Contraintes liées aux règles d'administration

Contraintes disponibles

Vous pouvez spécifier des règles qui utilisent les contraintes suivantes.

Contraintes applicables à plusieurs services Google Cloud

Contrainte Description Préfixes pris en charge
Pools de nœuds de calcul autorisés (Cloud Build) Cette contrainte de liste définit l'ensemble des pools de nœuds de calcul Cloud Build autorisés à exécuter des builds à l'aide de Cloud Build. Lorsque cette contrainte est appliquée, les builds doivent être créés dans un pool de nœuds de calcul qui correspond à l'une des valeurs autorisées.
Par défaut, Cloud Build peut utiliser n'importe quel pool de nœuds de calcul.
La liste des pools de nœuds de calcul autorisés doit respecter ce format :
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


  • constraints/cloudbuild.allowedWorkerPools
"is:", "under:"
Google Cloud Platform - Restriction de l'emplacement des ressources Cette contrainte de liste définit l'ensemble des emplacements dans lesquels il est possible de créer des ressources GCP basées sur l'emplacement.
Par défaut, il est possible de créer des ressources dans n'importe quel emplacement.
Les règles de cette contrainte peuvent spécifier des régions multiples, comme par exemple asia et europe, ou des régions, comme par exemple us-east1 ou europe-west1, en tant qu'emplacements autorisés ou refusés. Le fait d'autoriser ou de refuser une zone multirégionale n'implique pas l'autorisation ni le refus de tous les sous-emplacements qu'elle contient. Par exemple, si la règle refuse l'emplacement multirégional us (qui fait référence à des ressources multirégionales, telles que certains services de stockage), il est toujours possible de créer des ressources dans l'emplacement régional us-east1. En revanche, le groupe in:us-locations contient tous les emplacements de la région us et peut être utilisé pour bloquer toutes les régions.
Nous vous recommandons d'utiliser des groupes de valeurs pour définir votre règle.
Vous pouvez spécifier des groupes de valeurs, c'est-à-dire des ensembles d'emplacements choisis par Google pour vous permettre de définir facilement les emplacements de vos ressources. Pour utiliser un groupe de valeurs dans une règle d'administration, ajoutez la chaîne in: en tant que préfixe du groupe.
Par exemple, pour créer des ressources qui ne seront situées physiquement qu'aux États-Unis, définissez in:us-locations dans la liste des valeurs autorisées.
Si vous employez suggested_value dans une règle d'emplacement, ce champ doit désigner une région. Si la valeur spécifiée est une région, une UI de ressource zonale peut renseigner une zone de cette région.
constraints/gcp.resourceLocations
"is:" "in:"
Restreindre les API et les services Google Cloud autorisés Cette contrainte de liste limite l'ensemble des services et leurs API pouvant être activés sur cette ressource. Par défaut, tous les services sont autorisés.
La liste de services refusés doit provenir de la liste ci-dessous. Actuellement, il est impossible d'activer explicitement des API via cette contrainte. La spécification d'une API ne figurant pas dans cette liste entraîne une erreur.
L'application de cette contrainte n'est pas rétroactive. Si un service est déjà activé sur une ressource lorsque cette contrainte est appliquée, il restera activé.

constraints/serviceuser.services
"is:"

Contraintes applicables à des services spécifiques

Service(s) Contrainte Description Préfixes pris en charge
App Engine Désactiver le téléchargement du code source Désactive le téléchargement de code pour le code source importé précédemment dans App Engine.
constraints/appengine.disableCodeDownload
"is:"
BigQuery Désactiver BigQuery Omni pour Cloud AWS Lorsqu'elle est définie sur True, cette contrainte booléenne empêche les utilisateurs d'utiliser BigQuery Omni pour traiter des données sur Amazon Web Services dans les emplacements où la contrainte est appliquée.
constraints/bigquery.disableBQOmniAWS
"is:"
BigQuery Désactiver BigQuery Omni pour Cloud Azure Lorsqu'elle est définie sur True, cette contrainte booléenne empêche les utilisateurs d'utiliser BigQuery Omni pour traiter des données sur Microsoft Azure dans les emplacements où la contrainte est appliquée.
constraints/bigquery.disableBQOmniAzure
"is:"
Cloud Functions Paramètres d'entrée autorisés (Cloud Functions) Cette contrainte de liste définit les paramètres d'entrée autorisés pour le déploiement d'une fonction Cloud. Lorsque cette contrainte est appliquée, les paramètres d'entrée des fonctions doivent correspondre à l'une des valeurs autorisées.
Cloud Functions accepte par défaut tous les paramètres d'entrée.
Les paramètres d'entrée doivent être spécifiés dans la liste autorisée à l'aide des valeurs de l'énumération IngressSettings.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Paramètres de sortie autorisés du connecteur VPC (Cloud Functions) Cette contrainte de liste définit les paramètres de sortie du connecteur VPC pour le déploiement d'une fonction Cloud. Lorsque cette contrainte est appliquée, les paramètres de sortie du connecteur VPC définis dans les fonctions doivent correspondre à l'une des valeurs autorisées.
Cloud Functions accepte par défaut tous les paramètres de sortie du connecteur VPC.
Les paramètres de sortie du connecteur VPC doivent être spécifiés dans la liste autorisée à l'aide des valeurs de l'énumération VpcConnectorEgressSettings.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions Exiger un connecteur VPC (Cloud Functions) Cette contrainte booléenne impose de définir un connecteur VPC lors du déploiement d'une fonction Cloud. Lorsque cette contrainte est appliquée, un connecteur VPC doit être spécifié dans les fonctions.
Par défaut, la spécification d'un connecteur VPC n'est pas requise pour déployer une fonction Cloud.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL Restreindre le chiffrement par défaut géré par Google sur les instances Cloud SQL BÊTA : Lorsque cette contrainte booléenne est définie sur True, toutes les instances Cloud SQL nouvellement créées, redémarrées ou mises à jour doivent utiliser des clés de chiffrement gérées par le client (CMEK). L'application de cette contrainte n'est pas rétroactive (ce qui signifie que les instances existantes avec un chiffrement géré par Google ne sont pas affectées, sauf si elles sont mises à jour ou actualisées).
Par défaut, cette contrainte est définie sur False, et le chiffrement géré par Google est autorisé pour les instances Cloud SQL.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Cloud SQL Limiter le nombre de réseaux autorisés sur les instances Cloud SQL Lorsqu'elle est définie sur True, cette contrainte booléenne limite l'ajout de réseaux autorisés pour l'accès à la base de données sans proxy sur les instances Cloud SQL. Cette contrainte n'est pas rétroactive : les instances Cloud SQL comportant déjà des réseaux autorisés fonctionnent toujours, même lorsque la contrainte est appliquée.
Par défaut, les réseaux autorisés peuvent être ajoutés aux instances Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Limiter l'accès des adresses IP publiques sur les instances Cloud SQL Cette contrainte booléenne restreint la configuration de l'adresse IP publique sur les instances Cloud SQL où cette contrainte est définie sur True. Cette contrainte n'est pas rétroactive : les instances Cloud SQL comportant déjà des adresses IP publiques fonctionnent toujours, même lorsque la contrainte est appliquée.
Par défaut, l'accès aux adresses IP publiques est accordé aux instances Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Désactiver toute utilisation d'IPv6 Lorsque cette contrainte booléenne est définie sur True, cela désactive la création ou la mise à jour de toute ressource Google Compute Engine impliquée dans l'utilisation du protocole IPv6.
Par défaut, toute personne disposant des autorisations Cloud IAM adéquates peut créer ou mettre à jour des ressources Google Compute Engine liées à l'utilisation d'IPv6 dans tous les projets, dossiers et organisations.
Si cette contrainte est définie, elle possède une priorité plus élevée que les autres contraintes d'organisation IPv6, y compris disableVpcInternalIpv6, disableVpcExternalIpv6 et disableHybridCloudIpv6.
constraints/compute.disableAllIpv6
"is:"
Compute Engine Désactiver les attributs invité des métadonnées Compute Engine Cette contrainte booléenne désactive l'accès de l'API Compute Engine aux attributs invité des VM Compute Engine rattachées à l'organisation, au projet ou au dossier dans lequel cette limite est définie sur True.
Par défaut, l'API Compute Engine peut être utilisée pour accéder aux attributs invité de VM Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine Désactiver les groupes de points de terminaison du réseau Internet Cette contrainte booléenne restreint la capacité d'un utilisateur à créer des groupes de points de terminaison du réseau Internet (NEG) avec un type de INTERNET_FQDN_PORT et INTERNET_IP_PORT.
Par défaut, tout utilisateur disposant des autorisations IAM appropriées peut créer des NEG Internet dans n'importe quel projet.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine Désactiver la virtualisation imbriquée des VM Cette contrainte booléenne désactive la virtualisation imbriquée à accélération matérielle pour toutes les VM Compute Engine appartenant à l'organisation, au projet ou au dossier où cette contrainte est définie sur True.
Par défaut, la virtualisation imbriquée à accélération matérielle est autorisée pour toutes les VM Compute Engine s'exécutant sur Intel Haswell ou sur des plates-formes de processeurs plus récentes.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine Désactiver Private Service Connect pour les utilisateurs Cette contrainte de liste définit l'ensemble des types de points de terminaison Private Service Connect pour lesquels les utilisateurs ne sont pas autorisés à créer de règles de transfert. Lorsque cette contrainte est appliquée, les utilisateurs ne peuvent pas créer de règles de transfert pour le type de point de terminaison Private Service Connect. L'application de cette contrainte n'est pas rétroactive.
Par défaut, il est possible de créer des règles de transfert pour n'importe quel type de point de terminaison Private Service Connect.
La liste des points de terminaison Private Service Connect autorisés/refusés doit provenir de la liste ci-dessous :
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
L'utilisation de GOOGLE_APIS dans la liste des types autorisés/refusés limite la création de règles de transfert Private Service Connect pour l'accès aux API Google. L'utilisation de SERVICE_PRODUCERS dans la liste des types autorisés/refusés limite la création de règles de transfert Private Service Connect pour l'accès aux services d'un autre réseau VPC.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine Désactiver l'accès au port série des VM Lorsqu'elle est définie sur True, cette contrainte booléenne désactive l'accès via le port série aux VM Compute Engine appartenant à l'organisation, au projet ou au dossier.
Par défaut, les clients peuvent activer l'accès via le port série des VM Compute Engine par machine virtuelle ou par projet grâce aux attributs de métadonnées. L'application de cette contrainte désactivera l'accès au port de série des machines virtuelles Compute Engine, quels que soient les attributs de métadonnées.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Désactiver la journalisation du port série des VM sur Stackdriver Cette contrainte booléenne désactive la journalisation du port série sur Stackdriver à partir des VM Compute Engine appartenant à l'organisation, au projet ou au dossier où la contrainte est appliquée.
Par défaut, la journalisation du port série est désactivée pour les VM Compute Engine. Vous pouvez l'activer de façon sélective par VM ou par projet à l'aide des attributs de métadonnées. Une fois en application, cette contrainte désactive la journalisation du port série pour les VM Compute Engine nouvellement créées. Elle empêche également les utilisateurs de définir sur True l'attribut de métadonnées des VM (anciennes ou nouvelles).
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine Désactiver l'utilisation d'IPv6 à l'extérieur du VPC Lorsqu'elle est définie sur True, cette contrainte booléenne désactive la création ou la mise à jour de sous-réseaux dont le paramètre stack_type est défini sur IPV4_IPV6 et le paramètre ipv6_access_type sur EXTERNAL.
Par défaut, toute personne disposant des autorisations Cloud IAM adéquates peut créer ou mettre à jour des sous-réseaux dont le paramètre stack_type est défini sur IPV4_IPV6 dans tous les projets, dossiers et organisations.
constraints/compute.disableVpcExternalIpv6
"is:"
Compute Engine Désactiver l'utilisation d'IPv6 à l'intérieur du VPC Lorsqu'elle est définie sur True, cette contrainte booléenne désactive la création ou la mise à jour de sous-réseaux dont le paramètre stack_type est défini sur IPV4_IPV6 et le paramètre ipv6_access_type sur INTERNAL.
Par défaut, toute personne disposant des autorisations Cloud IAM adéquates peut créer ou mettre à jour des sous-réseaux dont le paramètre stack_type est défini sur IPV4_IPV6 dans tous les projets, dossiers et organisations.
constraints/compute.disableVpcInternalIpv6
"is:"
Compute Engine Exiger la connexion au système d'exploitation Lorsqu'elle est définie sur true, cette contrainte booléenne active la connexion au système d'exploitation sur tous les projets nouvellement créés. La connexion au système d'exploitation est activée sur toutes les instances de VM créées dans des nouveaux projets. Dans les projets nouveaux et existants, cette contrainte empêche les mises à jour de métadonnées qui ont pour effet de désactiver OS Login au niveau du projet ou de l'instance.
Par défaut, la fonctionnalité OS Login est désactivée sur les projets Compute Engine.
Les instances GKE dans les clusters privés exécutant des versions de pool de nœuds 1.20.5-gke.2000 et ultérieures sont compatibles avec OS Login. Actuellement, les instances GKE présentes dans les clusters publics ne sont pas compatibles avec OS Login. Si cette contrainte est appliquée à un projet exécutant des clusters publics, les instances GKE exécutées dans ce projet peuvent ne pas fonctionner correctement.
constraints/compute.requireOsLogin
"is:"
Compute Engine VM protégées Lorsque cette contrainte booléenne est définie sur True, toutes les nouvelles instances de VM Compute Engine doivent utiliser des images disque protégées avec les options de démarrage sécurisé, de vTPM et de surveillance de l'intégrité activées. Si vous le souhaitez, vous pouvez désactiver l'option "Démarrage sécurisé" après la création. Les instances en cours d'exécution existantes continueront de fonctionner comme d'habitude.
Par défaut, il n'est pas nécessaire que les fonctionnalités de VM protégées soient activées pour que vous puissiez créer des instances de VM Compute Engine. Ces fonctionnalités offrent aux VM une intégrité vérifiable et une protection contre les exfiltrations.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Restreindre l'utilisation de Cloud NAT Cette contrainte de liste définit l'ensemble des sous-réseaux autorisés à utiliser Cloud NAT. Par défaut, tous les sous-réseaux sont autorisés à utiliser Cloud NAT. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Restreindre l'utilisation des interconnexions dédiées Cette contrainte de liste définit l'ensemble des réseaux Compute Engine autorisés à utiliser une interconnexion dédiée. Par défaut, les réseaux sont autorisés à utiliser n'importe quel type d'interconnexion. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine Restreindre la création d'équilibreurs de charge en fonction de leurs types Cette contrainte de liste définit l'ensemble des types d'équilibreurs de charge pouvant être créés pour une organisation, un dossier ou un projet. Chaque type d'équilibreur de charge à autoriser ou à refuser doit être explicitement répertorié. Par défaut, tous les types d'équilibreurs de charge peuvent être créés.
La liste des valeurs autorisées ou refusées doit être identifiée comme nom de chaîne d'un équilibreur de charge et ne peut inclure que les valeurs comprises dans la liste ci-dessous :
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS

Pour inclure tous les types d'équilibreurs de charge internes ou externes, utilisez le préfixe in: suivi de INTERNAL ou EXTERNAL. Par exemple, si vous activez in:INTERNAL, tous les types d'équilibreurs de charge de la liste ci-dessus incluent INTERNAL.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:", "in:"
Compute Engine Limiter l'informatique non confidentielle La liste de refus de cette contrainte de liste définit l'ensemble des services qui exigent que toute nouvelle ressource soit créée avec l'informatique confidentielle activée. Par défaut, les nouvelles ressources ne sont pas contraintes d'utiliser l'informatique confidentielle. Tant que cette contrainte de liste est appliquée, il n'est pas possible de désactiver l'informatique confidentielle durant le cycle de vie de la ressource. Les ressources existantes continueront de fonctionner comme d'habitude. La liste de services refusés doit être identifiée comme nom de chaîne d'une API et ne peut inclure que les valeurs explicitement refusées de la liste ci-dessous. L'autorisation explicite des API n'est actuellement pas disponible. Le refus explicite des API absentes de cette liste génère une erreur. Liste des API compatibles : [compute.googleapis.com, container.googleapis.com]
constraints/compute.restrictNonConfidentialComputing
"is:"
Compute Engine Restreindre l'utilisation des interconnexions partenaires Cette contrainte de liste définit l'ensemble des réseaux Compute Engine autorisés à utiliser une interconnexion partenaire. Par défaut, les réseaux sont autorisés à utiliser n'importe quel type d'interconnexion. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
Compute Engine Restreindre le transfert de protocole en fonction du type d'adresse IP Cette contrainte de liste définit le type d'objets de règle de transfert de protocole avec une instance cible qu'un utilisateur peut créer. Lorsque cette contrainte est appliquée, les nouveaux objets de règle de transfert avec une instance cible sont limités aux adresses IP internes et/ou externes, en fonction des types spécifiés. Les types autorisés ou refusés doivent être explicitement répertoriés. Par défaut, la création d'objets de règle de transfert de protocole interne et externe avec une instance cible est autorisée.
La liste des valeurs autorisées ou refusées ne peut inclure que les valeurs comprises dans la liste ci-dessous :
  • INTERNAL
  • EXTERNAL
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
Compute Engine Limiter les projets hôtes VPC partagés Cette contrainte de liste définit l'ensemble des projets hôtes VPC partagés auxquels les projets situés au niveau ou en dessous de cette ressource peuvent s'associer. Par défaut, un projet peut être associé à n'importe quel projet hôte de la même organisation, ce qui en fait un projet de service. Les projets, dossiers et organisations figurant dans les listes autorisées/refusées affectent tous les objets de niveaux inférieurs dans la hiérarchie des ressources. Ils doivent être spécifiés au format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Compute Engine Limiter les sous-réseaux VPC partagés Cette contrainte de liste définit l'ensemble des sous-réseaux VPC partagés que les ressources éligibles peuvent utiliser. Cette contrainte ne s'applique pas aux ressources d'un même projet. Par défaut, les ressources éligibles peuvent utiliser n'importe quel sous-réseau VPC partagé. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
Compute Engine Limiter l'utilisation de l'appairage VPC Cette contrainte de liste définit l'ensemble des réseaux VPC pouvant être appairés aux réseaux VPC appartenant à ce projet, à ce dossier ou à cette organisation. Par défaut, l'administrateur d'un réseau peut être appairé avec n'importe quel autre réseau. La liste des sous-réseaux autorisés/refusés doit respecter le format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictVpcPeering
"is:", "under:"
Compute Engine Limiter les IP d'appairage VPN Cette contrainte de liste définit l'ensemble des adresses IPv4 valides pouvant être configurées comme IP d'appairage VPN. Par défaut, toutes les adresses IP peuvent servir d'IP d'appairage VPN pour un réseau VPC. La liste des adresses IP autorisées/refusées doit être spécifiée sous la forme d'adresses IP-v4 valides au format suivant : IP_V4_ADDRESS.
constraints/compute.restrictVpnPeerIPs
"is:"
Compute Engine Définit le paramètre DNS interne des nouveaux projets sur le DNS zonal uniquement Si cette règle est définie sur "True", le DNS zonal est utilisé par défaut pour les nouveaux projets. Par défaut, cette contrainte est définie sur "False" et les nouveaux projets utilisent donc le type DNS par défaut.
constraints/compute.setNewProjectDefaultToZonalDNSOnly
"is:"
Compute Engine Projets propriétaires de réservations partagées Cette contrainte de liste définit l'ensemble des projets autorisés à créer et à posséder des réservations partagées dans l'organisation. Une réservation partagée est semblable à une réservation locale, sauf qu'au lieu d'être uniquement exploitable par les projets propriétaires, elle peut être utilisée par d'autres projets Compute Engine dans la hiérarchie des ressources. La liste des projets autorisés à accéder à la réservation partagée doit respecter ce format : projects/PROJECT_ID ou under:projects/PROJECT_ID.
constraints/compute.sharedReservationsOwnerProjects
"is:", "under:"
Compute Engine Passer la création du réseau par défaut Cette contrainte booléenne ignore la création du réseau par défaut et des ressources associées lors de la création des ressources du projet Google Cloud Platform où cette contrainte est définie sur True. Par défaut, la création d'une ressource "Projet" entraîne la création automatique d'un réseau par défaut et des ressources associées.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute Engine Restreindre l'utilisation des ressources Compute Storage (disques, images et instantanés Compute Engine) Cette contrainte de liste définit un ensemble de projets autorisés à utiliser les ressources de stockage Compute Engine. Par défaut, toute personne disposant des autorisations Cloud IAM adéquates peut accéder aux ressources Compute Engine. Lors de l'utilisation de cette contrainte, les utilisateurs doivent disposer d'autorisations Cloud IAM et ne doivent pas être limités par la contrainte pour accéder à la ressource.
Les projets, dossiers et organisations spécifiés dans des listes autorisées ou refusées doivent être au format suivant : under:projects/PROJECT_ID, under:folders/FOLDER_ID et under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Compute Engine Définir les projets relatifs aux images de confiance Cette contrainte de liste définit l'ensemble des projets pouvant être utilisés pour le stockage d'images et l'instanciation de disques pour Compute Engine.
Par défaut, des instances peuvent être créées à partir des images de tout projet partageant des images avec l'utilisateur de manière publique ou explicite.
La liste des projets éditeur autorisés et refusés doit être au format suivant : projects/PROJECT_ID. Si cette contrainte est active, seules les images de projets de confiance seront autorisées en tant que source des disques de démarrage pour les nouvelles instances.

constraints/compute.trustedImageProjects
"is:"
Compute Engine Limiter le transfert IP de la VM Cette contrainte de liste définit l'ensemble des instances de VM autorisées à activer le transfert IP. Par défaut, toutes les VM peuvent activer le transfert IP sur n'importe quel réseau virtuel. Les instances de VM doivent être spécifiées au format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Cette contrainte n'est pas rétroactive.
constraints/compute.vmCanIpForward
"is:", "under:"
Compute Engine Définir les adresses IP externes autorisées pour les instances de VM Cette contrainte de liste définit l'ensemble des instances de machines virtuelles Compute Engine autorisées à utiliser des adresses IP externes.
Par défaut, toutes les instances de VM sont autorisées à utiliser des adresses IP externes.
La liste des instances de VM autorisées/refusées doit être identifiée par le nom de l'instance de VM, au format suivant : projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Datastream Datastream – Bloquer les méthodes de connectivité publique Par défaut, les profils de connexion Datastream peuvent être créés avec des méthodes de connectivité publique ou privée. Si la contrainte booléenne de cette règle d'administration est appliquée, seules les méthodes de connectivité privée (par exemple, l'appairage de VPC) peuvent être utilisées pour créer des profils de connexion.
constraints/datastream.disablePublicConnectivity
"is:"
Contacts essentiels Contacts avec restriction de domaine Cette contrainte de liste définit l'ensemble des domaines que peuvent posséder les adresses e-mail ajoutées aux contacts essentiels.
Par défaut, les adresses e-mail de n'importe quel domaine peuvent être ajoutées aux contacts essentiels.
La liste des adresses autorisées/refusées doit spécifier un ou plusieurs domaines au format @example.com. Si cette contrainte est active et configurée avec les valeurs autorisées, seules les adresses e-mail dont le suffixe correspond à l'une des entrées de la liste des domaines autorisés peuvent être ajoutées aux contacts essentiels.
Cette contrainte n'a aucun effet sur la mise à jour ou la suppression de contacts existants.
constraints/essentialcontacts.allowedContactDomains
"is:"
Cloud Healthcare Désactiver Cloud Logging Désactive Cloud Logging sur l'organisation, le projet ou le dossier où cette contrainte est appliquée. Les journaux d'audit ne sont pas affectés par cette contrainte.
Les journaux générés avant l'application de la contrainte ne sont pas supprimés et peuvent encore être accessibles.
Il n'est possible d'appliquer cette contrainte qu'avec l'API Cloud Healthcare.
constraints/gcp.disableCloudLogging
"is:"
Gestion de l'authentification et des accès Autoriser l'extension de la durée de vie des jetons d'accès OAuth 2.0 jusqu'à 12 heures Cette contrainte de liste définit l'ensemble des comptes de service pouvant recevoir des jetons d'accès OAuth 2.0 d'une durée maximale de 12 heures. Par défaut, la durée de vie maximale de ces jetons d'accès est de 1 heure.
La liste des comptes de service autorisés/refusés doit spécifier une ou plusieurs adresses e-mail de comptes de service.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
Identity and Access Management Partage restreint de domaine Cette contrainte de liste définit un ou plusieurs ID client Cloud Identity ou Google Workspace dont les comptes principaux peuvent être ajoutés aux stratégies IAM.
Par défaut, toutes les identités d'utilisateur peuvent être ajoutées aux stratégies IAM.
Si cette contrainte est active, seuls les comptes principaux appartenant aux ID client autorisés peuvent être ajoutés aux stratégies IAM.
constraints/iam.allowedPolicyMemberDomains
"is:"
Identity and Access Management Désactiver l'utilisation des comptes de service multi-projets Une fois cette contrainte appliquée, les comptes de service ne peuvent être déployés (à l'aide du rôle ServiceAccountUser) que sur des tâches (VM, fonctions, etc.) exécutées dans le même projet que le compte de service.
constraints/iam.disableCrossProjectServiceAccountUsage
"is:"
Identity and Access Management Désactiver la création de comptes de service Cette contrainte booléenne désactive la création de comptes de service partout où cette contrainte est définie sur "True".
Par défaut, les comptes de service peuvent être créés par les utilisateurs en fonction de leurs rôles et autorisations Cloud IAM.

constraints/iam.disableServiceAccountCreation
"is:"
Identity and Access Management Désactiver la création de clés de compte de service Cette contrainte booléenne désactive la création de clés externes de comptes de service partout où cette contrainte est définie sur "True".
Par défaut, les clés externes de comptes de service peuvent être créées par les utilisateurs en fonction de leurs rôles et autorisations Cloud IAM.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Identity and Access Management Désactiver l'importation de clé dans un compte de service Cette contrainte booléenne désactive la fonctionnalité permettant d'importer une clé publique dans un compte de service où elle est définie sur "True".
Par défaut, les utilisateurs peuvent importer une clé publique dans un compte de service en fonction de leurs rôles et autorisations Cloud IAM.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Identity and Access Management Désactiver la création de clusters Workload Identity Lorsque cette contrainte booléenne est définie sur "True", Workload Identity est désactivé pour tous les nouveaux clusters au moment de leur création. Les clusters existants sur lesquels Workload Identity est activé continueront de fonctionner normalement. Par défaut, Workload Identity peut être activé pour n'importe quel cluster GKE.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Identity and Access Management Comptes AWS autorisés pouvant être configurés pour la fédération d'identité de charge de travail dans Cloud IAM Liste des ID de compte AWS pouvant être configurés pour la fédération d'identité de charge de travail dans Cloud IAM.
constraints/iam.workloadIdentityPoolAwsAccounts
"is:"
Identity and Access Management Fournisseurs d'identité externes autorisés pour les charges de travail dans Cloud IAM Fournisseurs d'identité pouvant être configurés pour l'authentification des charges de travail dans Cloud IAM, spécifiés à l'aide d'URI/URL.
constraints/iam.workloadIdentityPoolProviders
"is:"
Resource Manager Restreindre la suppression des privilèges du projet VPC partagé Lorsqu'elle est définie sur True, cette contrainte booléenne restreint le nombre d'utilisateurs pouvant supprimer un privilège lié à un projet VPC partagé sans autorisation au niveau de l'organisation.
Par défaut, tout utilisateur disposant de l'autorisation de mettre à jour des privilèges peut supprimer un privilège lié à un projet VPC partagé. L'application de cette contrainte nécessite que l'autorisation soit accordée au niveau de l'organisation.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Resource Manager Restreindre la suppression des privilèges de compte de service multi-projets Lorsqu'elle est appliquée, cette contrainte booléenne empêche les utilisateurs de supprimer un privilège de compte de service multi-projets sans autorisation au niveau de l'organisation. Par défaut, n'importe quel utilisateur disposant de l'autorisation de mettre à jour des privilèges peut supprimer un privilège de compte de service multi-projets. Pour que cette contrainte soit appliquée, l'autorisation doit être accordée au niveau de l'organisation.
constraints/iam.restrictCrossProjectServiceAccountLienRemoval
"is:"
Resource Manager Limiter la visibilité des requêtes de ressource Lorsqu'elle est appliquée à une ressource "Organisation", cette contrainte de liste définit l'ensemble de ressources Google Cloud renvoyées dans la liste, ainsi que les méthodes de recherche pour les utilisateurs du domaine de l'organisation dans lequel cette contrainte est appliquée. Cette propriété permet de limiter les ressources visibles dans différentes sections de Cloud Console, telles que l'outil de sélection des ressources, la recherche ou la page "Gérer les ressources". Notez que cette contrainte n'est évaluée qu'au niveau de l'organisation. Les valeurs spécifiées dans les listes d'autorisation/de refus doivent respecter ce format : under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.accessBoundaries
"is:", "under:"
Resource Manager Exiger une liste de services activés autorisés pour le transfert entre organisations Cette contrainte de liste sert à valider qu'un projet ayant un service activé est éligible au déplacement entre organisations. Pour être éligible au déplacement entre organisations, une ressource ayant un service compatible activé doit se voir appliquer cette contrainte, et le service associé doit être inclus dans les valeurs autorisées. La liste actuelle des valeurs autorisées pour les services compatibles est la suivante :
  • SHARED_VPC

Cette contrainte fournit un contrôle supplémentaire en plus des éléments constraints/resourcemanager.allowedExportDestinations. Ce paramètre list_constraint est par défaut vide et ne bloque aucun déplacement entre organisations, sauf si un service compatible est activé sur la ressource à exporter. Cette contrainte permet d'assurer un contrôle plus précis des ressources qui exploitent des fonctionnalités exigeant davantage de prudence lors d'un déplacement vers une autre organisation. Par défaut, une ressource pour laquelle un service compatible est activé ne peut pas être déplacée d'une organisation à une autre.
constraints/resourcemanager.allowEnabledServicesForExport
"is:"
Resource Manager Destinations autorisées pour l'exportation des ressources Cette contrainte de liste définit l'ensemble des organisations externes vers lesquelles les ressources peuvent être déplacées, et refuse tout déplacement vers d'autres organisations. Par défaut, il n'est pas possible de déplacer des ressources d'une organisation à une autre. Si cette contrainte est appliquée à une ressource, celle-ci ne peut être déplacée que vers les organisations explicitement autorisées par la contrainte. Les déplacements au sein d'une organisation ne sont pas régis par cette contrainte. L'opération de déplacement nécessitera les mêmes autorisations IAM qu'un déplacement de ressource habituel. Les valeurs spécifiées dans les listes d'autorisation/de refus doivent respecter ce format : under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.allowedExportDestinations
"is:", "under:"
Resource Manager Sources autorisées pour l'importation de ressources Cette contrainte de liste définit l'ensemble des organisations externes depuis lesquelles il est possible d'importer des ressources, et refuse tout déplacement depuis d'autres organisations. Par défaut, il n'est pas possible de déplacer des ressources d'une organisation à une autre. Si cette contrainte est appliquée à une ressource, les ressources importées directement sous cette ressource doivent être explicitement autorisées par la contrainte. Les déplacements au sein d'une organisation ne sont pas régis par cette contrainte. L'opération de déplacement nécessitera les mêmes autorisations IAM qu'un déplacement de ressource habituel. Les valeurs spécifiées dans les listes d'autorisation/de refus doivent respecter ce format : under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.allowedImportSources
"is:", "under:"
Cloud Run Règles d'autorisation binaire autorisées (Cloud Run) Cette contrainte de liste définit l'ensemble des noms de règles d'autorisation binaire pouvant être spécifiés sur une ressource Cloud Run. Par défaut, les ressources peuvent spécifier n'importe quelle règle d'autorisation binaire.
Étant donné qu'il n'existe qu'une seule règle d'autorisation binaire par projet, cette liste d'autorisation/de refus de règles ne peut utiliser que la valeur default.

constraints/run.allowedBinaryAuthorizationPolicies
"is:"
Cloud Run Paramètres d'entrée autorisés (Cloud Run) Cette contrainte de liste définit les paramètres d'entrée autorisés pour les services Cloud Run. Lorsque cette contrainte est appliquée, les services doivent impérativement présenter des paramètres d'entrée correspondant à l'une des valeurs autorisées. Les services Cloud Run existants dont les paramètres d'entrée enfreignent cette contrainte peuvent continuer à être mis à jour jusqu'à ce que les paramètres d'entrée du service soient modifiés pour se conformer à cette contrainte. Une fois qu'un service se conforme à cette contrainte, il ne peut utiliser que des paramètres d'entrée autorisés par cette contrainte.
Par défaut, les services Cloud Run peuvent utiliser n'importe quels paramètres d'entrée.
La liste autorisée doit contenir des valeurs de paramètres d'entrée compatibles, à savoir all, internal et internal-and-cloud-load-balancing.

constraints/run.allowedIngress
"is:"
Cloud Run Paramètres de sortie VPC autorisés (Cloud Run) Cette contrainte de liste définit les paramètres de sortie VPC autorisés pour les révisions d'un service Cloud Run. Lorsque cette contrainte est appliquée, les révisions d'un service doivent impérativement utiliser un connecteur d'accès au VPC sans serveur, et les paramètres de sortie VPC des révisions doivent correspondre à l'une des valeurs autorisées.
Pour les services existants, toutes les révisions nouvellement déployées doivent se conformer à cette contrainte. Les services existants qui présentent des révisions diffusant le trafic mais enfreignant cette contrainte peuvent continuer à migrer le trafic vers des révisions qui ne respectent pas cette contrainte. Une fois que l'ensemble du trafic d'un service est diffusé par des révisions conformes à cette contrainte, toutes les migrations de trafic ultérieures ne peuvent migrer le trafic que vers des révisions obéissant à cette contrainte.
Par défaut, les révisions Cloud Run peuvent définir les paramètres de sortie VPC sur n'importe quelle valeur compatible.
La liste autorisée doit contenir des valeurs de paramètres de sortie VPC compatibles, à savoir private-ranges-only et all-traffic.

constraints/run.allowedVPCEgress
"is:"
Service Consumer Management Désactiver l'attribution de rôles automatique pour les comptes de service par défaut Cette contrainte booléenne, lorsqu'elle est appliquée, empêche les comptes de service App Engine et Compute Engine créés par défaut dans vos projets de se voir automatiquement attribuer un rôle IAM sur le projet lors de leur création.
Par défaut, ces comptes de service reçoivent automatiquement le rôle Éditeur lorsqu'ils sont créés.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
Cloud Storage Google Cloud Platform – Mode Audit Logging détaillé Lorsque le mode Audit Logging détaillé est appliqué, la requête et la réponse sont incluses dans les journaux d'audit Cloud. La prise en compte des modifications apportées à cette fonctionnalité peut prendre jusqu'à 10 minutes. L'utilisation de cette règle d'administration conjointement au verrou de bucket est fortement recommandée pour la mise en conformité avec certaines règles, telles que SEC 17a-4(f), CFTC 1.31(c)-(d) et FINRA 4511(c). Cette règle n'est actuellement disponible que dans Google Cloud Storage.
constraints/gcp.detailedAuditLoggingMode
"is:"
Cloud Storage Appliquer la protection contre l'accès public BÊTA : Protégez vos données Cloud Storage contre toute exposition publique en appliquant la prévention de l'accès public. Cette règle de gouvernance empêche tout accès aux ressources existantes et à venir via l'Internet public en désactivant et en bloquant les LCA et les autorisations IAM qui accordent l'accès à allUsers et allAuthenticatedUsers. Appliquez cette règle au niveau de l'organisation tout entière (recommandé), de projets spécifiques ou de dossiers spécifiques afin de vous assurer qu'aucune donnée n'est exposée de manière publique.
Cette règle prend le pas sur toute autorisation publique existante. Une fois cette règle activée, l'accès public sera révoqué pour les buckets et objets existants.
constraints/storage.publicAccessPrevention
"is:"
Cloud Storage Durée des règles de conservation en secondes Cette contrainte de liste définit l'ensemble des durées pour les règles de conservation pouvant être définies sur les buckets Cloud Storage.
Par défaut, si aucune règle d'administration n'est spécifiée, la règle de conservation d'un bucket Cloud Storage peut avoir une durée quelconque.
La liste des durées autorisées doit être un nombre entier positif supérieur à zéro et correspondre à la règle de conservation en secondes.
Toute opération d'ajout, de mise à jour ou de correction sur un bucket dans la ressource de l'organisation doit être associée à une durée de règle de conservation correspondant à la contrainte.
L'application de cette contrainte n'est pas rétroactive. Lorsqu'une nouvelle règle d'administration est appliquée, la règle de conservation des buckets existants demeure inchangée et valide.

constraints/storage.retentionPolicySeconds
"is:"
Cloud Storage Appliquer l'accès uniforme au niveau du bucket Lorsqu'elle est définie sur True, cette contrainte booléenne exige que les buckets utilisent l'accès uniforme au niveau du bucket. Les nouveaux buckets de la ressource Organisation doivent disposer de l'accès uniforme au niveau du bucket, et cet accès ne peut pas être désactivé sur les buckets existants.
L'application de cette contrainte n'est pas rétroactive : si l'accès uniforme au niveau du bucket est désactivé sur les buckets existants, il reste désactivé. La valeur par défaut de cette contrainte est False.
L'accès uniforme au niveau du bucket désactive l'évaluation des LCA assignées aux objets Cloud Storage du bucket. Par conséquent, seules les stratégies IAM peuvent autoriser l'accès aux objets de ces buckets.

constraints/storage.uniformBucketLevelAccess
"is:"

Guides d'utilisation

Pour plus d'informations sur l'utilisation des contraintes individuelles :

Contrainte Guide d'utilisation
constraints/cloudfunctions.allowedIngressSettings Utiliser VPC Service Controls
constraints/cloudfunctions.allowedVpcConnectorEgressSettings Utiliser VPC Service Controls
cloudfunctions.requireVPCConnector Utiliser VPC Service Controls
constraints/compute.restrictCloudNATUsage Restreindre l'utilisation de Cloud NAT
constraints/compute.restrictLoadBalancerCreationForTypes Contraintes Cloud Load Balancing
constraints/compute.restrictProtocolForwardingCreationForTypes Contraintes de transfert de protocole
constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Restreindre l'utilisation de Cloud Interconnect
constraints/compute.restrictVpnPeerIPs Restreindre les adresses IP d'appairage via un tunnel Cloud VPN
constraints/compute.trustedImageProjects Restreindre l'accès aux images
constraints/compute.vmExternalIpAccess Désactiver l'accès aux adresses IP externes pour les machines virtuelles
constraints/iam.allowedPolicyMemberDomains Restreindre les identités par domaine
constraints/iam.allowServiceAccountCredentialLifetimeExtension Prolonger la durée de vie des jetons d'accès OAuth 2.0
constraints/iam.disableCrossProjectServiceAccountUsage Associer un compte de service à une ressource d'un autre projet
constraints/iam.disableServiceAccountCreation Restreindre la création de comptes de service
constraints/iam.disableServiceAccountKeyCreation Restreindre la création de clés de comptes de service
constraints/iam.disableServiceAccountKeyUpload Restreindre l'importation des clés de compte de service
constraints/iam.disableWorkloadIdentityClusterCreation Restreindre la création d'un cluster Workload Identity
constraints/iam.restrictCrossProjectServiceAccountLienRemoval Associer un compte de service à une ressource d'un autre projet
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
constraints/storage.publicAccessPrevention
Contraintes relatives aux règles d'administration pour Cloud Storage
constraints/gcp.disableCloudLogging Désactiver Cloud Logging
constraints/gcp.resourceLocations Limiter les emplacements de ressources
constraints/compute.restrictCloudNATUsage Contraintes applicables aux règles d'administration pour Cloud NAT
constraints/resourcemanager.accessBoundaries Restreindre la visibilité des projets pour les utilisateurs
constraints/run.allowedIngress Utiliser VPC Service Controls
constraints/run.allowedVPCEgress Utiliser VPC Service Controls

En savoir plus

Pour en savoir plus sur les concepts de base des règles d'administration :