Restricciones disponibles
Puedes especificar políticas para que con ellas se usen las siguientes restricciones.
Restricciones compatibles con varios servicios de Google Cloud
| Restricción | Descripción | Prefijos compatibles |
|---|---|---|
| Grupos de trabajadores permitidos (Cloud Build) | En esta restricción de lista, se definen los grupos permitidos de trabajadores de Cloud Build para realizar compilaciones mediante Cloud Build. Cuando se aplique esta restricción, las compilaciones deberán crearse en un grupo de trabajadores que coincida con uno de los valores permitidos. De forma predeterminada, Cloud Build puede usar cualquier grupo de trabajadores. La lista permitida de grupos de trabajadores debe tener el siguiente formato:
constraints/cloudbuild.allowedWorkerPools |
"is:", "under:" |
| Google Cloud Platform - Restricción de ubicación de recursos | Esta restricción de lista define el conjunto de ubicaciones en las que se pueden crear los recursos de Google Cloud basados en la ubicación. De forma predeterminada, los recursos pueden crearse en cualquier ubicación. Las políticas para esta restricción pueden especificar multirregiones, como asia y europe, y regiones como us-east1 o europe-west1 como ubicaciones permitidas o denegadas. El permiso o la denegación de una multirregión no implica el permiso o la denegación de todas las sububicaciones incluidas. Por ejemplo, si la política deniega la multirregión us (que hace referencia a recursos multirregionales, como algunos servicios de almacenamiento), los recursos aún se pueden crear en la ubicación regional us-east1. Por otro lado, el grupo in:us-locations contiene todas las ubicaciones dentro de la región us y puede usarse para bloquear todas las regiones. Te recomendamos usar grupos de valores para definir tu política. Puedes especificar grupos de valores, es decir, colecciones de ubicaciones que Google selecciona para proporcionar una forma sencilla de definir las ubicaciones de tus recursos. Para utilizar grupos de valores en las políticas de tu organización, usa la string in: como prefijo, seguida del grupo de valores, en las entradas. Por ejemplo, para crear recursos que solo se encuentren físicamente en EE.UU., configura in:us-locations en la lista de valores permitidos.Si el campo suggested_value se usa en una política de ubicación, debe ser una región. Si el valor especificado es una región, una IU para un recurso zonal puede prepropagar cualquier zona en esa región. constraints/gcp.resourceLocations |
"is:", "in:" |
| Restringe los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK | Esta restricción de lista define qué proyectos se pueden usar para proporcionar claves de encriptación administradas por el cliente (CMEK) cuando se crean recursos. Establecer esta restricción en Allow (es decir, solo permitir las CMEK de estos proyectos) garantiza que las CMEK de otros proyectos no se puedan usar para proteger los recursos recién creados. Los valores para esta restricción se deben especificar con el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. Los servicios admitidos que aplican esta restricción son los siguientes:
Deny o Deny All. La restricción no se aplica de forma retroactiva. Los recursos existentes de Google Cloud de CMEK con CryptoKeys de KMS de proyectos no permitidos se deben reconfigurar o recrear de forma manual para garantizar la aplicación. constraints/gcp.restrictCmekCryptoKeyProjects |
"is:", "under:" |
| Restringe los servicios que pueden crear recursos sin CMEK | Esta restricción de lista define qué servicios requieren claves de encriptación administradas por el cliente (CMEK). Para establecer esta restricción en Deny (es decir, denegar la creación de recursos sin CMEK), los recursos recién creados deben estar protegidos por una CMEK en el caso de los servicios especificados. Los servicios admitidos que se pueden establecer en esta restricción son los siguientes:
Deny All. No se permite establecer esta restricción en Allow. La restricción no se aplica de forma retroactiva. Los recursos de Google Cloud existentes que no usan CMEK se deben reconfigurar o recrear de forma manual para garantizar la aplicación. constraints/gcp.restrictNonCmekServices |
"is:" |
| Restringe el uso de servicios del recurso | Esta restricción define el conjunto de servicios de recursos de Google Cloud que se pueden usar dentro de una organización, carpeta o proyecto, como compute.googleapis.com y storage.googleapis.com. De forma predeterminada, se permiten todos los servicios de recursos de Google Cloud. Para obtener más información, consulta https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources. constraints/gcp.restrictServiceUsage |
"is:" |
| Inhabilita la habilitación de Identity-Aware Proxy (IAP) en recursos regionales | Cuando se aplica esta restricción booleana, se inhabilita la activación de Identity-Aware Proxy en los recursos regionales. Esta restricción no restringe la habilitación de IAP en recursos globales. De forma predeterminada, se permite habilitar IAP en recursos regionales. constraints/iap.requireRegionalIapWebDisabled |
"is:" |
| Restringir los servicios y las API de Google Cloud permitidos | En esta restricción de lista, se limita el conjunto de servicios y API que se pueden habilitar en este recurso. De forma predeterminada, se permiten todos los servicios. La lista de servicios denegados solo puede incluir valores de la lista que se muestra a continuación. Actualmente, no se pueden habilitar API mediante esta restricción. Se producirá un error si se especifica una API que no está en esta lista. La aplicación de esta restricción no es retroactiva. Si un servicio ya está habilitado en un recurso cuando se aplica esta restricción, este permanecerá habilitado. constraints/serviceuser.services |
"is:" |
Restricciones para servicios específicos
| Servicios | Restricción | Descripción | Prefijos compatibles |
|---|---|---|---|
| Vertex AI Workbench | Define el modo de acceso a los notebooks y las instancias de Vertex AI Workbench | En esta lista de restricciones, se definen los modos de acceso que se admiten en los notebooks de Vertex AI Workbench y en las instancias en las que se aplica. La lista de permitidos o denegados puede especificar varios usuarios con el modo service-account o acceso de un solo usuario con el modo single-user. Se debe especificar de forma explícita el modo de acceso que se admite o prohíbe. constraints/ainotebooks.accessMode |
"is:" |
| Vertex AI Workbench | Inhabilita descargas de archivos en nuevas instancias de Vertex AI Workbench | Cuando se aplica esta restricción booleana, se impide la creación de instancias de Vertex AI Workbench con la opción de descargar el archivo habilitada. De forma predeterminada, la opción de descargar el archivo puede habilitarse en cualquier instancia de Vertex AI Workbench. constraints/ainotebooks.disableFileDownloads |
"is:" |
| Vertex AI Workbench | Inhabilitar acceso raíz en nuevas instancias y notebooks administrados por el usuario de Vertex AI Workbench | Cuando se aplica esta restricción booleana, se evita que los notebooks y las instancias de Vertex AI Workbench recién creados habiliten el acceso raíz. De forma predeterminada, los notebooks y las instancias administrados por el usuario de Vertex AI Workbench pueden tener este acceso habilitado. constraints/ainotebooks.disableRootAccess |
"is:" |
| Vertex AI Workbench | Inhabilita terminales en nuevas instancias de Vertex AI Workbench | Cuando se aplica esta restricción booleana, se impide la creación de instancias de Vertex AI Workbench con la terminal habilitada. De forma predeterminada, la terminal se puede habilitar en las instancias de Vertex AI Workbench. constraints/ainotebooks.disableTerminal |
"is:" |
| Vertex AI Workbench | Restringe opciones de entorno en nuevas instancias y notebooks de Vertex AI Workbench | En esta restricción de lista, se definen las opciones de imágenes de contenedores y VMs que puede seleccionar un usuario cuando crea instancias y notebooks nuevos de Vertex AI Workbench. Las opciones que se permiten o rechazan se deben enumerar de forma explícita. El formato esperado para las instancias de VM es ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Reemplaza IMAGE_TYPE por image-family o image-name. Ejemplos: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.El formato esperado para las imágenes de contenedor será ainotebooks-container/CONTAINER_REPOSITORY:TAG. Ejemplos: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48. constraints/ainotebooks.environmentOptions |
"is:" |
| Vertex AI Workbench | Exigir actualizaciones automáticas programadas en los notebooks y las instancias nuevos de Vertex AI Workbench administrados por usuarios | Cuando se aplica esta restricción booleana, todas las instancias y notebooks recientemente creados y administrados por usuarios de Vertex AI Workbench deben tener establecido un programa de actualización automática. El programa de actualización automática puede definirse con la marca de metadatos “notebook-upgrade-schedule” para especificar un programa cron para las actualizaciones automáticas. Por ejemplo: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`. constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
| Vertex AI Workbench | Restringir el acceso de IP pública en los notebooks y las instancias nuevos de Vertex AI Workbench | Cuando se aplica esta restricción booleana, se impide que las IP públicas accedan a los notebooks y las instancias de Vertex AI Workbench que se crearon recientemente. De forma predeterminada, las IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench. constraints/ainotebooks.restrictPublicIp |
"is:" |
| Vertex AI Workbench | Restringir las redes de VPC en las instancias nuevas de Vertex AI Workbench | Esta restricción de lista define las redes de VPC que un usuario puede seleccionar cuando crea nuevas instancias de Vertex AI Workbench en las que se aplica esta restricción. De forma predeterminada, una instancia de Vertex AI Workbench se puede crear con cualquier red de VPC. La lista de redes permitidas o rechazadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/ainotebooks.restrictVpcNetworks |
"is:", "under:" |
| App Engine | Inhabilitar descarga de código fuente | Inhabilita la descarga de código fuente subido previamente a App Engine. constraints/appengine.disableCodeDownload |
"is:" |
| App Engine | Exención de implementación de entorno de ejecución (App Engine) | Esta restricción de lista define el conjunto de entornos de ejecución estándar de App Engine heredados (Python 2.7, PHP 5.5 y Java 8) que se permiten para las implementaciones posteriores al fin de la asistencia. Los entornos de ejecución estándar de App Engine heredados alcanzarán el fin de la asistencia el 30 de enero de 2024. En general, se bloquearán los intentos para implementar aplicaciones usando entornos de ejecución heredados después de esta fecha. Consulta el cronograma de asistencia para entornos de ejecución estándar de App Engine. Configurar esta restricción como “Permitir” desbloquea las implementaciones estándar de App Engine para los entornos de ejecución heredados que especifiques hasta la Fecha de baja del entorno. Configurar esta restricción como “Permitir todas” desbloquea las implementaciones estándar de App Engine para todos los entornos de ejecución heredados hasta la Fecha de baja del entorno. Los entornos de ejecución que alcanzaron el Fin de la asistencia no reciben los parches de seguridad y mantenimiento de rutina. Te recomendamos actualizar tus aplicaciones para usar una versión de entorno de ejecución con disponibilidad general. constraints/appengine.runtimeDeploymentExemption |
"is:" |
| BigQuery | Inhabilita BigQuery Omni para Cloud AWS | Cuando esta restricción booleana se establezca en True, los usuarios no podrán usar BigQuery Omni para procesar datos en Amazon Web Services en los que se aplique esta restricción. constraints/bigquery.disableBQOmniAWS |
"is:" |
| BigQuery | Inhabilita BigQuery Omni para Cloud Azure | Cuando esta restricción booleana se establezca en True, los usuarios no podrán usar BigQuery Omni para procesar datos en Microsoft Azure en los que se aplique esta restricción. constraints/bigquery.disableBQOmniAzure |
"is:" |
| Cloud Build | Integraciones permitidas (Cloud Build) | Esta restricción de lista define las integraciones permitidas de Cloud Build para realizar compilaciones mediante la recepción de webhooks de servicios alojados fuera de Google Cloud. Cuando se aplique esta restricción, solo se procesarán los webhooks de los servicios cuyo host coincida con uno de los valores permitidos. De forma predeterminada, Cloud Build procesa todos los webhooks para los proyectos que tienen al menos un activador ACTIVO. constraints/cloudbuild.allowedIntegrations |
"is:" |
| Cloud Build | Inhabilitar la creación de una cuenta de servicio predeterminada (Cloud Build) | Cuando se aplica esta restricción booleana, se impide la creación de la cuenta de servicio heredada de Cloud Build. constraints/cloudbuild.disableCreateDefaultServiceAccount |
"is:" |
| Cloud Deploy | Inhabilitar etiquetas de servicio de Cloud Deploy | Cuando se aplica esta restricción booleana, se impide que Cloud Deploy agregue etiquetas de identificación de Cloud Deploy a los objetos implementados. De forma predeterminada, las etiquetas que identifican los recursos de Cloud Deploy se agregan a los objetos implementados durante la creación de versiones. constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
| Cloud Functions | Configuración de entrada permitida (Cloud Functions) | Esta restricción de lista define la configuración de entrada permitida para la implementación de una Cloud Function (1ª gen.). Cuando se aplique esta restricción, se requerirá que la configuración de entrada de las funciones coincida con uno de los valores permitidos. Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de entrada. La configuración de Ingress debe especificarse en la lista permitida con los valores de la enumeración IngressSettings.Para Cloud Functions (2nd gen), usa la restricción constraints/run.allowedIngress.constraints/cloudfunctions.allowedIngressSettings |
"is:" |
| Cloud Functions | Configuración de salida permitida del conector de VPC (Cloud Functions) | Esta restricción de lista define la configuración de salida permitida del conector de VPC para la implementación de una Cloud Function (1ª gen.). Cuando se aplique esta restricción, se requerirá que la configuración de salida del conector de VPC de las funciones coincida con uno de los valores permitidos. Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de salida del conector de VPC. La configuración de salida del conector de VPC debe especificarse en la lista permitida con los valores de la enumeración VpcConnectorEgressSettings.Para Cloud Functions (2nd gen), usa la restricción constraints/run.allowedVPCEgress.constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
| Cloud Functions | Exigir conector de VPC (Cloud Functions) | Esta restricción booleana aplica de manera forzosa la configuración de un conector de VPC cuando se implementa una Cloud Function (1ª gen.). Cuando se aplique esta restricción, se requerirá que se especifique un conector de VPC para las funciones. Según la configuración predeterminada, no es necesario especificar un conector de VPC para implementar una función de Cloud Functions. constraints/cloudfunctions.requireVPCConnector |
"is:" |
| Cloud Functions | Generaciones de Cloud Functions permitidas | Esta restricción de lista define el conjunto de generaciones permitidas de Cloud Functions que puede usarse para crear nuevos recursos de Functions. Los valores válidos son 1stGen, 2ndGen. constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
| Cloud KMS | Restringe los tipos de CryptoKeys de KMS que se pueden crear. | En esta restricción de lista, se definen los tipos de claves de Cloud KMS que se pueden crear en un nodo de jerarquía determinado. Cuando se aplica la restricción, solo se pueden crear dentro del nodo de jerarquía asociado los tipos de claves de KMS especificados en esta política de la organización. La configuración de esta también afectará el nivel de protección de los trabajos de importación y las versiones de claves. De forma predeterminada, se permiten todos los tipos de claves. Los valores válidos son SOFTWARE, HSM, EXTERNAL y EXTERNAL_VPC. No se permiten las políticas de denegación. constraints/cloudkms.allowedProtectionLevels |
"is:" |
| Cloud KMS | Restringir la destrucción de claves a las versiones de claves inhabilitadas | Cuando se aplica esta restricción booleana, solo se permite la destrucción de versiones clave que se encuentran en el estado inhabilitado. De forma predeterminada, se pueden destruir las versiones clave que se encuentran en el estado habilitado y aquellas en el estado inhabilitado. Cuando se aplica esta restricción, se aplica a las versiones clave nuevas y existentes. constraints/cloudkms.disableBeforeDestroy |
"is:" |
| Cloud KMS | Duración mínima programada de destrucción por clave | Esta restricción de lista define en días la duración mínima de la destrucción programada que el usuario puede especificar cuando cree una clave nueva. Después de que se aplique la restricción, no se podrán crear claves con una duración de la destrucción programada menor que este valor. De forma predeterminada, la duración mínima de la destrucción programada para todas las claves es de 1 día, excepto en el caso de las claves de solo importación, para las que es de 0 días. Solo se puede especificar un valor permitido con el formato in:1d, in:7d, in:15d, in:30d, in:60d, in:90d o in:120d. Por ejemplo, si constraints/cloudkms.minimumDestroyScheduledDuration se establece en in:15d, los usuarios pueden crear claves con la duración programada de destrucción establecida en cualquier valor superior a 15 días, como 16 o 31 días. Sin embargo, los usuarios no pueden crear claves con una duración de la destrucción programada inferior a 15 días, por ejemplo, 14. En cada recurso de la jerarquía, la duración mínima de la destrucción programada puede heredar o reemplazar la política del elemento superior, o bien combinarse con ella. Cuando la política del recurso se combina con la política del elemento superior, el valor vigente de la duración mínima de la destrucción programada en el recurso es el más bajo entre el valor especificado en la política del recurso y la duración mínima vigente de la destrucción programada del elemento superior. Por ejemplo, si una organización tiene una duración programada de destrucción mínima de 7 días y, en un proyecto secundario, la política está configurada como “Combinar con superior” con un valor de in:15d, la duración programada de destrucción mínima efectiva en el proyecto es de 7 días. constraints/cloudkms.minimumDestroyScheduledDuration |
"is:", "in:" |
| Cloud Scheduler | Tipos de destinos permitidos para trabajos | Esta restricción de lista define la lista de tipos de destinos, como HTTP de App Engine, HTTP o Pub/Sub, permitidos para los trabajos de Cloud Scheduler. De forma predeterminada, se permiten todos los objetivos de trabajos. Los valores válidos son APPENGINE, HTTP y PUBSUB. constraints/cloudscheduler.allowedTargetTypes |
"is:" |
| Cloud SQL | Restringir las redes autorizadas en las instancias de Cloud SQL | Mediante esta restricción booleana, se restringe la adición de redes autorizadas para el acceso de bases de datos sin proxy a instancias de Cloud SQL en las que esta restricción se establece en True. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con redes autorizadas existentes aún funcionarán. De forma predeterminada, las redes autorizadas pueden agregarse a instancias de Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
"is:" |
| Cloud SQL | Inhabilita las rutas de acceso administrativo y de diagnóstico en Cloud SQL para satisfacer los requisitos de cumplimiento. | No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y se diseñó solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplique esta restricción booleana, se inhabilitarán algunos aspectos de la compatibilidad, además de todas las rutas de acceso para el diagnóstico y otros casos de uso de asistencia al cliente que no sigan los requisitos avanzados de soberanía de Assured Workloads. constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
| Cloud SQL | Restringe las instancias de cargas de trabajo de Cloud SQL que no cumplen con los requisitos. | No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplique esta restricción booleana, se inhabilitarán algunos aspectos de la compatibilidad y los recursos aprovisionados seguirán estrictamente los requisitos avanzados de soberanía de Assured Workloads. Esta política es retroactiva en el sentido de que se aplicará a proyectos existentes, pero no afectará los recursos que ya se aprovisionaron, es decir, las modificaciones a la política solo se reflejarán en los recursos creados después esos cambios. constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
| Cloud SQL | Restringir el acceso de IP pública en las instancias de Cloud SQL | En esta restricción booleana, se limita la configuración de la IP pública para las instancias de Cloud SQL en las que esta restricción se establece en True. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con un acceso de IP pública existente aún funcionarán. De forma predeterminada, se admite el acceso de IP pública a las instancias de Cloud SQL. constraints/sql.restrictPublicIp |
"is:" |
| Google Cloud Marketplace | Inhabilitar Marketplace público | Cuando se aplica esta restricción booleana, se inhabilita el mercado público para todos los usuarios de la organización. De forma predeterminada, el acceso al mercado público está habilitado para la organización. constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
| Google Cloud Marketplace | Restringe el acceso a los servicios de Marketplace | Esta restricción de lista define el conjunto de servicios permitidos para las organizaciones de mercado y solo puede incluir valores de la siguiente lista:
PRIVATE_MARKETPLACE está en la lista de valores permitidos, el mercado privado está habilitado. Si IAAS_PROCUREMENT está en la lista de valores permitidos, la experiencia de administración de adquisición de IaaS se habilita para todos los productos. De forma predeterminada, el mercado privado y la experiencia de administración de adquisiciones de IaaS están inhabilitados. Además, la política IAAS_PROCUREMENT funciona con independencia de la capacidad de administración de Solicitar adquisiciones, que es específicamente para los productos de SaaS que se publican en el mercado. constraints/commerceorggovernance.marketplaceServices |
"is:" |
| Compute Engine | Configuración de encriptación del adjunto de VLAN permitida | Esta restricción de lista define la configuración de encriptación permitida para los nuevos adjuntos de VLAN. De forma predeterminada, los adjuntos de VLAN pueden usar cualquier configuración de encriptación. Establece IPSEC como el valor permitido para aplicar la creación solo de adjuntos de VLAN encriptados. constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
| Compute Engine | Inhabilita todo el uso de IPv6 | Cuando esta restricción booleana se establece en True, se inhabilita la creación o la actualización de los recursos de Google Compute Engine involucrados en el uso de IPv6. De forma predeterminada, cualquier persona con los permisos adecuados de Cloud IAM puede crear o actualizar recursos de Google Compute Engine con el uso de IPv6 en cualquier proyecto, carpeta y organización. Si se establece, esta restricción tendrá mayor prioridad que otras restricciones de la organización IPv6, incluidas disableVpcInternalIpv6, disableVpcExternalIpv6 y disableHybridCloudIpv6. constraints/compute.disableAllIpv6 |
"is:" |
| Compute Engine | Inhabilita la creación de políticas de seguridad de Cloud Armor | Cuando se aplica esta restricción booleana, se inhabilita la creación de políticas de seguridad de Cloud Armor. De forma predeterminada, puedes crear políticas de seguridad de Cloud Armor en cualquier organización, carpeta o proyecto. constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
| Compute Engine | Inhabilita el balanceo de cargas global | Esta restricción booleana inhabilita la creación de productos de balanceo de cargas global. Cuando se aplica, solo se pueden crear productos de balanceo de cargas regional sin dependencias globales. De forma predeterminada, se permite la creación de balanceo de cargas global. constraints/compute.disableGlobalLoadBalancing |
"is:" |
| Compute Engine | Inhabilita la creación de certificados SSL autoadministrados globales | Cuando se aplica esta restricción booleana, se inhabilita la creación de certificados SSL autoadministrados globales. Esta restricción no inhabilita la creación de certificados autoadministrados regionales o administrados por Google. De forma predeterminada, puedes crear certificados SSL autoadministrados globales en cualquier organización, carpeta o proyecto. constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
| Compute Engine | Inhabilitar el acceso global a los puertos en serie de VMs | Esta restricción booleana inhabilita el acceso al puerto en serie por parte de las VMs de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que se aplica esta restricción. De forma predeterminada, los clientes pueden habilitar el acceso de las VMs de Compute Engine al puerto en serie por VM o por proyecto con el uso de atributos de metadatos. El cumplimiento de esta restricción permite inhabilitar el acceso de las VMs de Compute Engine al puerto en serie, independientemente de los atributos de metadatos. El acceso al puerto en serie regional no se ve afectado por esta restricción. Para inhabilitar el acceso a todos los puertos en serie, usa la restricción compute.disableSerialPortAccess. constraints/compute.disableGlobalSerialPortAccess |
"is:" |
| Compute Engine | Inhabilitar metadatos de atributos de invitado de Compute Engine | En esta restricción booleana, se inhabilita el acceso mediante la API de Compute Engine a los atributos de invitado de las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True. De forma predeterminada, la API de Compute Engine se puede usar para acceder a los atributos de invitado de la VM de Compute Engine. constraints/compute.disableGuestAttributesAccess |
"is:" |
| Compute Engine | Inhabilitar el uso de IPv6 en la nube híbrida | Cuando esta restricción booleana se establece en True, inhabilita la creación o la actualización de recursos de nube híbrida, incluidos Cloud Router, los adjuntos de interconexión y Cloud VPN con un stack_type de IPV4_IPV6. De forma predeterminada, cualquier persona con los permisos adecuados de Cloud IAM puede crear o actualizar recursos de nube híbrida con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización. constraints/compute.disableHybridCloudIpv6 |
"is:" |
| Compute Engine | Inhabilitar APIs de acceso a los datos de instancias | No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y se diseñó solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, se inhabilitan las APIs de GetSerialPortOutput y GetScreenshot que acceden a la salida del puerto en serie de una VM y obtienen capturas de pantalla de su IU. constraints/compute.disableInstanceDataAccessApis |
"is:" |
| Compute Engine | Inhabilitar grupos de extremos de red de Internet | Esta restricción booleana restringe si un usuario puede crear grupos de extremos de red (NEG) de Internet con un type de INTERNET_FQDN_PORT y INTERNET_IP_PORT.De forma predeterminada, cualquier usuario con los permisos de IAM adecuados puede crear NEG de Internet en cualquier proyecto. constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
| Compute Engine | Inhabilitar la virtualización anidada de VMs | Mediante esta restricción booleana, se inhabilita la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.De forma predeterminada, se permite la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que se ejecutan en Intel Haswell o en plataformas de CPU más recientes. constraints/compute.disableNestedVirtualization |
"is:" |
| Compute Engine | Aplicar los tipos de máquinas que cumplen con FIPS | Cuando se aplica esta restricción booleana, se inhabilita la creación de los tipos de instancias de VMs que no cumplen los requisitos de FIPS. constraints/compute.disableNonFIPSMachineTypes |
"is:" |
| Compute Engine | Inhabilitar Private Service Connect para consumidores | Esta restricción de lista define el conjunto de tipos de extremos de Private Service Connect para los que los usuarios no pueden crear reglas de reenvío. Cuando se aplique esta restricción, se impedirá a los usuarios crear reglas de reenvío para el tipo de extremo de Private Service Connect. Esta restricción no se aplica de manera retroactiva. De forma predeterminada, se pueden crear reglas de reenvío para cualquier tipo de extremo de Private Service Connect. La lista de extremos de Private Service Connect permitidos o denegados debe provenir de la siguiente lista:
GOOGLE_APIS en la lista de permitidos o denegados restringirá la creación de reglas de reenvío de Private Service Connect para acceder a las APIs de Google. El uso de SERVICE_PRODUCERS en la lista de permitidos o denegados restringirá la creación de reglas de reenvío de Private Service Connect para acceder a los servicios en otra red de VPC. constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
| Compute Engine | Inhabilitar el acceso al puerto en serie de VM | Mediante esta restricción booleana, se inhabilita el acceso del puerto en serie a las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True. De forma predeterminada, los clientes pueden habilitar el acceso al puerto en serie para las VM de Compute Engine por VM o por proyecto mediante el uso de atributos de metadatos. El cumplimiento de esta restricción permite inhabilitar el acceso al puerto en serie para las VM de Compute Engine, independientemente de los atributos de metadatos. constraints/compute.disableSerialPortAccess |
"is:" |
| Compute Engine | Inhabilitar el registro de puertos en serie de VM en Stackdriver | Esta restricción booleana inhabilita los registros de puertos en serie en Stackdriver desde las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta donde se aplica esta restricción. El registro de puertos en serie de las VM de Compute Engine está inhabilitado de forma predeterminada, pero puede habilitarse selectivamente por VM o por proyecto con los atributos de metadatos. Cuando se aplica esta restricción, se inhabilita el registro del puerto en serie para las nuevas VM de Compute Engine cada vez que se crea una y se evita que los usuarios cambien el atributo de metadatos de cualquier VM (antigua o nueva) a True. Si inhabilitas el registro de puertos en serie, ciertos servicios que dependen de él, como los clústeres de Google Kubernetes Engine, no funcionarán correctamente. Antes de aplicar esta restricción, verifica que los productos de tu proyecto no dependan del registro de puertos en serie. constraints/compute.disableSerialPortLogging |
"is:" |
| Compute Engine | Inhabilita SSH en el navegador | Esta restricción booleana inhabilita en la consola de Cloud la herramienta SSH en el navegador. Cuando se aplica, se inhabilita el botón de SSH en el navegador. De forma predeterminada, se permite el uso de la herramienta SSH en el navegador. constraints/compute.disableSshInBrowser |
"is:" |
| Compute Engine | Inhabilita el uso externo de IPv6 en VPC | Cuando esta restricción booleana se establece en True, se inhabilita la creación o la actualización de subredes con un stack_type de IPV4_IPV6 y ipv6_access_type de EXTERNAL. De forma predeterminada, cualquier persona con los permisos adecuados de Cloud IAM puede crear o actualizar subredes con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización. constraints/compute.disableVpcExternalIpv6 |
"is:" |
| Compute Engine | Inhabilita el uso de IPv6 interno de VPC | Cuando esta restricción booleana se establece en True, se inhabilita la creación o la actualización de subredes con un stack_type de IPV4_IPV6 y ipv6_access_type de INTERNAL. De forma predeterminada, cualquier persona con los permisos adecuados de Cloud IAM puede crear o actualizar subredes con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización. constraints/compute.disableVpcInternalIpv6 |
"is:" |
| Compute Engine | Habilita la configuración necesaria para las cargas de trabajo de cumplimiento de protección de la memoria | No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. La restricción controla la configuración necesaria para eliminar posibles rutas de acceso a la memoria principal de la VM. Cuando se aplica la restricción, limita la capacidad de acceder a la memoria principal de la VM inhabilitando el acceso a las rutas; además, restringe la recopilación de datos internos cuando se producen errores. constraints/compute.enableComplianceMemoryProtection |
"is:" |
| Compute Engine | Requiere Acceso al SO | Mediante esta restricción booleana, cuando se establece en true, se habilita el acceso al SO en todos los proyectos recién creados. Todas las instancias de VM creadas en proyectos nuevos tendrán el acceso al SO habilitado. En los proyectos nuevos y existentes, esta limitación impide las actualizaciones de metadatos que inhabilitan el Acceso al SO a nivel del proyecto o de la instancia. De forma predeterminada, la función de Acceso al SO está inhabilitada en los proyectos de Compute Engine. Las instancias de GKE en clústeres privados que ejecutan las versiones 1.20.5-gke.2000 y posteriores de los grupos de nodos admiten Acceso al SO. Por el momento, las instancias de GKE en clústeres públicos no son compatibles con el Acceso al SO. Si esta restricción se aplica a un proyecto que ejecuta clústeres públicos, es posible que las instancias de GKE que se ejecutan en ese proyecto no funcionen correctamente. constraints/compute.requireOsLogin |
"is:" |
| Compute Engine | VMs protegidas | Cuando esta restricción booleana se establece en True, se requiere que en todas las instancias nuevas de VM de Compute Engine se usen imágenes de disco protegidas con las opciones Inicio seguro, vTPM y Supervisión de integridad habilitadas. El inicio seguro se puede inhabilitar después de la creación, si así lo deseas. Las instancias activas existentes seguirán funcionando normalmente. De forma predeterminada, no es necesario habilitar las características de VM protegida para crear instancias de VM de Compute Engine. Las funciones de VM protegida agregan integridad y resistencia comprobables ante el robo de datos a tus VM. constraints/compute.requireShieldedVm |
"is:" |
| Compute Engine | Exige políticas predefinidas para los registros de flujo de VPC | Esta restricción de lista define el conjunto de políticas predefinidas que se pueden aplicar a los registros de flujo de VPC. De forma predeterminada, los registros de flujo de VPC se pueden configurar con cualquier configuración en cada subred. Esta restricción aplica la habilitación de registros de flujo para todas las subredes dentro del alcance con una tasa de muestreo mínima requerida. Especifica uno o más de los siguientes valores válidos:
constraints/compute.requireVpcFlowLogs |
"is:" |
| Compute Engine | Restringir el uso de Cloud NAT | Esta restricción de lista define el conjunto de subredes que pueden usar Cloud NAT. De forma predeterminada, todas las subredes pueden usar Cloud NAT. La lista de subredes permitidas o rechazadas debe identificarse de la siguiente forma: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME. constraints/compute.restrictCloudNATUsage |
"is:", "under:" |
| Compute Engine | Restringir los buckets y servicios de backend entre proyectos | Esta restricción de lista limita los recursos BackendBucket y BackendService a los que puede conectarse un recurso urlMap. Esta restricción no se aplica a BackendBuckets ni a BackendServices que estén en el mismo proyecto que el recurso urlMap. De forma predeterminada, un recurso urlMap de un proyecto puede hacer referencia a backendBuckets y BackendServices compatibles de otros proyectos de la misma organización siempre que el usuario tenga el permiso compute.backendService.use, compute.regionBackendServices.use o compute.backendBuckets.use. Recomendamos no usar esta restricción con la restricción compute.restrictSharedVpcBackendServices para evitar conflictos. Los proyectos, carpetas y recursos de la organización de las listas permitidas o denegadas afectan a todos los BackendBuckets y BackendServices que se encuentren por debajo de ellos en la jerarquía de recursos. Solo los proyectos, las carpetas y los recursos de la organización se pueden incluir en la lista de permitidos o denegados, y deben especificarse de la siguiente forma:
constraints/compute.restrictCrossProjectServices |
"is:", "under:" |
| Compute Engine | Restricción del uso de interconexión dedicada | En esta restricción de lista, se define el conjunto de redes de Compute Engine con el fin de usar la interconexión dedicada. De forma predeterminada, las redes pueden usar cualquier tipo de interconexión. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictDedicatedInterconnectUsage |
"is:", "under:" |
| Compute Engine | Restringir la creación de balanceadores de cargas según sus tipos | En esta restricción de lista, se define el conjunto de tipos de balanceadores de cargas que pueden crearse para una organización, carpeta o proyecto. Todos los tipos de balanceadores de cargas que se permitan o se denieguen deben estar detallados de forma explícita. De forma predeterminada, se permite crear todos los tipos de balanceadores de cargas. La lista de valores permitidos o denegados debe identificarse como el nombre de string de un balanceador de cargas y solo puede incluir valores de la lista que aparece a continuación:
Para incluir todos los tipos de balanceador de cargas internos o externos, usa el prefijo in: seguido de INTERNAL o EXTERNAL. Por ejemplo, si se usa in:INTERNAL, se permitirán todos los tipos de balanceadores de cargas de la lista que incluyan INTERNAL. constraints/compute.restrictLoadBalancerCreationForTypes |
"is:", "in:" |
| Compute Engine | Restringe el procesamiento no confidencial | En la lista de denegación de esta restricción, se define el conjunto de servicios que requieren que se creen todos los recursos nuevos con Confidential Computing habilitado. De forma predeterminada, no es necesario que los recursos nuevos usen Confidential Computing. Mientras que esta restricción de lista esté vigente, no se puede inhabilitar Confidential Computing durante el ciclo de vida del recurso. Los recursos existentes seguirán funcionando con normalidad. La lista de servicios denegados debe identificarse como el nombre de string de una API y solo puede incluir valores denegados de forma explícita de la siguiente lista. Por el momento, no se admite el permiso explícito de las API. La denegación explícita de las API que no están en esta lista dará como resultado un error. Lista de APIs compatibles: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
| Compute Engine | Restricción del uso de interconexión de socio | En esta restricción de lista, se define el conjunto de redes de Compute Engine con las que se puede usar la interconexión de socio. De forma predeterminada, las redes pueden usar cualquier tipo de interconexión. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictPartnerInterconnectUsage |
"is:", "under:" |
| Compute Engine | Restringir los consumidores permitidos de Private Service Connect | Esta restricción de lista define las organizaciones, carpetas y proyectos que pueden conectarse a los adjuntos de servicio dentro de la organización o el proyecto de un productor. Las listas permitidas o rechazadas deben identificarse de la siguiente manera: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. De forma predeterminada, se permiten todas las conexiones. constraints/compute.restrictPrivateServiceConnectConsumer |
"is:", "under:" |
| Compute Engine | Restringir los productores permitidos de Private Service Connect | Esta restricción de lista define a qué adjuntos de servicio se pueden conectar los consumidores de Private Service Connect. La restricción bloquea la implementación de extremos o backends de Private Service Connect según la organización, la carpeta o el recurso del proyecto del adjunto de servicio al que consultan los extremos o los backends. Las listas permitidas o rechazadas deben identificarse de la siguiente manera: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. De forma predeterminada, se permiten todas las conexiones. constraints/compute.restrictPrivateServiceConnectProducer |
"is:", "under:" |
| Compute Engine | Restringir el reenvío de protocolo en función del tipo de dirección IP | En esta restricción de lista, se define el tipo de objetos de regla de reenvío de protocolos con instancia de destino que puede crear un usuario. Cuando se aplique esta restricción, los nuevos objetos de regla de reenvío con instancia de destino se limitarán a direcciones IP internas o externas, según los tipos que se especifiquen. Todos los tipos que se permitan o se denieguen deben estar detallados de forma explícita. De forma predeterminada, se permite la creación de objetos de regla de reenvío de protocolos internos y externos con instancia de destino. La lista de valores permitidos o denegados solo puede incluir valores de la siguiente lista:
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
| Compute Engine | Restringir los servicios de backend de VPC compartida | Esta restricción de lista define el conjunto de servicios de backend de VPC compartida que pueden usar los recursos aptos. Esta restricción no se aplica a los recursos dentro del mismo proyecto. De forma predeterminada, los recursos aptos pueden usar cualquier servicio de backend de VPC compartida. La lista de servicios de backend permitidos o denegados debe especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME o projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Esta restricción no es retroactiva. constraints/compute.restrictSharedVpcBackendServices |
"is:", "under:" |
| Compute Engine | Restringir los proyectos de host de VPC compartida | En esta restricción de lista, se define el conjunto de proyectos de host de VPC compartida a los que pueden adjuntarse los proyectos en este recurso o en un recurso secundario. De forma predeterminada, un proyecto puede adjuntarse a cualquier proyecto de host dentro de la misma organización, lo que lo convierte en un proyecto de servicio. Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados afectan a todos los objetos situados debajo de ellos en la jerarquía de recursos y deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. constraints/compute.restrictSharedVpcHostProjects |
"is:", "under:" |
| Compute Engine | Restringe las subredes de VPC compartidas | Esta restricción de lista define el conjunto de subredes de VPC compartidas que pueden usar los recursos aptos. Esta restricción no se aplica a los recursos dentro del mismo proyecto. De forma predeterminada, los recursos aptos pueden usar cualquier subred de VPC compartida. La lista de subredes permitidas o rechazadas debe especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME. constraints/compute.restrictSharedVpcSubnetworks |
"is:", "under:" |
| Compute Engine | Restringir el uso de intercambio de tráfico de VPC | Esta restricción de lista define el conjunto de redes de VPC que pueden intercambiar tráfico con las redes de VPC que pertenecen a este proyecto, organización o carpeta. Cada extremo de intercambio de tráfico debe tener un permiso de intercambio de tráfico. De forma predeterminada, el administrador de red de una red puede intercambiar tráfico con cualquier otra red. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME. constraints/compute.restrictVpcPeering |
"is:", "under:" |
| Compute Engine | Restringir IP de intercambio de tráfico de VPN | Esta restricción de lista define el conjunto de direcciones IP válidas que se pueden configurar como IPs de intercambio de tráfico de VPN. De forma predeterminada, cualquier IP puede ser una IP de intercambio de tráfico de VPN en una red de VPC. La lista de direcciones IP permitidas o denegadas debe especificarse como direcciones IP válidas con el siguiente formato: IP_V4_ADDRESS o IP_V6_ADDRESS. constraints/compute.restrictVpnPeerIPs |
"is:" |
| Compute Engine | Establece la configuración del DNS interno para proyectos nuevos como Solo DNS zonal | Cuando se configura como “Verdadero”, los proyectos recién creados usarán DNS zonal como opción predeterminada. De forma predeterminada, esta restricción se establece como “Falso” y los proyectos recién creados usarán el tipo de DNS predeterminado. constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
| Compute Engine | Proyectos de propietario de las reservas compartidas | Esta restricción de lista define el conjunto de proyectos que pueden crear y poseer reservas compartidas en la organización. Una reserva compartida es similar a una local, salvo que, en lugar de ser solo consumible por proyectos de propietario, la pueden consumir otros proyectos de Compute Engine en la jerarquía de recursos. La lista de proyectos permitidos para acceder a la reserva compartida debe tener el siguiente formato: projects/PROJECT_NUMBER o under:projects/PROJECT_NUMBER. constraints/compute.sharedReservationsOwnerProjects |
"is:", "under:" |
| Compute Engine | Omitir la creación de la red predeterminada | En esta restricción booleana, se omite la creación de la red predeterminada y los recursos relacionados durante la creación de recursos del proyecto de Google Cloud Platform, en el que esta restricción se establece en True. En la configuración predeterminada, cuando se crea un recurso de un proyecto automáticamente se crean también una red predeterminada y recursos auxiliares.constraints/compute.skipDefaultNetworkCreation |
"is:" |
| Compute Engine | Restricciones de uso de recursos de almacenamiento de Compute (imágenes, instantáneas y discos de Compute Engine) | En esta restricción de lista, se define un conjunto de proyectos con los que se pueden usar los recursos de almacenamiento de Compute Engine. De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede acceder a los recursos de Compute Engine. Cuando se usa esta restricción, los usuarios deben tener permisos de Cloud IAM y no deben estar limitados por la restricción para acceder al recurso. Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados deben especificarse con el siguiente formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID. constraints/compute.storageResourceUseRestrictions |
"is:", "under:" |
| Compute Engine | Definir proyectos de imágenes confiables | En esta restricción de lista, se define el conjunto de proyectos que se pueden usar en el almacenamiento de imágenes y la creación de instancias de disco para Compute Engine. De forma predeterminada, se pueden crear instancias a partir de imágenes en cualquier proyecto que comparta imágenes de manera pública o explícita con el usuario. La listas de proyectos de publicador permitidos o denegados deben ser strings con el siguiente formato: projects/PROJECT_ID. Si esta restricción está activa, solo se permitirán imágenes de proyectos confiables como fuente de discos de arranque para nuevas instancias.constraints/compute.trustedImageProjects |
"is:" |
| Compute Engine | Restringir el desvío de IP de VM | En esta restricción de lista, se define el conjunto de instancias de VM con las que se puede habilitar el desvío de IP. De forma predeterminada, se puede utilizar cualquier VM para habilitar el desvío de IP en cualquier red virtual. Las instancias de VM deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Esta restricción no es retroactiva. constraints/compute.vmCanIpForward |
"is:", "under:" |
| Compute Engine | Definir IP externas permitidas para instancias de VM | En esta restricción de lista, se define el conjunto de instancias de VM de Compute Engine con el que se pueden usar direcciones IP externas. De forma predeterminada, todas las instancias de VM se pueden usar en direcciones IP externas. La lista de instancias de VM permitidas o denegadas debe identificarse por el nombre de la instancia de VM, con el siguiente formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess |
"is:" |
| Compute Engine | Inhabilita la activación de Identity-Aware Proxy (IAP) en recursos globales | Cuando se aplica esta restricción booleana, se inhabilita la activación de Identity-Aware Proxy en los recursos globales. Esta restricción no impide la habilitación de IAP en recursos regionales. De forma predeterminada, se permite habilitar IAP en recursos globales. constraints/iap.requireGlobalIapWebDisabled |
"is:" |
| Google Kubernetes Engine | Inhabilita las rutas de acceso de administrador para diagnósticos en GKE. | No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y se diseñó solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplica una restricción booleana, se inhabilitan todas las rutas de acceso para diagnósticos y otros casos de uso de asistencia al cliente que no cumplen con los requisitos de Assured Workloads. constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
| Dataform | Restringe controladores remotos de Git para los repositorios de Dataform | En esta restricción de lista, se define un conjunto de repositorios remotos con los que se pueden comunicar los repositorios del proyecto de Dataform. Para bloquear la comunicación con todos los controles remotos, establece el valor en Deny all. La restricción es retroactiva, por lo que bloquea la comunicación de los repositorios existentes que no cumplen con ella. Las entradas deben ser vínculos a controles remotos de confianza, en el mismo formato que se proporciona en Dataform.De forma predeterminada, los repositorios en los proyectos de Dataform pueden comunicarse con cualquier control remoto. constraints/dataform.restrictGitRemotes |
"is:" |
| Datastream | Datastream: Bloquea los métodos de conectividad pública | De forma predeterminada, se pueden crear perfiles de conexión de Datastream con métodos de conectividad públicos o privados. Si se aplica la restricción booleana para esta política de la organización, solo se pueden usar métodos de conectividad privada (por ejemplo, intercambio de tráfico de VPC) a fin de crear perfiles de conexión. constraints/datastream.disablePublicConnectivity |
"is:" |
| Contactos esenciales | Contactos restringidos del dominio | En esta restricción de lista, se define el conjunto de dominios que pueden tener las direcciones de correo electrónico agregadas a los contactos esenciales. De forma predeterminada, las direcciones de correo electrónico con cualquier dominio se pueden agregar a Contactos esenciales. La lista de permitidos o rechazados debe especificar uno o más dominios con el formato @example.com. Si esta restricción está activa y configurada con valores permitidos, solo se pueden agregar a Contactos esenciales las direcciones de correo electrónico con un sufijo que coincida con una de las entradas de la lista de dominios permitidos.Esta restricción no afecta la actualización ni la eliminación de los contactos existentes. constraints/essentialcontacts.allowedContactDomains |
"is:" |
| Contactos esenciales | Inhabilitar los contactos de seguridad del proyecto | Aplicar esta restricción booleana permite que los administradores de la política de la organización garanticen que solo los contactos asignados a nivel de la organización o la carpeta puedan recibir notificaciones de seguridad. De manera específica, aplicar esta restricción impide que los propietarios del proyecto y los administradores de contactos creen o actualicen un contacto esencial con un campo notification_category_subscriptions que contenga las categorías SECURITY o ALL, si el contacto también tiene un recurso del proyecto como superior. constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
| Firestore | Requiere el agente de servicio de Firestore para importar y exportar | Cuando se aplica esta restricción booleana, las importaciones y exportaciones de Firestore deben usar el agente de servicio de Firestore. Según la configuración predeterminada, las importaciones y exportaciones de Firestore pueden usar la cuenta de servicio de App Engine. Firestore dejará de usar la cuenta de servicio de App Engine para realizar importaciones y exportaciones en el futuro, y todas las cuentas deberán migrarse al agente de servicio de Firestore. Después de ese plazo, esta restricción ya no será necesaria. constraints/firestore.requireP4SAforImportExport |
"is:" |
| Cloud Healthcare | Inhabilita Cloud Logging para la API de Cloud Healthcare | Cuando se aplica esta restricción booleana, se inhabilita Cloud Logging para la API de Cloud Healthcare. Los registros de auditoría no se ven afectados por esta restricción. Los registros de Cloud generados para la API de Cloud Healthcare antes de que se aplique la restricción no se borran y se puede seguir accediendo a ellos. constraints/gcp.disableCloudLogging |
"is:" |
| Identity and Access Management | Permitir la extensión de la vida útil de los tokens de acceso de OAuth 2.0 hasta por 12 horas | Esta restricción de lista define el conjunto de cuentas de servicio a las que se les pueden otorgar tokens de acceso de OAuth 2.0 con una vida útil de hasta 12 horas. De forma predeterminada, el ciclo de vida máximo de estos tokens de acceso es de 1 hora. La lista de cuentas de servicio permitidas o rechazadas debe especificar una o más direcciones de correo electrónico de cuentas de servicio. constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
| Identity and Access Management | Uso compartido restringido al dominio | En esta restricción de lista, se definen uno o más IDs de cliente de Cloud Identity o Google Workspace cuyas principales se pueden agregar a las políticas de IAM. De forma predeterminada, se permite agregar todas las identidades de usuario a las políticas de IAM. Solo se pueden definir en esta restricción los valores permitidos; no se admiten los valores rechazados. Si esta restricción está activa, solo se pueden agregar a las políticas de IAM las principales que pertenezcan a los IDs de cliente permitidos. No es necesario que agregues el ID de cliente de google.com a esta lista para interactuar con los servicios de Google. Si agregas google.com, podrás compartir datos con empleados de Google y con sistemas que no sean de producción. Solo se debe usar para compartir datos con empleados de Google. constraints/iam.allowedPolicyMemberDomains |
"is:" |
| Identity and Access Management | Inhabilita la exención de registros de auditoría | Cuando se aplica esta restricción booleana, se impide que eximas principales adicionales del registro de auditoría. Esta restricción no afecta ninguna exención de registro de auditoría que existía antes de que se aplicara la restricción. constraints/iam.disableAuditLoggingExemption |
"is:" |
| Identity and Access Management | Inhabilitar el uso de cuentas de servicio entre proyectos | Cuando se aplican, las cuentas de servicio solo se pueden implementar (mediante la función ServiceAccountUser) para trabajos (vms, funciones, etc.) que se ejecutan en el mismo proyecto que la cuenta de servicio. constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
| Identity and Access Management | Inhabilita la creación de cuentas de servicio | Cuando esta restricción booleana está establecida en “Verdadero”, inhabilita la creación de cuentas de servicio. De forma predeterminada, los usuarios pueden crear cuentas de servicio según sus roles y permisos de Cloud IAM. constraints/iam.disableServiceAccountCreation |
"is:" |
| Identity and Access Management | Inhabilita la creación de claves de cuentas de servicio | Cuando esta restricción booleana está establecida en “Verdadero”, inhabilita la creación de claves externas de cuentas de servicio. De forma predeterminada, los usuarios pueden crear claves externas de cuentas de servicio según sus roles y permisos de Cloud IAM. constraints/iam.disableServiceAccountKeyCreation |
"is:" |
| Identity and Access Management | Inhabilitar carga de clave de cuenta de servicio | Esta restricción booleana inhabilita la función que permite subir claves públicas a las cuentas de servicio cuando esta restricción está establecida en "Verdadero". De forma predeterminada, los usuarios pueden subir claves públicas a las cuentas de servicio según sus roles y permisos de Cloud IAM. constraints/iam.disableServiceAccountKeyUpload |
"is:" |
| Identity and Access Management | Puede inhabilitar la creación de clústeres de Workload Identity | Si esta restricción booleana se configura como "True" (verdadero), se requiere que Workload Identity esté inhabilitado en todos los clústeres de GKE nuevos en el momento de su creación. Los clústeres de GKE existentes que tengan habilitado Workload Identity funcionarán como de costumbre. Según la configuración predeterminada, Workload Identity se puede habilitar para cualquier clúster de GKE. constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
| Identity and Access Management | Duración del vencimiento de la clave de cuenta de servicio en horas | Esta restricción de lista define la duración máxima permitida para el vencimiento de las claves de cuentas de servicio. De forma predeterminada, las claves creadas nunca vencen. La duración permitida se especifica en horas y debe provenir de la lista que aparece a continuación. Solo se puede establecer un valor y no se admiten los valores rechazados. Si especificas una duración que no está en esta lista, se producirá un error.
inheritFromParent=false en el archivo de políticas si usas gcloud CLI. Esta restricción no se puede combinar con una política superior. La restricción no se aplica de forma retroactiva ni cambia las claves preexistentes. constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
| Identity and Access Management | Respuesta a la exposición de la clave de la cuenta de servicio | En esta restricción de lista, se define la respuesta que se toma si Google detecta que una clave de cuenta de servicio se expone de forma pública. De forma predeterminada, no hay respuesta. Los valores permitidos son DISABLE_KEY y WAIT_FOR_ABUSE. No se pueden utilizar los valores que no forman parte de la lista de forma explícita. Solo se puede establecer un valor y no se admiten los valores rechazados. Si permites el valor DISABLE_KEY, se inhabilita automáticamente cualquier clave de cuenta de servicio expuesta de forma pública y se crea una entrada en el registro de auditoría. Si permites el valor WAIT_FOR_ABUSE, se inhabilita esta protección y no se inhabilitan automáticamente las claves de cuenta de servicio expuestas. Sin embargo, Google Cloud puede inhabilitar las claves de cuenta de servicio expuestas si se usan de formas que afectan de forma negativa a la plataforma, pero no promete hacerlo. Para aplicar esta restricción, configúrala para que reemplace la política superior en la Google Cloud Console o configura inheritFromParent=false en el archivo de políticas si usas gcloud CLI. Esta restricción no se puede combinar con una política superior. constraints/iam.serviceAccountKeyExposureResponse |
"is:" |
| Identity and Access Management | Cuentas de AWS permitidas que se pueden configurar para la Federación de Workload Identity en Cloud IAM | Lista de ID de cuentas de AWS que se pueden configurar para la Federación de Workload Identity en Cloud IAM. constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
| Identity and Access Management | Proveedores de identidad externos admitidos para cargas de trabajo en Cloud IAM | Los proveedores de identidad que pueden configurarse para la autenticación de cargas de trabajo dentro de Cloud IAM, especificado por URI o URL.constraints/iam.workloadIdentityPoolProviders |
"is:" |
| Plano de control administrado de Anthos Service Mesh | Modo de Controles del servicio de VPC permitido para los planos de control administrados de Anthos Service Mesh | Esta restricción determina qué modos de los Controles del servicio de VPC se pueden configurar cuando se aprovisiona un plano de control administrado nuevo de Anthos Service Mesh. Los valores válidos son “NONE” y “COMPATIBLE”. constraints/meshconfig.allowedVpcscModes |
"is:" |
| Cloud Pub/Sub | Aplicar las regiones en tránsito para los mensajes de Pub/Sub | Cuando se aplica esta restricción booleana, se establece como verdadero MessageStoragePolicy::enforce_in_transit en todos los temas nuevos de Pub/Sub en el momento en que se crean. Así, los datos de los clientes solo pasan por las regiones permitidas que se especificaron en la política de almacenamiento de mensajes del tema. constraints/pubsub.enforceInTransitRegions |
"is:" |
| Resource Manager | Restringir la eliminación de la retención del proyecto de VPC compartida | En esta restricción booleana, se restringe el conjunto de usuarios que pueden quitar una retención de proyecto host de VPC compartida sin permiso a nivel de la organización en la que esta restricción se establece en True. De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede quitar una retención de proyecto host de VPC compartida. Para aplicar esta restricción, se debe otorgar permiso a nivel de la organización. constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
| Resource Manager | Restringir la eliminación de las retenciones de la cuenta de servicio entre proyectos | Cuando se APLICA esta restricción booleana, se impide que los usuarios quiten una retención de cuentas de servicio entre proyectos sin el debido permiso a nivel de la organización. De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede quitar una retención de cuenta de servicio entre proyectos. Para aplicar esta restricción, se debe otorgar permiso a nivel de la organización. constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
| Resource Manager | Restringe la visibilidad de la búsqueda de recursos | Cuando se aplica esta restricción de lista a un recurso de organización, se define el conjunto de recursos de Google Cloud que se muestran en los métodos de lista y búsqueda para los usuarios del dominio de la organización en la que se aplica esta restricción. Esto se puede usar para limitar los recursos visibles en varias partes de la consola de Cloud, como la página del selector de recursos, de búsqueda y de administración de recursos. Ten en cuenta que esta restricción solo se evalúa a nivel de la organización. Los valores especificados en las listas de entidades permitidas o denegadas deben tener el siguiente formato: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.accessBoundaries |
"is:", "under:" |
| Resource Manager | Exige la lista de servicios habilitados permitidos para el traslado entre organizaciones | Esta restricción de lista actúa como una marca que permite verificar que un proyecto que tiene un servicio habilitado sea apto para el traslado entre organizaciones. Un recurso con un servicio compatible habilitado debe aplicar esta restricción, y el servicio compatible debe estar incluido en los valores permitidos a fin de ser apto para un traslado entre organizaciones. La lista actual de valores permitidos para los servicios compatibles que se pueden usar es la siguiente:
Esta restricción proporciona un control adicional sobre constraints/resourcemanager.allowedExportDestinations. Esta list_constraint está vacía de forma predeterminada y no bloqueará los traslados entre organizaciones, a menos que se habilite un servicio compatible en el recurso que se exportará. Esta restricción permite un control más preciso sobre los recursos que usan funciones que requieren más precaución cuando se trasladan a otra organización. De forma predeterminada, un recurso con un servicio compatible habilitado no puede trasladarse entre organizaciones. constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
| Resource Manager | Destinos permitidos para exportar recursos | En esta restricción de lista, se define el conjunto de organizaciones externas a las que se pueden trasladar los recursos y se deniegan todos los traslados a las demás organizaciones. De forma predeterminada, los recursos no se pueden trasladar entre organizaciones. Si esta restricción se aplica a un recurso, solo se puede trasladar el recurso a las organizaciones que lo permiten forma explícita. Los traslados dentro de una organización no se rigen por esta restricción. La operación de traslado igual requerirá los mismos permisos de IAM que los traslados de recursos normales. Los valores especificados en las listas de entidades permitidas o denegadas deben tener el siguiente formato: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.allowedExportDestinations |
"is:", "under:" |
| Resource Manager | Fuentes permitidas para importar recursos | En esta restricción de lista, se define el conjunto de organizaciones externas desde las que se pueden importar los recursos y se deniegan todos los traslados de todas las demás organizaciones. De forma predeterminada, los recursos no se pueden trasladar entre organizaciones. Si se aplica esta restricción a un recurso, los recursos importados directamente en este recurso deben permitirse de forma explícita. Los traslados dentro de una organización no se rigen por esta restricción. La operación de traslado igual requerirá los mismos permisos de IAM que los traslados de recursos normales. Los valores especificados en las listas de entidades permitidas o denegadas deben tener el siguiente formato: under:organizations/ORGANIZATION_ID. constraints/resourcemanager.allowedImportSources |
"is:", "under:" |
| Cloud Run | Políticas de autorización binaria permitidas (Cloud Run) | Esta restricción de lista define el conjunto de nombres de políticas de autorización binaria que se pueden especificar en un recurso de Cloud Run. A fin de habilitar o no la política predeterminada, usa el valor “default”. Para habilitar o no una o más políticas de plataforma personalizadas, el ID de recurso de cada una de esas políticas debe agregarse por separado. constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
| Cloud Run | Configuración de entrada permitida (Cloud Run) | Esta restricción de lista define la configuración de entrada permitida para los servicios de Cloud Run. Cuando se aplica esta restricción, los servicios deben tener una configuración de entrada que coincida con uno de los valores permitidos. Los servicios de Cloud Run existentes con configuración de entrada que infringen esta restricción se pueden seguir actualizando hasta que se cambie la configuración de entrada del servicio para cumplir con esta restricción. Una vez que un servicio cumple con esta restricción, el servicio solo puede usar la configuración de entrada que permite esta restricción. De forma predeterminada, los servicios de Cloud Run pueden usar cualquier configuración de entrada. La lista permitida debe contener valores de configuración de entrada admitidos, que son all, internal y internal-and-cloud-load-balancing.constraints/run.allowedIngress |
"is:" |
| Cloud Run | Configuración de salida de VPC permitida (Cloud Run) | Esta restricción de lista define la configuración permitida de salida de VPC que se puede especificar en un recurso de Cloud Run. Cuando se aplica esta restricción, los recursos de Cloud Run deben implementarse con un conector de Acceso a VPC sin servidores o con la salida de VPC directa habilitada, y la configuración de la salida de VPC debe coincidir con uno de los valores permitidos. De forma predeterminada, los recursos de Cloud Run pueden establecer la configuración de salida de VPC en cualquier valor admitido. La lista permitida debe contener valores de configuración de salida de VPC admitidos, que son private-ranges-only y all-traffic.Para los servicios existentes de Cloud Run, todas las revisiones nuevas deben cumplir con esta restricción. Los servicios existentes con revisiones que entregan tráfico que incumplen esta restricción pueden seguir migrando tráfico a revisiones que incumplen esta restricción. Una vez que se entregue todo el tráfico de un servicio mediante revisiones que cumplen con esta restricción, las migraciones de tráfico posteriores solo deberán migrar el tráfico a revisiones que cumplan con esta restricción. constraints/run.allowedVPCEgress |
"is:" |
| Administración de consumidores de servicios | Inhabilita el otorgamiento automático de IAM para las cuentas de servicio predeterminadas | Cuando se aplica esta restricción booleana, se impide que se asignen automáticamente funciones de IAM a las cuentas de servicio predeterminadas de App Engine y Compute Engine que se crean para tus proyectos. De forma predeterminada, estas cuentas de servicio reciben automáticamente la función de Editor cuando se crean. constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
| Control de servicios | Restringir versiones de TLS | Esta restricción define el conjunto de versiones de TLS que no se pueden usar en la organización, la carpeta o el proyecto en el que se aplica esta restricción, ni ninguno de los elementos secundarios de ese recurso en la jerarquía del recurso. De forma predeterminada, se permiten todas las versiones de TLS. Las versiones de TLS solo se pueden especificar en la lista denegada y deben identificarse con el formato TLS_VERSION_1 o TLS_VERSION_1_1.Esta restricción solo se aplica a las solicitudes que usan TLS. No se usará para restringir solicitudes sin encriptación. Para obtener más información, consulta https://cloud.google.com/assured-workloads/docs/restrict-tls-versions. constraints/gcp.restrictTLSVersion |
"is:" |
| Cloud Spanner | Habilitar el control de servicios avanzado para las cargas de trabajo de cumplimiento | No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplique esta restricción booleana, se inhabilitarán algunos aspectos de la compatibilidad y los recursos aprovisionados seguirán estrictamente los requisitos avanzados de soberanía de Assured Workloads. Esta política se aplicará a proyectos existentes, pero no afectará los recursos que ya se aprovisionaron, es decir, las modificaciones a la política solo se reflejarán en los recursos creados después de dichas modificaciones. constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
| Cloud Spanner | Inhabilita la opción multirregional en Cloud Spanner si no se seleccionó una ubicación | No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, impide que se creen instancias de Spanner usando la configuración de instancias multirregionales, a menos que se seleccione una ubicación. Actualmente, Cloud Spanner todavía no es compatible con la selección de ubicaciones, por lo que no se permitirán las instancias multirregionales. Spanner proporcionará la funcionalidad para que los usuarios seleccionen ubicaciones multirregionales en el futuro. La restricción no se aplica de forma retroactiva. Las instancias de Spanner que ya se crearon no se verán afectadas. constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
| Cloud Storage | Google Cloud Platform: modo de registro de auditoría detallado | Cuando se aplica el modo de registros de auditoría detallados, se incluyen la solicitud y la respuesta en los registros de auditoría de Cloud. Los cambios en esta función podrían tardar hasta 10 minutos en mostrarse. Se recomienda usar esta política de la organización con el bloqueo de bucket cuando quiera garantizarse el cumplimiento de reglas como la regla 17a-4(f) de la SEC, las reglas 1.31(c)-(d) de la CFTC y la regla 4511(c) de FINRA. Actualmente, esta política solo se admite en Cloud Storage. constraints/gcp.detailedAuditLoggingMode |
"is:" |
| Cloud Storage | Aplica la prevención del acceso público | Aplica medidas de prevención de acceso público para proteger los datos de Cloud Storage de la exposición pública. Esta política de administración evita que se acceda a los recursos existentes y futuros a través de la Internet pública, ya que inhabilita y bloquea los permisos de IAM y LCA que otorgan acceso a allUsers y allAuthenticatedUsers. Aplica esta política en toda la organización (recomendado) o en proyectos o carpetas específicos para asegurarte de que los datos no se expongan públicamente.Esta política anula los permisos públicos existentes. Se revocará el acceso público a los buckets y objetos existentes después de que se habilite esta política. constraints/storage.publicAccessPrevention |
"is:" |
| Cloud Storage | Cloud Storage: Restringe los tipos de autenticación | La restricción define el conjunto de tipos de autenticación que no podrán acceder a ningún recurso de almacenamiento de la organización en Cloud Storage. Los valores admitidos son USER_ACCOUNT_HMAC_SIGNED_REQUESTS y SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Usa in:ALL_HMAC_SIGNED_REQUESTS para incluir ambos. constraints/storage.restrictAuthTypes |
"is:", "in:" |
| Cloud Storage | Período establecido en la política de retención, en segundos | En esta restricción de lista, se define el conjunto de duraciones de las políticas de retención que se pueden configurar en los buckets de Cloud Storage. De forma predeterminada, si no se especifica una política de la organización, un bucket de Cloud Storage puede tener una política de retención de cualquier duración. La lista de duraciones permitidas debe especificarse como un número entero positivo mayor que cero, que representa la política de retención en segundos. Todas las operaciones de inserción, actualización o aplicación de parches que se realicen en un bucket del recurso de la organización deben tener una duración de política de retención que coincida con la restricción. La restricción no se aplica de forma retroactiva. Cuando se aplica una nueva política de la organización, la política de retención de los buckets existentes permanece sin cambios y es válida. constraints/storage.retentionPolicySeconds |
"is:" |
| Cloud Storage | Restringir el acceso HTTP sin encriptar | Cuando se aplica esta restricción booleana, se deniega de forma explícita el acceso HTTP (desencriptado) a todos los recursos de almacenamiento. De forma predeterminada, la API de XML de Cloud Storage permite el acceso HTTP sin encriptar. Ten en cuenta que la API de JSON de Cloud Storage, gRPC y la consola de Cloud solo admiten acceso HTTP encriptado a los recursos de Cloud Storage. constraints/storage.secureHttpTransport |
"is:" |
| Cloud Storage | Aplica acceso uniforme a nivel de bucket | En esta restricción booleana, se requiere que los depósitos usen un nivel de bucket uniforme en el que esta restricción se configure en True. Cualquier bucket nuevo en el recurso de organización debe tener habilitado el acceso uniforme a nivel de bucket y no se puede inhabilitar mediante ningún bucket existente en este recurso. La aplicación de esta restricción no es retroactiva. El acceso uniforme a nivel de bucket seguirá inhabilitado en los depósitos existentes que estén configurados de esa forma. El valor predeterminado para esta restricción es False. Con el acceso uniforme a nivel de bucket, se inhabilita la evaluación de las LCA asignadas a los objetos de Cloud Storage almacenados en el bucket. En consecuencia, solo mediante las políticas de IAM se otorga acceso a los objetos de estos depósitos. constraints/storage.uniformBucketLevelAccess |
"is:" |
Guías prácticas
Para obtener más información sobre cómo usar restricciones individuales, haz lo siguiente:
| Restricción | Guía práctica |
|---|---|
constraints/cloudbuild.allowedIntegrations |
Puertas que se basan en la política de la organización |
constraints/cloudfunctions.allowedIngressSettings |
Usa los Controles del servicio de VPC |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
Usa los Controles del servicio de VPC |
constraints/cloudfunctions.requireVPCConnector |
Usa los Controles del servicio de VPC |
constraints/gcp.restrictNonCmekServices |
Políticas de la organización de CMEK |
constraints/gcp.restrictCmekCryptoKeyProjects |
Políticas de la organización de CMEK |
constraints/gcp.restrictTLSVersion |
Restringe las versiones de TLS |
constraints/compute.restrictPrivateServiceConnectConsumerconstraints/compute.restrictPrivateServiceConnectProducer |
Administra la seguridad de los consumidores de Private Service Connect |
constraints/compute.restrictCloudNATUsage |
Restringir el uso de Cloud NAT |
constraints/compute.restrictLoadBalancerCreationForTypes |
Restricciones de Cloud Load Balancing |
constraints/compute.restrictProtocolForwardingCreationForTypes |
Restricciones de reenvío de protocolos |
constraints/compute.restrictDedicatedInterconnectUsageconstraints/compute.restrictPartnerInterconnectUsage |
Restringe el uso de Cloud Interconnect |
constraints/compute.restrictVpnPeerIPs |
Restringir direcciones IP de intercambio de tráfico a través de un túnel de Cloud VPN |
constraints/compute.trustedImageProjects |
Restringe el acceso a las imágenes |
constraints/compute.vmExternalIpAccess |
Inhabilita el acceso de IP externa para VM |
constraints/compute.requireVpcFlowLogs |
Restricciones de las políticas de la organización para los registros de flujo de VPC |
constraints/dataform.restrictGitRemotes |
Restringe los repositorios remotos |
constraints/gcp.restrictServiceUsage |
Restringe el uso de recursos |
constraints/iam.allowedPolicyMemberDomains |
Restringe identidades por dominio |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
Extiende la vida útil de los tokens de acceso de OAuth 2.0 |
constraints/iam.disableCrossProjectServiceAccountUsage |
Conecta una cuenta de servicio a un recurso en un proyecto diferente |
constraints/iam.disableServiceAccountCreation |
Restringe la creación de cuentas de servicio |
constraints/iam.disableServiceAccountKeyCreation |
Restringe la creación de claves de cuenta de servicio |
constraints/iam.disableServiceAccountKeyUpload |
Restringe la carga de claves de cuentas de servicio |
constraints/iam.disableWorkloadIdentityClusterCreation |
Restringe la creación de clústeres de Workload Identity |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
Conecta una cuenta de servicio a un recurso en un proyecto diferente |
constraints/gcp.detailedAuditLoggingModeconstraints/storage.retentionPolicySecondsconstraints/storage.uniformBucketLevelAccessconstraints/storage.publicAccessPrevention |
Restricciones de la política de la organización para Cloud Storage |
constraints/gcp.disableCloudLogging |
Inhabilita Cloud Logging |
constraints/gcp.resourceLocations |
Restringe las ubicaciones de recursos |
constraints/resourcemanager.accessBoundaries |
Cómo restringir la visibilidad del proyecto para los usuarios |
constraints/run.allowedIngress |
Usa los Controles del servicio de VPC |
constraints/run.allowedVPCEgress |
Usa los Controles del servicio de VPC |
Más información
Para obtener más información sobre los conceptos centrales de la política de la organización, haz lo siguiente:
Lee la descripción general de la política de la organización.
Lea acerca de qué son las restricciones.
Lee cómo usar restricciones para crear políticas de la organización.
Lee sobre cómo funciona la evaluación jerárquica.