Einschränkungen für Organisationsrichtlinien

Verfügbare Einschränkungen

Sie können Richtlinien mit den folgenden Einschränkungen festlegen. Weitere Einschränkungen werden derzeit entwickelt.

Dienste Einschränkung Beschreibung Unterstützte Präfixe
Compute Engine Gastattribute von Compute Engine-Metadaten deaktivieren Diese boolesche Einschränkung deaktiviert den Compute Engine API-Zugriff auf die Gastattribute von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung auf True gesetzt ist.
Standardmäßig kann die Compute Engine API für den Zugriff auf Compute Engine-VM-Gastattribute verwendet werden.

constraints/compute.disableGuestAttributesAccess
"is:"
Verschachtelte Virtualisierung für VM deaktivieren Mit dieser booleschen Einschränkung wird hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden.

constraints/compute.disableNestedVirtualization
"is:"
Zugriff auf serielle Ports der VM deaktivieren Mit dieser booleschen Einschränkung wird der Zugriff des seriellen Ports auf alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung können Kunden den Zugriff des seriellen Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Beim Erzwingen dieser Einschränkung wird der Zugriff des seriellen Ports für alle Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert.

constraints/compute.disableSerialPortAccess
"is:"
Logging des seriellen VM-Ports in Stackdriver deaktivieren Diese boolesche Einschränkung deaktiviert das Logging serieller Ports in Stackdriver von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung erzwungen wird.
Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Wenn diese Einschränkung erzwungen wird, deaktiviert sie das Logging serieller Ports für neu erstellte Compute Engine-VMs. Damit wird auch verhindert, dass Nutzer die Metadatenattribute von VMs (alt oder neu) ändern und auf True setzen.
constraints/compute.disableSerialPortLogging
"is:"
Shielded VMs Wenn für diese boolesche Einschränkung True festgelegt ist, müssen alle neuen Compute Engine-VM-Instanzen Shielded-Laufwerk-Images mit aktiviertem Secure Boot, vTPM und Integrity Monitoring verwenden. Secure Boot kann bei Bedarf nach der Erstellung deaktiviert werden. Vorhandene ausgeführte Instanzen sind weiter funktionsfähig.
Standardmäßig müssen Shielded VM-Funktionen für das Erstellen von Compute Engine-VM-Instanzen nicht aktiviert werden. Mit Shielded VM-Funktionen erhalten Ihre VMs eine überprüfbare Integrität und einen Schutz vor Exfiltration.
constraints/compute.requireShieldedVm
"is:"
Erstellen des Standardnetzwerks überspringen Wenn diese boolesche Einschränkung auf True gesetzt ist, werden beim Erstellen von Google Cloud Platform-Projektressourcen weder ein Standardnetzwerk noch zugehörige Ressourcen erstellt. Standardmäßig werden beim Erstellen einer Projektressource automatisch ein Standardnetzwerk und unterstützende Ressourcen erstellt.

constraints/compute.skipDefaultNetworkCreation
"is:"
Nutzungsbeschränkungen für Compute Storage-Ressourcen (Compute Engine-Festplatten, Images und Snapshots) Diese Listeneinschränkung definiert eine Gruppe von Projekten, die die Speicherressourcen von Compute Engine verwenden dürfen. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen auf Compute Engine-Ressourcen zugreifen. Wenn diese Einschränkung verwendet wird, müssen Nutzer Cloud IAM-Berechtigungen haben und dürfen nicht durch die Einschränkung für den Zugriff auf die Ressource beschränkt sein.
Projekte, Ordner und Organisationen, die in Listen mit zulässigen oder abgelehnten Elementen angegeben werden, müssen das folgende Format haben: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Trusted Image-Projekte definieren Mit dieser Listeneinschränkung werden die Projekte definiert, die zur Image-Speicherung und Instanziierung von Datenträgern für Compute Engine verwendet werden können.
Standardmäßig können Instanzen aus Images in einem beliebigen Projekt mit öffentlich oder explizit für den Nutzer freigegebenen Images erstellt werden.
Die Liste der zulässigen/abgelehnten Publisher-Projekte muss aus Strings im folgenden Format bestehen: projects/PROJECT_ID. Wenn diese Einschränkung aktiviert ist, sind nur Images aus vertrauenswürdigen Projekten als Quelle für Bootlaufwerke für neue Instanzen zulässig.

constraints/compute.trustedImageProjects
"is:"
Zulässige externe IPs für VM-Instanzen definieren Diese Listeneinschränkung definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen verwenden dürfen.
Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden.
Die Liste der zulässigen/abgelehnten VM-Instanzen muss durch den Namen der VM-Instanz im folgenden Format identifiziert werden: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Cloud Identity and Access Management Domaineingeschränkte Freigabe BETA: Diese Listeneinschränkung definiert die Gruppe von Mitgliedern, die in Cloud IAM-Richtlinien aufgenommen werden können.
Standardmäßig können alle Nutzeridentitäten zu Cloud IAM-Richtlinien hinzugefügt werden.
In der Liste der zugelassenen/abgelehnten Identitäten muss mindestens eine G Suite-Kunden-ID angegeben werden. Wenn diese Einschränkung aktiviert ist, können nur Identitäten in der Liste der zugelassenen Identitäten in Cloud IAM-Richtlinien aufgenommen werden.

constraints/iam.allowedPolicyMemberDomains
"is:"
Erstellen von Dienstkonten deaktivieren BETA: Diese boolesche Einschränkung deaktiviert das Erstellen von Dienstkonten, bei denen diese Einschränkung auf "True" gesetzt ist.
Standardmäßig können Dienstkonten von Nutzern basierend auf ihren Cloud IAM-Rollen und -Berechtigungen erstellt werden.

constraints/iam.disableServiceAccountCreation
"is:"
Erstellen von Dienstkontoschlüsseln deaktivieren BETA: Diese boolesche Einschränkung deaktiviert das Erstellen von externen Schlüsseln für Dienstkonten, bei denen diese Einschränkung auf "True" gesetzt ist.
Standardmäßig können externe Schlüssel für Dienstkonten von Nutzern basierend auf ihren Cloud IAM-Rollen und -Berechtigungen erstellt werden.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Resource Manager Entfernen von Sperren gemeinsam genutzter VPC-Projekte einschränken Wenn diese boolesche Einschränkung auf True gesetzt ist, wird die Gruppe der Nutzer eingeschränkt, die eine Sperre für ein freigegebenes VPC-Projekt entfernen können, ohne eine Berechtigung auf Organisationsebene zu haben.
Standardmäßig kann jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren eine Sperre eines freigegebenen VPC-Projekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene gewährt werden.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Google Cloud Platform Zulässige APIs und Dienste definieren Mit dieser Listeneinschränkung werden die Dienste und damit verbundenen APIs definiert, die für diese und darunterliegende Ressourcen aktiviert werden können.
Standardmäßig sind alle Dienste zulässig.
Die Liste der abgelehnten Dienste muss über den Stringnamen einer API identifiziert werden und kann nur explizit abgelehnte Werte aus der nachfolgenden Liste enthalten. Das explizite Zulassen von APIs wird derzeit nicht unterstützt. Das explizite Ablehnen von APIs, die nicht in dieser Liste enthalten sind, führt zu einem Fehler.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn ein Dienst für eine Ressource beim Erzwingen dieser Einschränkung bereits aktiviert ist, bleibt er weiter aktiviert.

constraints/serviceuser.services
"is:"
Cloud Storage Nur Bucket-Richtlinie erzwingen BETA: Diese boolesche Einschränkung verlangt, dass Buckets die Option "Nur Bucket-Richtlinie" verwenden, wenn die Einschränkung auf True gesetzt ist. Bei jedem neuen Bucket in der Organisationsressource muss "Nur Bucket-Richtlinie" aktiviert sein und für keinen der hier vorhandenen Buckets kann diese Option deaktiviert werden.
Diese Einschränkung kann nicht rückwirkend erzwungen werden: Bei vorhandenen Buckets mit deaktivierter Option "Nur Bucket-Richtlinie" bleibt diese deaktiviert. Der Standardwert für diese Einschränkung ist False.
Durch die Option "Nur Bucket-Richtlinie" wird die Bewertung von ACLs deaktiviert, die Cloud Storage-Objekten in dem Bucket zugeordnet sind. Daher gewähren nur IAM-Richtlinien Zugriff auf Objekte in diesen Buckets.
HINWEIS: Manche GCP-Dienste, die Inhalte zu Cloud Storage exportieren, können keine Inhalte zu Buckets exportieren, für die "Nur Bucket-Richtlinie" aktiviert ist. Dazu gehören unter Umständen Dienste wie Stackdriver, Compute Engine-Exporte von Nutzungsberichten und benutzerdefinierten Bildern, Cloud Audit Logging, die Firebase GCP-Integration, Cloud SQL, Cloud Billing und Datastore.

constraints/storage.bucketPolicyOnly
"is:"
Aufbewahrungsdauer in Sekunden Diese Listeneinschränkung definiert die Dauer der Aufbewahrungsrichtlinien, die für Cloud Storage-Buckets festgelegt werden können.
Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Aufbewahrungsrichtlinie beliebiger Dauer haben.
Die Liste der zulässigen Zeiträume muss als positiver ganzzahliger Wert größer als Null angegeben werden, der die Aufbewahrungsrichtlinie in Sekunden darstellt.
Bei allen Vorgängen zum Einfügen, Aktualisieren oder Reparieren für einen Bucket in der Organisationsressource muss die Dauer der Aufbewahrungsrichtlinie der Einschränkung entsprechen.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn eine neue Organisationsrichtlinie angewendet wird, bleiben die Aufbewahrungsrichtlinien vorhandener Buckets unverändert gültig.

constraints/storage.retentionPolicySeconds
"is:"

Anleitungen

Weitere Informationen zur Verwendung einzelner Einschränkungen finden Sie in den folgenden Anleitungen:

Einschränkung Anleitung
constraints/compute.vmExternalIpAccess Externe IP-Adressen für VM-Instanzen deaktivieren
constraints/compute.trustedImageProjects Zugriff auf Images einschränken
constraints/iam.allowedPolicyMemberDomains (Beta) Identitäten nach Domain einschränken
constraints/iam.disableServiceAccountKeyCreation (Beta) Erstellen von Dienstkontoschlüsseln einschränken
constraints/iam.disableServiceAccountCreation (Beta) Erstellen von Dienstkonten einschränken
constraints/storage.bucketPolicyOnly (Beta) Organisationsrichtlinien in Cloud Storage festlegen
constraints/storage.retentionPolicySeconds Organisationsrichtlinien in Cloud Storage festlegen

Weitere Informationen

Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien:

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager