Vincoli dei criteri dell'organizzazione

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Vincoli disponibili

Puoi specificare i criteri che utilizzano i seguenti vincoli.

vincoli supportati da più servizi Google Cloud

Vincolo Descrizione Prefissi supportati
Pool di worker consentiti (Cloud Build) Questo vincolo dell'elenco definisce l'insieme di pool di worker di Cloud Build consentiti per l'esecuzione delle build utilizzando Cloud Build. Quando questo vincolo viene applicato, sarà necessario creare le build in un pool di worker che corrisponda a uno dei valori consentiti.
Per impostazione predefinita, Cloud Build può utilizzare qualsiasi pool di worker.
L'elenco dei pool di worker deve essere nel formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


  • constraints/cloudbuild.allowedWorkerPools
"is:", "under:"
Google Cloud Platform - Restrizione sulla località delle risorse Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare le risorse GCP basate sulla località.
Per impostazione predefinita, le risorse possono essere create in qualsiasi località.
I criteri per questo vincolo possono specificare più regioni come asia e europe, aree geografiche come us-east1 o europe-west1 come località consentite o negate. Autorizzare o meno aree geografiche multiple non significa che bisogna autorizzare o meno anche tutte le località secondarie. Ad esempio, se il criterio rifiuta la località a più aree geografiche us (che fa riferimento a risorse a più aree geografiche, come alcuni servizi di archiviazione), è comunque possibile creare risorse nella località a livello di area geografica us-east1. Il gruppo in:us-locations, invece, contiene tutte le località all'interno dell'area geografica us e può essere utilizzato per bloccare ogni area geografica.
Consigliamo di utilizzare i gruppi di valori per definire il criterio.
Puoi specificare gruppi di valori, raccolte di località curate da Google per offrire un modo semplice per definire le località delle risorse. Per utilizzare i gruppi di valori nel criterio dell'organizzazione, aggiungi il prefisso in: seguito dalle voci, seguito dal gruppo di valori.
Ad esempio, per creare risorse che si troveranno fisicamente solo negli Stati Uniti, imposta in:us-locations nell'elenco dei valori consentiti.
Se il campo suggested_value viene utilizzato in un criterio di località, deve essere una regione. Se il valore specificato è un'area geografica, una UI di una risorsa di zona può pre-popolare qualsiasi zona dell'area geografica.
constraints/gcp.resourceLocations
"is:", "in:"
Limita i progetti che possono fornire CryptoKey KMS per CMEK Questo vincolo dell'elenco definisce i progetti che possono essere utilizzati per fornire chiavi di crittografia gestite dal cliente (CMEK) durante la creazione delle risorse. L'impostazione di questo vincolo su Allow (ad esempio, per consentire solo le chiavi CMEK di questi progetti) garantisce che le chiavi CMEK di altri progetti non possano essere utilizzate per proteggere le risorse create di recente. I valori di questo vincolo devono essere specificati nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. I servizi supportati che applicano questo vincolo sono:
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigtable.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • logging.googleapis.com
  • pubsub.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
L'applicazione di questo vincolo potrebbe aumentare nel tempo per includere servizi aggiuntivi. Presta attenzione quando applichi questo vincolo a progetti, cartelle o organizzazioni in cui viene utilizzata una combinazione di servizi supportati e non supportati. Non è consentito impostare questo vincolo su Deny o Deny All. L'applicazione di questo vincolo non è retroattiva. Le risorse GCP CMEK esistenti con CryptoKey KMS provenienti da progetti non consentiti devono essere riconfigurate o ricreate manualmente per garantire l'applicazione.
constraints/gcp.restrictCmekCryptoKeyProjects
"is:", "under:"
Limita i servizi che possono creare risorse senza CMEK Questo vincolo dell'elenco definisce i servizi che richiedono chiavi di crittografia gestite dal cliente (CMEK). L'impostazione di questo vincolo su Deny (ad esempio, per negare la creazione di risorse senza CMEK) richiede che le risorse create di recente siano protette da una chiave CMEK per i servizi specificati. I servizi supportati che possono essere impostati in questo vincolo sono:
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigtable.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • logging.googleapis.com
  • pubsub.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
Non è consentito impostare questo vincolo su Deny All. Non è consentito impostare questo vincolo su Allow. L'applicazione di questo vincolo non è retroattiva. Le risorse GCP non CMEK esistenti devono essere riconfigurate o ricreate manualmente per garantire l'applicazione.
constraints/gcp.restrictNonCmekServices
"is:"
Limita utilizzo del servizio risorse Questo vincolo definisce l'insieme dei servizi di risorse di Google Cloud che possono essere utilizzati all'interno di un'organizzazione, una cartella o un progetto, ad esempio compute.googleapis.com e storage.googleapis.com.
Per impostazione predefinita, sono consentiti tutti i servizi Google Cloud.
Per saperne di più, consulta https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

constraints/gcp.restrictServiceUsage
"is:"
Disattiva creazione chiavi account di servizio Questo vincolo booleano, se impostato su"True", disattiva la creazione di chiavi esterne per gli account di servizio.
Per impostazione predefinita, le chiavi esterne degli account di servizio possono essere create dagli utenti in base ai propri ruoli e autorizzazioni Cloud IAM.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Disabilita l'abilitazione di Identity-Aware Proxy (IAP) nelle risorse di regione Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse di regione. L'abilitazione di IAP nelle risorse globali non è limitata da questo vincolo.
Per impostazione predefinita, è consentito abilitare IAP sulle risorse di regione.
constraints/iap.requireRegionalIapWebDisabled
"is:"
Limita API e servizi Google Cloud consentiti Questo vincolo dell'elenco limita l'insieme di servizi e relative API che è possibile abilitare su questa risorsa. Per impostazione predefinita, sono consentiti tutti i servizi.
L'elenco dei servizi rifiutati deve provenire dall'elenco seguente. Attualmente l'abilitazione esplicita delle API tramite questo vincolo non è supportata. Se viene specificata un'API non compresa in questo elenco verrà restituito un errore.
L'applicazione di questo vincolo non è retroattiva. Se un servizio è già abilitato su una risorsa al momento dell'applicazione di questo vincolo, rimarrà abilitato.

constraints/serviceuser.services
"is:"

vincoli per servizi specifici

Servizi Vincolo Descrizione Prefissi supportati
App Engine Disabilita il download del codice sorgente Disabilita i download del codice sorgente precedentemente caricati su App Engine.
constraints/appengine.disableCodeDownload
"is:"
BigQuery Disattiva BigQuery Omni per Cloud AWS Se ha valore True, questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Amazon Web Services a cui è applicato il vincolo.
constraints/bigquery.disableBQOmniAWS
"is:"
BigQuery Disattiva BigQuery Omni per Cloud Azure Se ha valore True, questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Microsoft Azure a cui è applicato il vincolo.
constraints/bigquery.disableBQOmniAzure
"is:"
Cloud Build Integrazioni consentite (Cloud Build) Questo vincolo dell'elenco definisce le integrazioni di Cloud Build consentite per l'esecuzione delle build tramite la ricezione di webhook da servizi esterni a GCP. Quando questo vincolo viene applicato, vengono elaborati solo i webhook per i servizi il cui host corrisponde a uno dei valori consentiti.
Per impostazione predefinita, Cloud Build elabora tutti i webhook per i progetti che hanno almeno un trigger ATTIVO.
constraints/cloudbuild.allowedIntegrations
"is:"
Cloud Deploy Disabilita etichette di servizio Cloud Deploy Quando applicato, questo vincolo booleano impedisce a Cloud Deploy di aggiungere etichette di identificazione Cloud Deploy agli oggetti di cui è stato eseguito il deployment.
Per impostazione predefinita, le etichette che identificano le risorse Cloud Deploy vengono aggiunte agli oggetti di cui è stato eseguito il deployment durante la creazione della release.
constraints/clouddeploy.disableServiceLabelGeneration
"is:"
Cloud Functions Impostazioni di traffico in entrata consentite (Cloud Functions) Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per il deployment di una Funzione Cloud. Quando questo vincolo viene applicato, le funzioni devono avere delle impostazioni di traffico in entrata che corrispondano a uno dei valori consentiti.
Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in entrata.
Le impostazioni di traffico in entrata devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione IngressSettings.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Impostazioni di traffico in uscita del Connettore VPC consentite (Cloud Functions) Questo vincolo dell'elenco definisce le impostazioni di traffico in uscita del Connettore VPC consentite per il deployment di una Funzione Cloud. Quando questo vincolo viene applicato, le impostazioni di traffico in uscita del Connettore VPC delle funzioni devono corrispondere ai valori consentiti.
Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione in uscita del connettore VPC.
Le impostazioni di uscita del connettore VPC devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione VpcConnectorEgressSettings.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions Richiede Connettore VPC (Cloud Functions) Questo vincolo booleano richiede l'impostazione di un Connettore VPC durante il deployment di una Funzione Cloud. Quando questo vincolo viene applicato, le funzioni dovranno specificare un Connettore VPC.
Per impostazione predefinita, non è necessario specificare un connettore VPC per eseguire il deployment di una funzione Cloud.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud KMS Limita i tipi di CryptoKey KMS che possono essere creati. Questo vincolo dell'elenco definisce i tipi di chiavi Cloud KMS che possono essere creati in un determinato nodo della gerarchia. Quando questo vincolo viene applicato, solo i tipi di chiavi KMS specificati in questo criterio dell'organizzazione possono essere creati all'interno del nodo della gerarchia associata. La configurazione di questo criterio dell'organizzazione influirà anche sul livello di protezione dei job di importazione e delle versioni delle chiavi. Per impostazione predefinita sono consentiti tutti i tipi di chiavi. I valori validi sono: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. I criteri di rifiuto non sono consentiti.
constraints/cloudkms.allowedProtectionLevels
"is:"
Cloud Scheduler Tipi di target consentiti per i job Questo vincolo dell'elenco definisce l'elenco dei tipi di destinazione, ad esempio App Engine HTTP, HTTP o Pubsub, consentiti per i job di Cloud Scheduler.
Per impostazione predefinita, sono consentiti tutti i target di job.
I valori validi sono: APPENGINE, HTTP, PUBSUB.
constraints/cloudscheduler.allowedTargetTypes
"is:"
Cloud SQL Limita reti autorizzate nelle istanze di Cloud SQL Questo vincolo booleano limita l'aggiunta di reti autorizzate per l'accesso al database senza proxy alle istanze Cloud SQL in cui il vincolo è impostato su True. Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente connesse a reti autorizzate continueranno a funzionare anche dopo l'applicazione di questo vincolo.
Per impostazione predefinita, le reti autorizzate possono essere aggiunte alle istanze Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Limita l'accesso IP pubblico nelle istanze Cloud SQL Questo vincolo booleano limita la configurazione dell'IP pubblico nelle istanze Cloud SQL in cui il vincolo è impostato su True. Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente dotate di accesso IP pubblico continueranno a funzionare anche dopo l'applicazione di questo vincolo.
Per impostazione predefinita, alle istanze Cloud SQL è consentito l'accesso IP pubblico.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Disattiva tutti gli utilizzi di IPv6 Se impostato su True, questo vincolo booleano disabilita la creazione o l'aggiornamento di qualunque risorsa Google Compute Engine coinvolta nell'utilizzo di IPv6.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse Google Compute Engine utilizzando IPv6 in qualsiasi progetto, cartella e organizzazione.
Se impostato, questo vincolo ha una priorità maggiore rispetto agli altri vincoli dell'organizzazione IPv6, tra cui disableVpcInternalIpv6, disableVpcExternalIpv6 e disableHybridCloudIpv6.
constraints/compute.disableAllIpv6
"is:"
Compute Engine Disabilita la creazione dei criteri di sicurezza di Cloud Armor Quando applicato, questo vincolo booleano disabilita la creazione dei criteri di sicurezza di Cloud Armor.
Per impostazione predefinita, puoi creare criteri di sicurezza di Cloud Armor in qualsiasi organizzazione, cartella o progetto.
constraints/compute.disableGlobalCloudArmorPolicy
"is:"
Compute Engine Disabilita bilanciamento del carico globale Questo vincolo booleano disabilita la creazione di prodotti di bilanciamento del carico globale. Quando applicato, è possibile creare solo prodotti di bilanciamento del carico a livello di area geografica senza dipendenze globali. Per impostazione predefinita, è consentita la creazione del bilanciamento del carico globale.
constraints/compute.disableGlobalLoadBalancing
"is:"
Compute Engine Disabilita la creazione di certificati SSL autogestiti globali Quando applicato, questo vincolo booleano disabilita la creazione di certificati SSL autogestiti globali. La creazione di certificati gestiti da Google o autogestiti a livello di regione non è disabilitata da questo vincolo.
Per impostazione predefinita, puoi creare certificati SSL autogestiti globali in qualsiasi organizzazione, cartella o progetto.
constraints/compute.disableGlobalSelfManagedSslCertificate
"is:"
Compute Engine Disattiva attributi guest dei metadati di Compute Engine Questo vincolo booleano disabilita l'accesso dell'API Compute Engine agli attributi guest delle VM Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è impostato su True.
Per impostazione predefinita, è possibile utilizzare l'API Compute Engine per accedere agli attributi guest della VM Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine Disattiva utilizzo di IPv6 per il cloud ibrido Se impostato su True, questo vincolo booleano disabilita la creazione o l'aggiornamento alle risorse cloud ibride, inclusi router Cloud, collegamenti di interconnessione e Cloud VPN con un stack_type di IPV4_IPV6.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse cloud ibride con stack_type di IPV4_IPV6 per qualsiasi progetto, cartella e organizzazione.
constraints/compute.disableHybridCloudIpv6
"is:"
Compute Engine Disabilita gruppi di endpoint di rete Internet Questo vincolo booleano limita la capacità di un utente di creare gruppi di endpoint di rete (NEG) Internet con un type di INTERNET_FQDN_PORT e INTERNET_IP_PORT.
Per impostazione predefinita, qualsiasi utente con le autorizzazioni IAM appropriate può creare NEG Internet in qualsiasi progetto.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine Disattiva la virtualizzazione nidificata della VM Questo vincolo booleano disabilita la virtualizzazione nidificata con accelerazione hardware per tutte le VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è impostato su True.
Per impostazione predefinita, è consentita la virtualizzazione nidificata con accelerazione hardware per tutte le VM di Compute Engine in esecuzione su Intel Haswell o su piattaforme CPU più recenti.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine Disabilita Private Service Connect per i consumatori Questo vincolo dell'elenco definisce l'insieme di tipi di endpoint di Private Service Connect per cui gli utenti non possono creare regole di forwarding. Quando questo vincolo viene applicato, gli utenti non possono creare regole di forwarding per il tipo di endpoint Private Service Connect. Questo vincolo non viene applicato retroattivamente.
Per impostazione predefinita, è possibile creare regole di forwarding per qualsiasi tipo di endpoint di Private Service Connect.
L'elenco di endpoint di Private Service Connect consentiti/non consentiti deve provenire dall'elenco seguente:
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
L'uso di GOOGLE_APIS nell'elenco dei tipi consentiti o non consentiti limiterà la creazione di regole di forwarding di Private Service Connect per l'accesso alle API di Google. L'uso di SERVICE_PRODUCERS nell'elenco dei tipi consentiti o non consentiti limiterà la creazione di regole di forwarding di Private Service Connect per l'accesso ai servizi in un'altra rete VPC.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine Disattiva l'accesso alla porta seriale VM Questo vincolo booleano disabilita l'accesso alla porta seriale delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è impostato su True.
Per impostazione predefinita, i clienti possono abilitare l'accesso alle porte seriali per le VM di Compute Engine in base a VM o a progetto utilizzando gli attributi dei metadati. L'applicazione di questo vincolo disattiverà l'accesso alla porta seriale per le VM di Compute Engine, indipendentemente dagli attributi dei metadati.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Disabilita il logging delle porte seriali delle VM in Stackdriver Questo vincolo booleano disabilita il logging della porta seriale in Stackdriver dalle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui è applicato il vincolo.
Per impostazione predefinita, il logging delle porte seriali per le VM di Compute Engine è disabilitato e può essere abilitato in modo selettivo in base a VM o per progetto utilizzando gli attributi dei metadati. Quando applicato, questo vincolo disabilita il logging della porta seriale per le nuove VM di Compute Engine ogni volta che viene creata una nuova VM, impedendo agli utenti di cambiare l'attributo dei metadati di qualsiasi VM (vecchia o nuova) in True. La disabilitazione del logging della porta seriale può causare il malfunzionamento di determinati servizi che lo utilizzano, ad esempio GKE Autopilot. Prima di applicare questo vincolo, verifica che i prodotti nel tuo progetto non utilizzino il logging della porta seriale.
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine Disattiva SSH nel browser Questo vincolo booleano disabilita lo strumento SSH nel browser in Cloud Console. Quando viene applicato, il pulsante SSH nel browser è disabilitato. Per impostazione predefinita, è consentito usare lo strumento SSH nel browser.
constraints/compute.disableSshInBrowser
"is:"
Compute Engine Disabilita l'utilizzo di IPv6 all'esterno di VPC Se impostato su True, questo vincolo booleano disabilita la creazione o l'aggiornamento delle subnet con stack_type di IPV4_IPV6 e ipv6_access_type di EXTERNAL.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione.
constraints/compute.disableVpcExternalIpv6
"is:"
Compute Engine Disattiva uso di IPv6 all'interno di VPC Se impostato su True, questo vincolo booleano disabilita la creazione o l'aggiornamento delle subnet con stack_type di IPV4_IPV6 e ipv6_access_type di INTERNAL.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione.
constraints/compute.disableVpcInternalIpv6
"is:"
Compute Engine Richiedi accesso al sistema operativo Se impostato su true, questo vincolo booleano abilita OS Login in tutti i nuovi progetti creati. OS Login sarà abilitato in tutte le istanze VM create nei nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano OS Login a livello di progetto o di istanza.
Per impostazione predefinita, la funzionalità OS Login è disabilitata sui progetti Compute Engine.
Le istanze GKE nei cluster privati che eseguono pool di nodi versione 1.20.5-gke.2000 o successiva supportano OS Login. Attualmente le istanze GKE nei cluster pubblici non supportano OS Login. Se questo vincolo viene applicato a un progetto che esegue cluster pubblici, le istanze GKE in esecuzione in quel progetto potrebbero non funzionare correttamente.
constraints/compute.requireOsLogin
"is:"
Compute Engine Shielded VM Se impostato su True, questo vincolo booleano richiede che tutte le nuove istanze VM di Compute Engine utilizzino immagini disco schermate con le opzioni Avvio protetto, vTPM e Monitoraggio dell'integrità abilitate. Se vuoi, puoi disabilitare l'avvio protetto dopo la creazione. Le istanze esistenti in esecuzione continueranno a funzionare come al solito.
Per impostazione predefinita, le funzionalità di VM schermate non devono essere abilitate per creare istanze VM di Compute Engine. Le funzionalità delle VM schermate aggiungono l'integrità verificabile e la resistenza all'esfiltrazione alle VM.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Richiedi criteri predefiniti per i log di flusso VPC Questo vincolo dell'elenco definisce l'insieme di criteri predefiniti che possono essere applicati ai log di flusso VPC.
Per impostazione predefinita, i log di flusso VPC possono essere configurati con qualsiasi impostazione in ciascuna subnet.
Questo vincolo impone l'abilitazione dei log di flusso per tutte le subnet nell'ambito con una frequenza di campionamento minima richiesta.
Specifica uno o più dei seguenti valori validi:
  • ESSENTIAL (consente i valori >= 0.1 e < 0.5)
  • LIGHT (consente i valori >= 0.5 e < 1.0)
  • COMPREHENSIVE (consente valori == 1.0)

constraints/compute.requireVpcFlowLogs
"is:"
Compute Engine Limita l'utilizzo di Cloud NAT Questo vincolo dell'elenco definisce l'insieme di subnet autorizzate a utilizzare Cloud NAT. Per impostazione predefinita, tutte le subnet possono utilizzare Cloud NAT. L'elenco delle subnet consentite o negate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Limita utilizzo dell'interconnessione dedicata Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'interconnessione dedicata. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle reti consentite o non autorizzate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine Limita la creazione del bilanciatore del carico in base ai tipi di bilanciatore del carico Questo vincolo dell'elenco definisce l'insieme dei tipi di bilanciatore del carico che è possibile creare per un'organizzazione, una cartella o un progetto. Ogni tipo di bilanciatore del carico da consentire o non consentire deve essere elencato in modo esplicito. Per impostazione predefinita, è consentita la creazione di tutti i tipi di bilanciatore del carico.
L'elenco dei valori consentiti o rifiutati deve essere identificato come il nome stringa di un bilanciatore del carico e può includere solo valori compresi nell'elenco seguente:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EST_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS
  • REGIONAL_INTERNAL_MANAGED_TCP_PROXY
  • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS

Per includere tutti i tipi di bilanciatore del carico interni o esterni, utilizza il prefisso in: seguito da INTERNAL o EXTERNAL. Ad esempio, consentendo in:INTERNAL autorizzi tutti i tipi di bilanciatore del carico nell'elenco precedente che includono INTERNAL.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:", "in:"
Compute Engine Limita elementi non Confidential Computing L'elenco degli elementi bloccati di questo vincolo dell'elenco definisce l'insieme di servizi per i quali tutte le nuove risorse devono essere create con Confidential Computing. Per impostazione predefinita, non è obbligatorio che le nuove risorse utilizzino Confidential Computing. Se viene applicato questo vincolo di elenco, Confidential Computing non può essere disabilitato durante il ciclo di vita della risorsa. Le risorse esistenti continueranno a funzionare normalmente. L'elenco dei servizi non consentiti deve essere identificato dal nome di stringa di un'API e può includere solo valori esplicitamente negati presenti nell'elenco riportata di seguito. L'autorizzazione esplicita delle API non è attualmente supportata. Verrà restituito un errore se vengono vietate in modo esplicito API non comprese in questo elenco. Elenco delle API supportate: [compute.googleapis.com, container.googleapis.com]
constraints/compute.restrictNonConfidentialComputing
"is:"
Compute Engine Limita utilizzo dell'interconnessione partner Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'interconnessione partner. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle reti consentite o non autorizzate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
Compute Engine Limita forwarding di protocollo in base al tipo di indirizzo IP Questo vincolo dell'elenco definisce il tipo di oggetti regola di forwarding di protocollo con istanza di destinazione che possono essere creati da un utente. Quando questo vincolo viene applicato, i nuovi oggetti regola di forwarding con istanza di destinazione saranno limitati a indirizzi IP interni e/o esterni, in base ai tipi specificati. I tipi da consentire o negare devono essere elencati in modo esplicito. Per impostazione predefinita, è consentita la creazione di oggetti regola di forwarding di protocollo con istanza di destinazione sia interni che esterni.
L'elenco dei valori consentiti o rifiutati può includere solo valori compresi nell'elenco seguente:
  • PER USO INTERNO
  • ESTERNO
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
Compute Engine Limita servizi di backend VPC condiviso Questo vincolo dell'elenco definisce l'insieme di servizi di backend VPC condiviso che le risorse idonee possono utilizzare. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi servizio di backend VPC condiviso. L'elenco dei servizi di backend consentiti o non consentiti deve essere specificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME o projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Questo vincolo non è retroattivo.
constraints/compute.restrictSharedVpcBackendServices
"is:", "under:"
Compute Engine Limita progetti host con VPC condivise Questo vincolo dell'elenco definisce l'insieme di progetti host con VPC condivise ai quali è possibile associare i progetti allo stesso livello o a un livello inferiore rispetto alla risorsa. Per impostazione predefinita, un progetto può essere associato a qualsiasi progetto host nella stessa organizzazione, diventando quindi un progetto di servizio. Progetti, cartelle e organizzazioni negli elenchi consentiti o non consentiti interessano tutti gli oggetti al di sotto di essi nella gerarchia delle risorse e devono essere specificati nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Compute Engine Limita subnet VPC condivise Questo vincolo dell'elenco definisce l'insieme di subnet VPC condivise utilizzabili dalle risorse idonee. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi subnet VPC condivisa. L'elenco delle subnet consentite o negate deve essere specificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
Compute Engine Limita utilizzo del peering di VPC Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a questo progetto, cartella o organizzazione. Per impostazione predefinita, un Amministratore di rete di una rete può eseguire il peering con qualsiasi altra rete. L'elenco delle reti consentite o non autorizzate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictVpcPeering
"is:", "under:"
Compute Engine Limita IP peer VPN Questo vincolo dell'elenco definisce l'insieme di indirizzi IP-v4 validi che possono essere configurati come IP peer VPN. Per impostazione predefinita, qualsiasi IP può essere un IP peer VPN per una rete VPC. L'elenco degli indirizzi IP consentiti o non consentiti deve essere specificato come indirizzo IP-v4 valido nel formato: IP_V4_ADDRESS.
constraints/compute.restrictVpnPeerIPs
"is:"
Compute Engine Configura l'impostazione del DNS interno per i nuovi progetti per utilizzare solo il DNS di zona Se impostato su "True", i nuovi progetti creati utilizzeranno il DNS di zona come predefinito. Per impostazione predefinita, questo vincolo è impostato su "False" e i progetti appena creati utilizzeranno il tipo DNS predefinito.
constraints/compute.setNewProjectDefaultToZonalDNSOnly
"is:"
Compute Engine Progetti del proprietario con prenotazioni condivise Questo vincolo dell'elenco definisce l'insieme di progetti autorizzati a creare e possedere prenotazioni condivise nell'organizzazione. Una prenotazione condivisa è simile a una prenotazione locale con la differenza che, anziché essere sfruttata solo dai progetti del proprietario, può essere utilizzata da altri progetti Compute Engine nella gerarchia delle risorse. L'elenco dei progetti autorizzati ad accedere alla prenotazione condivisa deve essere nel formato projects/PROJECT_NUMBER o under:projects/PROJECT_NUMBER.
constraints/compute.sharedReservationsOwnerProjects
"is:", "under:"
Compute Engine Ignora creazione rete predefinita Questo vincolo booleano ignora la creazione della rete predefinita e delle risorse correlate durante la creazione delle risorse del progetto Google Cloud Platform, dove questo vincolo è impostato su True. Per impostazione predefinita, quando si crea una risorsa del progetto vengono automaticamente create una rete predefinita e le risorse di supporto.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute Engine Restrizioni di utilizzo delle risorse di Compute Storage (dischi, immagini e snapshot di Compute Engine) Questo vincolo dell'elenco definisce un insieme di progetti a cui è consentito utilizzare le risorse di archiviazione di Compute Engine. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può accedere alle risorse di Compute Engine. Utilizzando questo vincolo, gli utenti devono disporre di autorizzazioni Cloud IAM e non devono essere limitati dal vincolo per accedere alla risorsa.
I progetti, le cartelle e le organizzazioni specificati negli elenchi consentiti o rifiutati devono avere i seguenti formati: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Compute Engine Definisci progetti con immagini attendibili Questo vincolo dell'elenco definisce l'insieme di progetti che possono essere utilizzati per l'archiviazione di immagini e l'istanza di dischi per Compute Engine.
Per impostazione predefinita, è possibile creare istanze da immagini in qualsiasi progetto che condivide le immagini pubblicamente o esplicitamente con l'utente.
L'elenco dei progetti dei publisher consentiti o non consentiti deve essere costituito da stringhe nel formato: projects/PROJECT_ID. Se questo vincolo è attivo, saranno consentite come immagini di disco di avvio solo le immagini dei progetti attendibili per le nuove istanze.

constraints/compute.trustedImageProjects
"is:"
Compute Engine Limita inoltro IP VM Questo vincolo dell'elenco definisce l'insieme di istanze VM che possono abilitare il forwarding IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Le istanze VM devono essere specificate nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Questo vincolo non è retroattivo.
constraints/compute.vmCanIpForward
"is:", "under:"
Compute Engine Definisci IP esterni consentiti per le istanze VM Questo vincolo dell'elenco definisce l'insieme di istanze VM di Compute Engine a cui è consentito utilizzare indirizzi IP esterni.
Per impostazione predefinita, tutte le istanze VM possono utilizzare indirizzi IP esterni.
L'elenco di istanze VM consentite/negate deve essere identificato dal nome dell'istanza VM nel formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Compute Engine Disabilita l'abilitazione di Identity-Aware Proxy (IAP) nelle risorse globali Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse globali. L'abilitazione di IAP nelle risorse di regione non è limitata da questo vincolo.
Per impostazione predefinita, è consentito abilitare IAP sulle risorse globali.
constraints/iap.requireGlobalIapWebDisabled
"is:"
Datastream Datastream - Metodi di blocco della connettività pubblica Per impostazione predefinita, i profili di connessione di Datastream possono essere creati con metodi di connettività pubblica o privata. Se il vincolo booleano per questo criterio dell'organizzazione viene applicato, è possibile utilizzare solo i metodi di connettività privata (ad esempio peering VPC) per creare profili di connessione.
constraints/datastream.disablePublicConnectivity
"is:"
Contatti necessari Contatti limitati per i domini Questo vincolo dell'elenco definisce l'insieme di domini che gli indirizzi email aggiunti ai Contatti necessari possono avere.
Per impostazione predefinita, gli indirizzi email con qualsiasi dominio possono essere aggiunti ai Contatti necessari.
L'elenco dei tipi consentiti o non consentiti deve specificare uno o più domini nel modulo @example.com. Se questo vincolo è attivo e configurato con valori consentiti, solo i indirizzi email con un suffisso corrispondente a una delle voci dell'elenco dei domini consentiti possono essere aggiunti in Contatti necessari.
Questo vincolo non influisce sull'aggiornamento o sulla rimozione dei contatti esistenti.
constraints/essentialcontacts.allowedContactDomains
"is:"
Contatti necessari Disabilita contatti di sicurezza del progetto Quando applicato, questo vincolo booleano consente agli amministratori dei criteri dell'organizzazione di assicurare che solo i contatti assegnati a livello di organizzazione o cartella possano ricevere notifiche di sicurezza. In particolare, l'applicazione di questo vincolo impedisce ai proprietari dei progetti e agli amministratori di contatti di creare o aggiornare un contatto necessario con un campo notification_category_subscriptions che contiene la categoria SECURITY o ALL, se il contatto ha anche una risorsa del progetto come padre.
constraints/essentialcontacts.disableProjectSecurityContacts
"is:"
Firestore Richiede l'agente di servizio Firestore per l'importazione/esportazione Quando applicato, questo vincolo booleano richiede che le importazioni e le esportazioni di Firestore utilizzino l'agente di servizio Firestore.
Per impostazione predefinita, le importazioni ed esportazioni di Firestore possono utilizzare l'account di servizio App Engine.
In futuro, Firestore smetterà di utilizzare l'account di servizio App Engine per le importazioni e le esportazioni e tutti gli account dovranno eseguire la migrazione all'agente di servizio Firestore. Dopo di ciò, questo vincolo non sarà più necessario.

constraints/firestore.requireP4SAforImportExport
"is:"
Cloud Healthcare Disabilita Cloud Logging per l'API Cloud Healthcare Quando applicato, questo vincolo booleano disabilita Cloud Logging per l'API Cloud Healthcare.
Gli audit log non sono interessati da questo vincolo.
I log di Cloud generati per l'API Cloud Healthcare prima dell'applicazione del vincolo non vengono eliminati e sono comunque accessibili.

constraints/gcp.disableCloudLogging
"is:"
Identity and Access Management Consenti estensione della durata dei token di accesso OAuth 2.0 fino a 12 ore Questo vincolo dell'elenco definisce l'insieme di account di servizio a cui possono essere concessi token di accesso OAuth 2.0 con una durata massima di 12 ore. Per impostazione predefinita, la durata massima di questi token di accesso è di 1 ora.
L'elenco degli account di servizio consentiti o non consentiti deve specificare uno o più indirizzi email di questi account.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
Identity and Access Management Condivisione limitata per i domini Questo vincolo dell'elenco definisce uno o più ID cliente di Cloud Identity o Google Workspace le cui entità possono essere aggiunte ai criteri IAM.
Per impostazione predefinita, è consentito aggiungere tutte le identità utente ai criteri IAM. Solo i valori consentiti possono essere definiti in questo vincolo. I valori negati non sono supportati.
Se questo vincolo è attivo, solo le entità che appartengono agli ID cliente consentiti possono essere aggiunte ai criteri IAM.
constraints/iam.allowedPolicyMemberDomains
"is:"
Identity and Access Management Disabilita esenzione per l'audit logging Quando applicato, questo vincolo booleano impedisce di escludere entità aggiuntive dall'audit logging. Questo vincolo non influisce sulle esenzioni dall'audit logging che esistevano prima dell'applicazione del vincolo.
constraints/iam.disableAuditLoggingExemption
"is:"
Identity and Access Management Disabilita l'utilizzo degli account di servizio tra i progetti Una volta applicato, il deployment degli account di servizio è possibile solo (utilizzando il ruolo ServiceAccountUser) nei job (VM, funzioni e così via) in esecuzione nello stesso progetto dell'account di servizio.
constraints/iam.disableCrossProjectServiceAccountUsage
"is:"
Identity and Access Management Disattiva creazione account di servizio Questo vincolo booleano, se impostato su"True", disattiva la creazione di account di servizio.
Per impostazione predefinita, gli account di servizio possono essere creati dagli utenti in base ai propri ruoli e autorizzazioni Cloud IAM.

constraints/iam.disableServiceAccountCreation
"is:"
Identity and Access Management Disabilita caricamento di chiavi account di servizio Questo vincolo booleano, se impostato su "True", disattiva la funzione che consente di caricare chiavi pubbliche su un account di servizio.
Per impostazione predefinita, gli utenti possono caricare le chiavi pubbliche negli account di servizio in base ai propri ruoli e autorizzazioni Cloud IAM.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Identity and Access Management Disabilita creazione cluster Workload Identity Se impostato su "True", questo vincolo booleano richiede che in tutti i nuovi cluster GKE sia disabilitato Workload Identity al momento della creazione. I cluster GKE esistenti in cui Workload Identity è già abilitato continueranno a funzionare come al solito. Per impostazione predefinita, Workload Identity può essere abilitato per qualsiasi cluster GKE.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Identity and Access Management Account AWS consentiti che possono essere configurati per la federazione delle identità per i carichi di lavoro in Cloud IAM. Elenco di ID account AWS che possono essere configurati per la federazione delle identità per i carichi di lavoro in Cloud IAM.
constraints/iam.workloadIdentityPoolAwsAccounts
"is:"
Identity and Access Management Provider di identità esterni consentiti per i carichi di lavoro in Cloud IAM Provider di identità che possono essere configurati per l'autenticazione dei carichi di lavoro in Cloud IAM, specificati da URI/URL.
constraints/iam.workloadIdentityPoolProviders
"is:"
Piano di controllo gestito da Anthos Service Mesh Modalità Controlli di servizio VPC consentita per i piani di controllo gestiti di Anthos Service Mesh Questo vincolo determina quali modalità di Controlli di servizio VPC possono essere impostate durante il provisioning di un nuovo piano di controllo gestito da Anthos Service Mesh. I valori validi sono "NONE" e "COMPATIBLE".
constraints/meshconfig.allowedVpcscModes
"is:"
Resource Manager Limita la rimozione dei blocchi sul progetto della rete VPC condivisa Questo vincolo booleano limita l'insieme di utenti che possono rimuovere un blocco progetto relativo a un VPC condiviso senza autorizzazione a livello di organizzazione, per cui il vincolo è impostato su True.
Per impostazione predefinita, qualsiasi utente con l'autorizzazione di aggiornamento dei blocchi può rimuovere un blocco del progetto host del VPC condiviso. L'applicazione di questo vincolo richiede che venga concessa l'autorizzazione a livello di organizzazione.
constraints/compute.restrictXpnProjectLienRemoval
"is:"
Resource Manager Limita la rimozione dei blocchi degli account di servizio tra progetti Questo vincolo booleano, quando corrisponde a ENFORCED, impedisce agli utenti di rimuovere un blocco degli account di servizio tra progetti senza autorizzazione a livello di organizzazione. Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco degli account di servizio tra progetti. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione.
constraints/iam.restrictCrossProjectServiceAccountLienRemoval
"is:"
Resource Manager Limita visibilità query risorsa Quando applicato a una risorsa dell'organizzazione, questo vincolo dell'elenco definisce l'insieme di risorse Google Cloud che vengono restituite nei metodi di elencazione e ricerca per gli utenti nel dominio dell'organizzazione a cui il vincolo è applicato. Consente di limitare le risorse visibili in varie parti di Cloud Console, tra cui il selettore risorse, la funzionalità di ricerca e la pagina Gestisci risorse. Tieni presente che questo vincolo viene valutato sempre e solo a livello di organizzazione. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.accessBoundaries
"is:", "under:"
Resource Manager Richiedi l'elenco dei servizi consentiti abilitati per lo spostamento tra organizzazioni Questo vincolo dell'elenco funge da controllo per verificare se un progetto con un servizio abilitato può essere spostato tra le organizzazioni. Questo vincolo deve essere applicato in una risorsa in cui è abilitato un servizio supportato, che a sua volta deve essere incluso nei valori consentiti per poter essere spostato tra le organizzazioni. L'elenco attuale di valori consentiti per i servizi supportati che è possibile utilizzare è:
  • SHARED_VPC

Questo vincolo fornisce un controllo aggiuntivo rispetto a constraints/resourcemanager.allowedExportDestinations. Questo vincolo dell'elenco (list_constraint) è vuoto per impostazione predefinita e non bloccherà gli spostamenti tra organizzazioni, a meno che un servizio supportato non venga abilitato nella risorsa da esportare. Questo vincolo consente un controllo più dettagliato sulle risorse che utilizzano funzionalità che richiedono maggiore attenzione quando vengono spostate in un'altra organizzazione. Per impostazione predefinita, una risorsa in cui è abilitato un servizio supportato non può essere spostata tra le organizzazioni.
constraints/resourcemanager.allowEnabledServicesForExport
"is:"
Resource Manager Destinazioni consentite per l'esportazione delle risorse Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne in cui è possibile spostare le risorse e nega gli spostamenti in tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, questa può essere spostata solo nelle organizzazioni consentite esplicitamente dal vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.allowedExportDestinations
"is:", "under:"
Resource Manager Origini consentite per l'importazione delle risorse Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne da cui è possibile importare le risorse e nega gli spostamenti da tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, le risorse importate direttamente sotto questa risorsa devono essere consentite esplicitamente da questo vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.allowedImportSources
"is:", "under:"
Cloud Run Criteri di autorizzazione binaria consentiti (Cloud Run) Questo vincolo dell'elenco definisce l'insieme dei nomi dei criteri di autorizzazione binaria che è possibile specificare in una risorsa Cloud Run. Per consentire/negare un criterio predefinito, utilizza il valore "default". Per consentire/negare uno o più criteri personalizzati della piattaforma, l'ID risorsa di ciascun criterio deve essere aggiunto separatamente.
constraints/run.allowedBinaryAuthorizationPolicies
"is:"
Cloud Run Impostazioni di traffico in entrata consentite (Cloud Run) Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per i servizi Cloud Run. Quando questo vincolo viene applicato, le impostazioni del traffico in entrata dei servizi devono corrispondere a uno dei valori consentiti. I servizi Cloud Run esistenti con impostazioni di traffico in entrata che violano questo vincolo possono continuare a essere aggiornati finché tali impostazioni non vengono modificate per rispettare il vincolo. Quando un servizio rispetta questo vincolo, può utilizzare solo le relative impostazioni di traffico in entrata consentite.
Per impostazione predefinita, i servizi Cloud Run possono utilizzare qualsiasi impostazione di traffico in entrata.
L'elenco dei valori consentiti deve contenere valori delle impostazioni di traffico in entrata supportati, ovvero all, internal e internal-and-cloud-load-balancing.

constraints/run.allowedIngress
"is:"
Cloud Run Impostazioni di traffico VPC in uscita consentite (Cloud Run) Questo vincolo dell'elenco definisce le impostazioni di traffico VPC in uscita consentite per le revisioni di un servizio Cloud Run. Quando questo vincolo viene applicato, saranno necessarie revisioni di un servizio per utilizzare un connettore di accesso VPC serverless e le impostazioni del traffico VPC in uscita delle revisioni devono corrispondere a uno dei valori consentiti.
Per i servizi esistenti, tutte le nuove revisioni di cui viene eseguito il deployment devono essere conformi a questo vincolo. I servizi esistenti con revisioni che gestiscono traffico e violano questo vincolo possono continuare a eseguire la migrazione del traffico a tali revisioni. Quando tutto il traffico per un servizio viene gestito da revisioni conformi a questo vincolo, tutte le migrazioni di traffico successive devono eseguire la migrazione del traffico solo verso queste revisioni.
Per impostazione predefinita, le revisioni di Cloud Run possono configurare le impostazioni di traffico VPC in uscita su qualsiasi valore supportato.
L'elenco dei valori consentiti deve contenere valori delle impostazioni di traffico VPC in uscita supportati, ovvero private-ranges-only e all-traffic.

constraints/run.allowedVPCEgress
"is:"
Service Consumer Management Disabilita l'assegnazione automatica di diritti IAM agli account di servizio predefiniti Quando applicato, questo vincolo booleano impedisce che agli account di servizio App Engine e Compute Engine predefiniti creati nei tuoi progetti venga concesso automaticamente qualsiasi ruolo IAM sul progetto quando vengono creati gli account.
Per impostazione predefinita, questi account di servizio ricevono automaticamente il ruolo Editor quando vengono creati.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
Cloud Storage Google Cloud Platform - Modalità audit logging dettagliato Quando è applicata la modalità di audit logging dettagliata, sia la richiesta che la risposta vengono incluse in Cloud Audit Logs. L'applicazione delle modifiche a questa funzionalità può richiedere fino a 10 minuti. Questo criterio dell'organizzazione è vivamente consigliato in coordinamento con il blocco dei bucket per la conformità a norme quali regola SEC 17a-4(f), regola CFTC 1.31(c)-(d) e regola FINRA 4511(c). Questo criterio è attualmente supportato solo in Cloud Storage.
constraints/gcp.detailedAuditLoggingMode
"is:"
Cloud Storage Applica prevenzione dell'accesso pubblico Impedisci che i dati di Cloud Storage vengano esposti pubblicamente mediante l'attivazione della prevenzione dell'accesso pubblico. Questo criterio di governance impedisce l'accesso alle risorse attuali e future attraverso la rete Internet pubblica, disattivando e bloccando gli ACL e le autorizzazioni IAM che consentono di accedere a allUsers e allAuthenticatedUsers. Applica questo criterio all'intera organizzazione (consigliato), a progetti specifici o a cartelle specifiche, per impedire che i dati vengano esposti al pubblico.
Questo criterio ha la precedenza sulle autorizzazioni pubbliche esistenti. Dopo l'attivazione di questo criterio, l'accesso pubblico viene revocato per i bucket e gli oggetti esistenti.
constraints/storage.publicAccessPrevention
"is:"
Cloud Storage Cloud Storage - Limita tipi di autenticazione Il vincolo definisce l'insieme di tipi di autenticazione a cui verrebbe impedito l'accesso alle risorse di archiviazione nell'organizzazione in Cloud Storage. I valori supportati sono USER_ACCOUNT_HMAC_SIGNED_REQUESTS e SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Utilizza in:ALL_HMAC_SIGNED_REQUESTS per includerli entrambi.
constraints/storage.restrictAuthTypes
"is:", "in:"
Cloud Storage Durata del criterio di conservazione in secondi Questo vincolo dell'elenco definisce l'insieme di durate per i criteri di conservazione che possono essere impostati nei bucket Cloud Storage.
Per impostazione predefinita, se non sono specificati criteri dell'organizzazione, un bucket Cloud Storage può avere un criterio di conservazione di qualsiasi durata.
L'elenco delle durate consentite deve essere specificato come un numero intero positivo maggiore di zero, che rappresenta il criterio di conservazione in secondi.
Qualsiasi operazione di inserimento, aggiornamento o patch su un bucket nella risorsa dell'organizzazione deve avere una durata del criterio di conservazione corrispondente al vincolo.
L'applicazione di questo vincolo non è retroattiva. Quando viene applicato un nuovo criterio dell'organizzazione, il criterio di conservazione dei bucket esistenti rimane invariato e valido.

constraints/storage.retentionPolicySeconds
"is:"
Cloud Storage Applica accesso uniforme a livello di bucket Questo vincolo booleano richiede che i bucket utilizzino un accesso uniforme a livello di bucket su cui il vincolo è impostato su True. L'accesso uniforme a livello di bucket deve essere abilitato per tutti i nuovi bucket nella risorsa Organizzazione e tale opzione non può essere disabilitata in alcun bucket esistente nella risorsa Organizzazione.
L'applicazione di questo vincolo non è retroattiva: se l'accesso uniforme a livello di bucket è disabilitato, i bucket esistenti continueranno a essere disabilitati. Il valore predefinito di questo vincolo è False.
L'accesso uniforme a livello di bucket disattiva la valutazione degli ACL assegnati agli oggetti di Cloud Storage nel bucket. Di conseguenza, solo i criteri IAM consentono l'accesso agli oggetti in tali bucket.

constraints/storage.uniformBucketLevelAccess
"is:"

Guide illustrative

Per saperne di più su come utilizzare i vincoli individuali:

Vincolo Guida illustrativa
constraints/cloudbuild.allowedIntegrations Limitazione delle build attivate dai servizi esterni
constraints/cloudfunctions.allowedIngressSettings Utilizzo dei controlli di servizio VPC
constraints/cloudfunctions.allowedVpcConnectorEgressSettings Utilizzo dei controlli di servizio VPC
constraints/cloudfunctions.requireVPCConnector Utilizzo dei controlli di servizio VPC
constraints/gcp.restrictNonCmekServices Criteri dell'organizzazione CMEK
constraints/gcp.restrictCmekCryptoKeyProjects Criteri dell'organizzazione CMEK
constraints/compute.restrictCloudNATUsage Limita l'utilizzo di Cloud NAT
constraints/compute.restrictLoadBalancerCreationForTypes Vincoli di Cloud Load Balancing
constraints/compute.restrictProtocolForwardingCreationForTypes Vincoli di forwarding del protocollo
constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Limitazione dell'utilizzo di Cloud Interconnect
constraints/compute.restrictVpnPeerIPs Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN
constraints/compute.trustedImageProjects Limitazione dell'accesso alle immagini
constraints/compute.vmExternalIpAccess Disabilitazione dell'accesso IP esterno per le VM
constraints/compute.requireVpcFlowLogs Limitazioni dei criteri dell'organizzazione per i log di flusso VPC
constraints/gcp.restrictServiceUsage Limitazione dell'utilizzo delle risorse
constraints/iam.allowedPolicyMemberDomains Limitazione delle identità per dominio
constraints/iam.allowServiceAccountCredentialLifetimeExtension Estendi la durata dei token di accesso OAuth 2.0
constraints/iam.disableCrossProjectServiceAccountUsage Collegamento di un account di servizio a una risorsa in un altro progetto
constraints/iam.disableServiceAccountCreation Limitazione della creazione degli account di servizio
constraints/iam.disableServiceAccountKeyCreation Limitazione della creazione di chiavi dell'account di servizio
constraints/iam.disableServiceAccountKeyUpload Limitazione del caricamento delle chiavi dell'account di servizio
constraints/iam.disableWorkloadIdentityClusterCreation Limitazione della creazione dei cluster di identità dei carichi di lavoro
constraints/iam.restrictCrossProjectServiceAccountLienRemoval Collegamento di un account di servizio a una risorsa in un altro progetto
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
constraints/storage.publicAccessPrevention
Limitazioni dei criteri dell'organizzazione per Cloud Storage
constraints/gcp.disableCloudLogging Disabilitazione di Cloud Logging
constraints/gcp.resourceLocations Limitazione delle località delle risorse
constraints/compute.restrictCloudNATUsage Vincoli dei criteri dell'organizzazione per Cloud NAT
constraints/resourcemanager.accessBoundaries Limitazione della visibilità dei progetti per gli utenti
constraints/run.allowedIngress Utilizzo dei controlli di servizio VPC
constraints/run.allowedVPCEgress Utilizzo dei controlli di servizio VPC

Scopri di più

Per saperne di più sui concetti fondamentali dei criteri dell'organizzazione: