使用可能な制約
次の制約を使用するポリシーを指定できます。現在、他の制約も開発中です。
サービス | 制約 | 説明 | サポートされている接頭辞 |
---|---|---|---|
Compute Engine | Compute Engine メタデータのゲスト属性の無効化 | このブール型制約が True に設定されている組織、プロジェクト、フォルダに属する Compute Engine VM のゲスト属性への Compute Engine API アクセスが無効になります。デフォルトでは、Compute Engine API を使用して Compute Engine VM のゲスト属性にアクセスできます。 constraints/compute.disableGuestAttributesAccess |
"is:" |
VM のネストされた仮想化を無効にする | このブール型制約が True に設定されている組織、プロジェクト、フォルダに属するすべての Compute Engine VM で、ハードウェア アクセラレーションによりネストされた仮想化が無効になります。デフォルトでは、Intel Haswell 以降の CPU プラットフォームで実行されているすべての Compute Engine VM に対して、ハードウェア アクセラレーションによりネストされた仮想化は許可されています。 constraints/compute.disableNestedVirtualization |
"is:" |
|
VM シリアルポート アクセスを無効にする | このブール型制約が True に設定されている組織、プロジェクト、フォルダに属する Compute Engine VM へのシリアルポート アクセスが無効になります。デフォルトでは、Compute Engine VM へのシリアルポート アクセスは、メタデータ属性を使用して VM 単位またはプロジェクト単位で有効にできます。この制約を適用すると、メタデータの属性にかかわらず、Compute Engine VM のシリアルポート アクセスが無効になります。 constraints/compute.disableSerialPortAccess |
"is:" |
|
Stackdriver への VM シリアルポート ロギングを無効化 | このブール型制約は、この制約が適用されている組織、プロジェクト、フォルダに属する Compute Engine VM から Stackdriver へのシリアルポート ロギングを無効にします。 デフォルトでは、Compute Engine VM のシリアルポート ロギングは無効になっており、メタデータ属性を使用して VM 単位またはプロジェクト単位で選択して有効にできます。この制約を適用すると、新しい VM が作成されるたびに新しい Compute Engine VM のシリアルポート ロギングが無効になり、ユーザーは(古いか新しいかを問わず)すべての VM のメタデータ属性を True に変更できなくなります。constraints/compute.disableSerialPortLogging |
"is:" |
|
Shielded VMs | このブール型制約を True に設定した場合、すべての新しい Compute Engine VM インスタンスでは、セキュアブート、vTPM、整合性モニタリングのオプションが有効である Shielded ディスク イメージを使用する必要があります。必要に応じて、セキュアブートは作成後に無効にできます。既存の実行中のインスタンスは、引き続き通常どおり動作します。デフォルトでは、Compute Engine VM インスタンスを作成するために Shielded VM の機能を有効にする必要はありません。Shielded VM の機能により、VM には、検証可能な整合性と情報流出防止機能が追加されます。 constraints/compute.requireShieldedVm |
"is:" |
|
デフォルト ネットワークの作成をスキップ | このブール値制約により、この制約が True に設定されている Google Cloud Platform プロジェクト リソースの作成中に、デフォルト ネットワークと関連リソースの作成がスキップされます。デフォルトでは、プロジェクトの作成時にデフォルトのネットワークと補助的リソースが自動的に作成されます。constraints/compute.skipDefaultNetworkCreation |
"is:" |
|
Compute ストレージ リソースの使用制限(Compute Engine のディスク、イメージ、スナップショット) | このリスト型制約は、Compute Engine のストレージ リソースの使用を許可される一連のプロジェクトを定義します。デフォルトでは、適切な Cloud IAM アクセス許可を持つユーザーは誰でも Compute Engine のリソースにアクセスできます。この制約を使用する場合、ユーザーには Cloud IAM のアクセス許可が必要であり、リソースへのアクセスが制約で制限されていてはなりません。 許可リストまたは拒否リストで指定するプロジェクト、フォルダ、組織は次の形式である必要があります。 under:projects/PROJECT_ID 、under:folders/FOLDER_ID 、under:organizations/ORGANIZATION_ID 。constraints/compute.storageResourceUseRestrictions |
"is:" 、"under:" |
|
信頼できるイメージ プロジェクトを定義する | このリスト型制約は、Compute Engine のイメージ保存やディスク インスタンス化に使用できる一連のプロジェクトを定義します。 デフォルトでは、イメージを公開で共有しているかユーザーと明示的に共有している任意のプロジェクト内のイメージから、インスタンスを作成できます。 パブリッシャー プロジェクトの許可/拒否リストは、 projects/PROJECT_ID という形式の文字列である必要があります。この制約がアクティブな場合、信頼できるプロジェクト内のイメージのみが、新しいインスタンスのブートディスクのソースとして許可されます。constraints/compute.trustedImageProjects |
"is:" |
|
VM インスタンス用に許可される外部 IP を定義する | このリスト型制約は、外部 IP アドレスの使用が許可されている一連の Compute Engine VM インスタンスを定義します。 デフォルトでは、すべての VM インスタンスで外部 IP アドレスの使用が許可されます。 VM インスタンスの許可リストまたは拒否リストは、 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE という形式の VM インスタンス名で識別する必要があります。 constraints/compute.vmExternalIpAccess |
"is:" |
|
Cloud Identity and Access Management | ドメインで制限された共有 | ベータ版: このリスト型制約は、Cloud IAM ポリシーに追加できる一連のメンバーを定義します。 デフォルトでは、すべてのユーザー ID を Cloud IAM ポリシーに追加できます。 許可リストや拒否リストには、1 つ以上の G Suite お客様 ID を指定する必要があります。この制約が有効な場合、許可リスト内の ID のみが Cloud IAM ポリシーに追加されます。 constraints/iam.allowedPolicyMemberDomains |
"is:" |
サービス アカウントの作成を無効にする | ベータ版: このブール型制約が True に設定されているサービス アカウントの作成が無効になります。 デフォルトでは、ユーザーは Cloud IAM の役割と権限に基づいてサービス アカウントを作成できます。 constraints/iam.disableServiceAccountCreation |
"is:" |
|
サービス アカウント キーの作成を無効にする | ベータ版: このブール型制約が True に設定されているサービス アカウントの外部キーの作成が無効になります。 デフォルトでは、ユーザーは Cloud IAM の役割と権限に基づいてサービス アカウントの外部キーを作成できます。 constraints/iam.disableServiceAccountKeyCreation |
"is:" |
|
Resource Manager | 共有 VPC プロジェクト リーエンの削除を制限する | このブール型制約が True に設定されている場合、組織レベルの権限なしで共有 VPC プロジェクト リーエンを削除できるユーザーが制限されます。デフォルトでは、リーエンの更新権限を持つすべてのユーザーに共有 VPC プロジェクト リーエンの削除が許可されます。この制約を適用するには、組織レベルで権限を付与する必要があります。 constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
Google Cloud Platform | 許可されている API とサービスを定義する | このリスト型制約は、このリソースとその下で有効にできるサービスと、そのサービスの API を定義します。 デフォルトでは、すべてのサービスが許可されます。 サービスの拒否リストは、API の文字列名として識別される必要があります。さらに、以下のリストにある明示的な拒否値のみを含めることができます。現在、API を明示的に許可する機能はサポートされていません。このリストにない API を明示的に拒否すると、エラーが発生します。
constraints/serviceuser.services |
"is:" |
Cloud Storage | バケット ポリシーのみを適用 | ベータ版: このブール型制約を True に設定した場合、バケットでは「バケット ポリシーのみ」を使用することが必須となります。組織リソース内に新規作成するバケットでは、「バケット ポリシーのみ」を有効にする必要があります。組織リソース内の既存バケットで、「バケット ポリシーのみ」を無効にすることはできません。この制約は遡って適用されることはありません。「バケット ポリシーのみ」が無効になっている既存のバケットでは、無効なままです。この制約のデフォルト値は False です。「バケット ポリシーのみ」ポリシーでは、バケット内の Cloud Storage オブジェクトに割り当てられた ACL の評価は無効になります。そのため、IAM ポリシーによってのみ、これらのバケット内のオブジェクトへのアクセス権が付与されます。 注: Cloud Storage へのエクスポートを行う一部の GCP サービスは、「バケット ポリシーのみ」が有効になっているバケットへのエクスポートを行うことはできません。このようなサービスには、Stackdriver、使用状況レポートまたはカスタム イメージの Compute Engine でのエクスポート、Cloud Audit Logging、Firebase GCP 統合、Cloud SQL、Cloud Billing、Datastore などがあります。 constraints/storage.bucketPolicyOnly |
"is:" |
保持ポリシー期間(秒) | このリスト型制約は、Cloud Storage バケットに設定できる保持ポリシーの期間を定義します。 デフォルトでは、組織ポリシーが指定されない場合、任意の期間の保存ポリシーを Cloud Storage バケットに格納できます。 許可期間のリストは、保持ポリシーを秒単位で表す、0 より大きい正の整数値として指定される必要があります。 組織リソース内のバケットに対する挿入、更新、またはパッチ オペレーションには、制約と一致する保持ポリシー期間を設定する必要があります。 この制約は遡って適用されることはありません。新しい組織ポリシーが適用されても、既存のバケットの保持ポリシーは変更されず有効なままです。 constraints/storage.retentionPolicySeconds |
"is:" |
|
入門ガイド
個別の制約を使用する方法については、以下をご覧ください。
制約 | 入門ガイド |
---|---|
constraints/compute.vmExternalIpAccess |
VM の外部 IP アクセスの無効化 |
constraints/compute.trustedImageProjects |
イメージへのアクセスの制限 |
constraints/iam.allowedPolicyMemberDomains (ベータ版) |
ドメイン別の ID の制限 |
constraints/iam.disableServiceAccountKeyCreation (ベータ版) |
サービス アカウント キーの作成の制限 |
constraints/iam.disableServiceAccountCreation (ベータ版) |
サービス アカウントの作成の制限 |
constraints/storage.bucketPolicyOnly (ベータ版) |
Cloud Storage での組織ポリシーの設定 |
constraints/storage.retentionPolicySeconds |
Cloud Storage での組織ポリシーの設定 |
詳細
組織ポリシーの基本コンセプトの詳細については、以下をご覧ください。
組織ポリシーの概要を読む。
制約について読む。
組織ポリシーを作成して制約を使用する方法について読む。
階層評価の仕組みについて読む。