使用可能な制約
次の制約を使用するポリシーを指定できます。現在、他の制約も開発中です。
複数の Google Cloud サービスでサポートされる制約
| 制約 | 説明 | サポートされている接頭辞 |
|---|---|---|
| Google Cloud Platform - リソース ロケーションの制限 | このリスト型制約は、ロケーション ベースの GCP リソースを作成できる一連のロケーションを定義します。この制約に関するポリシーでは、許可または拒否するロケーションとして、asia や europe などのマルチリージョン、us-east1 や europe-west1 などのリージョンを指定できます。許可または拒否するすべてのロケーションの一覧を明示的に指定する必要があります。マルチリージョンを許可または拒否しても、それらに含まれるすべてのサブロケーションも許可または拒否されることにはなりません。たとえば、ポリシーによって us リージョンが拒否されても、リージョン ロケーション us-east1 にリソースを引き続き作成できます。値グループ(リソースのロケーションを簡単に定義できるようにするために Google によってキュレートされた、ロケーションのコレクション)を指定できます。組織のポリシーで値グループを使用するには、エントリの先頭に文字列 in: を付加し、その後に値グループを配置します。ロケーション ポリシーで suggested_value フィールドが使用されている場合は、リージョンを指定する必要があります。指定した値がリージョンの場合は、ゾーンリソースの UI にこのリージョン内のすべてのゾーンが事前に入力されます。デフォルトでは、任意のロケーションにリソースを作成できます。 constraints/gcp.resourceLocations |
"is:", "in:" |
| 許可されている API とサービスを定義する | このリスト型制約は、このリソースとその下で有効にできるサービスと、そのサービスの API を定義します。 デフォルトでは、すべてのサービスが許可されます。 サービスの拒否リストは、API の文字列名として識別される必要があります。さらに、以下のリストにある明示的な拒否値のみを含めることができます。現在、API を明示的に許可する機能はサポートされていません。このリストにない API を明示的に拒否すると、エラーが発生します。
constraints/serviceuser.services |
"is:" |
特定のサービスの制約
| サービス | 制約 | 説明 | サポートされている接頭辞 |
|---|---|---|---|
| App Engine | ソースコードのダウンロードを無効にする | 以前に App Engine にアップロードされたソースコードのダウンロードを無効にします。constraints/appengine.disableCodeDownload |
"is:" |
| Cloud Functions | 許可される上り(内向き)設定(Cloud Functions) | このリスト制約は、Cloud Functions の関数のデプロイについて許可される上り(内向き)設定を定義します。この制約が適用される場合、許可された値のいずれかに一致する Ingress の設定が関数に必要です。 デフォルトでは、Cloud Functions は任意の上り(内向き)設定を使用できます。 上り(内向き)設定は、 IngressSettings 列挙型の値を使用して許可リストで指定する必要があります。constraints/cloudfunctions.allowedIngressSettings |
"is:" |
| 許可される VPC コネクタの下り(外向き)設定(Cloud Functions) | このリスト制約は、Cloud Functions の関数のデプロイに許可される VPC コネクタの下り(外向き)設定を定義します。この制約が適用されると、Cloud Functions には許可された値の 1 つに一致する VPC コネクタ出力設定が必要になります。 デフォルトでは、Cloud Functions はすべての VPC コネクタの下り(外向き)設定を使用できます。 VPC コネクタの下り(外向き)設定は、 VpcConnectorEgressSettings 列挙型の値を使用して許可リストで指定する必要があります。constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
|
| VPC コネクタが必須(Cloud Functions) | このブール値制約により、Cloud Functions の関数をデプロイするときに VPC コネクタの設定が適用されます。この制約が適用されると、Cloud Functions は VPC コネクタを指定する必要があります。 デフォルトでは、VPC コネクタを指定するのに Cloud Functions の関数をデプロイする必要はありません。 constraints/cloudfunctions.requireVPCConnector |
"is:" |
|
| Cloud SQL | Cloud SQL インスタンスにおいて、デフォルトの Google が管理する暗号化の使用を制限する | ベータ版: このブール値定数を True に設定すると、新規作成、再起動、更新されるすべての Cloud SQL インスタンスで顧客管理の暗号鍵(CMEK)の使用が必須になります。この設定は、遡って適用されることはありません。つまり、Google が管理する暗号を使用している既存のインスタンスは、更新されない限り影響を受けません。この定数のデフォルトは False であり、Google が管理する暗号を Cloud SQL インスタンスで使用できます。constraints/sql.disableDefaultEncryptionCreation |
"is:" |
| Cloud SQL インスタンスに対する承認済みネットワークを制限する | このブール型制約が True に設定されている Cloud SQL インスタンスへのプロキシを経由しないデータベース アクセスに関して、承認済みネットワークの追加が制限されます。この制約は遡って適用されません。承認済みネットワークがすでにある Cloud SQL インスタンスは、この制約の適用後も機能します。デフォルトでは、Cloud SQL インスタンスに承認済みネットワークを追加できます。 constraints/sql.restrictAuthorizedNetworks |
"is:" |
|
| Cloud SQL インスタンスに対するパブリック IP のアクセスを制限する | このブール型制約が True に設定されている Cloud SQL インスタンスに対するパブリック IP の構成が制限されます。この制約は遡って適用されません。パブリック IP アクセスがすでにある Cloud SQL インスタンスは、この制約の適用後も機能します。デフォルトでは、Cloud SQL インスタンスへのパブリック IP アクセスは許可されます。 constraints/sql.restrictPublicIp |
"is:" |
|
| Compute Engine | Compute Engine メタデータのゲスト属性の無効化 | このブール型制約により、制約が True に設定されている組織、プロジェクト、フォルダに属する Compute Engine VM のゲスト属性への Compute Engine API アクセスが無効になります。デフォルトでは、Compute Engine API を使用して Compute Engine VM のゲスト属性にアクセスできます。 constraints/compute.disableGuestAttributesAccess |
"is:" |
| インターネット ネットワーク エンドポイント グループの無効化 | このブール型制約は、ユーザーが INTERNET_FQDN_PORT および INTERNET_IP_PORT の type でインターネット ネットワーク エンドポイント グループ(NEG)を作成できるかどうかを制限します。デフォルトでは、適切な IAM 権限を持つすべてのユーザーは、任意のプロジェクトでインターネット NEG を作成できます。 constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
|
| VM のネストされた仮想化を無効にする | このブール型制約により、制約が True に設定されている組織、プロジェクト、フォルダに属するすべての Compute Engine VM に対するハードウェア アクセラレーションによりネストされた仮想化は無効になります。デフォルトでは、Intel Haswell 以降の CPU プラットフォームで実行されているすべての Compute Engine VM に対して、ハードウェア アクセラレーションによりネストされた仮想化は許可されています。 constraints/compute.disableNestedVirtualization |
"is:" |
|
| VM シリアルポート アクセスを無効にする | このブール型制約により、制約が True に設定されている組織、プロジェクト、フォルダに属する Compute Engine VM へのシリアルポート アクセスが無効になります。デフォルトでは、Compute Engine VM へのシリアルポート アクセスは、メタデータ属性を使用して VM 単位またはプロジェクト単位で有効にできます。この制約を適用すると、メタデータの属性にかかわらず、Compute Engine VM のシリアルポート アクセスが無効になります。 constraints/compute.disableSerialPortAccess |
"is:" |
|
| Stackdriver への VM シリアルポート ロギングを無効化 | このブール型制約は、この制約が適用されている組織、プロジェクト、フォルダに属する Compute Engine VM から Stackdriver へのシリアルポート ロギングを無効にします。 デフォルトでは、Compute Engine VM のシリアルポート ロギングは無効になっており、メタデータ属性を使用して VM 単位またはプロジェクト単位で選択して有効にできます。この制約が適用されると、新しい VM が作成されるたびに、新しい Compute Engine VM に対するシリアルポート ロギングが無効になり、ユーザーは VM(旧または新)のメタデータ属性を True に変更できなくなります。constraints/compute.disableSerialPortLogging |
"is:" |
|
| Confidential VMs | このブール型制約を適用する場合は、すべての新しい Compute Engine VM インスタンスを、Confidential Compute を有効にして作成する必要があります。インスタンスの存続期間中は、Confidential Compute を無効にできません。既存の実行中のインスタンスは、引き続き通常どおり動作します。constraints/compute.requireConfidentialVm |
"is:" |
|
| OS Login が必須 | このブール型制約を true に設定した場合、新しく作成したすべてのプロジェクトで OS ログインが有効になります。新しいプロジェクトのすべての VM インスタンスで OS ログインが有効になります。この制約は、新規および既存のプロジェクトについて、プロジェクトまたはインスタンス レベルで OS ログインが無効なメタデータが更新されるのを防ぎます。Compute Engine プロジェクトでは、OS ログイン機能はデフォルトで無効になっています。 GKE インスタンスは現在 OS ログインをサポートしていません。この制約をプロジェクトに適用すると、そのプロジェクトで実行中の GKE インスタンスが適切に機能しない場合があります。 constraints/compute.requireOsLogin |
"is:" |
|
| Shielded VM | このブール型制約を True に設定した場合、すべての新しい Compute Engine VM インスタンスでは、セキュアブート、vTPM、整合性モニタリングのオプションが有効である Shielded ディスク イメージを使用する必要があります。必要に応じて、セキュアブートは作成後に無効にできます。既存の実行中のインスタンスは、引き続き通常どおり動作します。デフォルトでは、Compute Engine VM インスタンスを作成するために Shielded VM の機能を有効にする必要はありません。Shielded VM の機能により、VM には、検証可能な整合性と情報流出防止機能が追加されます。 constraints/compute.requireShieldedVm |
"is:" |
|
| 共有 VPC ホスト プロジェクトの制限 | このリスト型制約は、このリソースと同じ位置かその下にあるプロジェクトで接続先にできる、一連の共有 VPC ホスト プロジェクトを定義します。デフォルトでは、プロジェクトは同じ組織内の任意のホスト プロジェクトに接続して、サービス プロジェクトになることができます。許可リストまたは拒否リスト内のプロジェクト、フォルダ、組織は、リソース階層でそれらの下にあるすべてのオブジェクトに影響を及ぼします。また、under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、または projects/PROJECT_ID の形式で指定する必要があります。constraints/compute.restrictSharedVpcHostProjects |
"is:"、"under:" |
|
| 共有 VPC サブネットワークの制限 | このリスト型制約は、適格リソースで使用できる一連の共有 VPC サブネットワークを定義します。この制約は、共有 VPC サービス プロジェクトに含まれているリソースにのみ適用されます。共有 VPC ホスト プロジェクト自体に含まれているリソースには適用されません。デフォルトでは、リソースを作成する IAM メンバーが共有 VPC サブネットワークに関してネットワーク ユーザーの役割を持っている場合、そのサブネットワークをサービス プロジェクトに含まれている適格リソースで使用できます。サブネットワークの許可リストまたは拒否リストは、projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME という形式で指定する必要があります。constraints/compute.restrictSharedVpcSubnetworks |
"is:" |
|
| VPC ピアリング使用量の制限 | このリスト型制約では、このプロジェクト、フォルダ、組織に属する VPC ネットワークとピアリングできる一連の VPC ネットワークを定義します。デフォルトでは、あるネットワークのネットワーク管理者は、他のすべてのネットワークとピアリングできます。ネットワークの許可リストまたは拒否リストは、under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID、または projects/PROJECT_ID/global/networks/NETWORK_NAME という形式で識別される必要があります。constraints/compute.restrictVpcPeering |
"is:"、"under:" |
|
| デフォルト ネットワークの作成をスキップ | このブール値制約を True に設定した場合、Google Cloud Platform プロジェクト リソースの作成時に、デフォルトのネットワークと関連リソースの作成がスキップされます。デフォルトでは、プロジェクトの作成時にデフォルトのネットワークと補助的リソースが自動的に作成されます。constraints/compute.skipDefaultNetworkCreation |
"is:" |
|
| Compute ストレージ リソースの使用制限(Compute Engine のディスク、イメージ、スナップショット) | このリスト型制約は、Compute Engine のストレージ リソースの使用を許可される一連のプロジェクトを定義します。デフォルトでは、適切な Cloud IAM アクセス許可を持つユーザーは誰でも Compute Engine のリソースにアクセスできます。この制約を使用する場合、ユーザーには Cloud IAM のアクセス許可が必要であり、リソースへのアクセスが制約で制限されていてはなりません。 許可リストまたは拒否リストで指定するプロジェクト、フォルダ、組織は、 under:projects/PROJECT_ID、under:folders/FOLDER_ID、under:organizations/ORGANIZATION_ID の形式である必要があります。constraints/compute.storageResourceUseRestrictions |
"is:"、"under:" |
|
| 信頼できるイメージ プロジェクトを定義する | このリスト型制約は、Compute Engine のイメージ保存やディスク インスタンス化に使用できる一連のプロジェクトを定義します。 デフォルトでは、イメージを公開で共有しているかユーザーと明示的に共有している任意のプロジェクト内のイメージから、インスタンスを作成できます。 パブリッシャー プロジェクトの許可リストまたは拒否リストは、 projects/PROJECT_ID の形式の文字列である必要があります。この制約がアクティブな場合は、信頼できるプロジェクト内のイメージのみが、新しいインスタンスのブートディスクのソースとして許可されます。constraints/compute.trustedImageProjects |
"is:" |
|
| VM IP 転送の制限 | このリスト型制約は、IP 転送を有効にできる一連の VM インスタンスを定義します。デフォルトでは、すべての VM がすべての仮想ネットワークで IP 転送を有効にすることができます。VM インスタンスは、under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID、または projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME の形式で指定する必要があります。constraints/compute.vmCanIpForward |
"is:"、"under:" |
|
| VM インスタンス用に許可される外部 IP を定義する | このリスト型制約は、外部 IP アドレスの使用が許可されている一連の Compute Engine VM インスタンスを定義します。 デフォルトでは、すべての VM インスタンスで外部 IP アドレスの使用が許可されます。 VM インスタンスの許可リストまたは拒否リストは、 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess という形式の VM インスタンス名で識別する必要があります。 |
"is:" |
|
| Cloud Healthcare | Cloud Logging を無効にする | この制約が適用される組織、プロジェクト、フォルダで Cloud Logging を無効にします。監査ログはこの制約の影響を受けません。 制約の適用前に生成されたログは削除されず、引き続きアクセスできます。 この制約は Cloud Healthcare API でのみサポートされます。 constraints/gcp.disableCloudLogging |
"is:" |
| Cloud Identity and Access Management | ドメインで制限された共有 | このリスト型制約は、Cloud IAM ポリシーに追加できる一連のメンバーを定義します。 デフォルトでは、すべてのユーザー ID を Cloud IAM ポリシーに追加できます。 許可リストまたは拒否リストには、1 つ以上の Cloud Identity または G Suite お客様 ID を指定する必要があります。この制約が有効な場合、許可リスト内の ID のみが Cloud IAM ポリシーに追加されます。 constraints/iam.allowedPolicyMemberDomains |
"is:" |
| 許可するルート認証局を定義する | ベータ版: このリスト型制約は信頼できるルート認証局のセットを定義します。これらの認証局が発行した公開証明書を Cloud IAM サービス アカウントに追加できます。 デフォルトでは、すべての公開証明書を Cloud IAM サービス アカウントにアップロードできます。 この制約を有効にすると、Cloud IAM サービス アカウントに追加できるのは、許可リスト内のルート認証局が発行した公開証明書のみになります。 constraints/iam.allowedPublicCertificateTrustedRootCA |
"is:" |
|
| サービス アカウント作成の無効化 | このブール型制約が True に設定されている場合、サービス アカウントの作成が無効になります。 デフォルトでは、ユーザーは Cloud IAM の役割と権限に基づいてサービス アカウントを作成できます。 constraints/iam.disableServiceAccountCreation |
"is:" |
|
| サービス アカウント キー作成の無効化 | このブール型制約を True に設定すると、サービス アカウントの外部キーの作成が無効になります。 デフォルトでは、ユーザーは Cloud IAM のロールと権限に基づいてサービス アカウントの外部キーを作成できます。 constraints/iam.disableServiceAccountKeyCreation |
"is:" |
|
| サービス アカウント キー アップロードの無効化 | このブール型制約が True に設定されているサービス アカウントに公開鍵をアップロードできるようにする機能は、このブール型制約により無効になります。 デフォルトでは、ユーザーの Cloud IAM のロールと権限に基づいてーザーがサービス アカウントに公開鍵をアップロードできます。 constraints/iam.disableServiceAccountKeyUpload |
"is:" |
|
| Workload Identity クラスタ作成の無効化 | このブール型制約を True に設定した場合、すべての新しい GKE クラスタでは作成時に Workload Identity が無効である必要があります。Workload Identity がすでに有効である既存の GKE クラスタは、引き続き通常どおり動作します。デフォルトでは、すべての GKE クラスタに対して Workload Identity を有効にできます。constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
|
| Resource Manager | 共有 VPC プロジェクト リーエンの削除を制限する | このブール型制約を True に設定すると、組織レベルの権限なしで共有 VPC プロジェクト リーエンを削除できるユーザーが制限されます。デフォルトでは、リーエンの更新権限を持つすべてのユーザーに共有 VPC プロジェクト リーエンの削除が許可されます。この制約を適用するには、組織レベルで権限を付与する必要があります。 constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
| Service Consumer Management | デフォルトのサービス アカウントに対する IAM ロールの自動付与の無効化 | ベータ版: これを強制オンに設定すると、デフォルト サービス アカウントの作成時に、プロジェクトに対する IAM ロールが自動では付与されなくなります(アカウントの作成自体は依然として可能です)。constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
| Cloud Storage | 保持ポリシー期間(秒) | このリスト型制約は、Cloud Storage バケットに設定できる保持ポリシーの期間を定義します。 デフォルトでは、組織のポリシーが指定されない場合、任意の期間の保持ポリシーを Cloud Storage バケットに格納できます。 許可期間のリストは、保持ポリシーを秒単位で表す、0 より大きい正の整数値として指定される必要があります。 組織リソース内のバケットに対する挿入、更新、またはパッチ オペレーションには、制約と一致する保持ポリシー期間を設定する必要があります。 この制約は遡って適用されることはありません。新しい組織のポリシーが適用されても、既存のバケットの保持ポリシーは変更されず有効なままです。 constraints/storage.retentionPolicySeconds |
"is:" |
| 均一なバケットレベルのアクセスの適用 | このブール型制約を True に設定すると、バケットで、均一なバケットレベルのアクセスを使用することが必須となります。組織リソース内に新規作成するバケットでは、均一なバケットレベルのアクセスを有効にする必要があります。組織リソース内の既存バケットで、均一なバケットレベルのアクセスを無効にすることはできません。この制約は遡って適用されることはありません。均一なバケットレベルのアクセスが無効になっている既存のバケットでは、無効なままです。この制約のデフォルト値は False です。均一なバケットレベルのアクセスでは、バケット内の Cloud Storage オブジェクトに割り当てられた ACL の評価は無効になります。そのため、IAM ポリシーによってのみ、これらのバケット内のオブジェクトへのアクセス権が付与されます。 constraints/storage.uniformBucketLevelAccess |
"is:" |
入門ガイド
個別の制約を使用する方法については、以下をご覧ください。
| 制約 | 入門ガイド |
|---|---|
constraints/compute.vmExternalIpAccess |
VM の外部 IP アクセスの無効化 |
constraints/compute.trustedImageProjects |
イメージへのアクセスの制限 |
constraints/compute.restrictVpnPeerIPs |
Cloud VPN トンネルを経由したピア IP アドレスの制限 |
constraints/iam.allowedPolicyMemberDomains |
ドメイン別の ID の制限 |
constraints/iam.disableServiceAccountKeyCreation |
サービス アカウント キーの作成の制限 |
constraints/iam.disableServiceAccountCreation |
サービス アカウントの作成の制限 |
constraints/storage.uniformBucketLevelAccess |
Cloud Storage での組織のポリシーの設定 |
constraints/storage.retentionPolicySeconds |
Cloud Storage での組織のポリシーの設定 |
constraints/gcp.resourceLocations |
リソース ロケーションの制限 |
constraints/cloudfunctions.allowedIngressSettings |
VPC Service Controls を使用する |
詳細
組織のポリシーの基本コンセプトの詳細については、以下をご覧ください。
組織のポリシーの概要を読む。
制約について読む。
組織のポリシーを作成して制約を使用する方法について読む。
階層評価の仕組みについて読む。