Restricciones de las políticas de la organización

Restricciones disponibles

Puedes especificar políticas para que con ellas se usen las siguientes restricciones. Se están desarrollando más restricciones.

Servicios Restricción Descripción Prefijos compatibles
App Engine Inhabilitar descarga de código fuente Inhabilita la descarga de código fuente subido previamente a App Engine.
constraints/appengine.disableCodeDownload
"is:"
Cloud Functions Configuración de entrada permitida (Cloud Functions) En esta restricción de lista, se define la configuración de entrada permitida para la implementación de una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que la configuración de entrada de las funciones coincida con uno de los valores permitidos.
Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de entrada.
La configuración de entrada debe especificarse en la lista permitida mediante los valores de la enumeración IngressSettings.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Configuración de salida permitida del conector de VPC (Cloud Functions) En esta restricción de lista, se define la configuración de salida del conector de VPC permitida para la implementación de una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que la configuración de salida del conector de VPC de las funciones coincida con uno de los valores permitidos.
Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de salida del conector de VPC.
La configuración de salida del conector de VPC debe especificarse en la lista permitida mediante los valores de la enumeración VpcConnectorEgressSettings.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Exigir conector de VPC (Cloud Functions) Esta restricción booleana aplica forzosamente la configuración de un conector de VPC cuando se implementa una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que se especifique un conector de VPC para las funciones.
Según la configuración predeterminada, no es necesario especificar un conector de VPC para implementar una función de Cloud Functions.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL Restricción de la encriptación predeterminada administrada por Google en las instancias de Cloud SQL BETA: Esta restricción booleana, cuando se establece en True, requiere que todas las instancias de Cloud SQL recién creadas, reiniciadas o actualizadas, utilicen claves de encriptación que administra el cliente (CMEK). No es retroactiva, lo que significa que las instancias existentes con encriptación administrada mediante Google no se ven afectadas, a menos que se actualicen.
De forma predeterminada, esta restricción se establece en False y se permite la encriptación administrada mediante Google para las instancias de Cloud SQL.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Restringir las redes autorizadas en las instancias de Cloud SQL Mediante esta restricción booleana, se restringe la adición de redes autorizadas para el acceso de bases de datos sin proxy a instancias de Cloud SQL en las que esta restricción se establece en True. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con redes autorizadas existentes aún funcionarán.
De forma predeterminada, las redes autorizadas pueden agregarse a instancias de Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Restringir el acceso de IP pública en las instancias de Cloud SQL En esta restricción booleana, se limita la configuración de la IP pública para las instancias de Cloud SQL en las que esta restricción se establece en True. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con un acceso de IP pública existente aún funcionarán.
De forma predeterminada, se admite el acceso de IP pública a las instancias de Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Inhabilitar metadatos de atributos de invitado de Compute Engine En esta restricción booleana, se inhabilita el acceso mediante la API de Compute Engine a los atributos de invitado de las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, la API de Compute Engine se puede usar para acceder a los atributos de invitado de la VM de Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Inhabilitar grupos de extremos de red de Internet Esta restricción booleana limita si un usuario puede crear grupos de extremos de red (NEG) de Internet con un type de INTERNET_FQDN_PORT y INTERNET_IP_PORT.
De forma predeterminada, cualquier usuario con los permisos de IAM adecuados puede crear NEG de Internet en cualquier proyecto.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Inhabilitar la virtualización anidada de VM Mediante esta restricción booleana, se inhabilita la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, se permite la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que se ejecutan en Intel Haswell o en plataformas de CPU más recientes.

constraints/compute.disableNestedVirtualization
"is:"
Inhabilitar el acceso al puerto en serie de VM Mediante esta restricción booleana, se inhabilita el acceso del puerto en serie a las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, los clientes pueden habilitar el acceso al puerto en serie para las VM de Compute Engine por VM o por proyecto mediante el uso de atributos de metadatos. El cumplimiento de esta restricción permite inhabilitar el acceso al puerto en serie para las VM de Compute Engine, independientemente de los atributos de metadatos.

constraints/compute.disableSerialPortAccess
"is:"
Inhabilitar el registro de puertos en serie de VM en Stackdriver Mediante esta restricción booleana, se inhabilitan los registros de puertos en serie de Stackdriver desde las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que se aplica esta restricción.
El registro de puertos en serie de las VM de Compute Engine está inhabilitado de forma predeterminada, pero puede habilitarse selectivamente por VM o por proyecto con los atributos de metadatos. Cuando se aplica esta restricción, se inhabilita el registro del puerto en serie para las nuevas VM de Compute Engine cada vez que se crea una y se evita que los usuarios cambien el atributo de metadatos de cualquier VM (antigua o nueva) a True.
constraints/compute.disableSerialPortLogging
"is:"
Requiere acceso al SO Mediante esta restricción booleana, cuando se establece en true, se habilita el acceso al SO en todos los proyectos recién creados. Todas las instancias de VM creadas en proyectos nuevos tendrán el acceso al SO habilitado. En los proyectos nuevos y existentes, esta limitación impide las actualizaciones de metadatos que inhabilitan el Acceso al SO al nivel de proyecto o de instancia.
De forma predeterminada, la característica Acceso al SO se inhabilita en los proyectos de Compute Engine.
En las instancias de GKE, actualmente no se admite el Acceso al SO. Si esta restricción se aplica a un proyecto, es posible que las instancias de GKE que se ejecutan en ese proyecto no funcionen de forma adecuada.
constraints/compute.requireOsLogin
"is:"
VM protegidas Cuando esta restricción booleana se establece en True, se requiere que en todas las instancias nuevas de VM de Compute Engine se usen imágenes de disco protegidas con las opciones Inicio seguro, vTPM y Supervisión de integridad habilitadas. El inicio seguro se puede inhabilitar después de la creación, si así lo deseas. Las instancias activas existentes seguirán funcionando normalmente.
De forma predeterminada, no es necesario habilitar las características de VM protegida para crear instancias de VM de Compute Engine. Las características de VM protegida agregan integridad comprobable y resistencia ante el robo de datos a tus VM.
constraints/compute.requireShieldedVm
"is:"
Restringir los proyectos de host de VPC compartida En esta restricción de lista, se define el conjunto de proyectos de host de VPC compartida a los que pueden adjuntarse los proyectos en este recurso o en un recurso secundario. De forma predeterminada, un proyecto puede adjuntarse a cualquier proyecto de host dentro de la misma organización, lo que lo convierte en un proyecto de servicio. Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados afectan a todos los objetos situados debajo de ellos en la jerarquía de recursos y deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Restringir las subredes de VPC compartidas En esta restricción de lista, se define el conjunto de subredes de VPC compartidas que se pueden usar en los recursos aptos. Esta restricción solo se aplica a los recursos en los proyectos de servicio de VPC compartida y no a los recursos dentro de un proyecto host de VPC compartida. De forma predeterminada, los recursos aptos en un proyecto de servicio se pueden usar en cualquier subred de VPC compartida si el miembro de IAM que crea los recursos tiene la función de Usuario de red para esa subred. La lista de subredes permitidas o denegadas debe especificarse con el siguiente formato: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:"
Restringir el uso de intercambio de tráfico de VPC En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a este proyecto, carpeta u organización. De forma predeterminada, el administrador de red de una red puede intercambiar tráfico con cualquier otra red. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictVpcPeering
"is:", "under:"
Omitir creación de red predeterminada En esta restricción booleana, se omite la creación de la red predeterminada y los recursos relacionados durante la creación de recursos del proyecto de Google Cloud Platform, en el que esta restricción se establece en True. De forma predeterminada, cuando se crea un recurso de proyecto, también se crean automáticamente una red predeterminada y recursos auxiliares.

constraints/compute.skipDefaultNetworkCreation
"is:"
Restricciones de uso de recursos de almacenamiento de Compute (imágenes, instantáneas y discos de Compute Engine) En esta restricción de lista, se define un conjunto de proyectos con los que se pueden usar los recursos de almacenamiento de Compute Engine. De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede acceder a los recursos de Compute Engine. Cuando se usa esta restricción, los usuarios deben tener permisos de Cloud IAM y no deben estar limitados por la restricción para acceder al recurso.
Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados deben especificarse con el siguiente formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Definir proyectos de imágenes confiables En esta restricción de lista, se define el conjunto de proyectos que se pueden usar en el almacenamiento de imágenes y la creación de instancias de disco para Compute Engine.
De forma predeterminada, se pueden crear instancias a partir de imágenes en cualquier proyecto que comparta imágenes de manera pública o explícita con el usuario.
La listas de proyectos de publicador permitidos o denegados deben ser strings con el siguiente formato: projects/PROJECT_ID. Si esta restricción está activa, solo se permitirán imágenes de proyectos confiables como fuente de discos de arranque para nuevas instancias.

constraints/compute.trustedImageProjects
"is:"
Restringir el desvío de IP de VM En esta restricción de lista, se define el conjunto de instancias de VM con las que se puede habilitar el desvío de IP. De forma predeterminada, se puede utilizar cualquier VM para habilitar el desvío de IP en cualquier red virtual. Las instancias de VM deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
constraints/compute.vmCanIpForward
"is:", "under:"
Definir IP externas permitidas para instancias de VM En esta restricción de lista, se define el conjunto de instancias de VM de Compute Engine con el que se pueden usar direcciones IP externas.
De forma predeterminada, todas las instancias de VM se pueden usar en direcciones IP externas.
La lista de instancias de VM permitidas o denegadas debe identificarse por el nombre de la instancia de VM, con el siguiente formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Cloud Identity and Access Management Uso compartido restringido al dominio Esta restricción en formato de lista define el conjunto de miembros que se pueden agregar a las Políticas de Cloud IAM.
De forma predeterminada, se permite agregar todas las identidades de usuario a las políticas de Cloud IAM.
En la lista de usuarios admitidos o denegados, se deben especificar uno o más ID de clientes de Cloud Identity o G Suite. Si la restricción está activa, solo se podrán agregar a las políticas de Cloud IAM las identidades de la lista de usuarios permitidos.

constraints/iam.allowedPolicyMemberDomains
"is:"
Definir la autoridad certificada raíz permitida BETA: En esta restricción de lista, se define el conjunto de autoridades certificadas raíz confiables a partir de las que se pueden agregar certificados públicos emitidos a las cuentas de servicio de Cloud IAM.
De forma predeterminada, todos los certificados públicos se pueden subir a las cuentas de servicio de Cloud IAM.
Si esta restricción está activa, solo los certificados públicos emitidos por autoridades raíz certificadas que se encuentran en la lista se podrán agregar a las cuentas de servicio de Cloud IAM.
constraints/iam.allowedPublicCertificateTrustedRootCA
"is:"
Inhabilitar la creación de cuentas de servicio Cuando esta restricción booleana está establecida en "True" (verdadero), se inhabilita la creación de cuentas de servicio.
De forma predeterminada, los usuarios pueden crear cuentas de servicio según sus funciones y permisos de Cloud IAM.

constraints/iam.disableServiceAccountCreation
"is:"
Inhabilitar la creación de claves de cuentas de servicio Cuando esta restricción booleana está establecida en "True" (verdadero), se inhabilita la creación de claves externas de cuentas de servicio.
De forma predeterminada, los usuarios pueden crear claves externas de cuentas de servicio según sus funciones y permisos de Cloud IAM.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Inhabilitar carga de clave de cuenta de servicio Esta restricción booleana inhabilita la función que permite subir claves públicas a la cuenta de servicio, en la que la restricción está establecida en “Verdadero”.
De forma predeterminada, los usuarios pueden subir claves públicas a la cuenta de servicio según sus funciones y permisos de Cloud IAM.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Puede inhabilitar la creación de clústeres de Workload Identity Si esta restricción booleana se configura como “Verdadero”, se requiere que Workload Identity esté inhabilitado en todos los clústeres de GKE nuevos en el momento de su creación. Los clústeres de GKE existentes que tengan habilitado Workload Identity funcionarán como de costumbre. Según la configuración predeterminada, Workload Identity se puede habilitar para cualquier clúster de GKE.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Resource Manager Restringir la eliminación de la retención del proyecto de VPC compartida En esta restricción booleana, se limita el conjunto de usuarios mediante el cual se puede quitar un derecho de retención de proyecto de VPC compartida sin el permiso de nivel de organización en la que esta restricción se establece en True.
De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede quitar una retención de proyecto de VPC compartida. Para aplicar esta restricción, se debe otorgar permiso a nivel de la organización.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Administración de consumidores de servicios Inhabilita el otorgamiento automático de IAM para las cuentas de servicio predeterminadas BETA: Si configuras esta opción como activada, se evita que las cuentas de servicio predeterminadas reciban de forma automática cualquier función de IAM en el proyecto cuando se crea la cuenta (se pueden seguir creando cuentas). "is:"
Google Cloud Platform Google Cloud Platform - Restricción de ubicación de recursos En esta restricción de lista, se define el conjunto de ubicaciones en las que se crean los recursos de GCP basados en la ubicación. Las políticas para esta restricción pueden especificar múltiples regiones como asia y europe, regiones como us-east1 o europe-west1 como ubicaciones permitidas o denegadas. Toda ubicación que se permita o se deniegue debe estar detallada explícitamente. El permiso o la denegación de una multirregión no implica el permiso o la denegación de todas las sububicaciones incluidas. Por ejemplo, si la política niega la región us, aún se pueden crear recursos en la ubicación regional us-east1.
Puedes especificar grupos de valores, que son colecciones de ubicaciones que se seleccionan a través de Google para proporcionar una forma sencilla de definir tus ubicaciones de recursos. Para usar grupos de valores en la política de tu organización, asigna un prefijo a tus entradas con la string in:, seguida del grupo de valores.
Si el campo suggested_value se usa en una política de ubicación, debería ser una región. Si el valor especificado es una región, una IU para un recurso zonal puede prepropagar cualquier zona en esa región.
De forma predeterminada, los recursos pueden crearse en cualquier ubicación.
constraints/gcp.resourceLocations
"is:", "in:"
Definir las API y los servicios permitidos En esta restricción de lista, se define el conjunto de servicios y sus API que se pueden habilitar en este recurso y en sus recursos secundarios.
De forma predeterminada, se permiten todos los servicios.
La lista de servicios denegados debe identificarse como el nombre de string de una API y solo puede incluir valores denegados explícitamente de la lista siguiente. Por el momento, no se admite el permiso explícito de las API. La denegación explícita de las API que no están en esta lista dará como resultado un error.
La aplicación de esta restricción no es retroactiva. Si un servicio ya está habilitado en un recurso cuando se aplica esta restricción, este permanecerá habilitado.

constraints/serviceuser.services
"is:"
Cloud Storage Duración de la política de retención en segundos En esta restricción de lista, se define el conjunto de duraciones de las políticas de retención que se pueden configurar en los depósitos de Cloud Storage.
De forma predeterminada, si no se especifica ninguna política de la organización, un depósito de Cloud Storage puede tener una política de retención de cualquier duración.
La lista de duraciones permitidas debe especificarse como un valor de número entero mayor que cero, el cual representa la política de retención en segundos.
Las operaciones de inserción, actualización o aplicación de parches que se realicen en un depósito del recurso de organización deben tener una duración de política de retención que coincida con la restricción.
Su aplicación forzosa no es retroactiva: cuando se aplique una nueva política de la organización, no habrá cambios en la política de retención de los depósitos existentes y esta seguirá siendo válida.

constraints/storage.retentionPolicySeconds
"is:"
Aplicar acceso uniforme a nivel de depósito En esta restricción booleana, se requiere que los depósitos usen un nivel de depósito uniforme en el que esta restricción se configure en True. Cualquier depósito nuevo en el recurso de organización debe tener habilitado el acceso uniforme a nivel de depósito y no se puede inhabilitar mediante ningún depósito existente en este recurso.
La aplicación de esta restricción no es retroactiva. El acceso uniforme a nivel de depósito seguirá inhabilitado en los depósitos existentes que estén configurados de esa forma. El valor predeterminado para esta restricción es False.
Con el acceso uniforme a nivel de depósito, se inhabilita la evaluación de las LCA asignadas a los objetos de Cloud Storage almacenados en el depósito. En consecuencia, solo mediante las políticas de IAM se otorga acceso a los objetos de estos depósitos.

constraints/storage.uniformBucketLevelAccess
"is:"

Guías prácticas

Para obtener más información sobre cómo usar restricciones individuales, haz lo siguiente:

Restricción Guía práctica
constraints/compute.vmExternalIpAccess Inhabilita el acceso de IP externa para VM
constraints/compute.trustedImageProjects Restringe el acceso a las imágenes
constraints/iam.allowedPolicyMemberDomains Restringe identidades por dominio
constraints/iam.disableServiceAccountKeyCreation Restringe la creación de claves de cuenta de servicio
constraints/iam.disableServiceAccountCreation Restringe la creación de cuentas de servicio
constraints/storage.uniformBucketLevelAccess Configura políticas de la organización en Cloud Storage
constraints/storage.retentionPolicySeconds Configura políticas de la organización en Cloud Storage
constraints/gcp.resourceLocations Restringe las ubicaciones de recursos
constraints/cloudfunctions.allowedIngressSettings Usa los Controles del servicio de VPC

Más información

Para obtener más información sobre los conceptos centrales de la política de la organización, haz lo siguiente: