisieren von Subnetzwerken mit einem stack_type von IPV4_IPV6 und ipv6_access_type von INTERNAL deaktiviert. Standardmäßig kann jeder mit entsprechenden Cloud IAM-Berechtigungen Subnetzwerke mit stack_type von IPV4_IPV6 in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren. constraints/compute.disableVpcInternalIpv6 |
"is:" |
| Compute Engine | Einstellungen für Compliance-Arbeitsspeicherschutzarbeitslasten aktivieren | Diese Richtlinie darf nicht konfiguriert oder geändert werden. Diese Einschränkung wird beim Onboarding von Assured Workloads automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle für Assured Workloads. Diese Einschränkung steuert Einstellungen, die zum Entfernen potenzieller Zugriffspfade auf den VM-Kernarbeitsspeicher erforderlich sind. Wenn es erzwungen wird, wird die Möglichkeit zum Zugriff auf den VM-Kernarbeitsspeicher eingeschränkt, indem Zugriffspfade deaktiviert werden. Außerdem wird die interne Datenerhebung eingeschränkt, wenn ein Fehler auftritt. constraints/compute.enableComplianceMemoryProtection |
"is:" |
| Compute Engine | OS-Anmeldung erforderlich | Diese boolesche Einschränkung, wenn auf true gesetzt, aktiviert OS Login bei allen neu erstellten Projekten. Bei allen in neuen Projekten erstellten VM-Instanzen ist OS Login aktiviert. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login für Projekte oder Instanzen deaktivieren. Standardmäßig ist das OS Login-Feature bei Compute Engine-Projekten deaktiviert. GKE-Instanzen in privaten Clustern, auf denen die Knotenpoolversion 1.20.5-gke.2000 und höher ausgeführt wird, unterstützen OS Login. GKE-Instanzen in öffentlichen Clustern unterstützen OS Login derzeit nicht. Wenn diese Einschränkung auf ein Projekt angewendet wird, das öffentliche Cluster ausführt, funktionieren GKE-Instanzen, die in diesem Projekt ausgeführt werden, eventuell nicht richtig. constraints/compute.requireOsLogin |
"is:" |
| Compute Engine | Shielded VMs | Wenn für diese boolesche Einschränkung True festgelegt ist, müssen alle neuen Compute Engine-VM-Instanzen Shielded-Laufwerk-Images mit aktiviertem Secure Boot, vTPM und Integrity Monitoring verwenden. Secure Boot kann bei Bedarf nach der Erstellung deaktiviert werden. Vorhandene ausgeführte Instanzen sind weiter funktionsfähig. Standardmäßig müssen Shielded VM-Features für das Erstellen von Compute Engine-VM-Instanzen nicht aktiviert werden. Mit Shielded VM-Features erhalten Ihre VMs eine überprüfbare Integrität und einen Schutz vor Exfiltration. constraints/compute.requireShieldedVm |
"is:" |
| Compute Engine | Vordefinierte Richtlinien für VPC-Flusslogs verlangen | Mit dieser Listeneinschränkung werden die vordefinierten Richtlinien definiert, die für VPC-Flusslogs erzwungen werden können. Standardmäßig können VPC-Flusslogs mit beliebigen Einstellungen in jedem Subnetz konfiguriert werden. Diese Einschränkung erzwingt die Aktivierung von Flusslogs für alle Subnetzwerke im Bereich mit einer erforderlichen Mindestabtastrate. Geben Sie einen oder mehrere der folgenden gültigen Werte an:
constraints/compute.requireVpcFlowLogs |
"is:" |
| Compute Engine | Cloud NAT-Nutzung einschränken | Mit dieser Listeneinschränkung werden die Subnetzwerke definiert, die Cloud NAT verwenden dürfen. Standardmäßig dürfen alle Subnetzwerke Cloud NAT verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME. constraints/compute.restrictCloudNATUsage |
"is:", "under:" |
| Compute Engine | Dedicated Interconnect-Nutzung einschränken | Mit dieser Listeneinschränkung wird die Gruppe von Compute Engine-Netzwerken definiert, die Dedicated Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictDedicatedInterconnectUsage |
"is:", "under:" |
| Compute Engine | Load-Balancer-Erstellung basierend auf Load-Balancer-Typen einschränken | Mit dieser Listeneinschränkung wird die Gruppe von Load-Balancer-Typen definiert, die für eine Organisation, einen Ordner oder ein Projekt erstellt werden können. Jeder erlaubte oder abgelehnte Load-Balancer-Typ muss explizit aufgelistet sein. Standardmäßig ist das Erstellen aller Typen von Load-Balancern zulässig. Die Liste der zulässigen oder abgelehnten Werte muss als Stringname eines Load-Balancers identifiziert werden und darf nur Werte aus der folgenden Liste enthalten:
Verwenden Sie das Präfix „in:“ gefolgt von INTERNAL oder EXTERNAL, um alle internen oder externen Load-Balancer-Typen einzuschließen. Wenn Sie z. B. in:INTERNAL zulassen, werden alle Load-Balancer-Typen aus der obigen Liste mit "INTERNAL" zugelassen. constraints/compute.restrictLoadBalancerCreationForTypes |
"is:", "in:" |
| Compute Engine | Non-Confidential Computing einschränken | Mit der Sperrliste dieser Listeneinschränkung wird die Gruppe von Diensten definiert, für die alle neuen Ressourcen mit aktiviertem Confidential Computing erstellt werden müssen. Standardmäßig ist für neue Ressourcen die Verwendung von Confidential Computing nicht erforderlich. Wenn diese Listeneinschränkung erzwungen wird, kann Confidential Computing während des gesamten Lebenszyklus der Ressource nicht deaktiviert werden. Vorhandene Ressourcen funktionieren weiterhin wie gewohnt. Die Liste der abgelehnten Dienste muss über den Stringnamen einer API identifiziert werden und kann nur explizit abgelehnte Werte aus der nachfolgenden Liste enthalten. Das explizite Zulassen von APIs wird derzeit nicht unterstützt. Das explizite Ablehnen von APIs, die nicht in dieser Liste enthalten sind, führt zu einem Fehler. Liste der unterstützten APIs: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
| Compute Engine | Partner Interconnect-Nutzung einschränken | Mit dieser Listeneinschränkung werden die Compute Engine-Netzwerke definiert, die Partner Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictPartnerInterconnectUsage |
"is:", "under:" |
| Compute Engine | Zulässige Private Service Connect-Nutzer einschränken | Mit dieser Listeneinschränkung werden die Organisationen, Ordner und Projekte definiert, die innerhalb der Organisation oder des Projekts eines Erstellers eine Verbindung zu Dienstanhängen herstellen können. Die Listen mit den zulässigen oder abgelehnten Listen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder under:projects/PROJECT_ID. Standardmäßig sind alle Verbindungen zugelassen. constraints/compute.restrictPrivateServiceConnectConsumer |
"is:", "under:" |
| Compute Engine | Zulässige Private Service Connect-Ersteller einschränken | Mit dieser Listeneinschränkung wird definiert, zu welchen Dienstanhängen Private Service Connect-Nutzer eine Verbindung herstellen können. Die Einschränkung blockiert die Bereitstellung von Private Service Connect-Endpunkten oder Back-Ends basierend auf der Organisation, dem Ordner oder der Projektressource des Dienstanhangs, auf den sich die Endpunkte oder Back-Ends beziehen. Die Listen mit den zulässigen oder abgelehnten Listen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder under:projects/PROJECT_ID. Standardmäßig sind alle Verbindungen zugelassen. constraints/compute.restrictPrivateServiceConnectProducer |
"is:", "under:" |
| Compute Engine | Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken | Mit dieser Listeneinschränkung wird der Typ von Protokollweiterleitungsregel-Objekten mit Zielinstanzen definiert, die ein Nutzer erstellen kann. Wenn diese Einschränkung erzwungen wird, sind neue Weiterleitungsregel-Objekte mit Zielinstanz auf interne und/oder externe IP-Adressen beschränkt, basierend auf den angegebenen Typen. Die zulässigen oder abgelehnten Typen müssen explizit aufgeführt sein. Standardmäßig ist das Erstellen von internen und externen Protokollweiterleitungsregel-Objekten mit Zielinstanzen erlaubt. Die Liste der zulässigen oder abgelehnten Werte darf nur Werte aus der folgenden Liste enthalten:
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
| Compute Engine | Back-End-Dienste für freigegebene VPC einschränken | Mit dieser Listeneinschränkung wird die Gruppe freigegebener VPC-Back-End-Dienste definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts. Standardmäßig können zulässige Ressourcen beliebige freigegebene VPC-Back-End-Dienste verwenden. Die Liste der zulässigen/abgelehnten Back-End-Dienste muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME oder projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Diese Einschränkung gilt nicht rückwirkend. constraints/compute.restrictSharedVpcBackendServices |
"is:", "under:" |
| Compute Engine | Freigegebene VPC-Hostprojekte einschränken | Mit dieser Listeneinschränkung wird die Gruppe von freigegebenen VPC-Hostprojekten definiert, denen Projekte auf oder unter dieser Ressource zugeordnet werden können. Ein Projekt kann standardmäßig einem beliebigen Hostprojekt in derselben Organisation zugeordnet werden, wodurch es zu einem Dienstprojekt wird. Projekte, Ordner und Organisationen in den Listen der zulässigen/abgelehnten Projekte, Ordner und Organisationen wirken sich in der Ressourcenhierarchie auf alle darunterliegenden Objekte aus und müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID. constraints/compute.restrictSharedVpcHostProjects |
"is:", "under:" |
| Compute Engine | Freigegebene VPC-Subnetzwerke einschränken | Mit dieser Listeneinschränkung wird eine Gruppe freigegebener VPC-Subnetzwerke definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts. Standardmäßig können zulässige Ressourcen jedes freigegebene VPC-Subnetzwerk verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME. constraints/compute.restrictSharedVpcSubnetworks |
"is:", "under:" |
| Compute Engine | Nutzung von VPC-Peering einschränken | Mit dieser Listeneinschränkung wird die Gruppe von VPC-Netzwerken definiert, bei denen ein Peering mit den VPC-Netzwerken möglich ist, die zu diesem Projekt, Ordner oder dieser Organisation gehören. Standardmäßig kann ein Netzwerkadministrator das Peering für ein Netzwerk mit jedem anderen Netzwerk vornehmen. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictVpcPeering |
"is:", "under:" |
| Compute Engine | VPN-Peer-IPs einschränken | Mit dieser Listeneinschränkung wird die Gruppe gültiger IP-Adressen definiert, die als VPN-Peer-IP-Adressen konfiguriert werden können. Standardmäßig kann jede IP ein VPN-Peer-IP für ein VPC-Netzwerk sein. Die Liste der zulässigen/abgelehnten IP-Adressen muss als gültige IP-Adressen im folgenden Format angegeben werden: IP_V4_ADDRESS oder IP_V6_ADDRESS. constraints/compute.restrictVpnPeerIPs |
"is:" |
| Compute Engine | Interne DNS-Einstellung für neue Projekte ausschließlich auf zonales DNS festlegen | Wenn dieser Wert auf „Wahr“ gesetzt ist, verwenden neu erstellte Projekte standardmäßig zonales DNS. Diese Einschränkung ist standardmäßig auf „Falsch“ festgelegt und neu erstellte Projekte verwenden den Standard-DNS-Typ. constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
| Compute Engine | Inhaberprojekte für freigegebene Reservierungen | Mit dieser Listeneinschränkung werden die Projekte definiert, die in der Organisation freigegebene Reservierungen erstellen und deren Inhaber sein dürfen. Eine freigegebene Reservierung ist mit einer lokalen Reservierung vergleichbar, mit dem Unterschied, dass sie nicht nur von Inhaberprojekten, sondern auch von anderen Compute Engine-Projekten in der Ressourcenhierarchie genutzt werden kann. Die Liste der Projekte, die auf die freigegebene Reservierung zugreifen dürfen, muss das folgende Format haben: projects/PROJECT_NUMBER oder under:projects/PROJECT_NUMBER. constraints/compute.sharedReservationsOwnerProjects |
"is:", "under:" |
| Compute Engine | Erstellen des Standardnetzwerks überspringen | Diese boolesche Einschränkung überspringt die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen während der Ressourcenerstellung eines Google Cloud Platform-Projekts, wenn sie auf True gesetzt ist. Standardmäßig werden beim Erstellen einer Projektressource automatisch ein Standardnetzwerk und unterstützende Ressourcen erstellt.constraints/compute.skipDefaultNetworkCreation |
"is:" |
| Compute Engine | Nutzungsbeschränkungen für Compute Storage-Ressourcen (Compute Engine-Festplatten, Images und Snapshots) | Diese Listeneinschränkung definiert eine Gruppe von Projekten, welche die Speicherressourcen von Compute Engine verwenden dürfen. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen auf Compute Engine-Ressourcen zugreifen. Wenn diese Einschränkung verwendet wird, müssen Nutzer Cloud IAM-Berechtigungen haben und dürfen nicht unter die Zugriffseinschränkung für diese Ressource fallen. Projekte, Ordner und Organisationen, die in den Listen mit zulässigen oder abgelehnten Elementen angegeben werden, müssen folgendes Format haben: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID. constraints/compute.storageResourceUseRestrictions |
"is:", "under:" |
| Compute Engine | Trusted Image-Projekte definieren | Mit dieser Listeneinschränkung werden die Projekte definiert, die zur Image-Speicherung und Instanziierung von Datenträgern für Compute Engine verwendet werden können. Standardmäßig können Instanzen aus Images in einem beliebigen Projekt mit öffentlich oder explizit für den Nutzer freigegebenen Images erstellt werden. Die Liste der zulässigen/abgelehnten Publisher-Projekte muss in Form von Strings im Format projects/PROJECT_ID angegeben werden. Wenn diese Einschränkung aktiviert ist, sind nur Images aus vertrauenswürdigen Projekten als Quelle für Bootlaufwerke neuer Instanzen zulässig.constraints/compute.trustedImageProjects |
"is:" |
| Compute Engine | VM-IP-Weiterleitung einschränken | Mit dieser Listeneinschränkung wird die Gruppe von VM-Instanzen definiert, welche die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren. VM-Instanzen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Diese Einschränkung gilt nicht rückwirkend. constraints/compute.vmCanIpForward |
"is:", "under:" |
| Compute Engine | Zulässige externe IP-Adressen für VM-Instanzen definieren | Diese Listeneinschränkung definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Die Liste der zulässigen/abgelehnten VM-Instanzen muss durch den Namen der VM-Instanz im folgenden Format identifiziert werden: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess |
"is:" |
| Compute Engine | Aktivieren von Identity-Aware Proxy (IAP) für globale Ressourcen deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Aktivieren von Identity-Aware Proxy für globale Ressourcen deaktiviert. Das Aktivieren von IAP für regionale Ressourcen ist von dieser Einschränkung nicht betroffen. Standardmäßig ist das Aktivieren von IAP für globale Ressourcen zulässig. constraints/iap.requireGlobalIapWebDisabled |
"is:" |
| Google Kubernetes Engine | Deaktivieren Sie Pfade für den Administratorzugriff in GKE. | Diese Richtlinie darf nicht konfiguriert oder geändert werden. Diese Einschränkung wird beim Onboarding von Assured Workloads automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle für Assured Workloads. Wenn diese boolesche Einschränkung erzwungen wird, werden alle Zugriffspfade für Diagnosen und andere Kundensupport-Anwendungsfälle deaktiviert, die nicht den Assured Workloads-Anforderungen entsprechen. constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
| Dataform | Git-Remotes für Repositories in Dataform einschränken | Mit dieser Listeneinschränkung wird eine Reihe von Remotes definiert, mit denen Repositories im Dataform-Projekt kommunizieren können. Wenn du die Kommunikation mit allen Remote-Geräten blockieren möchtest, setze den Wert auf Deny all. Diese Einschränkung ist rückwirkend und blockiert die Kommunikation für vorhandene Repositories, die gegen sie verstoßen. Einträge sollten Links zu vertrauenswürdigen Remotes im selben Format wie in Dataform sein.Standardmäßig können Repositories in Dataform-Projekten mit jedem Remote kommunizieren. constraints/dataform.restrictGitRemotes |
"is:" |
| Datastream | Datastream – öffentliche Verbindungsmethoden blockieren | Standardmäßig können Datastream-Verbindungsprofile mit öffentlichen oder privaten Verbindungsmethoden erstellt werden. Wenn die boolesche Einschränkung für diese Organisationsrichtlinie erzwungen wird, können nur private Verbindungsmethoden (z. B. VPC-Peering) zum Erstellen von Verbindungsprofilen verwendet werden. constraints/datastream.disablePublicConnectivity |
"is:" |
| Wichtige Kontakte | Domaineingeschränkte Kontakte | Mit dieser Listeneinschränkung wird die Gruppe von Domains definiert, die E-Mail-Adressen, die in „Wichtige Kontakte“ aufgenommen werden, enthalten dürfen. Standardmäßig können E-Mail-Adressen mit beliebigen Domains zu „Wichtige Kontakte“ hinzugefügt werden. In der Liste der zulässigen/abgelehnten Domains muss mindestens eine Domain im Format @example.com angegeben sein. Wenn diese Einschränkung aktiv ist und mit zulässigen Werten konfiguriert ist, können nur E-Mail-Adressen mit einem Suffix, das mit einem der Einträge aus der Liste der zulässigen Domains übereinstimmt, zu „Wichtige Kontakte“ hinzugefügt werden.Diese Einschränkung hat keine Auswirkungen auf das Aktualisieren oder Entfernen vorhandener Kontakte. constraints/essentialcontacts.allowedContactDomains |
"is:" |
| Wichtige Kontakte | Projektsicherheitskontakte deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, können Administratoren von Organisationsrichtlinien dafür sorgen, dass nur auf Organisations- oder Ordnerebene zugewiesene Kontakte Sicherheitsbenachrichtigungen erhalten können. Insbesondere wird durch das Erzwingen dieser Einschränkung Projektinhabern und Kontaktadministratoren daran gehindert, einen wichtigen Kontakt mit einem notification_category_subscriptions-Feld zu erstellen oder zu aktualisieren, das entweder die Kategorie SECURITY oder ALL enthält, wenn der Kontakt auch eine Projektressource als übergeordnetes Element hat. constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
| Firestore | Firestore-Dienst-Agent für Import/Export erforderlich | Wenn diese boolesche Einschränkung erzwungen wird, muss bei Firestore-Importen und -Exporten der Firestore-Dienst-Agent verwendet werden. Standardmäßig kann für Firestore-Importe und -Exporte das App Engine-Dienstkonto verwendet werden. Firestore verwendet das App Engine-Dienstkonto in Zukunft nicht mehr für Importe und Exporte. Alle Konten müssen zum Firestore-Dienst-Agent migriert werden. Danach ist diese Einschränkung nicht mehr erforderlich. constraints/firestore.requireP4SAforImportExport |
"is:" |
| Cloud Healthcare | Cloud Logging für die Cloud Healthcare API deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird Cloud Logging für die Cloud Healthcare API deaktiviert. Audit-Logs sind von dieser Einschränkung nicht betroffen. Cloud-Logs, die vor dem Erzwingen der Einschränkung für die Cloud Healthcare API generiert wurden, werden nicht gelöscht und können weiterhin aufgerufen werden. constraints/gcp.disableCloudLogging |
"is:" |
| Identity and Access Management | Lebensdauer der OAuth 2.0-Zugriffstokens auf bis zu 12 Stunden verlängern | Mit dieser Listeneinschränkung wird eine Gruppe von Dienstkonten definiert, denen OAuth 2.0-Zugriffstoken mit einer Lebensdauer von bis zu 12 Stunden gewährt werden kann. Standardmäßig beträgt die maximale Lebensdauer für diese Zugriffstokens 1 Stunde. In der Liste der zugelassenen/abgelehnten Dienstkonten muss mindestens eine E-Mail-Adresse eines Dienstkontos angegeben sein. constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
| Identity and Access Management | Domaineingeschränkte Freigabe | Mit dieser Listeneinschränkung wird mindestens eine Cloud Identity- oder Google Workspace-Kundennummer festgelegt, deren Hauptkonten IAM-Richtlinien hinzugefügt werden können. Standardmäßig können alle Nutzeridentitäten IAM-Richtlinien hinzugefügt werden. In dieser Einschränkung können nur zulässige Werte definiert werden. Abgelehnte Werte werden nicht unterstützt. Wenn diese Einschränkung aktiv ist, können nur Hauptkonten, die zu den zulässigen Kundennummern gehören, IAM-Richtlinien hinzugefügt werden. constraints/iam.allowedPolicyMemberDomains |
"is:" |
| Identity and Access Management | Audit-Logging-Ausnahme deaktivieren | Durch das Erzwingen dieser booleschen Einschränkung wird das Ausschließen zusätzlicher Hauptkonten vom Audit-Logging verhindert. Diese Einschränkung wirkt sich nicht auf Ausnahmen vom Audit-Logging aus, die vor dem Erzwingen der Einschränkung aufgetreten sind. constraints/iam.disableAuditLoggingExemption |
"is:" |
| Identity and Access Management | Projektübergreifende Dienstkontonutzung deaktivieren | Wenn diese Richtlinie erzwungen wird, können Dienstkonten mit der Rolle „ServiceAccountUser“ nur für Jobs (VMs, Funktionen usw.) bereitgestellt werden, die im selben Projekt wie das Dienstkonto ausgeführt werden. constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
| Identity and Access Management | Erstellen von Dienstkonten deaktivieren | Diese boolesche Einschränkung deaktiviert das Erstellen von Dienstkonten, für die diese Einschränkung auf "True" gesetzt ist. Standardmäßig können Dienstkonten von Nutzern basierend auf ihren Cloud IAM-Rollen und -Berechtigungen erstellt werden. constraints/iam.disableServiceAccountCreation |
"is:" |
| Identity and Access Management | Erstellen von Dienstkontoschlüsseln deaktivieren | Diese boolesche Einschränkung deaktiviert das Erstellen externer Schlüssel für Dienstkonten, für die diese Einschränkung auf "True" gesetzt ist. Standardmäßig können externe Schlüssel für Dienstkonten von Nutzern basierend auf ihren Cloud IAM-Rollen und -Berechtigungen erstellt werden. constraints/iam.disableServiceAccountKeyCreation |
"is:" |
| Identity and Access Management | Hochladen von Dienstkontoschlüsseln deaktivieren | Diese boolesche Einschränkung deaktiviert das Feature, mit dem öffentliche Schlüssel in Dienstkonten hochgeladen werden können, für die diese Einschränkung auf „True“ gesetzt ist. Standardmäßig können Nutzer öffentliche Schlüssel basierend auf ihren Cloud IAM-Rollen und -Berechtigungen in Dienstkonten hochladen. constraints/iam.disableServiceAccountKeyUpload |
"is:" |
| Identity and Access Management | Workload Identity-Clustererstellung deaktivieren | Wenn für diese boolesche Einschränkung "True" festgelegt ist, muss für alle neuen GKE-Cluster Workload Identity beim Erstellen deaktiviert sein. Vorhandene GKE-Cluster, für die Workload Identity bereits aktiviert ist, können wie gewohnt verwendet werden. Standardmäßig kann Workload Identity für jeden GKE-Cluster aktiviert werden. constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
| Identity and Access Management | Ablaufdauer des Dienstkontoschlüssels in Stunden | Mit dieser Listeneinschränkung wird die maximal zulässige Dauer bis zum Ablauf des Dienstkontoschlüssels definiert. Standardmäßig laufen erstellte Schlüssel nie ab. Die zulässige Dauer wird in Stunden angegeben und muss aus der Liste unten stammen. Es kann nur ein zulässiger Wert angegeben werden. Abgelehnte Werte werden nicht unterstützt. Wenn du eine Dauer angibst, die nicht in dieser Liste enthalten ist, tritt ein Fehler auf.
inheritFromParent=false in der Richtliniendatei festlegen, wenn Sie die gcloud CLI verwenden. Diese Einschränkung kann nicht mit einer übergeordneten Richtlinie zusammengeführt werden. Die Erzwingung der Einschränkung ist nicht rückwirkend und hat keine Auswirkungen auf bereits vorhandene Schlüssel. constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
| Identity and Access Management | Zulässige AWS-Konten, die für die Workload Identity-Föderation in Cloud IAM konfiguriert werden können | Liste der AWS-Konto-IDs, die für die Workload Identity-Föderation in Cloud IAM konfiguriert werden können. constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
| Identity and Access Management | Erlaubt externe Identitätsanbieter für Arbeitslasten in Cloud IAM | Identitätsanbieter, die für die Authentifizierung von Arbeitslasten in Cloud IAM konfiguriert werden können und durch URI/URLs angegeben werden. constraints/iam.workloadIdentityPoolProviders |
"is:" |
| Mit Anthos Service Mesh verwaltete Steuerungsebene | Zulässiger VPC Service Controls-Modus für Steuerungsebenen, die von Anthos Service Mesh verwaltet werden | Diese Einschränkung bestimmt, welche VPC Service Controls-Modi beim Bereitstellen einer neuen von Anthos Service Mesh verwalteten Steuerungsebene festgelegt werden können. Gültige Werte sind „NONE“ und „COMPATIBLE“. constraints/meshconfig.allowedVpcscModes |
"is:" |
| Resource Manager | Entfernen von Projektsperren für freigegebene VPCs einschränken | Wenn diese boolesche Einschränkung auf True gesetzt ist, wird die Gruppe der Nutzer eingeschränkt, die die Sperre eines freigegebene VPC-Hostprojekts ohne Berechtigung auf Organisationsebene entfernen können. Standardmäßig kann jeder Nutzer mit der Berechtigung zum Aktualisieren von Sperren die Sperre eines freigegebene VPC-Hostprojekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene gewährt werden. constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
| Resource Manager | Entfernen von Sperren für projektübergreifende Dienstkonten einschränken | Durch das Erzwingen dieser booleschen Einschränkung, können Nutzer eine projektübergreifende Dienstkontosperre nur entfernen, wenn sie die entsprechende Berechtigung auf Organisationsebene haben. Standardmäßig hat jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren die Möglichkeit, eine projektübergreifende Dienstkontosperre zu entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene vorhanden sein. constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
| Resource Manager | Sichtbarkeit von Ressourcenabfragen einschränken | Bei Erzwingung dieser Listeneinschränkung für eine Organisationsressource werden die Google Cloud-Ressourcen festgelegt, die in Listen- und Suchmethoden für Nutzer in der Domain der Organisation zurückgegeben werden, in der diese Einschränkung erzwungen wird. Hiermit können Sie die Ressourcen einschränken, die in verschiedenen Bereichen der Cloud Console wie der Ressourcenauswahl, der Suche und der Seite „Ressourcen verwalten“ sichtbar sind. Diese Einschränkung wird immer nur auf Organisationsebene ausgewertet. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen das folgende Format haben: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.accessBoundaries |
"is:", "under:" |
| Resource Manager | Zulassungsliste für aktivierte Dienste für das organisationsübergreifende Verschieben verlangen | Mit dieser Listeneinschränkung wird geprüft, ob ein Projekt mit einem aktivierten Dienst organisationsübergreifend verschoben werden kann. Für eine Ressource mit einem aktivierten unterstützten Dienst muss diese Einschränkung erzwungen und der unterstützte Dienst in die zulässigen Werte aufgenommen werden, damit die Ressource organisationsübergreifend verschoben werden kann. Die aktuelle Liste der zulässigen Werte für unterstützte Dienste, die verwendet werden können, lautet:
Diese Einschränkung bietet neben „constraints/resourcemanager.allowedExportDestinations“ eine weitere Kontrolle. „list_constraint“ ist standardmäßig leer und blockiert das organisationsübergreifende Verschieben von Ressourcen nur dann, wenn ein unterstützter Dienst für die zu exportierende Ressource aktiviert ist. Diese Einschränkung ermöglicht eine genauere Kontrolle über Ressourcen mithilfe von Features, die beim Verschieben in eine andere Organisation mehr Vorsicht erfordern. Standardmäßig kann eine Ressource mit einem aktivierten unterstützten Dienst nicht organisationsübergreifend verschoben werden. constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
| Resource Manager | Zulässige Ziele für den Export von Ressourcen | Mit dieser Listeneinschränkung wird die Gruppe externer Organisationen definiert, in die Ressourcen verschoben werden können. Außerdem werden damit sämtliche Verschiebevorgänge in alle anderen Organisationen abgelehnt. Standardmäßig können Ressourcen nicht organisationsübergreifend verschoben werden. Wenn diese Einschränkung auf eine Ressource angewendet wird, kann die Ressource nur in Organisationen verschoben werden, die ausdrücklich durch diese Einschränkung zugelassen werden. Die Einschränkung gilt nicht für das Verschieben von Ressourcen innerhalb einer Organisation. Für den Verschiebevorgang sind weiterhin dieselben IAM-Berechtigungen wie für das normale Verschieben von Ressourcen erforderlich. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen das folgende Format haben: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.allowedExportDestinations |
"is:", "under:" |
| Resource Manager | Zulässige Quellen für den Import von Ressourcen | Mit dieser Listeneinschränkung wird die Gruppe externer Organisationen definiert, aus denen Ressourcen importiert werden können. Außerdem werden damit sämtliche Verschiebevorgänge aus allen anderen Organisationen abgelehnt. Standardmäßig können Ressourcen nicht organisationsübergreifend verschoben werden. Wenn diese Einschränkung auf eine Ressource angewendet wird, müssen importierte Ressourcen direkt unter dieser Ressource explizit durch diese Einschränkung zugelassen werden. Die Einschränkung gilt nicht für das Verschieben von Ressourcen innerhalb einer Organisation. Für den Verschiebevorgang sind weiterhin dieselben IAM-Berechtigungen wie für das normale Verschieben von Ressourcen erforderlich. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen das folgende Format haben: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.allowedImportSources |
"is:", "under:" |
| Cloud Run | Zulässige Binärautorisierungsrichtlinien (Cloud Run) | Mit dieser Listeneinschränkung werden die Namen von Binärautorisierungsrichtlinien definiert, die für eine Cloud Run-Ressource angegeben werden dürfen. Verwenden Sie den Wert „Standard“, um eine Standardrichtlinie zuzulassen oder nicht zuzulassen. Wenn Sie eine oder mehrere benutzerdefinierte Plattformrichtlinien zulassen oder nicht zulassen möchten, muss die Ressourcen-ID jeder dieser Richtlinien separat hinzugefügt werden. constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
| Cloud Run | Zulässige Einstellungen für eingehenden Traffic (Cloud Run) | Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic für Cloud Run-Dienste definiert. Wenn diese Einschränkung erzwungen wird, müssen die Einstellungen für eingehenden Traffic von Diensten mit einem der zulässigen Werte übereinstimmen. Vorhandene Cloud Run-Dienste mit Einstellungen für eingehenden Traffic, die gegen diese Einschränkung verstoßen, können weiterhin aktualisiert werden, bis die Einstellungen für eingehenden Traffic des Dienstes so geändert werden, dass sie dieser Einschränkung entsprechen. Sobald ein Dienst dieser Einschränkung entspricht, können dafür nur Einstellungen für eingehenden Traffic verwendet werden, die gemäß dieser Einschränkung zulässig sind. Standardmäßig können Cloud Run-Dienste beliebige Einstellungen für eingehenden Traffic verwenden. Die Liste der zulässigen Einstellungen muss unterstützte Einstellungen für eingehenden Traffic enthalten, also all, internal und internal-and-cloud-load-balancing.constraints/run.allowedIngress |
"is:" |
| Cloud Run | Zulässige Einstellungen für ausgehenden VPC-Traffic (Cloud Run) | Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für ausgehenden VPC-Traffic definiert, die für eine Cloud Run-Ressource festgelegt werden. Wenn diese Einschränkung erzwungen wird, müssen Cloud Run-Ressourcen mit einem Connector für Serverloser VPC-Zugriff oder mit aktiviertem direktem VPC-Traffic bereitgestellt werden. Außerdem müssen die Einstellungen für ausgehenden VPC-Traffic mit einem der zulässigen Werte übereinstimmen. Standardmäßig können Cloud Run-Ressourcen die Einstellungen für ausgehenden VPC-Traffic auf jeden unterstützten Wert festlegen. Die Liste der zulässigen Einstellungen muss unterstützte Einstellungen für ausgehenden VPC-Traffic enthalten, nämlich private-ranges-only und all-traffic.Bei vorhandenen Cloud Run-Diensten müssen alle neuen Überarbeitungen dieser Einschränkung entsprechen. Vorhandene Dienste mit Überarbeitungen, die Traffic bereitstellen, der gegen diese Einschränkung verstößt, können weiterhin Traffic zu Überarbeitungen migrieren, die gegen diese Einschränkung verstoßen. Sobald der gesamte Traffic für einen Dienst von Überarbeitungen bereitgestellt wird, die dieser Einschränkung entsprechen, dürfen nachfolgende Trafficmigrationen den Traffic nur zu Überarbeitungen migrieren, die dieser Einschränkung entsprechen. constraints/run.allowedVPCEgress |
"is:" |
| Dienstnutzerverwaltung | Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren | Wenn diese boolesche Einschränkung erzwungen wird, wird verhindert, dass den in Ihren Projekten erstellten App Engine- und Compute Engine-Dienstkonten default beim Erstellen der Konten automatisch eine IAM-Rolle für das Projekt zugewiesen wird. Diese Dienstkonten erhalten standardmäßig die Rolle "Bearbeiter", wenn sie erstellt werden. constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
| Service Control | TLS-Versionen einschränken | Diese Einschränkung definiert die Gruppe von TLS-Versionen, die nicht für die Organisation, den Ordner oder das Projekt verwendet werden können, in denen diese Einschränkung erzwungen wird, oder für ein untergeordnetes Element dieser Ressource in der Ressourcenhierarchie. Standardmäßig sind alle TLS-Versionen zulässig. TLS-Versionen können nur in der Liste abgelehnter Versionen angegeben werden und müssen im Format TLS_VERSION_1 oder TLS_VERSION_1_1 identifiziert werden.Diese Einschränkung gilt nur für Anfragen mit TLS. Sie wird nicht verwendet, um nicht verschlüsselte Anfragen einzuschränken. Weitere Informationen finden Sie unter https://cloud.google.com/assured-workloads/docs/restrict-tls-versions. constraints/gcp.restrictTLSVersion |
"is:" |
| Cloud Spanner | Erweiterte Dienstkontrolle für Compliance-Arbeitslasten aktivieren | Diese Richtlinie darf nicht konfiguriert oder geändert werden. Diese Einschränkung wird beim Onboarding von Assured Workloads automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle für Assured Workloads. Wenn diese boolesche Einschränkung erzwungen wird, werden bestimmte Aspekte der Unterstützung beeinträchtigt und die bereitgestellten Ressourcen entsprechen den erweiterten Souveränitätsanforderungen für Assured Workloads. Diese Richtlinie gilt für vorhandene Projekte, wirkt sich jedoch nicht auf bereits bereitgestellte Ressourcen aus. Änderungen an der Richtlinie gelten also nur für Ressourcen, die nach dem Ändern der Richtlinie erstellt wurden. constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
| Cloud Spanner | Multiregionalen Cloud Spanner-Dienst deaktivieren, wenn kein Standort ausgewählt ist | Diese Richtlinie darf nicht konfiguriert oder geändert werden. Diese Einschränkung wird beim Onboarding von Assured Workloads automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle für Assured Workloads. Wenn diese boolesche Einschränkung erzwungen wird, verhindert sie das Erstellen von Spanner-Instanzen mit der Konfiguration mehrerer Regioneninstanzen, es sei denn, ein Standort wird ausgewählt. Derzeit wird die Standortauswahl in Cloud Spanner noch nicht unterstützt, sodass mehrere Regionen nicht zulässig sind. In Zukunft wird Spanner Nutzern die Möglichkeit bieten, einen Standort für mehrere Regionen auszuwählen. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Bereits erstellte Spanner-Instanzen sind davon nicht betroffen. constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
| Cloud Storage | Google Cloud Platform – detaillierter Audit-Logging-Modus | Wenn der detaillierte Audit-Logging-Modus erzwungen wird, werden sowohl die Anfrage als auch die Antwort in Cloud-Audit-Logs einbezogen. Es kann bis zu 10 Minuten dauern, bis Änderungen an diesem Feature wirksam werden. Diese Organisationsrichtlinie wird in Abstimmung mit der Bucket-Sperre dringend empfohlen, wenn Sie die Compliance mit Vorschriften wie die SEC-Regel 17a–4(f), CFTC-Regel 1.31(c)–(d) und FINRA-Regel 4511(c) anstreben. Diese Richtlinie wird derzeit nur in Cloud Storage unterstützt. constraints/gcp.detailedAuditLoggingMode |
"is:" |
| Cloud Storage | Verhinderung des öffentlichen Zugriffs erzwingen | Schützen Sie Ihre Cloud Storage-Daten vor öffentlichem Zugriff, indem Sie die Verhinderung des öffentlichen Zugriffs erzwingen. Diese Governance-Richtlinie verhindert, dass auf vorhandene und zukünftige Ressourcen über das öffentliche Internet zugegriffen wird. Dazu werden ACLs und IAM-Berechtigungen deaktiviert und blockiert, die Zugriff auf allUsers und allAuthenticatedUsers gewähren. Sie können diese Richtlinie für die gesamte Organisation (empfohlen), bestimmte Projekte oder bestimmte Ordner erzwingen, damit keine Daten öffentlich zugänglich sind.Diese Richtlinie überschreibt vorhandene öffentliche Berechtigungen. Der öffentliche Zugriff auf vorhandene Buckets und Objekte wird nach dem Aktivieren dieser Richtlinie aufgehoben. constraints/storage.publicAccessPrevention |
"is:" |
| Cloud Storage | Cloud Storage – Authentifizierungstypen einschränken | Mit dieser Einschränkung werden die Authentifizierungstypen definiert, deren Zugriff auf Speicherressourcen der Organisation in Cloud Storage eingeschränkt wird. Unterstützte Werte sind USER_ACCOUNT_HMAC_SIGNED_REQUESTS und SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Verwenden Sie in:ALL_HMAC_SIGNED_REQUESTS, um beide einzuschließen. constraints/storage.restrictAuthTypes |
"is:", "in:" |
| Cloud Storage | Aufbewahrungsdauer in Sekunden | Diese Listeneinschränkung definiert die Dauer der Aufbewahrungsrichtlinien, die für Cloud Storage-Buckets festgelegt werden können. Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Aufbewahrungsrichtlinie beliebiger Dauer haben. Die Liste der zulässigen Zeiträume für die Aufbewahrungsrichtlinie muss als positiver ganzzahliger Wert größer als Null in der Einheit Sekunden angegeben werden. Bei allen Vorgängen zum Einfügen, Aktualisieren oder Reparieren für einen Bucket in der Organisationsressource muss die in der Aufbewahrungsrichtlinie angegebene Dauer der Einschränkung entsprechen. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn eine neue Organisationsrichtlinie erzwungen wird, bleibt die Aufbewahrungsrichtlinie vorhandener Buckets unverändert und gültig. constraints/storage.retentionPolicySeconds |
"is:" |
| Cloud Storage | Einheitlichen Zugriff auf Bucket-Ebene erzwingen | Diese boolesche Einschränkung erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden, wenn die Einschränkung auf True gesetzt ist. Bei jedem neuen Bucket in der Organisationsressource muss der einheitliche Zugriff auf Bucket-Ebene aktiviert sein. Für keinen der hier vorhandenen Buckets kann diese Option deaktiviert werden. Diese Einschränkung kann nicht rückwirkend erzwungen werden: Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene bleibt dieser deaktiviert. Der Standardwert für diese Einschränkung ist False. Durch den einheitlichen Zugriff auf Bucket-Ebene wird die Auswertung von ACLs deaktiviert, die Cloud Storage-Objekten in dem Bucket zugeordnet sind. Daher gewähren nur IAM-Richtlinien Zugriff auf Objekte in diesen Buckets. constraints/storage.uniformBucketLevelAccess |
"is:" |
Anleitungen
Weitere Informationen zur Verwendung einzelner Einschränkungen finden Sie in den folgenden Anleitungen:
| Einschränkung | Anleitung |
|---|---|
constraints/cloudbuild.allowedIntegrations |
Gate baut auf Organisationsrichtlinie auf |
constraints/cloudfunctions.allowedIngressSettings |
VPC Service Controls verwenden |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
VPC Service Controls verwenden |
constraints/cloudfunctions.requireVPCConnector |
VPC Service Controls verwenden |
constraints/gcp.restrictNonCmekServices |
CMEK-Organisationsrichtlinien |
constraints/gcp.restrictCmekCryptoKeyProjects |
CMEK-Organisationsrichtlinien |
constraints/gcp.restrictTLSVersion |
TLS-Versionen einschränken |
constraints/compute.restrictPrivateServiceConnectConsumerconstraints/compute.restrictPrivateServiceConnectProducer |
Sicherheit für Private Service Connect-Nutzer verwalten |
constraints/compute.restrictCloudNATUsage |
Cloud NAT-Nutzung einschränken |
constraints/compute.restrictLoadBalancerCreationForTypes |
Einschränkungen für Cloud Load Balancing |
constraints/compute.restrictProtocolForwardingCreationForTypes |
Einschränkungen für die Protokollweiterleitung |
constraints/compute.restrictDedicatedInterconnectUsageconstraints/compute.restrictPartnerInterconnectUsage |
Nutzung von Cloud Interconnect einschränken |
constraints/compute.restrictVpnPeerIPs |
Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken |
constraints/compute.trustedImageProjects |
Zugriff auf Images beschränken |
constraints/compute.vmExternalIpAccess |
Externe IP-Adressen für VM-Instanzen deaktivieren |
constraints/compute.requireVpcFlowLogs |
Einschränkungen für Organisationsrichtlinien für VPC-Flusslogs |
constraints/dataform.restrictGitRemotes |
Remote-Repositories einschränken |
constraints/gcp.restrictServiceUsage |
Ressourcennutzung einschränken |
constraints/iam.allowedPolicyMemberDomains |
Identitäten nach Domain einschränken |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
Lebensdauer von OAuth 2.0-Zugriffstokens verlängern |
constraints/iam.disableCrossProjectServiceAccountUsage |
Dienstkonto an eine Ressource in einem anderen Projekt anhängen |
constraints/iam.disableServiceAccountCreation |
Erstellen von Dienstkonten einschränken |
constraints/iam.disableServiceAccountKeyCreation |
Erstellen von Dienstkontoschlüsseln einschränken |
constraints/iam.disableServiceAccountKeyUpload |
Upload des Dienstkontoschlüssels einschränken |
constraints/iam.disableWorkloadIdentityClusterCreation |
Erstellen von Workload Identity-Clustern einschränken |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
Dienstkonto an eine Ressource in einem anderen Projekt anhängen |
constraints/gcp.detailedAuditLoggingModeconstraints/storage.retentionPolicySecondsconstraints/storage.uniformBucketLevelAccessconstraints/storage.publicAccessPrevention |
Einschränkungen für Organisationsrichtlinien für Cloud Storage |
constraints/gcp.disableCloudLogging |
Cloud Logging deaktivieren |
constraints/gcp.resourceLocations |
Ressourcenstandorte einschränken |
constraints/resourcemanager.accessBoundaries |
Projektsichtbarkeit für Nutzer einschränken |
constraints/run.allowedIngress |
VPC Service Controls verwenden |
constraints/run.allowedVPCEgress |
VPC Service Controls verwenden |
Weitere Informationen
Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien:
Lesen, was Einschränkungen sind.
Lesen, wie mit Einschränkungen Organisationsrichtlinien erstellt werden können.
Lesen, wie Hierarchie-Evaluierungen verwendet werden.