Esta página foi traduzida pela API Cloud Translation.
Switch to English

Restrições da política da organização

Restrições disponíveis

Você pode especificar políticas que usam as restrições a seguir.

Restrições compatíveis com vários serviços do Google Cloud

Restrição Descrição Prefixos compatíveis
Google Cloud Platform - Restrição de localização de recursos Esta restrição de lista define o conjunto de locais onde os recursos do GCP baseados em local podem ser criados.
Por padrão, os recursos podem ser criados em qualquer local.
As políticas para essa restrição podem especificar multirregiões, como asia e europe, além de permitir ou negar locais como us-east1 ou europe-west1. Permitir ou negar várias regiões não significa permitir ou negar todos os sublocais incluídos. Por exemplo, se a política negar a multirregião us, que se refere a recursos multirregionais, como alguns serviços de armazenamento, os recursos ainda poderão ser criados no local regional us-east1. Por outro lado, o grupo in:us-locations contém todos os locais dentro da região us e pode ser usado para bloquear todas as regiões.
Recomendamos o uso de grupos de valor para definir a política.
É possível especificar grupos de valores ou conjuntos de locais selecionados pelo Google para oferecer uma maneira simples de definir locais de recurso. Para usar grupos de valores na política da sua organização, use a string in: como prefixo das suas entradas, seguida pelo grupo de valores.
Por exemplo, para criar recursos que só ficarão fisicamente nos EUA, defina in:us-locations na lista de valores permitidos.
Se o campo suggested_value for usado em uma política de local, mas deveria ser uma região. Se o valor especificado for de uma região, uma IU para um recurso de zona precisa preencher qualquer zona em tal região.
constraints/gcp.resourceLocations
"is:", "in:"
Restrinja as APIs e os serviços permitidos do Google Cloud Com essa restrição de lista, são restringidos o conjunto de serviços e as respectivas APIs que podem ser ativadas nesse recurso. Por padrão, todos os serviços são permitidos.
A lista de serviços negados precisa ser proveniente da lista abaixo. No momento, não é possível ativar explicitamente as APIs por meio dessa restrição. Especificar uma API que não está na lista resultará em erro.
A aplicação dessa restrição não é retroativa. Se um serviço já estiver ativado em um recurso quando essa restrição for aplicada, ele permanecerá ativado.

constraints/serviceuser.services
"is:"

Restrições para serviços específicos

Serviço(s) Restrição Descrição Prefixos compatíveis
App Engine Desativar download do código-fonte Desativa os downloads de código relacionados ao código-fonte enviado anteriormente por upload ao App Engine.
constraints/appengine.disableCodeDownload
"is:"
Cloud Functions Configurações de saída permitidas (Cloud Functions) Esta restrição de lista define as configurações de entrada permitidas para implantação de uma Função do Cloud. Quando essa restrição é aplicada, as funções precisam ter configurações de entrada que correspondam a um dos valores permitidos.
Por padrão, o Cloud Functions pode usar qualquer configuração de entrada.
As configurações de entrada precisam ser especificadas na lista permitida usando os valores de enum IngressSettings.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Configurações de saída permitidas do conector de acesso VPC (Cloud Functions) Essa restrição de lista define as configurações permitidas de saída do conector de acesso VPC para implantação de uma Função do Cloud. Quando essa restrição é aplicada, as funções precisam ter obrigatoriamente as configurações de saída do conector de acesso VPC que correspondam a um dos valores permitidos.
Por padrão, o Cloud Functions pode usar qualquer configuração de saída do Conector VPC.
As configurações de saída do Conector VPC devem ser especificadas na lista de permissões usando os valores de enum VpcConnectorEgressSettings.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions Requer um Conector VPC (Cloud Functions) Essa restrição booleana requer a configuração de um conector de acesso VPC ao implantar uma função do Cloud. Quando essa restrição é aplicada, as funções precisam especificar obrigatoriamente um conector de acesso VPC.
Por padrão, a especificação de um conector VPC não é obrigatória para implantar uma Função do Cloud.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL Restringir a criptografia gerenciada pelo Google em instâncias do Cloud SQL BETA: essa restrição booleana, quando definida como True, exige que todas as instâncias do Cloud SQL recém-criadas, reiniciadas ou atualizadas usem as chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Isso não é retroativo (ou seja, instâncias existentes com criptografia gerenciada pelo Google não são afetadas a menos que sejam atualizadas).
Por padrão, essa restrição é definida como False e a criptografia gerenciada pelo Google é permitida para instâncias do Cloud SQL.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Cloud SQL Restringir redes autorizadas em instâncias do Cloud SQL Essa restrição booleana limita a adição de redes autorizadas no acesso de banco de dados sem proxy às instâncias do Cloud SQL em que a restrição está definida como True Essa limitação não é retroativa, e as instâncias do Cloud SQL com redes autorizadas ainda funcionarão mesmo após a aplicação dela.
Por padrão, é possível adicionar redes autorizadas a instâncias do Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Restringir o acesso de IP público nas instâncias do Cloud SQL Essa limitação booleana restringe a configuração do IP público em instâncias do Cloud SQL. Para isso, a limitação precisa estar definida como True. Essa limitação não é retroativa, e as instâncias do Cloud SQL com acesso atual de IP público ainda funcionarão mesmo após a aplicação dela.
Por padrão, o acesso de IP público é permitido nas instâncias do Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Desativar os atributos de convidado dos metadados do Compute Engine Essa restrição booleana desativa o acesso da API do Compute Engine aos Atributos de convidado das VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde essa restrição está definida como True.
Por padrão, a API do Compute Engine pode ser usada para acessar atributos de convidado da VM do Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine Desativar grupos de endpoints de rede de Internet Esta restrição booleana limita a criação de Grupos de Endpoint de Rede (NEG, na sigla em inglês) de Internet com um type de INTERNET_FQDN_PORT e INTERNET_IP_PORT.
Por padrão, qualquer pessoa que tenha as permissões apropriadas do Cloud IAM consegue criar NEGs de Internet em qualquer projeto.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine Desativar virtualização aninhada da VM Essa restrição booleana desativa a virtualização aninhada acelerada por hardware de todas as VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição está definida. True.
Por padrão, a virtualização aninhada acelerada por hardware é permitida em todas as VMs do Compute Engine em execução no Intel Haswell ou em plataformas de CPU mais recentes.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine Desativar o Private Service Connect para consumidores VISUALIZAÇÃO: esta restrição de lista define o conjunto de tipos de endpoints do Private Service Connect para os quais os usuários não podem criar regras de encaminhamento.s Quando essa restrição é aplicada, os usuários são impedidos de criar regras de encaminhamento para o tipo de endpoint do Private Service Connect. Essa restrição não é aplicada de maneira retroativa.
Por padrão, é possível criar regras de encaminhamento para qualquer tipo de endpoint do Private Service Connect.
A lista permitida/negada de tipos de endpoints do Private Service Connect só pode incluir o valor GOOGLE_APIS. Usar GOOGLE_APIS na lista de permissões/negações restringirá a criação de regras de encaminhamento do Private Service Connect para acessar APIs do Google.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine Desativar acesso à porta serial da VM Essa restrição booleana desativa o acesso à porta serial para VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição está definida como True.
Por padrão, os clientes podem ativar o acesso à porta serial para VMs do Compute Engine por VM ou por projeto usando atributos de metadados. Essa restrição desativa o acesso à porta serial das VMs do Compute Engine, independentemente dos atributos de metadados.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Desativar o registro da porta serial da VM para o Stackdriver Esta restrição booleana desativa a geração de registros de porta serial no Stackdriver a partir de VMs do Compute Engine que pertencem à organização, ao projeto ou à pasta em que a restrição está sendo aplicada.
Por padrão, a geração de registros de porta serial das VMs do Compute Engine fica desativada e pode ser ativada seletivamente por VM ou por projeto com o uso de atributos de metadados. Quando aplicada, essa restrição desativa a geração de registros de porta serial de novas VMs do Compute Engine sempre que uma nova VM é criada, além de impedir que os usuários alterem o atributo de metadados de qualquer VM (antiga ou nova) para True.
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine Requer login do SO Essa restrição booleana, quando definida como true, ativa o login do SO em todos os projetos recém-criados. Todas as instâncias de VM criadas em novos projetos terão o login do SO ativado. Nos projetos novos e atuais, essa restrição impede as atualizações de metadados que desativam o login do SO no nível do projeto e da instância.
Por padrão, o recurso de login do SO está desativado nos projetos do Compute Engine.
No momento, as instâncias do GKE não são compatíveis com esse recurso. Se essa restrição for aplicada a um projeto, as instâncias do GKE em execução no projeto podem não funcionar corretamente.
constraints/compute.requireOsLogin
"is:"
Compute Engine VMs protegidas Quando essa restrição booleana é definida como True, é obrigatório que todas as novas instâncias de VM do Compute Engine usem imagens de disco protegidas, com as opções de inicialização segura, vTPM e monitoramento de integridade ativadas. Se você quiser, a inicialização segura pode ser desativada depois da criação. As instâncias em execução atuais continuarão a funcionar como de costume.
Por padrão, os recursos de VM protegida não precisam ser ativados para a criação de instâncias de VM do Compute Engine. A integridade verificável e a resistência à exportação são adicionadas às VMs pelos recursos de VM protegida.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Restringir o uso do Cloud NAT Esta restrição de lista define o conjunto de sub-redes que podem usar o Cloud NAT. Por padrão, todas as sub-redes podem usar o Cloud NAT. A lista de sub-redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Restringir uso da Interconexão dedicada Essa restrição de lista define o conjunto de redes do Compute Engine que podem usar a Interconexão dedicada. Por padrão, as redes podem usar qualquer tipo de Interconexão. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine Restringir a criação de balanceadores de carga com base em tipos de balanceador de carga Esta restrição de lista define o conjunto de tipos de balanceador de carga que pode ser criado para uma organização, pasta ou projeto. Cada tipo de balanceador de carga a ser permitido ou negado precisa ser listado explicitamente. Por padrão, a criação de todos os tipos de balanceadores de carga é permitida.
A lista de valores permitidos ou negados precisa ser identificada como o nome da string de um balanceador de carga e pode incluir apenas valores da lista a seguir:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS

Para incluir todos os tipos de balanceador de carga interno ou externo, use o prefixo "in:" seguido de "INTERNAL" ou "EXTERNAL". Por exemplo, permitir "in:INTERNAL" permitirá todos os tipos de balanceador de carga da lista acima que incluem INTERNAL.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:", "in:"
Compute Engine Restringir computação não confidencial A lista de proibições dessa restrição de lista define o conjunto de serviços que exigem que todos os novos recursos sejam criados com a Computação confidencial ativada. Por padrão, os novos recursos não precisam usar a Computação confidencial. Essa restrição de lista é aplicada, mas a Computação confidencial não poderá ser desativada durante todo o ciclo de vida do recurso. Os recursos atuais continuarão a funcionar normalmente. A lista de serviços negados precisa ser identificada como o nome da string de uma API e só pode incluir valores explicitamente negados da lista abaixo. No momento, não há compatibilidade com permissão explícita de APIs. Negar explicitamente APIs que não estejam na lista resultará em erro. Lista de APIs compatíveis: [compute.googleapis.com, container.googleapis.com]
constraints/compute.restrictNonConfidentialComputing
"is:"
Compute Engine Restringir uso da Interconexão por parceiro Essa restrição de lista define o conjunto de redes do Compute Engine que podem usar a Interconexão do parceiro. Por padrão, as redes podem usar qualquer tipo de Interconexão. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
Compute Engine Restringir encaminhamento de protocolo com base no tipo de endereço IP Esta restrição de lista define o tipo de objetos de regra de encaminhamento de protocolo com a instância de destino que um usuário pode criar. Quando essa restrição é aplicada, novos objetos de regras de encaminhamento com instância de destino são limitados a endereços IP internos e/ou externos, com base nos tipos especificados. Os tipos permitidos ou negados precisam ser listados explicitamente. Por padrão, a criação de objetos de regra de encaminhamento de protocolo interno e externo com a instância de destino é permitida.
A lista de valores permitidos ou negados só pode incluir valores da lista a seguir:
  • INTERNAL
  • EXTERNAL
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
Compute Engine Restringir projetos de host de VPC compartilhada Esta restrição de lista define o conjunto de projetos host de VPC compartilhada aos quais os projetos neste recurso ou abaixo dele podem ser anexados. Por padrão, um projeto pode ser anexado a qualquer projeto host na mesma organização, tornando-se um projeto de serviço. Projetos, pastas e organizações em listas permitidas/negadas afetam todos os objetos abaixo deles na hierarquia de recursos e devem ser especificados no formulário: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Compute Engine Restrinja as sub-redes de VPC compartilhadas Esta restrição de lista define o conjunto de sub-redes VPC compartilhadas que pode ser usado por recursos qualificados. Esta restrição não se aplica a recursos dentro do mesmo projeto. Por padrão, os recursos qualificados podem usar qualquer sub-rede VPC compartilhada. A lista de sub-redes permitidas/negadas deve ser especificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
Compute Engine Restringir o uso de peering de VPC Nesta restrição de lista é definido o conjunto de redes VPC que têm permissão de peering com as redes VPC que pertencem a esse projeto, pasta ou organização. Por padrão, um administrador de rede para uma rede tem permissão de peering com qualquer outra rede. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictVpcPeering
"is:", "under:"
Compute Engine Restringir IPs de peering de VPN Esta restrição de lista define o conjunto de endereços IP-v4 válidos que podem ser configurados como IPs de peer VPN. Por padrão, qualquer IP pode ser um IP de peer VPN para uma rede VPC. A lista de endereços IP permitidos/negados precisa ser especificada como endereços IP-v4 válidos no formato: IP_V4_ADDRESS.
constraints/compute.restrictVpnPeerIPs
"is:"
Compute Engine Define a configuração de DNS interno para novos projetos como Somente DNS por zona Quando definido como "True", projetos recém-criados usarão o DNS por zona como padrão. Por padrão, essa restrição é definida como "False", e os projetos recém-criados usarão o tipo de DNS padrão.
constraints/compute.setNewProjectDefaultToZonalDNSOnly
"is:"
Compute Engine Projetos de proprietário de reservas compartilhadas Esta restrição de lista define o conjunto de projetos que podem criar e ter reservas compartilhadas na organização. Uma reserva compartilhada é semelhante a uma reserva local. A diferença é que, em vez de ser consumida apenas por projetos de proprietário, ela pode ser consumida por outros projetos do Compute Engine na hierarquia de recursos. A lista de projetos permitidos para acessar a reserva compartilhada precisa estar no formato: projects/PROJECT_ID ou under:projects/PROJECT_ID. No momento, essa restrição só está disponível para visualização particular.
constraints/compute.sharedReservationsOwnerProjects
"is:", "under:"
Compute Engine Pular criação de rede padrão Essa restrição booleana pula a criação da rede padrão e dos recursos relacionados durante a criação do recurso Projeto do Google Cloud Platform, em que essa restrição é definida como True. Uma rede padrão e os recursos de suporte são criados automaticamente quando um recurso de projeto é criado.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute Engine Restrições de uso de recursos do Compute Storage (discos, imagens e instantâneos do Compute Engine) Com essa restrição de lista, é definido um conjunto de projetos que podem usar os recursos de armazenamento do Compute Engine. Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode acessar os recursos do Compute Engine. Para usar essa restrição, os usuários precisam ter as permissões do Cloud IAM e não podem ter limitações para acessar o recurso.
Projetos, pastas e organizações especificados em listas permitidas ou negadas devem estar no formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Compute Engine Definir projetos de imagens confiáveis Essa restrição de lista define o conjunto de projetos que podem ser usados para armazenamento de imagens e instanciação de disco do Compute Engine.
Por padrão, as instâncias são criadas de imagens em qualquer projeto que compartilhe imagens pública ou explicitamente com o usuário.
A lista de projetos de editores permitidos/recusados precisa ser strings no formato: projects/PROJECT_ID. Se esta restrição estiver ativa, somente imagens de projetos confiáveis serão permitidas como fonte de discos de inicialização para novas instâncias.

constraints/compute.trustedImageProjects
"is:"
Compute Engine Restringir encaminhamento IP da VM Esta restrição de lista define o conjunto de instâncias da VM que pode ativar o encaminhamento IP. Por padrão, qualquer VM pode ativar o encaminhamento IP em qualquer rede virtual. As instâncias de VM devem ser especificadas no formulário: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
constraints/compute.vmCanIpForward
"is:", "under:"
Compute Engine Definir os IPs externos de instâncias de VM permitidas Com essa restrição de lista, é definido o conjunto de instâncias de VMs do Compute Engine que podem usar endereços IP externos.
Por padrão, todas as instâncias de VM podem usar endereços IP externos.
A lista de instâncias de VM permitidas/negadas deve ser identificada pelo nome da instância da VM, no formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Contatos essenciais Contatos restritos ao domínio Essa restrição de lista define o conjunto de domínios que os endereços de e-mail adicionados aos Contatos Essenciais podem ter.
Por padrão, endereços de e-mail com qualquer domínio podem ser adicionados aos Contatos essenciais.
A lista de permitidos/negados precisa especificar um ou mais domínios com o formato @example.com. Se essa restrição estiver ativa e configurada com valores permitidos, somente endereços de e-mail com um sufixo correspondente a uma das entradas da lista de domínios permitidos poderão ser adicionados nos Contatos essenciais.
Esta restrição não tem efeito sobre a atualização ou remoção de contatos existentes para começar.
constraints/essentialcontacts.allowedContactDomains
"is:"
Cloud Healthcare Desativar o Cloud Logging Desativa o Cloud Logging na organização, no projeto ou na pasta em que esta restrição está aplicada. Os registros de auditoria não são afetados por essa restrição.
Os registros gerados antes da restrição ser aplicada não serão excluídos e ainda poderão ser acessados.
Esta restrição só é compatível com a API Cloud Healthcare.
constraints/gcp.disableCloudLogging
"is:"
Gerenciamento de identidade e acesso Permitir a extensão de tokens de acesso do OAuth 2.0 para até 12 horas Essa restrição de lista define o conjunto de contas de serviço que podem receber tokens de acesso OAuth 2.0 com duração de até 12 horas. Por padrão, a vida útil máxima desses tokens de acesso é de 1 hora.
A lista de contas de serviço permitidas/negadas precisa especificar um ou mais endereços de e-mail de conta de serviço.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
Identity and Access Management Compartilhamento restrito de domínio Essa restrição de lista define o conjunto de membros que podem ser adicionados às políticas do Cloud IAM.
Por padrão, todas as identidades de usuários podem ser adicionadas às políticas do Cloud IAM.
A lista de permitidos/negados precisa especificar um ou mais IDs de clientes do Cloud Identity ou do G Suite. Se essa restrição estiver ativa, somente as identidades na lista permitida estarão qualificadas para inclusão nas políticas do Cloud IAM.

constraints/iam.allowedPolicyMemberDomains
"is:"
Identity and Access Management Desativar criação de conta de serviço Essa restrição booleana desativa a criação de contas de serviço em que essa restrição esteja configurada como "True".
Por padrão, as contas de serviço podem ser criadas por usuários com base nos seus respectivos papéis e permissões do Cloud IAM.

constraints/iam.disableServiceAccountCreation
"is:"
Identity and Access Management Desativar criação de chave da conta de serviço Essa restrição booleana desativa a criação de chaves externas de contas de serviço em que essa restrição esteja definida como "True".
Por padrão, chaves externas de contas de serviço podem ser criadas por usuários com base nos seus respectivos papéis e permissões de Cloud IAM.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Identity and Access Management Desativar upload de chave da conta de serviço Essa restrição booleana desativa o recurso que permite o upload de uma chave pública na conta de serviço em que a restrição está definida como "Verdadeira".
Por padrão, os usuários podem fazer o upload de chaves públicas em uma conta de serviço com base nos seus respectivos papéis e permissões do Cloud IAM.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Identity and Access Management Desativar a criação de cluster da Identidade da carga de trabalho Essa restrição booleana, quando definida como "True", requer que todos os novos clusters do GKE tenham a Identidade da carga de trabalho desativada no momento da criação. Esses clusters que já têm o recurso ativado continuarão funcionando normalmente. Por padrão, a Identidade da carga de trabalho pode ser ativada para qualquer cluster do GKE.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Identity and Access Management Provedores de Identidade externos autorizados para cargas de trabalho no Cloud IAM Provedores de identidade que podem ser configurados para autenticação de carga de trabalho no Cloud IAM, especificados por URI/URLs.
constraints/iam.workloadIdentityPoolProviders
"is:"
Resource Manager Restringir a remoção da garantia compartilhada do projeto VPC Essa restrição booleana restringe o conjunto de usuários que podem remover uma garantia do projeto da VPC compartilhada sem permissão no nível da organização quando essa restrição é definida como True.
Por padrão, qualquer usuário com a permissão para atualizar garantias pode remover uma garantia compartilhada do projeto VPC. A aplicação dessa restrição exige que a permissão seja concedida no nível da organização.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Gestão de consumidores de serviço Desativar concessões automáticas do IAM para contas de serviço padrão Essa restrição booleana, quando aplicada, impede que as contas de serviço default do App Engine e do Compute Engine recebam automaticamente qualquer papel IAM no projeto quando são criadas.
Por padrão, essas contas de serviço recebem automaticamente o papel de editor quando são criadas.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
Cloud Storage Google Cloud Platform: modo de geração de registros de auditoria detalhado Quando o modo de registro de auditoria detalhado é aplicado, a solicitação e a resposta são incluídas nos registros de auditoria do Cloud. As alterações nesse recurso podem levar até 10 minutos para serem aplicadas. Essa política organizacional é altamente recomendada na coordenação com o Bloqueio de buckets ao buscar conformidades, como Regra 17a-4(f), Regra CFTC 1.31(c)-(d) e a FINRA 4511(c). Esta política atualmente só é compatível com o Google Cloud Storage.
constraints/gcp.detailedAuditLoggingMode
"is:"
Cloud Storage Duração da política de retenção, em segundos Essa restrição de lista define o conjunto de durações das políticas de retenção que podem ser definidas nos buckets do Cloud Storage.
Por padrão, se nenhuma política da organização for especificada, um bucket do Cloud Storage poderá ter uma política de retenção de qualquer duração.
A lista de durações permitidas precisa ser especificada como um valor inteiro positivo maior que zero, representando a política de retenção em segundos.
Qualquer operação de inserção, atualização ou correção em um bucket no recurso da organização precisa ter uma duração de política de retenção que corresponda à restrição.
A aplicação dessa restrição não é retroativa. Quando uma nova política da organização é aplicada, a política de retenção dos buckets atuais permanece inalterada e válida.

constraints/storage.retentionPolicySeconds
"is:"
Cloud Storage Execute o acesso uniforme no nível do bucket Essa restrição booleana exige que os buckets usem um acesso uniforme no nível do bucket, em que essa restrição é definida como True. Qualquer bucket novo no recurso Organização precisa ter o acesso uniforme no nível do bucket ativado. Além disso, nenhum bucket atual no recurso Organização pode desativar esse acesso.
A aplicação dessa restrição não é retroativa: buckets atuais com o acesso no nível do bucket desativado permanecem com o acesso desativado. O valor padrão dessa restrição é False.
O acesso uniforme no nível do bucket desativa a avaliação de Listas de controle de acesso (ACLs, na sigla em inglês) atribuídas a objetos do Cloud Storage no bucket. Como consequência, apenas políticas de IAM concedem acesso a objetos nesses buckets.

constraints/storage.uniformBucketLevelAccess
"is:"

Guias de instruções

Para mais informações sobre como usar restrições individuais:

Restrição Guia de instruções
constraints/cloudfunctions.allowedIngressSettings Como usar VPC Service Controls
constraints/compute.restrictCloudNATUsage Restringir o uso do Cloud NAT
constraints/compute.restrictLoadBalancerCreationForTypes Restrições do Cloud Load Balancing
constraints/compute.restrictProtocolForwardingCreationForTypes Restrições de encaminhamento de protocolo
constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Como restringir o uso do Cloud Interconnect
constraints/compute.restrictVpnPeerIPs Como restringir endereços IP pares por meio de um túnel do Cloud VPN
constraints/compute.trustedImageProjects Como restringir o acesso às imagens
constraints/compute.vmExternalIpAccess Como desativar o acesso IP externo para VMs
constraints/iam.allowedPolicyMemberDomains Como restringir identidades por domínio
constraints/iam.allowServiceAccountCredentialLifetimeExtension Estender o ciclo de vida dos tokens de acesso do OAuth 2.0
constraints/iam.disableCrossProjectServiceAccountUsage Como anexar uma conta de serviço a um recurso em um projeto diferente
constraints/iam.disableServiceAccountCreation Como restringir a criação de uma conta de serviço
constraints/iam.disableServiceAccountKeyCreation Como restringir a criação da chave da conta de serviço
constraints/iam.disableServiceAccountKeyUpload Como restringir o upload da chave da conta de serviço
constraints/iam.disableWorkloadIdentityClusterCreation Como restringir a criação de um cluster de identidade da carga de trabalho
constraints/iam.restrictCrossProjectServiceAccountLienRemoval Como anexar uma conta de serviço a um recurso em um projeto diferente
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
Restrições da política da organização para o Cloud Storage
constraints/gcp.disableCloudLogging Como desativar o Cloud Logging
constraints/gcp.resourceLocations Como restringir locais dos recursos
constraints/compute.restrictCloudNATUsage Restrições da política da organização para o Cloud NAT

Saiba mais

Para saber mais sobre os principais conceitos da política da organização: