Einschränkungen für Organisationsrichtlinien

Verfügbare Einschränkungen

Sie können Richtlinien mit den folgenden Einschränkungen festlegen. Weitere Einschränkungen werden derzeit entwickelt.

Dienste Einschränkung Beschreibung Unterstützte Präfixe
App Engine Quellcode-Download deaktivieren Deaktiviert Code-Downloads von zuvor in App Engine hochgeladenen Quellcodes.
constraints/appengine.disableCodeDownload
"is:"
Cloud Functions Erlaubte Einstellungen für ausgehenden Traffic (Cloud Function-Funktionen) Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic zur Bereitstellung einer Cloud Functions-Funktion definiert. Wenn diese Einschränkung erzwungen wird, müssen die Funktionen Einstellungen für eingehenden Traffic haben, die einem der zulässigen Werte entsprechen.
Standardmäßig kann Cloud Functions beliebige Einstellungen für eingehenden Traffic verwenden.
Die Einstellungen für eingehenden Traffic müssen in der Liste der zulässigen Einstellungen mit IngressSettings-Enum-Werten angegeben werden.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Erlaubte Einstellungen für ausgehenden Traffic des VPC-Connectors (Cloud Function-Funktionen) Mit dieser Listeneinschränkung werden die erlaubten Einstellungen für ausgehenden Traffic des VPC-Connector für die Bereitstellung einer Cloud Function-Funktion definiert. Wenn diese Einschränkung erzwungen wird, sind bei den Funktionen Einstellungen für ausgehenden Traffic des VPC-Connectors erforderlich, die mit einem der erlaubten Werte übereinstimmen.
Standardmäßig können Cloud Function-Funktionen jegliche Einstellungen für ausgehenden Traffic des VPC-Connectors verwenden.
Einstellungen für ausgehenden Traffic des VPC-Connectors müssen in der erlaubten Liste anhand des Enum VpcConnectorEgressSettings spezifiziert werden.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
VPC-Connector erforderlich (Cloud Functions) Diese boolesche Einschränkung erzwingt die Einstellung eines VPC-Connectors, wenn eine Cloud Function-Funktion bereitgestellt wird. Wenn die Einschränkung erzwungen wird, ist bei den Funktionen die Spezifizierung eines VPC-Connectors erforderlich.
Standardmäßig ist die Spezifizierung eines VPC-Connectors nicht erforderlich, um eine Cloud Function-Funktion bereitzustellen.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL Standardmäßige von Google verwaltete Verschlüsselung bei Cloud SQL-Instanzen einschränken BETA: Wenn diese boolesche Einschränkung auf True gesetzt ist, müssen alle neu erstellten, neu gestarteten oder aktualisierten Cloud SQL-Instanzen von Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden. Sie ist nicht rückwirkend (bestehende Instanzen mit von Google verwalteter Verschlüsselung sind nicht betroffen, es sei denn, sie werden geupdated oder aktualisiert).
Standardmäßig ist diese Einschränkung auf False gesetzt, und von Google verwaltete Verschlüsselung ist für Cloud SQL-Instanzen erlaubt.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Autorisierte Netzwerke auf Cloud SQL-Instanzen einschränken Wenn für diese boolesche Einschränkung True festgelegt wird, ist das Hinzufügen autorisierter Netzwerke für Datenbankzugriff ohne Proxy zu Cloud SQL-Instanzen eingeschränkt. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehenden autorisierten Netzwerken funktionieren dennoch, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig können autorisierte Netzwerke Cloud SQL-Instanzen hinzugefügt werden.

constraints/sql.restrictAuthorizedNetworks
"is:"
Zugriff auf öffentliche IP-Adressen bei Cloud SQL-Instanzen einschränken Diese boolesche Einschränkung erfordert, dass die öffentliche IP-Adresse in Cloud SQL-Instanzen konfiguriert wird, wobei die Einschränkung auf True gesetzt ist. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehendem Zugriff auf eine öffentliche IP-Adresse funktionieren weiterhin, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig ist es der öffentlichen IP-Adresse erlaubt, auf Cloud SQL-Instanzen zuzugreifen.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Gastattribute von Compute Engine-Metadaten deaktivieren Diese boolesche Einschränkung deaktiviert den Compute Engine API-Zugriff auf die Gastattribute von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung auf Truegesetzt ist.
Standardmäßig kann die Compute Engine API für den Zugriff auf Compute Engine-VM-Gastattribute verwendet werden.

constraints/compute.disableGuestAttributesAccess
"is:"
Internetnetzwerk-Endpunktgruppen deaktivieren Diese boolesche Einschränkung gibt an, ob ein Nutzer Internetnetzwerk-Endpunktgruppen (NEGs) mit einem type von INTERNET_FQDN_PORT und INTERNET_IP_PORT erstellen kann.
Standardmäßig kann jeder Nutzer mit den entsprechenden IAM-Berechtigungen Intenet-NEGs in jedem beliebigen Projekt erstellen.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Verschachtelte Virtualisierung für VM deaktivieren Mit dieser booleschen Einschränkung wird hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden.

constraints/compute.disableNestedVirtualization
"is:"
Zugriff auf serielle Ports der VM deaktivieren Mit dieser booleschen Einschränkung wird der Zugriff auf serielle Ports auf allen Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung können Kunden den Zugriff auf serielle Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Beim Erzwingen dieser Einschränkung wird der Zugriff des seriellen Ports für alle Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert.

constraints/compute.disableSerialPortAccess
"is:"
Logging des seriellen VM-Ports in Stackdriver deaktivieren Diese boolesche Einschränkung deaktiviert das Logging serieller Ports in Stackdriver von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung erzwungen wird.
Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Wenn diese Einschränkung erzwungen wird, deaktiviert sie das Logging serieller Ports für neu erstellte Compute Engine-VMs. Damit wird auch verhindert, dass Nutzer die Metadatenattribute von VMs (alt oder neu) ändern und auf True setzen.
constraints/compute.disableSerialPortLogging
"is:"
OS-Login erforderlich Diese boolesche Einschränkung, wenn auf true gesetzt, aktiviert OS Login bei allen neu erstellten Projekten. Bei allen in neuen Projekten erstellten VM-Instanzen ist OS Login aktiviert. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login für Projekte oder Instanzen deaktivieren.
Standardmäßig ist das OS Login-Feature bei Compute Engine-Projekten deaktiviert.
GKE-Instanzen unterstützen OS Login derzeit nicht. Wenn diese Einschränkung für ein Projekt angewendet wird, funktionieren GKE-Instanzen, die in diesem Projekt ausgeführt werden, eventuell nicht richtig.
constraints/compute.requireOsLogin
"is:"
Shielded VMs Wenn für diese boolesche Einschränkung True festgelegt ist, müssen alle neuen Compute Engine-VM-Instanzen Shielded-Laufwerk-Images mit aktiviertem Secure Boot, vTPM und Integrity Monitoring verwenden. Secure Boot kann bei Bedarf nach der Erstellung deaktiviert werden. Vorhandene ausgeführte Instanzen sind weiter funktionsfähig.
Standardmäßig müssen Shielded VM-Features für das Erstellen von Compute Engine-VM-Instanzen nicht aktiviert werden. Mit Shielded VM-Features erhalten Ihre VMs eine überprüfbare Integrität und einen Schutz vor Exfiltration.
constraints/compute.requireShieldedVm
"is:"
Freigegebene VPC-Hostprojekte einschränken Mit dieser Listeneinschränkung wird die Gruppe von freigegebenen VPC-Hostprojekten definiert, denen Projekte auf oder unter dieser Ressource zugeordnet werden können. Ein Projekt kann standardmäßig einem beliebigen Hostprojekt in derselben Organisation zugeordnet werden, wodurch es zu einem Dienstprojekt wird. Projekte, Ordner und Organisationen in den Listen der zulässigen/abgelehnten Projekte, Ordner und Organisationen wirken sich in der Ressourcenhierarchie auf alle darunterliegenden Objekte aus und müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Freigegebene VPC-Subnetzwerke einschränken Mit dieser Listeneinschränkung wird eine Gruppe freigegebener VPC-Subnetzwerke definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nur für Ressourcen in Shared VPC-Dienstprojekten, nicht aber für Ressourcen in Shared-VPC-Hostprojekten. Zulässige Ressourcen in einem Dienstprojekt können standardmäßig jedes Shared VPC-Netzwerk verwenden, solange das IAM-Mitglied, das die Ressource erstellt hat, die Rolle "Netzwerknutzer" dieses Subnetzwerks hat. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format angegeben werden: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:"
Nutzung von VPC-Peering einschränken Mit dieser Listeneinschränkung wird die Gruppe von VPC-Netzwerken definiert, bei denen ein Peering mit den VPC-Netzwerken möglich ist, die zu diesem Projekt, Ordner oder dieser Organisation gehören. Standardmäßig kann ein Netzwerkadministrator das Peering für ein Netzwerk mit jedem anderen Netzwerk vornehmen. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictVpcPeering
"is:", "under:"
Erstellen des Standardnetzwerks überspringen Diese boolesche Einschränkung überspringt die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen während der Ressourcenerstellung eines Google Cloud Platform-Projekts, wenn sie auf True gesetzt ist. Standardmäßig werden beim Erstellen einer Projektressource automatisch ein Standardnetzwerk und unterstützende Ressourcen erstellt.

constraints/compute.skipDefaultNetworkCreation
"is:"
Nutzungsbeschränkungen für Compute Storage-Ressourcen (Compute Engine-Festplatten, Images und Snapshots) Diese Listeneinschränkung definiert eine Gruppe von Projekten, welche die Speicherressourcen von Compute Engine verwenden dürfen. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen auf Compute Engine-Ressourcen zugreifen. Wenn diese Einschränkung verwendet wird, müssen Nutzer Cloud IAM-Berechtigungen haben und dürfen nicht unter die Zugriffseinschränkung für diese Ressource fallen.
Projekte, Ordner und Organisationen, die in den Listen mit zulässigen oder abgelehnten Elementen angegeben werden, müssen folgendes Format haben: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Trusted Image-Projekte definieren Mit dieser Listeneinschränkung werden die Projekte definiert, die zur Image-Speicherung und Instanziierung von Datenträgern für Compute Engine verwendet werden können.
Standardmäßig können Instanzen aus Images in einem beliebigen Projekt mit öffentlich oder explizit für den Nutzer freigegebenen Images erstellt werden.
Die Liste der zulässigen/abgelehnten Publisher-Projekte muss in Form von Strings im Format projects/PROJECT_ID angegeben werden. Wenn diese Einschränkung aktiviert ist, sind nur Images aus vertrauenswürdigen Projekten als Quelle für Bootlaufwerke neuer Instanzen zulässig.

constraints/compute.trustedImageProjects
"is:"
VM-IP-Weiterleitung einschränken Mit dieser Listeneinschränkung wird die Gruppe von VM-Instanzen definiert, welche die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren. VM-Instanzen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
constraints/compute.vmCanIpForward
"is:", "under:"
Zulässige externe IPs für VM-Instanzen definieren Diese Listeneinschränkung definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen verwenden dürfen.
Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden.
Die Liste der zulässigen/abgelehnten VM-Instanzen muss durch den Namen der VM-Instanz im folgenden Format identifiziert werden: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Cloud Identity and Access Management Domaineingeschränkte Freigabe Diese Listeneinschränkung definiert die Gruppe von Mitgliedern, die zu Cloud IAM-Richtlinien hinzugefügt werden können.
Standardmäßig können alle Nutzeridentitäten zu Cloud IAM-Richtlinien hinzugefügt werden.
In der Liste der zugelassenen/abgelehnten Identitäten muss mindestens eine Cloud Identity- oder G Suite-Kunden-ID angegeben werden. Wenn diese Einschränkung aktiviert ist, können nur Identitäten in der Liste der zugelassenen Identitäten in Cloud IAM-Richtlinien aufgenommen werden.

constraints/iam.allowedPolicyMemberDomains
"is:"
Zulässige Root-Zertifizierungsstelle definieren BETA: Mit dieser Listeneinschränkung wird eine Gruppe vertrauenswürdiger Root-Zertifizierungsstellen definiert, von denen aus die ausgestellten öffentlichen Zertifikate zu Cloud IAM-Dienstkonten hinzugefügt werden können.
Standardmäßig können alle öffentlichen Zertifikate in Cloud IAM-Dienstkonten hochgeladen werden.
Wenn diese Einschränkung aktiviert ist, können nur öffentliche Zertifikate in Cloud IAM-Dienstkonten aufgenommen werden, die von Root-Zertifizierungsstellen in der Liste der erlaubten Zertifikate ausgestellt wurden.
constraints/iam.allowedPublicCertificateTrustedRootCA
"is:"
Erstellen von Dienstkonten deaktivieren Diese boolesche Einschränkung deaktiviert die Erstellung von Dienstkonten, wenn diese Einschränkung auf "True" gesetzt ist.
Standardmäßig können Dienstkonten von Nutzern mit den entsprechenden Cloud IAM-Rollen und -Berechtigungen erstellt werden.

constraints/iam.disableServiceAccountCreation
"is:"
Erstellen von Dienstkontoschlüsseln deaktivieren Diese boolesche Einschränkung deaktiviert das Erstellen von externen Dienstkontoschlüsseln, für die diese Einschränkung auf "True" gesetzt ist.
Standardmäßig können externe Schlüssel für Dienstkonten von Nutzern mit den entsprechenden Cloud IAM-Rollen und -Berechtigungen erstellt werden.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Hochladen von Dienstkontoschlüsseln deaktivieren Diese boolesche Einschränkung deaktiviert das Feature, mit dem öffentliche Schlüssel in Dienstkonten mit der Einstellung "True" für diese Einschränkung hochgeladen werden können.
Standardmäßig können Nutzer öffentliche Schlüssel entsprechend ihren Cloud IAM-Rollen und -Berechtigungen in Dienstkonten hochladen.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Workload Identity-Clustererstellung deaktivieren Wenn für diese boolesche Einschränkung "True" festgelegt ist, muss für alle neuen GKE-Cluster Workload Identity beim Erstellen deaktiviert sein. Vorhandene GKE-Cluster, für die Workload Identity bereits aktiviert ist, können wie gewohnt verwendet werden. Standardmäßig kann Workload Identity für jeden GKE-Cluster aktiviert werden.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Resource Manager Entfernen von Sperren gemeinsam genutzter VPC-Projekte einschränken Wenn diese boolesche Einschränkung auf True gesetzt ist, wird die Gruppe der Nutzer eingeschränkt, die eine Sperre für ein freigegebenes VPC-Projekt entfernen können, ohne eine Berechtigung auf Organisationsebene zu haben.
Standardmäßig kann jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren eine Sperre eines freigegebenen VPC-Projekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene gewährt werden.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Dienstnutzerverwaltung Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren BETA: Bei aktivierter Einstellung "Erzwingen" können Sie Standarddienstkonten nicht automatisch eine beliebige IAM-Rolle für das Projekt gewähren, wenn das Konto erstellt wird. (Die Konten können jedoch erstellt werden.) "is:"
Google Cloud Platform Google Cloud Platform – Beschränkung der Ressourcenstandorte Diese Listeneinschränkung definiert eine Gruppe von Standorten, an denen standortbezogene GCP-Ressourcen erstellt werden können. In den Richtlinien für diese Einschränkung können Mehrfachregionen wie asia und europe, Regionen wie us-east1 oder europe-west1 als erlaubte oder abgelehnte Standorte angegeben werden. Jeder erlaubte oder abgelehnte Standort muss explizit aufgelistet sein. Wenn eine Mehrfachregion erlaubt oder abgelehnt wird, bedeutet dies nicht, dass alle enthaltenen untergeordneten Standorte ebenfalls erlaubt oder abgelehnt sind. Wenn die Richtlinie beispielsweise die Region us ablehnt, können weiterhin Ressourcen am regionalen Standort us-east1 erstellt werden.
Sie können von Google ausgewählte Wertgruppen und Standortsammlungen zum einfachen Definieren Ihrer Ressourcenstandorte angeben. Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran, dem dann die Wertgruppe folgt.
Wenn das Feld suggested_value in einer Standortrichtlinie verwendet wird, sollte es eine Region sein. Wenn der angegebene Wert eine Region ist, kann eine Benutzeroberfläche für eine zonale Ressource jede Zone in dieser Region vorab angeben.
Standardmäßig können Ressourcen an jedem Standort erstellt werden.
constraints/gcp.resourceLocations
"is:", "in:"
Zulässige APIs und Dienste definieren Mit dieser Listeneinschränkung werden die Dienste und damit verbundenen APIs definiert, die für diese und darunterliegende Ressourcen aktiviert werden können.
Standardmäßig sind alle Dienste zulässig.
Die Liste der abgelehnten Dienste muss über den Stringnamen einer API identifiziert werden und kann nur explizit abgelehnte Werte aus der nachfolgenden Liste enthalten. Das explizite Zulassen von APIs wird derzeit nicht unterstützt. Das explizite Ablehnen von APIs, die nicht in dieser Liste enthalten sind, führt zu einem Fehler.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn ein Dienst für eine Ressource beim Erzwingen dieser Einschränkung bereits aktiviert ist, bleibt er weiter aktiviert.

constraints/serviceuser.services
"is:"
Cloud Storage Aufbewahrungsdauer in Sekunden Diese Listeneinschränkung definiert die Dauer der Aufbewahrungsrichtlinien, die für Cloud Storage-Buckets festgelegt werden können.
Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Aufbewahrungsrichtlinie beliebiger Dauer haben.
Die Liste der zulässigen Zeiträume für die Aufbewahrungsrichtlinie muss als positiver ganzzahliger Wert größer als Null in der Einheit Sekunden angegeben werden.
Bei allen Vorgängen zum Einfügen, Aktualisieren oder Reparieren für einen Bucket in der Organisationsressource muss die in der Aufbewahrungsrichtlinie angegebene Dauer der Einschränkung entsprechen.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn eine neue Organisationsrichtlinie angewendet wird, bleiben die Aufbewahrungsrichtlinien vorhandener Buckets unverändert gültig.

constraints/storage.retentionPolicySeconds
"is:"
Einheitlichen Zugriff auf Bucket-Ebene erzwingen Diese boolesche Einschränkung erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden, wenn die Einschränkung auf True gesetzt ist. Bei jedem neuen Bucket in der Organisationsressource muss der einheitliche Zugriff auf Bucket-Ebene aktiviert sein. Für keinen der hier vorhandenen Buckets kann diese Option deaktiviert werden.
Diese Einschränkung kann nicht rückwirkend erzwungen werden: Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene bleibt dieser deaktiviert. Der Standardwert für diese Einschränkung ist False.
Durch den einheitlichen Zugriff auf Bucket-Ebene wird die Auswertung von ACLs deaktiviert, die Cloud Storage-Objekten in dem Bucket zugeordnet sind. Daher gewähren nur IAM-Richtlinien Zugriff auf Objekte in diesen Buckets.

constraints/storage.uniformBucketLevelAccess
"is:"

Anleitungen

Weitere Informationen zur Verwendung einzelner Einschränkungen finden Sie in den folgenden Anleitungen:

Einschränkung Anleitung
constraints/compute.vmExternalIpAccess Externe IP-Adressen für VM-Instanzen deaktivieren
constraints/compute.trustedImageProjects Zugriff auf Images beschränken
constraints/iam.allowedPolicyMemberDomains Identitäten nach Domain einschränken
constraints/iam.disableServiceAccountKeyCreation Erstellen von Dienstkontoschlüsseln einschränken
constraints/iam.disableServiceAccountCreation Erstellen von Dienstkonten einschränken
constraints/storage.uniformBucketLevelAccess Organisationsrichtlinien in Cloud Storage festlegen
constraints/storage.retentionPolicySeconds Organisationsrichtlinien in Cloud Storage festlegen
constraints/gcp.resourceLocations Ressourcenstandorte einschränken
constraints/cloudfunctions.allowedIngressSettings VPC Service Controls verwenden

Mehr erfahren

Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien: