Restrições da política da organização

Restrições disponíveis

Você pode especificar políticas que usam as restrições a seguir. Outras restrições estão em desenvolvimento.

Serviço(s) Restrição Descrição Prefixos compatíveis
App Engine Desativar download do código-fonte Desativa os downloads de código relacionados ao código-fonte enviado anteriormente por upload ao App Engine.
constraints/appengine.disableCodeDownload
"is:"
Cloud SQL Restringir a criptografia gerenciada pelo Google em instâncias do Cloud SQL BETA: essa restrição booleana, quando definida como True, exige que todas as instâncias do Cloud SQL recém-criadas, reiniciadas ou atualizadas usem as chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Isso não é retroativo (ou seja, instâncias existentes com criptografia gerenciada pelo Google não são afetadas a menos que sejam atualizadas).
Por padrão, essa restrição é definida como False e a criptografia gerenciada pelo Google é permitida para instâncias do Cloud SQL.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Restringir redes autorizadas em instâncias do Cloud SQL Essa restrição booleana limita a adição de redes autorizadas no acesso de banco de dados sem proxy às instâncias do Cloud SQL em que a restrição está definida como True Essa limitação não é retroativa, e as instâncias do Cloud SQL com redes autorizadas ainda funcionarão mesmo após a aplicação dela.
Por padrão, é possível adicionar redes autorizadas a instâncias do Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Restringir o acesso de IP público nas instâncias do Cloud SQL Essa limitação booleana restringe a configuração do IP público em instâncias do Cloud SQL. Para isso, a limitação precisa estar definida como True. Essa limitação não é retroativa, e as instâncias do Cloud SQL com acesso atual de IP público ainda funcionarão mesmo após a aplicação dela.
Por padrão, o acesso de IP público é permitido nas instâncias do Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Desativar os atributos de convidado dos metadados do Compute Engine Essa restrição booleana desativa o acesso da API do Compute Engine aos Atributos de convidado das VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde essa restrição está definida como True.
Por padrão, a API do Compute Engine pode ser usada para acessar atributos de convidado da VM do Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Desativar virtualização aninhada da VM Essa restrição booleana desativa a virtualização aninhada acelerada por hardware de todas as VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição está definida. True.
Por padrão, a virtualização aninhada acelerada por hardware é permitida em todas as VMs do Compute Engine em execução no Intel Haswell ou em plataformas de CPU mais recentes.

constraints/compute.disableNestedVirtualization
"is:"
Desativar acesso à porta serial da VM Essa restrição booleana desativa o acesso à porta serial para VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição está definida como True.
Por padrão, os clientes podem ativar o acesso à porta serial para VMs do Compute Engine por VM ou por projeto usando atributos de metadados. Essa restrição desativa o acesso à porta serial das VMs do Compute Engine, independentemente dos atributos de metadados.

constraints/compute.disableSerialPortAccess
"is:"
Desativar o registro da porta serial da VM para o Stackdriver Esta restrição booleana desativa a geração de registros de porta serial no Stackdriver a partir de VMs do Compute Engine que pertencem à organização, ao projeto ou à pasta em que a restrição está sendo aplicada.
Por padrão, a geração de registros de porta serial das VMs do Compute Engine fica desativada e pode ser ativada seletivamente por VM ou por projeto com o uso de atributos de metadados. Quando aplicada, essa restrição desativa a geração de registros de porta serial de novas VMs do Compute Engine sempre que uma nova VM é criada, além de impedir que os usuários alterem o atributo de metadados de qualquer VM (antiga ou nova) para True.
constraints/compute.disableSerialPortLogging
"is:"
Requer login do SO Essa restrição booleana, quando definida como true, ativa o login do SO em todos os projetos recém-criados. Todas as instâncias de VM criadas em novos projetos terão o login do SO ativado. Nos projetos novos e atuais, essa restrição impede as atualizações de metadados que desativam o login do SO no nível do projeto e da instância.
Por padrão, o recurso de login do SO está desativado nos projetos do Compute Engine.
No momento, as instâncias do GKE não são compatíveis com esse recurso. Se essa restrição for aplicada a um projeto, as instâncias do GKE em execução no projeto podem não funcionar corretamente.
constraints/compute.requireOsLogin
"is:"
VMs protegidas Quando essa restrição booleana é definida como True, é obrigatório que todas as novas instâncias de VM do Compute Engine usem imagens de disco protegidas, com as opções de inicialização segura, vTPM e monitoramento de integridade ativadas. Se você quiser, a inicialização segura pode ser desativada depois da criação. As instâncias em execução atuais continuarão a funcionar como de costume.
Por padrão, os recursos de VM protegida não precisam ser ativados para a criação de instâncias de VM do Compute Engine. A integridade verificável e a resistência à exportação são adicionadas às VMs pelos recursos de VM protegida.
constraints/compute.requireShieldedVm
"is:"
Restringir projetos de host de VPC compartilhada Esta restrição de lista define o conjunto de projetos host de VPC compartilhada aos quais os projetos neste recurso ou abaixo dele podem ser anexados. Por padrão, um projeto pode ser anexado a qualquer projeto host na mesma organização, tornando-se um projeto de serviço. Projetos, pastas e organizações em listas permitidas/negadas afetam todos os objetos abaixo deles na hierarquia de recursos e devem ser especificados no formulário: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Restrinja as sub-redes de VPC compartilhadas Esta restrição de lista define o conjunto de sub-redes VPC compartilhadas que pode ser usado por recursos qualificados. Essa restrição só se aplica a recursos em projetos de serviço de VPC compartilhada, e não a recursos dentro do próprio projeto host da VPC compartilhada. Por padrão, os recursos qualificados em um projeto de serviço podem usar qualquer sub-rede de VPC compartilhada, se o membro do IAM que criou os recursos tiver um papel de usuário de rede para essa sub-rede. A lista de sub-redes permitidas/negadas deve ser especificada no formato: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:"
Restringir o uso de peering de VPC Nesta restrição de lista é definido o conjunto de redes VPC que têm permissão de peering com as redes VPC que pertencem a esse projeto, pasta ou organização. Por padrão, um administrador de rede para uma rede tem permissão de peering com qualquer outra rede. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictVpcPeering
"is:", "under:"
Pular criação de rede padrão Essa restrição booleana pula a criação da rede padrão e dos recursos relacionados durante a criação do recurso Projeto do Google Cloud Platform, em que essa restrição é definida como True. Uma rede padrão e os recursos de suporte são criados automaticamente quando um recurso de projeto é criado.

constraints/compute.skipDefaultNetworkCreation
"is:"
Restrições de uso de recursos do Compute Storage (discos, imagens e instantâneos do Compute Engine) Com essa restrição de lista, é definido um conjunto de projetos que podem usar os recursos de armazenamento do Compute Engine. Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode acessar os recursos do Compute Engine. Para usar essa restrição, os usuários precisam ter as permissões do Cloud IAM e não podem ter limitações para acessar o recurso.
Projetos, pastas e organizações especificados em listas permitidas ou negadas devem estar no formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Definir projetos de imagens confiáveis Essa restrição de lista define o conjunto de projetos que podem ser usados para armazenamento de imagens e instanciação de disco do Compute Engine.
Por padrão, as instâncias são criadas de imagens em qualquer projeto que compartilhe imagens pública ou explicitamente com o usuário.
A lista de projetos de editores permitidos/recusados precisa ser strings no formato: projects/PROJECT_ID. Se esta restrição estiver ativa, somente imagens de projetos confiáveis serão permitidas como fonte de discos de inicialização para novas instâncias.

constraints/compute.trustedImageProjects
"is:"
Restringir encaminhamento IP da VM Esta restrição de lista define o conjunto de instâncias da VM que pode ativar o encaminhamento IP. Por padrão, qualquer VM pode ativar o encaminhamento IP em qualquer rede virtual. As instâncias de VM devem ser especificadas no formulário: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
constraints/compute.vmCanIpForward
"is:"
Definir os IPs externos de instâncias de VM permitidas Com essa restrição de lista, é definido o conjunto de instâncias de VMs do Compute Engine que podem usar endereços IP externos.
Por padrão, todas as instâncias de VM podem usar endereços IP externos.
A lista de instâncias de VM permitidas/negadas deve ser identificada pelo nome da instância da VM, no formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Cloud Identity e Access Management Compartilhamento restrito de domínio BETA: com essa restrição de lista, é definido o conjunto de membros que podem ser adicionados às políticas do Cloud IAM.
Por padrão, todas as identidades de usuários podem ser adicionadas às políticas do Cloud IAM.
A lista de permitidos/negados precisa especificar um ou mais IDs de clientes do Cloud Identity ou do G Suite. Se essa restrição estiver ativa, somente as identidades na lista permitida estarão qualificadas para inclusão nas políticas do Cloud IAM.

constraints/iam.allowedPolicyMemberDomains
"is:"
Definir autoridade permitida do certificado raiz BETA: esta restrição de lista define o conjunto de autoridades de certificação de raiz confiáveis que podem ser usadas para adicionar certificados públicos emitidos a contas de serviço do Cloud IAM.
Por padrão, é possível fazer upload de todos os certificados públicos às contas de serviço do Cloud IAM.
Se essa restrição estiver ativa, somente certificados públicos emitidos pelas autoridades de certificação de raiz que constem na lista permitida poderão ser incluídas nas contas de serviço do Cloud IAM.
constraints/iam.allowedPublicCertificateTrustedRootCA
"is:"
Desativar criação de conta de serviço Essa restrição booleana desativa a criação de contas de serviço em que essa restrição esteja configurada como "True".
Por padrão, as contas de serviço podem ser criadas por usuários com base nos seus respectivos papéis e permissões do Cloud IAM. constraints/iam.disableServiceAccountCreation
"is:"
Desativar criação de chave da conta de serviço Essa restrição booleana desativa a criação de chaves externas de contas de serviço em que essa restrição esteja definida como "True".
Por padrão, chaves externas de contas de serviço podem ser criadas por usuários com base nos seus respectivos papéis e permissões de Cloud IAM. constraints/iam.disableServiceAccountKeyCreation
"is:"
Resource Manager Restringir a remoção da garantia compartilhada do projeto VPC Essa restrição booleana restringe o conjunto de usuários que podem remover uma garantia do projeto da VPC compartilhada sem permissão no nível da organização quando essa restrição é definida como True.
Por padrão, qualquer usuário com a permissão para atualizar garantias pode remover uma garantia compartilhada do projeto VPC. A aplicação dessa restrição exige que a permissão seja concedida no nível da organização.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Parceiro do ano Google Cloud Platform - Restrição de localização de recursos BETA: esta restrição de lista define o conjunto de locais onde os recursos GCP baseados em local podem ser criados. As políticas para essa restrição podem especificar várias regiões, como asia e europe, regiões como us-east1 ou europe-west1 ou zonas individuais, como europe-west1-b como locais permitidos ou recusados. Cada local a ser permitido ou negado precisa estar listado explicitamente. Permitir ou negar uma ou várias regiões não significa permitir ou negar todos os sublocais incluídos. Por exemplo, se a política nega a região us-east1, os recursos ainda podem ser criados no local de zona us-east1-a. Para incluir sublocais, use o prefixo in:. Por exemplo, in:us-east1-locations permite que todos os locais que existem dentro de us-east1.
Especifique grupos de valores ou conjuntos de locais selecionados pelo Google para oferecer uma maneira simples de definir seus locais de recursos. Para usar grupos de valores na política da sua organização, adicione o string in: como prefixo das entradas, seguido pelo grupo de valores.
Se o campo suggested_value for usado em uma política de local, ele deverá ser uma região ou uma zona. Se o valor especificado for de uma região, uma IU para um recurso de zona precisa preencher qualquer zona em tal região. Se o valor especificado for uma zona, uma IU de recurso regional precisa preencher a região ao redor da zona.
Por padrão, os recursos podem ser criados em qualquer local.
constraints/gcp.resourceLocations
"is:", "in:"
Definir APIs e serviços permitidos Com essa restrição de lista, são definidos o conjunto de serviços e as respectivas APIs que podem ser ativadas no recurso e abaixo dele.
Por padrão, todos os serviços são permitidos.
A lista de serviços negados precisa ser identificada como o nome da string de uma API e pode incluir apenas valores explicitamente negados da lista abaixo. Atualmente não há compatibilidade com permissão explícita de APIs. Negar explicitamente APIs que não estejam na lista resultará em erro.
A aplicação dessa restrição não é retroativa. Se um serviço já estiver ativado em um recurso quando essa restrição for aplicada, ele permanecerá ativado.

constraints/serviceuser.services
"is:"
Cloud Storage Duração da política de retenção, em segundos Essa restrição de lista define o conjunto de durações das políticas de retenção que podem ser definidas nos intervalos do Cloud Storage.
Por padrão, se nenhuma política da organização for especificada, um intervalo do Cloud Storage poderá ter uma política de retenção de qualquer duração.
A lista de durações permitidas precisa ser especificada como um valor inteiro positivo maior que zero, representando a política de retenção em segundos.
Qualquer operação de inserção, atualização ou correção em um intervalo no recurso da organização precisa ter uma duração de política de retenção que corresponda à restrição.
A aplicação dessa restrição não é retroativa. Quando uma nova política da organização é aplicada, a política de retenção dos intervalos atuais permanece inalterada e válida.

constraints/storage.retentionPolicySeconds
"is:"
Execute o acesso uniforme no nível do intervalo Essa restrição booleana exige que os intervalos usem um acesso uniforme no nível do intervalo, em que essa restrição é definida como True. Qualquer intervalo novo no recurso Organização precisa ter o acesso uniforme no nível do intervalo ativado. Além disso, nenhum intervalo atual no recurso Organização pode desativar esse acesso.
A aplicação dessa restrição não é retroativa: intervalos atuais com o acesso no nível do intervalo desativado permanecem com o acesso desativado. O valor padrão dessa restrição é False.
O acesso uniforme no nível do intervalo desativa a avaliação de Listas de controle de acesso (ACLs, na sigla em inglês) atribuídas a objetos do Cloud Storage no intervalo. Como consequência, apenas políticas de IAM concedem acesso a objetos nesses intervalos.

constraints/storage.uniformBucketLevelAccess
"is:"

Guias de instruções

Para mais informações sobre como usar restrições individuais:

Restrição Guia de instruções
constraints/compute.vmExternalIpAccess Como desativar o acesso IP externo para VMs
constraints/compute.trustedImageProjects Como restringir o acesso às imagens
constraints/iam.allowedPolicyMemberDomains (Beta) Como restringir identidades por domínio
constraints/iam.disableServiceAccountKeyCreation Como restringir a criação da chave da conta de serviço
constraints/iam.disableServiceAccountCreation Como restringir a criação de uma conta de serviço
constraints/storage.uniformBucketLevelAccess Como definir políticas da organização para o Cloud Storage
constraints/storage.retentionPolicySeconds Como definir políticas da organização para o Cloud Storage
constraints/gcp.resourceLocations Como restringir locais dos recursos

Saiba mais

Para saber mais sobre os principais conceitos da política da organização: