Restricciones de las políticas de la organización

Restricciones disponibles

Puedes especificar políticas para que con ellas se usen las siguientes restricciones. Se están desarrollando más restricciones.

Restricciones compatibles con varios servicios de Google Cloud

Restricción Descripción Prefijos compatibles
Google Cloud Platform - Restricción de ubicación de recursos En esta restricción de lista, se define el conjunto de ubicaciones en las que se crean los recursos de GCP basados en la ubicación.
De forma predeterminada, los recursos pueden crearse en cualquier ubicación.
Las políticas para esta restricción pueden especificar múltiples regiones como asia y europe, regiones como us-east1 o europe-west1 como ubicaciones permitidas o denegadas. El permiso o la denegación de una multirregión no implica el permiso o la denegación de todas las sububicaciones incluidas. Por ejemplo, si la política deniega la multirregión us, los recursos aún se pueden crear en la ubicación regional us-east1.
Te recomendamos que uses grupos de valores para definir tu política.
Puedes especificar grupos de valores, colecciones de ubicaciones que Google selecciona para proporcionar una forma sencilla de definir tus ubicaciones de recursos. Para utilizar grupos de valores en las políticas de la organización, asigna un prefijo de las entradas con la string in:, seguido del grupo de valores.
Por ejemplo, para crear recursos que solo se encuentren físicamente en EE.UU., configura in:us-locations en la lista de valores permitidos.
Si el campo suggested_value se usa en una política de ubicación, debe ser una región. Si el valor especificado es una región, una IU para un recurso zonal puede prepropagar cualquier zona en esa región.
constraints/gcp.resourceLocations
"is:", "in:"
Restringir los servicios y las API de Google Cloud permitidos En esta restricción de lista, se limita el conjunto de servicios y API que se pueden habilitar en este recurso. De forma predeterminada, se permiten todos los servicios.
La lista de servicios denegados debe provenir de la siguiente lista. Por el momento, no se puede habilitar de forma explícita las API mediante esta restricción. Especificar una API que no está en esta lista dará como resultado un error.
La aplicación de esta restricción no es retroactiva. Si un servicio ya está habilitado en un recurso cuando se aplica esta restricción, este permanecerá habilitado.

constraints/serviceuser.services
"is:"

Restricciones para servicios específicos

Servicios Restricción Descripción Prefijos compatibles
App Engine Inhabilitar descarga de código fuente Inhabilita la descarga de código fuente subido previamente a App Engine.
constraints/appengine.disableCodeDownload
"is:"
Cloud Functions Configuración de entrada permitida (Cloud Functions) En esta restricción de lista, se define la configuración de entrada permitida para la implementación de una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que la configuración de entrada de las funciones coincida con uno de los valores permitidos.
Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de entrada.
La configuración de entrada debe especificarse en la lista permitida con los valores de la enumeración IngressSettings.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Configuración de salida permitida del conector de VPC (Cloud Functions) En esta restricción de lista, se define la configuración de salida del conector de VPC permitida para la implementación de una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que la configuración de salida del conector de VPC de las funciones coincida con uno de los valores permitidos.
Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de salida del conector de VPC.
La configuración de salida del conector de VPC debe especificarse en la lista permitida con los valores de la enumeración VpcConnectorEgressSettings.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Exigir conector de VPC (Cloud Functions) Esta restricción booleana aplica forzosamente la configuración de un conector de VPC cuando se implementa una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que se especifique un conector de VPC para las funciones.
Según la configuración predeterminada, no es necesario especificar un conector de VPC para implementar una función de Cloud Functions.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL Restricción de la encriptación predeterminada administrada por Google en las instancias de Cloud SQL BETA: Esta restricción booleana, cuando se establece en True, requiere que todas las instancias de Cloud SQL recién creadas, reiniciadas o actualizadas, utilicen claves de encriptación que administra el cliente (CMEK). No es retroactiva, lo que significa que las instancias existentes con encriptación administrada mediante Google no se ven afectadas, a menos que se actualicen.
De forma predeterminada, esta restricción se establece en False y se permite la encriptación administrada mediante Google para las instancias de Cloud SQL.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Restringir las redes autorizadas en las instancias de Cloud SQL Mediante esta restricción booleana, se restringe la adición de redes autorizadas para el acceso de bases de datos sin proxy a instancias de Cloud SQL en las que esta restricción se establece en True. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con redes autorizadas existentes aún funcionarán.
De forma predeterminada, las redes autorizadas pueden agregarse a instancias de Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Restringir el acceso de IP pública en las instancias de Cloud SQL En esta restricción booleana, se limita la configuración de la IP pública para las instancias de Cloud SQL en las que esta restricción se establece en True. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con un acceso de IP pública existente aún funcionarán.
De forma predeterminada, se admite el acceso de IP pública a las instancias de Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Inhabilitar metadatos de atributos de invitado de Compute Engine En esta restricción booleana, se inhabilita el acceso mediante la API de Compute Engine a los atributos de invitado de las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, la API de Compute Engine se puede usar para acceder a los atributos de invitado de la VM de Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Inhabilitar grupos de extremos de red de Internet Esta restricción booleana limita si un usuario puede crear grupos de extremos de red (NEG) de Internet con un type de INTERNET_FQDN_PORT y INTERNET_IP_PORT.
De forma predeterminada, cualquier usuario con los permisos de IAM adecuados puede crear NEG de Internet en cualquier proyecto.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Inhabilitar la virtualización anidada de VM Mediante esta restricción booleana, se inhabilita la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, se permite la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que se ejecutan en Intel Haswell o en plataformas de CPU más recientes.

constraints/compute.disableNestedVirtualization
"is:"
Inhabilitar el acceso al puerto en serie de VM Mediante esta restricción booleana, se inhabilita el acceso del puerto en serie a las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, los clientes pueden habilitar el acceso al puerto en serie para las VM de Compute Engine por VM o por proyecto mediante el uso de atributos de metadatos. El cumplimiento de esta restricción permite inhabilitar el acceso al puerto en serie para las VM de Compute Engine, independientemente de los atributos de metadatos.

constraints/compute.disableSerialPortAccess
"is:"
Inhabilitar el registro de puertos en serie de VM en Stackdriver Mediante esta restricción booleana, se inhabilitan los registros de puertos en serie de Stackdriver desde las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que se aplica esta restricción.
El registro de puertos en serie de las VM de Compute Engine está inhabilitado de forma predeterminada, pero puede habilitarse selectivamente por VM o por proyecto con los atributos de metadatos. Cuando se aplica esta restricción, se inhabilita el registro del puerto en serie para las nuevas VM de Compute Engine cada vez que se crea una y se evita que los usuarios cambien el atributo de metadatos de cualquier VM (antigua o nueva) a True.
constraints/compute.disableSerialPortLogging
"is:"
Requiere acceso al SO Mediante esta restricción booleana, cuando se establece en true, se habilita el acceso al SO en todos los proyectos recién creados. Todas las instancias de VM creadas en proyectos nuevos tendrán el acceso al SO habilitado. En los proyectos nuevos y existentes, esta limitación impide las actualizaciones de metadatos que inhabilitan el Acceso al SO al nivel de proyecto o de instancia.
De forma predeterminada, la característica Acceso al SO se inhabilita en los proyectos de Compute Engine.
En las instancias de GKE, actualmente no se admite el Acceso al SO. Si esta restricción se aplica a un proyecto, es posible que las instancias de GKE que se ejecutan en ese proyecto no funcionen de forma adecuada.
constraints/compute.requireOsLogin
"is:"
VM protegidas Cuando esta restricción booleana se establece en True, se requiere que en todas las instancias nuevas de VM de Compute Engine se usen imágenes de disco protegidas con las opciones Inicio seguro, vTPM y Supervisión de integridad habilitadas. El inicio seguro se puede inhabilitar después de la creación, si así lo deseas. Las instancias activas existentes seguirán funcionando normalmente.
De forma predeterminada, no es necesario habilitar las características de VM protegida para crear instancias de VM de Compute Engine. Las funciones de VM protegida agregan integridad y resistencia comprobables ante el robo de datos a tus VM.
constraints/compute.requireShieldedVm
"is:"
Restringir la conexión a Google autenticada En esta restricción de lista, se define el conjunto de VM de Compute Engine que se admiten para usar la conexión autenticada a Google (Cloud-to-Prod). No se admite solo la conexión autenticada a Google. Las VM pueden usar el acceso bidireccional a Google solo si se lo permiten constraints/compute.restrictDirectGoogleAccess (Cloud-to-Prod) y constraints/compute.restrictAuthenticatedGoogleConnection (Prod-to-Cloud). De forma predeterminada, todas las subredes pueden usar cualquier tipo de acceso directo a Google. La lista de VM permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE_NAME/instances/INSTANCE_NAME.
constraints/compute.restrictAuthenticatedGoogleConnection
"is:", "under:"
Restringe el uso de Cloud NAT Esta restricción de lista define el conjunto de subredes que pueden usar Cloud NAT. De forma predeterminada, todas las subredes pueden usar Cloud NAT. La lista de subredes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Restringe el uso dedicado de Cloud Interconnect En esta restricción de lista, se define el conjunto de redes de Compute Engine con el fin de usar la interconexión dedicada de Cloud Interconnect. De forma predeterminada, las redes pueden usar cualquier tipo de interconexión de Cloud Interconnect. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Restringe el acceso directo a Google En esta restricción de lista, se define el conjunto de VM de Compute Engine que se admiten para usar el acceso directo a Google (Cloud-to-Prod). De forma predeterminada, todas las subredes pueden usar cualquier tipo de acceso directo a Google. La lista de VM permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE_NAME/instances/INSTANCE_NAME.
constraints/compute.restrictDirectGoogleAccess
"is:", "under:"
Restringe la creación de balanceadores de cargas según los tipos de balanceadores de cargas En esta restricción de lista, se define el conjunto de tipos de balanceadores de cargas que pueden crearse para una organización, carpeta o proyecto. Todos los tipos de balanceadores de cargas que se permitan o se denieguen deben estar detallados de forma explícita. De forma predeterminada, se permite crear todos los tipos de balanceadores de cargas.
La lista de valores permitidos o denegados debe identificarse como el nombre de string de un balanceador de cargas y solo puede incluir valores de la lista que aparece a continuación:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS

Para incluir todos los tipos de balanceadores de cargas internos o externos, usa el prefijo in: seguido de INTERNAL o EXTERNAL. Por ejemplo, si se usa in:INTERNAL, se permitirán todos los tipos de balanceadores de cargas de la lista que incluyen INTERNAL.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:", "in:"
Restringir el uso de Partner de Cloud Interconnect En esta restricción de lista, se define el conjunto de redes de Compute Engine con los que se puede usar Partner de Cloud Interconnect. De forma predeterminada, las redes pueden usar cualquier tipo de interconexión de Cloud Interconnect. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
Restringe el reenvío de protocolo en función del tipo de dirección IP. En esta restricción de lista, se define el tipo de objetos de regla de reenvío de protocolos con instancia de destino que puede crear un usuario. Cuando se aplique esta restricción, los objetos nuevos de regla de reenvío con instancia de destino se limitarán a direcciones IP internas o externas, según los tipos que se especifiquen. Todos los tipos que se permitan o se denieguen deben estar detallados de forma explícita. De forma predeterminada, se permite la creación de objetos de regla de reenvío de protocolos con instancia de destino internos y externos.
La lista de valores permitidos o denegados solo puede incluir valores de la siguiente lista:
  • INTERNAL
  • EXTERNAL
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
Restringir los proyectos de host de VPC compartida En esta restricción de lista, se define el conjunto de proyectos de host de VPC compartida a los que pueden adjuntarse los proyectos en este recurso o en un recurso secundario. De forma predeterminada, un proyecto puede adjuntarse a cualquier proyecto de host dentro de la misma organización, lo que lo convierte en un proyecto de servicio. Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados afectan a todos los objetos situados debajo de ellos en la jerarquía de recursos y deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Restringir las subredes de VPC compartidas Esta restricción de lista define el conjunto de subredes de VPC compartidas que pueden usar los recursos aptos. Esta restricción no se aplica a los recursos dentro del mismo proyecto. De forma predeterminada, los recursos aptos pueden usar cualquier subred de VPC compartida. La lista de subredes permitidas o rechazadas debe especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
Restringir el uso de intercambio de tráfico de VPC En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a este proyecto, carpeta u organización. De forma predeterminada, el administrador de red de una red puede intercambiar tráfico con cualquier otra red. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
Esta restricción es retroactiva.
constraints/compute.restrictVpcPeering
"is:", "under:"
Restringir IP de intercambio de tráfico de VPN Esta restricción de lista define el conjunto de direcciones IP-v4 válidas que pueden configurarse como IP de intercambio de tráfico de VPN. De forma predeterminada, cualquier IP puede ser una IP de intercambio de tráfico de VPN en una red de VPC. La lista de direcciones IP permitidas y denegadas debe especificarse como direcciones IP-v4 válidas con el siguiente formato: IP_V4_ADDRESS.
constraints/compute.restrictVpnPeerIPs
"is:"
Omitir creación de red predeterminada En esta restricción booleana, se omite la creación de la red predeterminada y los recursos relacionados durante la creación de recursos del proyecto de Google Cloud Platform, en el que esta restricción se establece en True. De forma predeterminada, cuando se crea un recurso de proyecto, también se crean automáticamente una red predeterminada y recursos auxiliares.

constraints/compute.skipDefaultNetworkCreation
"is:"
Restricciones de uso de recursos de almacenamiento de Compute (imágenes, instantáneas y discos de Compute Engine) En esta restricción de lista, se define un conjunto de proyectos con los que se pueden usar los recursos de almacenamiento de Compute Engine. De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede acceder a los recursos de Compute Engine. Cuando se usa esta restricción, los usuarios deben tener permisos de Cloud IAM y no deben estar limitados por la restricción para acceder al recurso.
Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados deben especificarse con el siguiente formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Definir proyectos de imágenes confiables En esta restricción de lista, se define el conjunto de proyectos que se pueden usar en el almacenamiento de imágenes y la creación de instancias de disco para Compute Engine.
De forma predeterminada, se pueden crear instancias a partir de imágenes en cualquier proyecto que comparta imágenes de manera pública o explícita con el usuario.
La listas de proyectos de publicador permitidos o denegados deben ser strings con el siguiente formato: projects/PROJECT_ID. Si esta restricción está activa, solo se permitirán imágenes de proyectos confiables como fuente de discos de arranque para nuevas instancias.

constraints/compute.trustedImageProjects
"is:"
Restringir el desvío de IP de VM En esta restricción de lista, se define el conjunto de instancias de VM con las que se puede habilitar el desvío de IP. De forma predeterminada, se puede utilizar cualquier VM para habilitar el desvío de IP en cualquier red virtual. Las instancias de VM deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
constraints/compute.vmCanIpForward
"is:", "under:"
Definir IP externas permitidas para instancias de VM En esta restricción de lista, se define el conjunto de instancias de VM de Compute Engine con el que se pueden usar direcciones IP externas.
De forma predeterminada, todas las instancias de VM se pueden usar en direcciones IP externas.
La lista de instancias de VM permitidas o denegadas debe identificarse por el nombre de la instancia de VM, con el siguiente formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Cloud Healthcare Inhabilitar Cloud Logging Inhabilita Cloud Logging en la organización, el proyecto o la carpeta cuando se aplique esta restricción. Los registros de auditoría no se ven afectados por esta restricción.
Los registros generados antes de que se aplique la restricción no se borran y se puede seguir accediendo a ellos.
Esta restricción solo se admite en la API de Cloud Healthcare.
constraints/gcp.disableCloudLogging
"is:"
Administración de identidades y accesos Permite extender la vida útil de los tokens de acceso de OAuth 2.0 hasta por 12 horas Esta restricción de lista define el conjunto de cuentas de servicio a las que se les pueden otorgar tokens de acceso de OAuth 2.0 con una vida útil de hasta 12 horas. De forma predeterminada, el ciclo de vida máximo de estos tokens de acceso es de 1 hora.
La lista de cuentas de servicio permitidas o rechazadas debe especificar una o más direcciones de correo electrónico de cuentas de servicio.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
Uso compartido restringido al dominio Esta restricción en formato de lista define el conjunto de miembros que se pueden agregar a las Políticas de Cloud IAM.
De forma predeterminada, se permite agregar todas las identidades de usuario a las políticas de Cloud IAM.
En la lista de usuarios admitidos o denegados, se deben especificar uno o más ID de clientes de Cloud Identity o G Suite. Si la restricción está activa, solo las identidades de la lista de permitidos se podrán agregar a las Políticas de Cloud IAM.

constraints/iam.allowedPolicyMemberDomains
"is:"
Inhabilita la creación de cuentas de servicio Cuando esta restricción booleana está establecida en "True" (verdadero), se inhabilita la creación de cuentas de servicio.
De forma predeterminada, los usuarios pueden crear cuentas de servicio según sus funciones y permisos de Cloud IAM.

constraints/iam.disableServiceAccountCreation
"is:"
Inhabilitar la creación de claves de cuentas de servicio Cuando esta restricción booleana está establecida en "True" (verdadero), se inhabilita la creación de claves externas de cuentas de servicio.
De forma predeterminada, los usuarios pueden crear claves externas de cuentas de servicio según sus funciones y permisos de Cloud IAM.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Inhabilitar carga de clave de cuenta de servicio Esta restricción booleana inhabilita la función que permite subir claves públicas a la cuenta de servicio, en la que la restricción está establecida en "True" (verdadero).
De forma predeterminada, los usuarios pueden subir claves públicas a la cuenta de servicio según sus funciones y permisos de Cloud IAM.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Inhabilitar la creación de clústeres de Workload Identity Si esta restricción booleana se configura como "True" (verdadero), se requiere que Workload Identity esté inhabilitado en todos los clústeres de GKE nuevos en el momento de su creación. Los clústeres de GKE existentes que tengan habilitado Workload Identity funcionarán como de costumbre. Según la configuración predeterminada, Workload Identity se puede habilitar para cualquier clúster de GKE.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Resource Manager Restringir la eliminación de la retención del proyecto de VPC compartida En esta restricción booleana, se limita el conjunto de usuarios mediante el cual se puede quitar un derecho de retención de proyecto de VPC compartida sin el permiso de nivel de organización en la que esta restricción se establece en True.
De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede quitar una retención de proyecto de VPC compartida. Para aplicar esta restricción, se debe otorgar permiso a nivel de la organización.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Administración de consumidores de servicios Inhabilita el otorgamiento automático de IAM para las cuentas de servicio predeterminadas Cuando se aplica esta restricción booleana, se impide que se asignen automáticamente funciones de IAM a las cuentas de servicio predeterminadas de App Engine y Compute Engine que creas para tus proyectos.
De forma predeterminada, estas cuentas de servicio reciben automáticamente la función de editor cuando se crean.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
Cloud Storage Google Cloud Platform: modo de registro de auditoría detallado Cuando se aplica el modo de registros de auditoría detallados, se incluyen la solicitud y la respuesta en los registros de auditoría de Cloud. Los cambios de esta función podrían tardar hasta 10 minutos en mostrarse. Se recomienda usar esta política de la organización con el bloqueo de depósito cuando quiera garantizarse el cumplimiento de reglas como SEC Rule 17a-4(f), CFTC Rule 1.31(c)-(d) y FINRA Rule 4511(c). Actualmente, esta política solo se admite en Google Cloud Storage.
constraints/gcp.detailedAuditLoggingMode
"is:"
Período establecido en la política de retención, en segundos En esta restricción de lista, se define el conjunto de duraciones de las políticas de retención que se pueden configurar en los depósitos de Cloud Storage.
De forma predeterminada, si no se especifica ninguna política de la organización, un depósito de Cloud Storage puede tener una política de retención de cualquier duración.
La lista de duraciones permitidas debe especificarse como un valor de número entero mayor que cero, el cual representa la política de retención en segundos.
Las operaciones de inserción, actualización o aplicación de parches que se realicen en un depósito del recurso de organización deben tener una duración de política de retención que coincida con la restricción.
Su aplicación forzosa no es retroactiva: cuando se aplique una nueva política de la organización, no habrá cambios en la política de retención de los depósitos existentes y esta seguirá siendo válida.

constraints/storage.retentionPolicySeconds
"is:"
Aplicar acceso uniforme a nivel de depósito En esta restricción booleana, se requiere que los depósitos usen un nivel de depósito uniforme en el que esta restricción se configure en True. Cualquier depósito nuevo en el recurso de organización debe tener habilitado el acceso uniforme a nivel de depósito y no se puede inhabilitar mediante ningún depósito existente en este recurso.
La aplicación de esta restricción no es retroactiva. El acceso uniforme a nivel de depósito seguirá inhabilitado en los depósitos existentes que estén configurados de esa forma. El valor predeterminado para esta restricción es False.
Con el acceso uniforme a nivel de depósito, se inhabilita la evaluación de las LCA asignadas a los objetos de Cloud Storage almacenados en el depósito. En consecuencia, solo mediante las políticas de IAM se otorga acceso a los objetos de estos depósitos.

constraints/storage.uniformBucketLevelAccess
"is:"

Guías prácticas

Para obtener más información sobre cómo usar restricciones individuales, haz lo siguiente:

Restricción Guía práctica
constraints/cloudfunctions.allowedIngressSettings Usa los Controles del servicio de VPC
constraints/compute.restrictCloudNATUsage Restringe el uso de Cloud NAT
constraints/compute.restrictLoadBalancerCreationForTypes Restricciones de Cloud Load Balancing
constraints/compute.restrictProtocolForwardingCreationForTypes Restricciones de reenvío de protocolos
constraints/constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Restringe el uso de Cloud Interconnect
constraints/compute.restrictVpnPeerIPs Restringir direcciones IP de intercambio de tráfico a través de un túnel de Cloud VPN
constraints/compute.trustedImageProjects Restringe el acceso a las imágenes
constraints/compute.vmExternalIpAccess Inhabilita el acceso de IP externa para VM
constraints/iam.allowedPolicyMemberDomains Restringe identidades por dominio
constraints/iam.allowServiceAccountCredentialLifetimeExtension Extiende la vida útil de los tokens de acceso de OAuth 2.0
constraints/iam.disableServiceAccountCreation Restringe la creación de cuentas de servicio
constraints/iam.disableServiceAccountKeyCreation Restringe la creación de claves de cuenta de servicio
constraints/iam.disableServiceAccountKeyUpload Restringe la carga de claves de cuentas de servicio
constraints/iam.disableWorkloadIdentityClusterCreation Restringe la creación de clústeres de identidad de cargas de trabajo
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
Restricciones de la política de la organización para Cloud Storage
constraints/gcp.disableCloudLogging Inhabilita Cloud Logging
constraints/gcp.resourceLocations Restringe las ubicaciones de recursos
constraints/compute.restrictCloudNATUsage Configura políticas de la organización en Cloud NAT.

Más información

Para obtener más información sobre los conceptos centrales de la política de la organización, haz lo siguiente: