Einschränkungen für Organisationsrichtlinien

Verfügbare Einschränkungen

Sie können Richtlinien mit den folgenden Einschränkungen festlegen.

Von mehreren Google Cloud-Diensten unterstützte Einschränkungen

Einschränkung Beschreibung Unterstützte Präfixe
Google Cloud Platform – Beschränkung der Ressourcenstandorte Diese Listeneinschränkung definiert eine Gruppe von Standorten, an denen standortbezogene GCP-Ressourcen erstellt werden können.
Standardmäßig können Ressourcen an jedem Standort erstellt werden.
In den Richtlinien für diese Einschränkung können Mehrfachregionen wie asia und europe, Regionen wie us-east1 oder europe-west1 als erlaubte oder abgelehnte Standorte angegeben werden. Wenn eine Mehrfachregion erlaubt oder abgelehnt wird, bedeutet dies nicht, dass alle enthaltenen untergeordneten Standorte ebenfalls erlaubt oder abgelehnt sind. Wenn die Richtlinie beispielsweise den multiregionalen Standort us ablehnt, der sich auf Ressourcen für mehrere Regionen bezieht, z. B. bestimmte Speicherdienste, können dennoch Ressourcen am regionalen Standort us-east1 erstellt werden. Die Gruppe in:us-locations enthält dagegen alle Standorte der Region us und kann zum Blockieren jeder Region verwendet werden.
Wir empfehlen, Wertgruppen mit Wertgruppen zu definieren.
Sie können von Google ausgewählte Wertgruppen und Standortsammlungen zum einfachen Definieren Ihrer Ressourcenstandorte angeben. Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran, dem dann die Wertgruppe folgt.
Wenn du beispielsweise Ressourcen erstellen möchtest, die sich nur innerhalb der USA befinden, setz in:us-locations in der Liste der zulässigen Werte ein.
Wenn das Feld suggested_value in einer Standortrichtlinie verwendet wird, Es sollte eine Region sein. Wenn der angegebene Wert eine Region ist, kann eine Benutzeroberfläche für eine zonale Ressource jede Zone in dieser Region vorab angeben.
constraints/gcp.resourceLocations
"is:", "in:"
Zulässige Google Cloud APIs und -Dienste beschränken Diese Listeneinschränkung schränkt die Dienste und deren APIs ein, die für diese Ressource aktiviert werden können. Standardmäßig sind alle Dienste zulässig.
Die Liste der abgelehnten Dienste muss aus der folgenden Liste stammen. Die explizite Aktivierung von APIs über diese Einschränkung wird derzeit nicht unterstützt. Wenn Sie eine API angeben, die nicht in dieser Liste enthalten ist, wird ein Fehler ausgegeben.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn ein Dienst für eine Ressource beim Erzwingen dieser Einschränkung bereits aktiviert ist, bleibt er weiter aktiviert.

constraints/serviceuser.services
"is:"

Einschränkungen für bestimmte Dienste

Dienste Einschränkung Beschreibung Unterstützte Präfixe
App Engine Quellcode-Download deaktivieren Deaktiviert Code-Downloads von zuvor in App Engine hochgeladenen Quellcodes.
constraints/appengine.disableCodeDownload
"is:"
Cloud Functions Erlaubte Einstellungen für ausgehenden Traffic (Cloud Function-Funktionen) Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic zur Bereitstellung einer Cloud Functions-Funktion definiert. Wenn diese Einschränkung erzwungen wird, müssen die Funktionen Einstellungen für eingehenden Traffic haben, die einem der zulässigen Werte entsprechen.
Standardmäßig kann Cloud Functions beliebige Einstellungen für eingehenden Traffic verwenden.
Einstellungen für eingehenden Traffic müssen in der Liste der zulässigen Einstellungen mit IngressSettings-Enum-Werten angegeben werden.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Erlaubte Einstellungen für ausgehenden Traffic des VPC-Connectors (Cloud Function-Funktionen) Mit dieser Listeneinschränkung werden die erlaubten Einstellungen für ausgehenden Traffic des VPC-Connector für die Bereitstellung einer Cloud Function-Funktion definiert. Wenn diese Einschränkung erzwungen wird, sind bei den Funktionen Einstellungen für ausgehenden Traffic des VPC-Connectors erforderlich, die mit einem der erlaubten Werte übereinstimmen.
Standardmäßig können Cloud Function-Funktionen beliebige Einstellungen für ausgehenden Traffic des VPC-Connectors verwenden.
Einstellungen für ausgehenden Traffic des VPC-Connectors müssen in der Liste der zulässigen Einstellungen mit VpcConnectorEgressSettings-Enum-Werten angegeben werden.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions VPC-Connector erforderlich (Cloud Functions-Funktionen) Diese boolesche Einschränkung erzwingt die Einstellung eines VPC-Connectors, wenn eine Cloud Function-Funktion bereitgestellt wird. Wenn die Einschränkung erzwungen wird, ist bei den Funktionen die Spezifizierung eines VPC-Connectors erforderlich.
Standardmäßig ist die Spezifizierung eines VPC-Connectors nicht erforderlich, um eine Cloud Function-Funktion bereitzustellen.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL Standardmäßige von Google verwaltete Verschlüsselung bei Cloud SQL-Instanzen einschränken BETA: Wenn diese boolesche Einschränkung auf True gesetzt ist, müssen alle neu erstellten, neu gestarteten oder aktualisierten Cloud SQL-Instanzen von Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden. Sie ist nicht rückwirkend (bestehende Instanzen mit von Google verwalteter Verschlüsselung sind nicht betroffen, es sei denn, sie werden geupdated oder aktualisiert).
Standardmäßig ist diese Einschränkung auf False gesetzt, und von Google verwaltete Verschlüsselung ist für Cloud SQL-Instanzen erlaubt.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Cloud SQL Autorisierte Netzwerke auf Cloud SQL-Instanzen einschränken Wenn für diese boolesche Einschränkung True festgelegt wird, ist das Hinzufügen autorisierter Netzwerke für Datenbankzugriff ohne Proxy zu Cloud SQL-Instanzen eingeschränkt. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehenden autorisierten Netzwerken funktionieren dennoch, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig können autorisierte Netzwerke Cloud SQL-Instanzen hinzugefügt werden.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Zugriff auf öffentliche IP-Adressen bei Cloud SQL-Instanzen einschränken Diese boolesche Einschränkung erfordert, dass die öffentliche IP-Adresse in Cloud SQL-Instanzen konfiguriert wird, wobei die Einschränkung auf True gesetzt ist. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehendem Zugriff auf eine öffentliche IP-Adresse funktionieren weiterhin, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig ist es der öffentlichen IP-Adresse erlaubt, auf Cloud SQL-Instanzen zuzugreifen.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Gastattribute von Compute Engine-Metadaten deaktivieren Diese boolesche Einschränkung deaktiviert den Compute Engine API-Zugriff auf die Gastattribute von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung auf Truegesetzt ist.
Standardmäßig kann die Compute Engine API für den Zugriff auf Compute Engine-VM-Gastattribute verwendet werden.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine Internetnetzwerk-Endpunktgruppen deaktivieren Diese boolesche Einschränkung gibt an, ob ein Nutzer Internetnetzwerk-Endpunktgruppen (NEGs) mit einem type von INTERNET_FQDN_PORT und INTERNET_IP_PORT erstellen kann.
Standardmäßig kann jeder Nutzer mit den entsprechenden IAM-Berechtigungen Internet-NEGs in jedem beliebigen Projekt erstellen.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine Verschachtelte Virtualisierung für VM deaktivieren Mit dieser booleschen Einschränkung wird hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine Private Service Connect für Nutzer deaktivieren Mit dieser Listeneinschränkung wird die Gruppe privater Service Connect-Endpunkttypen definiert, für die Nutzer keine Weiterleitungsregeln erstellen können. Wenn diese Einschränkung erzwungen wird, können Nutzer keine Weiterleitungsregeln für den Private Service Connect-Endpunkttyp erstellen. Diese Einschränkung wird nicht rückwirkend erzwungen.
Standardmäßig können Weiterleitungsregeln für jeden Typ von Private Service Connect-Endpunkten erstellt werden.
Die Liste der zulässigen/abgelehnten Private Service Connect-Endpunkte muss aus der folgenden Liste stammen:
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
Durch die Verwendung von GOOGLE_APIS in der Liste der zugelassenen/abgelehnten Verbindungen wird die Erstellung von privaten Service Connect-Weiterleitungsregeln für den Zugriff auf Google APIs eingeschränkt. Wenn Sie SERVICE_PRODUCERS in der Liste der zugelassenen/abgelehnten Verbindungen verwenden, wird die Erstellung von Weiterleitungsregeln für private Service Connect für den Zugriff auf Dienste in einem anderen VPC-Netzwerk eingeschränkt.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine Zugriff auf serielle Ports der VM deaktivieren Mit dieser booleschen Einschränkung wird der Zugriff auf serielle Ports auf allen Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung können Kunden den Zugriff auf serielle Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Beim Erzwingen dieser Einschränkung wird der Zugriff des seriellen Ports für alle Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Logging des seriellen VM-Ports in Stackdriver deaktivieren Diese boolesche Einschränkung deaktiviert das Logging serieller Ports in Stackdriver von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung erzwungen wird.
Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Wenn diese Einschränkung erzwungen wird, deaktiviert sie das Logging serieller Ports für neu erstellte Compute Engine-VMs. Damit wird auch verhindert, dass Nutzer die Metadatenattribute von VMs (alt oder neu) ändern und auf True setzen.
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine OS-Login erforderlich Diese boolesche Einschränkung, wenn auf true gesetzt, aktiviert OS Login bei allen neu erstellten Projekten. Bei allen in neuen Projekten erstellten VM-Instanzen ist OS Login aktiviert. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login für Projekte oder Instanzen deaktivieren.
Standardmäßig ist das OS Login-Feature bei Compute Engine-Projekten deaktiviert.
GKE-Instanzen unterstützen OS Login derzeit nicht. Wenn diese Einschränkung für ein Projekt angewendet wird, funktionieren GKE-Instanzen, die in diesem Projekt ausgeführt werden, eventuell nicht richtig.
constraints/compute.requireOsLogin
"is:"
Compute Engine Shielded VMs Wenn für diese boolesche Einschränkung True festgelegt ist, müssen alle neuen Compute Engine-VM-Instanzen Shielded-Laufwerk-Images mit aktiviertem Secure Boot, vTPM und Integrity Monitoring verwenden. Secure Boot kann bei Bedarf nach der Erstellung deaktiviert werden. Vorhandene ausgeführte Instanzen sind weiter funktionsfähig.
Standardmäßig müssen Shielded VM-Features für das Erstellen von Compute Engine-VM-Instanzen nicht aktiviert werden. Mit Shielded VM-Features erhalten Ihre VMs eine überprüfbare Integrität und einen Schutz vor Exfiltration.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Cloud NAT-Nutzung einschränken Mit dieser Listeneinschränkung wird eine Gruppe von Subnetzwerken definiert, die Cloud NAT verwenden dürfen. Standardmäßig können alle Subnetzwerke Cloud NAT verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Dedicated Interconnect-Nutzung einschränken Mit dieser Listeneinschränkung wird die Gruppe von Compute Engine-Netzwerken definiert, die Dedicated Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine Load-Balancer-Erstellung basierend auf Load-Balancer-Typen einschränken Mit dieser Listeneinschränkung wird die Gruppe von Load-Balancer-Typen definiert, die für eine Organisation, einen Ordner oder ein Projekt erstellt werden können. Jeder erlaubte oder abgelehnte Load-Balancer-Typ muss explizit aufgelistet sein. Standardmäßig ist das Erstellen aller Typen von Load-Balancern zulässig.
Die Liste der zulässigen oder abgelehnten Werte muss als Stringname eines Load-Balancers identifiziert werden und darf nur Werte aus der folgenden Liste enthalten:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS

Verwenden Sie das Präfix "in:", gefolgt von "INTERNAL" oder "EXTERNAL", um alle internen und externen Load-Balancer-Typen einzubinden. Wenn Sie z. B. in:INTERNAL zulassen, werden alle Load-Balancer-Typen aus der obigen Liste mit "INTERNAL" zugelassen.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:", "in:"
Compute Engine Non-Confidential Computing einschränken Mit der Sperrliste dieser Listeneinschränkung wird die Gruppe von Diensten definiert, für die alle neuen Ressourcen mit aktiviertem Confidential Computing erstellt werden müssen. Standardmäßig ist für neue Ressourcen die Verwendung von Confidential Computing nicht erforderlich. Wenn diese Listeneinschränkung erzwungen wird, kann Confidential Computing während des gesamten Lebenszyklus der Ressource nicht deaktiviert werden. Vorhandene Ressourcen funktionieren weiterhin wie gewohnt. Die Liste der abgelehnten Dienste muss über den Stringnamen einer API identifiziert werden und kann nur explizit abgelehnte Werte aus der nachfolgenden Liste enthalten. Das explizite Zulassen von APIs wird derzeit nicht unterstützt. Das explizite Ablehnen von APIs, die nicht in dieser Liste enthalten sind, führt zu einem Fehler. Liste der unterstützten APIs: [compute.googleapis.com, container.googleapis.com]
constraints/compute.restrictNonConfidentialComputing
"is:"
Compute Engine Partner Interconnect-Nutzung einschränken Mit dieser Listeneinschränkung werden die Compute Engine-Netzwerke definiert, die Partner Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
Compute Engine Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken Mit dieser Listeneinschränkung wird der Typ von Protokollweiterleitungsregel-Objekten mit Zielinstanzen definiert, die ein Nutzer erstellen kann. Wenn diese Einschränkung erzwungen wird, sind neue Weiterleitungsregel-Objekte mit Zielinstanz auf interne und/oder externe IP-Adressen beschränkt, basierend auf den angegebenen Typen. Die zulässigen oder abgelehnten Typen müssen explizit aufgeführt sein. Standardmäßig ist das Erstellen von internen und externen Protokollweiterleitungsregel-Objekten mit Zielinstanzen erlaubt.
Die Liste der zulässigen oder abgelehnten Werte darf nur Werte aus der folgenden Liste enthalten:
  • INTERN
  • EXTERN
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
Compute Engine Freigegebene VPC-Hostprojekte einschränken Mit dieser Listeneinschränkung wird die Gruppe von freigegebenen VPC-Hostprojekten definiert, denen Projekte auf oder unter dieser Ressource zugeordnet werden können. Ein Projekt kann standardmäßig einem beliebigen Hostprojekt in derselben Organisation zugeordnet werden, wodurch es zu einem Dienstprojekt wird. Projekte, Ordner und Organisationen in den Listen der zulässigen/abgelehnten Projekte, Ordner und Organisationen wirken sich in der Ressourcenhierarchie auf alle darunterliegenden Objekte aus und müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Compute Engine Freigegebene VPC-Subnetzwerke einschränken Mit dieser Listeneinschränkung wird eine Gruppe freigegebener VPC-Subnetzwerke definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts. Standardmäßig können zulässige Ressourcen jedes freigegebene VPC-Subnetzwerk verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
Compute Engine Nutzung von VPC-Peering einschränken Mit dieser Listeneinschränkung wird die Gruppe von VPC-Netzwerken definiert, bei denen ein Peering mit den VPC-Netzwerken möglich ist, die zu diesem Projekt, Ordner oder dieser Organisation gehören. Standardmäßig kann ein Netzwerkadministrator das Peering für ein Netzwerk mit jedem anderen Netzwerk vornehmen. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictVpcPeering
"is:", "under:"
Compute Engine VPN-Peer-IPs einschränken Mit dieser Listeneinschränkung wird die Gruppe gültiger IPv4-Adressen definiert, die als VPN-Peer-IPs konfiguriert werden können. Standardmäßig kann jede IP ein VPN-Peer-IP für ein VPC-Netzwerk sein. Die Liste der zulässigen/abgelehnten IP-Adressen muss mit gültigen IPv4-Adressen im folgenden Format angegeben werden: IP_V4_ADDRESS.
constraints/compute.restrictVpnPeerIPs
"is:"
Compute Engine Legt die interne DNS-Einstellung für neue Projekte so fest, dass nur zonales DNS verwendet wird Wenn dieser Wert auf „Wahr“ gesetzt ist, verwenden neu erstellte Projekte standardmäßig zonales DNS. Standardmäßig ist diese Einschränkung auf "False" gesetzt und in neu erstellten Projekten der Standard-DNS-Typ verwendet.
constraints/compute.setNewProjectDefaultToZonalDNSOnly
"is:"
Compute Engine Inhaberprojekte für freigegebene Reservierungen Mit dieser Listeneinschränkung wird die Gruppe von Projekten definiert, die in der Organisation freigegebene Reservierungen erstellen und deren Inhaber sein dürfen. Eine freigegebene Reservierung ist mit einer lokalen Reservierung vergleichbar, mit dem Unterschied, dass sie nicht nur von Inhaberprojekten, sondern auch von anderen Compute Engine-Projekten in der Ressourcenhierarchie genutzt werden kann. Die Liste der Projekte, die auf die freigegebene Reservierung zugreifen dürfen, muss das Format projects/PROJECT_ID oder under:projects/PROJECT_ID haben. Diese Einschränkung ist derzeit nur für die private Vorschau verfügbar.
constraints/compute.sharedReservationsOwnerProjects
"is:", "under:"
Compute Engine Erstellen des Standardnetzwerks überspringen Diese boolesche Einschränkung überspringt die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen während der Ressourcenerstellung eines Google Cloud Platform-Projekts, wenn sie auf True gesetzt ist. Standardmäßig werden beim Erstellen einer Projektressource automatisch ein Standardnetzwerk und unterstützende Ressourcen erstellt.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute Engine Nutzungsbeschränkungen für Compute Storage-Ressourcen (Compute Engine-Festplatten, Images und Snapshots) Diese Listeneinschränkung definiert eine Gruppe von Projekten, welche die Speicherressourcen von Compute Engine verwenden dürfen. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen auf Compute Engine-Ressourcen zugreifen. Wenn diese Einschränkung verwendet wird, müssen Nutzer Cloud IAM-Berechtigungen haben und dürfen nicht unter die Zugriffseinschränkung für diese Ressource fallen.
Projekte, Ordner und Organisationen, die in den Listen mit zulässigen oder abgelehnten Elementen angegeben werden, müssen folgendes Format haben: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Compute Engine Trusted Image-Projekte definieren Mit dieser Listeneinschränkung werden die Projekte definiert, die zur Image-Speicherung und Instanziierung von Datenträgern für Compute Engine verwendet werden können.
Standardmäßig können Instanzen aus Images in einem beliebigen Projekt mit öffentlich oder explizit für den Nutzer freigegebenen Images erstellt werden.
Die Liste der zulässigen/abgelehnten Publisher-Projekte muss in Form von Strings im Format projects/PROJECT_ID angegeben werden. Wenn diese Einschränkung aktiviert ist, sind nur Images aus vertrauenswürdigen Projekten als Quelle für Bootlaufwerke neuer Instanzen zulässig.

constraints/compute.trustedImageProjects
"is:"
Compute Engine VM-IP-Weiterleitung einschränken Mit dieser Listeneinschränkung wird die Gruppe von VM-Instanzen definiert, welche die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren. VM-Instanzen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
constraints/compute.vmCanIpForward
"is:", "under:"
Compute Engine Zulässige externe IPs für VM-Instanzen definieren Diese Listeneinschränkung definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen verwenden dürfen.
Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden.
Die Liste der zulässigen/abgelehnten VM-Instanzen muss durch den Namen der VM-Instanz im folgenden Format identifiziert werden: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Wichtige Kontakte Domaineingeschränkte Kontakte Mit dieser Listeneinschränkung wird die Gruppe von Domains definiert, die E-Mail-Adressen, die in „Wichtige Kontakte“ aufgenommen werden, enthalten dürfen.
Standardmäßig können E-Mail-Adressen mit beliebigen Domains zu Essentials hinzugefügt werden.
In der Liste der zugelassenen/abgelehnten Domains muss mindestens eine Domain des Formats @example.com angegeben werden. Wenn diese Einschränkung aktiviert und mit zulässigen Werten konfiguriert ist, können nur E-Mail-Adressen mit einem Suffix hinzugefügt werden, das mit einem der Einträge aus der Liste der zulässigen Domains übereinstimmt, und können dieser Funktion in den Dienst "Essential Contacts" hinzugefügt werden.
Diese Einschränkung wirkt sich nicht auf das Aktualisieren oder Entfernen vorhandener Kontakte aus. auf.
constraints/essentialcontacts.allowedContactDomains
"is:"
Cloud Healthcare Cloud Logging deaktivieren Deaktiviert Cloud Logging in jeder Organisation sowie jedem Projekt oder Ordner mit dieser erzwungenen Einschränkung. Audit-Logs sind von dieser Einschränkung nicht betroffen.
Logs, die vor der Erzwingung dieser Einschränkung generiert wurden, werden nicht gelöscht und können weiterhin aufgerufen werden.
Diese Einschränkung wird nur in der Cloud Healthcare API unterstützt.
constraints/gcp.disableCloudLogging
"is:"
Identity und Access Management Lebensdauer der OAuth 2.0-Zugriffstokens auf bis zu 12 Stunden verlängern Mit dieser Listeneinschränkung wird eine Gruppe von Dienstkonten definiert, denen OAuth 2.0-Zugriffstoken mit einer Lebensdauer von bis zu 12 Stunden gewährt werden kann. Standardmäßig beträgt die maximale Lebensdauer für diese Zugriffstokens 1 Stunde.
In der Liste der zugelassenen/abgelehnten Dienstkonten muss mindestens eine E-Mail-Adresse eines Dienstkontos angegeben sein.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
Identity and Access Management Domaineingeschränkte Freigabe Diese Listeneinschränkung definiert die Gruppe von Mitgliedern, die zu Cloud IAM-Richtlinien hinzugefügt werden können.
Standardmäßig können alle Nutzeridentitäten zu Cloud IAM-Richtlinien hinzugefügt werden.
In der Liste der zugelassenen/abgelehnten Identitäten muss mindestens eine Cloud Identity- oder G Suite-Kunden-ID angegeben werden. Wenn diese Einschränkung aktiviert ist, können nur Identitäten in der Liste der zugelassenen Identitäten in Cloud IAM-Richtlinien aufgenommen werden.

constraints/iam.allowedPolicyMemberDomains
"is:"
Identity and Access Management Erstellen von Dienstkonten deaktivieren Diese boolesche Einschränkung deaktiviert die Erstellung von Dienstkonten, wenn diese Einschränkung auf "True" gesetzt ist.
Standardmäßig können Dienstkonten von Nutzern mit den entsprechenden Cloud IAM-Rollen und -Berechtigungen erstellt werden.

constraints/iam.disableServiceAccountCreation
"is:"
Identity and Access Management Erstellen von Dienstkontoschlüsseln deaktivieren Diese boolesche Einschränkung deaktiviert das Erstellen von externen Dienstkontoschlüsseln, für die diese Einschränkung auf "True" gesetzt ist.
Standardmäßig können externe Schlüssel für Dienstkonten von Nutzern mit den entsprechenden Cloud IAM-Rollen und -Berechtigungen erstellt werden.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Identity and Access Management Hochladen von Dienstkontoschlüsseln deaktivieren Diese boolesche Einschränkung deaktiviert das Feature, mit dem öffentliche Schlüssel in Dienstkonten mit der Einstellung "True" für diese Einschränkung hochgeladen werden können.
Standardmäßig können Nutzer öffentliche Schlüssel entsprechend ihren Cloud IAM-Rollen und -Berechtigungen in Dienstkonten hochladen.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Identity and Access Management Workload Identity-Clustererstellung deaktivieren Wenn für diese boolesche Einschränkung "True" festgelegt ist, muss für alle neuen GKE-Cluster Workload Identity beim Erstellen deaktiviert sein. Vorhandene GKE-Cluster, für die Workload Identity bereits aktiviert ist, können wie gewohnt verwendet werden. Standardmäßig kann Workload Identity für jeden GKE-Cluster aktiviert werden.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Identity and Access Management Erlaubt externe Identitätsanbieter für Arbeitslasten in Cloud IAM Identitätsanbieter, die für die Authentifizierung von Arbeitslasten in Cloud IAM konfiguriert werden können und durch URI/URLs angegeben werden.
constraints/iam.workloadIdentityPoolProviders
"is:"
Resource Manager Entfernen von Sperren gemeinsam genutzter VPC-Projekte einschränken Wenn diese boolesche Einschränkung auf True gesetzt ist, wird die Gruppe der Nutzer eingeschränkt, die eine Sperre für ein freigegebenes VPC-Projekt entfernen können, ohne eine Berechtigung auf Organisationsebene zu haben.
Standardmäßig kann jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren eine Sperre eines freigegebenen VPC-Projekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene gewährt werden.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Cloud Run Zulässige Binärautorisierungsrichtlinien (Cloud Run) VORSCHAU: Mit dieser Listeneinschränkung werden die Namen von Binärautorisierungsrichtlinien definiert, die für eine Cloud Run-Ressource angegeben werden dürfen. Standardmäßig kann jede beliebige Binärautorisierungsrichtlinie für Ressourcen angegeben werden.
Pro Projekt ist nur eine einzige Richtlinie für die Binärautorisierung vorhanden. Die Liste der zulässigen/abgelehnten Richtlinien darf nur den Wert default verwenden.

constraints/run.allowedBinaryAuthorizationPolicies
"is:"
Cloud Run Zulässige Einstellungen für eingehenden Traffic (Cloud Run) VORSCHAU: Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic für Cloud Run-Dienste definiert. Wenn diese Einschränkung erzwungen wird, müssen die Einstellungen für eingehenden Traffic von Diensten mit einem der zulässigen Werte übereinstimmen. Vorhandene Cloud Run-Dienste mit Einstellungen für eingehenden Traffic, die gegen diese Einschränkung verstoßen, können weiterhin aktualisiert werden, bis die Einstellungen für eingehenden Traffic des Dienstes so geändert werden, dass sie dieser Einschränkung entsprechen. Sobald ein Dienst dieser Einschränkung entspricht, können dafür nur Einstellungen für eingehenden Traffic verwendet werden, die gemäß dieser Einschränkung zulässig sind.
Standardmäßig können Cloud Run-Dienste beliebige Einstellungen für eingehenden Traffic verwenden.
Die Liste der zulässigen zugelassenen Einstellungen muss all, internal und internal-and-cloud-load-balancing enthalten.

constraints/run.allowedIngress
"is:"
Cloud Run Zulässige Einstellungen für ausgehenden VPC-Traffic (Cloud Run) VORSCHAU: Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für ausgehenden VPC-Traffic für Überarbeitungen eines Cloud Run-Dienstes definiert. Wenn diese Einschränkung erzwungen wird, muss für Überarbeitungen eines Dienstes ein Connector für serverlosen VPC-Zugriff verwendet werden. Die Einstellungen für ausgehenden VPC-Traffic der Überarbeitungen müssen mit einem der zulässigen Werte übereinstimmen.
Bei vorhandenen Diensten müssen alle neu bereitgestellten Überarbeitungen dieser Einschränkung entsprechen. Vorhandene Dienste mit Überarbeitungen, die Traffic bereitstellen, der gegen diese Einschränkung verstößt, können weiterhin Traffic zu Überarbeitungen migrieren, die gegen diese Einschränkung verstoßen. Sobald der gesamte Traffic für einen Dienst von Überarbeitungen bereitgestellt wird, die dieser Einschränkung entsprechen, dürfen nachfolgende Trafficmigrationen den Traffic nur zu Überarbeitungen migrieren, die dieser Einschränkung entsprechen.
Cloud Run-Revisionen können standardmäßig Einstellungen für ausgehenden VPC-Traffic festlegen.
Die Liste der zulässigen VPC-Einstellungen für ausgehenden Traffic muss die Werte private-ranges-only und all-traffic enthalten.

constraints/run.allowedVPCEgress
"is:"
Dienstnutzerverwaltung Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren Wenn diese boolesche Einschränkung erzwungen wird, wird verhindert, dass den in Ihren Projekten erstellten App Engine- und Compute Engine-Dienstkonten default beim Erstellen der Konten automatisch eine IAM-Rolle für das Projekt zugewiesen wird.
Diese Dienstkonten erhalten standardmäßig die Rolle "Bearbeiter", wenn sie erstellt werden.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
cl Google Cloud Platform – detaillierter Audit-Log-Modus Wenn der detaillierte Audit-Logging-Modus erzwungen wird, werden sowohl die Anfrage als auch die Antwort in Cloud-Audit-Logs einbezogen. Es kann bis zu 10 Minuten dauern, bis Änderungen an dieser Funktion wirksam werden. Diese Organisationsrichtlinie wird dringend empfohlen, um die Einhaltung der Bucket-Sperre zu gewährleisten, wenn sie die Compliance mit SEC-Regel 17a–4(f), CFTC-Regel 1.31(c)–(d) und FINRA-Artikel 4511(c) aufrechterhalten möchten. Diese Richtlinie wird derzeit nur in Google Cloud Storage unterstützt.
constraints/gcp.detailedAuditLoggingMode
"is:"
Cloud Storage Aufbewahrungsdauer in Sekunden Diese Listeneinschränkung definiert die Dauer der Aufbewahrungsrichtlinien, die für Cloud Storage-Buckets festgelegt werden können.
Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Aufbewahrungsrichtlinie beliebiger Dauer haben.
Die Liste der zulässigen Zeiträume für die Aufbewahrungsrichtlinie muss als positiver ganzzahliger Wert größer als Null in der Einheit Sekunden angegeben werden.
Bei allen Vorgängen zum Einfügen, Aktualisieren oder Reparieren für einen Bucket in der Organisationsressource muss die in der Aufbewahrungsrichtlinie angegebene Dauer der Einschränkung entsprechen.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn eine neue Organisationsrichtlinie angewendet wird, bleiben die Aufbewahrungsrichtlinien vorhandener Buckets unverändert gültig.

constraints/storage.retentionPolicySeconds
"is:"
Cloud Storage Einheitlichen Zugriff auf Bucket-Ebene erzwingen Diese boolesche Einschränkung erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden, wenn die Einschränkung auf True gesetzt ist. Bei jedem neuen Bucket in der Organisationsressource muss der einheitliche Zugriff auf Bucket-Ebene aktiviert sein. Für keinen der hier vorhandenen Buckets kann diese Option deaktiviert werden.
Diese Einschränkung kann nicht rückwirkend erzwungen werden: Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene bleibt dieser deaktiviert. Der Standardwert für diese Einschränkung ist False.
Durch den einheitlichen Zugriff auf Bucket-Ebene wird die Auswertung von ACLs deaktiviert, die Cloud Storage-Objekten in dem Bucket zugeordnet sind. Daher gewähren nur IAM-Richtlinien Zugriff auf Objekte in diesen Buckets.

constraints/storage.uniformBucketLevelAccess
"is:"

Anleitungen

Weitere Informationen zur Verwendung einzelner Einschränkungen finden Sie in den folgenden Anleitungen:

Einschränkung Anleitung
constraints/cloudfunctions.allowedIngressSettings VPC Service Controls verwenden
constraints/cloudfunctions.allowedVpcConnectorEgressSettings VPC Service Controls verwenden
cloudfunctions.requireVPCConnector VPC Service Controls verwenden
constraints/compute.restrictCloudNATUsage Cloud NAT-Nutzung einschränken
constraints/compute.restrictLoadBalancerCreationForTypes Einschränkungen für Cloud Load Balancing
constraints/compute.restrictProtocolForwardingCreationForTypes Einschränkungen für die Protokollweiterleitung
constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Nutzung von Cloud Interconnect einschränken
constraints/compute.restrictVpnPeerIPs Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken
constraints/compute.trustedImageProjects Zugriff auf Images beschränken
constraints/compute.vmExternalIpAccess Externe IP-Adressen für VM-Instanzen deaktivieren
constraints/iam.allowedPolicyMemberDomains Identitäten nach Domain einschränken
constraints/iam.allowServiceAccountCredentialLifetimeExtension Lebensdauer von OAuth 2.0-Zugriffstokens verlängern
constraints/iam.disableCrossProjectServiceAccountUsage Dienstkonto an eine Ressource in einem anderen Projekt anhängen
constraints/iam.disableServiceAccountCreation Erstellen von Dienstkonten einschränken
constraints/iam.disableServiceAccountKeyCreation Erstellen von Dienstkontoschlüsseln einschränken
constraints/iam.disableServiceAccountKeyUpload Upload des Dienstkontoschlüssels einschränken
constraints/iam.disableWorkloadIdentityClusterCreation Erstellen von Workload Identity-Clustern einschränken
constraints/iam.restrictCrossProjectServiceAccountLienRemoval Dienstkonto an eine Ressource in einem anderen Projekt anhängen
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
Einschränkungen für Organisationsrichtlinien für Cloud Storage
constraints/gcp.disableCloudLogging Cloud Logging deaktivieren
constraints/gcp.resourceLocations Ressourcenstandorte einschränken
constraints/compute.restrictCloudNATUsage Einschränkungen für Organisationsrichtlinien für Cloud NAT
constraints/run.allowedIngress VPC Service Controls verwenden
constraints/run.allowedVPCEgress VPC Service Controls verwenden

Weitere Informationen

Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien: