Restrições da política da organização

Restrições disponíveis

Você pode especificar políticas que usam as restrições a seguir. Outras restrições estão em desenvolvimento.

Serviço(s) Restrição Descrição Prefixos compatíveis
Compute Engine Desativar os atributos de convidado dos metadados do Compute Engine Esta restrição booleana desativa o acesso da API Compute Engine aos atributos de convidado das VMs do Compute Engine que pertencem à organização, ao projeto ou à pasta em que a restrição está definida como True.
Por padrão, a API do Compute Engine pode ser usada para acessar atributos de convidado da VM do Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Desativar virtualização aninhada da VM Com essa restrição booleana, é desativada a virtualização aninhada acelerada por hardware em todas as VMs do Compute Engine pertencentes à organização, projeto ou pasta em que essa restrição estiver definida como True.
Por padrão, a virtualização aninhada acelerada por hardware é permitida em todas as VMs do Compute Engine em execução no Intel Haswell ou em plataformas de CPU mais recentes.

constraints/compute.disableNestedVirtualization
"is:"
Desativar acesso à porta serial da VM Com essa restrição booleana, é desativado o acesso à porta serial em VMs do Compute Engine pertencentes à organização, projeto ou pasta em que essa restrição estiver definida como True.
Por padrão, os clientes podem ativar o acesso à porta serial para VMs do Compute Engine por VM ou por projeto usando atributos de metadados. Essa restrição desativa o acesso à porta serial das VMs do Compute Engine, independentemente dos atributos de metadados.

constraints/compute.disableSerialPortAccess
"is:"
Desativar o registro da porta serial da VM para o Stackdriver Esta restrição booleana desativa a geração de registros de porta serial no Stackdriver a partir de VMs do Compute Engine que pertencem à organização, ao projeto ou à pasta em que a restrição está sendo aplicada.
Por padrão, a geração de registros de porta serial das VMs do Compute Engine fica desativada e pode ser ativada seletivamente por VM ou por projeto com o uso de atributos de metadados. Quando aplicada, essa restrição desativa a geração de registros de porta serial de novas VMs do Compute Engine sempre que uma nova VM é criada, além de impedir que os usuários alterem o atributo de metadados de qualquer VM (antiga ou nova) para True.
constraints/compute.disableSerialPortLogging
"is:"
VMs protegidas Quando essa restrição booleana é definida como True, é obrigatório que todas as novas instâncias de VM do Compute Engine usem imagens de disco protegidas, com as opções de inicialização segura, vTPM e monitoramento de integridade ativadas. Se você quiser, a inicialização segura pode ser desativada depois da criação. As instâncias em execução atuais continuarão a funcionar como de costume.
Por padrão, os recursos de VM protegida não precisam ser ativados para a criação de instâncias de VM do Compute Engine. A integridade verificável e a resistência à exportação são adicionadas às VMs pelos recursos de VM protegida.
constraints/compute.requireShieldedVm
"is:"
Pular criação de rede padrão Quando definida como True, esta restrição booleana pula a criação da rede padrão e dos recursos relacionados durante a criação do recurso do projeto do Google Cloud Platform. Uma rede padrão e os recursos de suporte são criados automaticamente quando um recurso de projeto é criado.

constraints/compute.skipDefaultNetworkCreation
"is:"
Restrições de uso de recursos do Compute Storage (discos, imagens e instantâneos do Compute Engine) Com essa restrição de lista, é definido um conjunto de projetos que podem usar os recursos de armazenamento do Compute Engine. Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode acessar os recursos do Compute Engine. Para usar essa restrição, os usuários precisam ter as permissões do Cloud IAM e não podem ter limitações para acessar o recurso.
Os projetos, pastas e organizações especificados nas listas de permissão e proibição precisam estar nos respectivos formatos: under:projects/PROJECT_ID, under:folders/FOLDER_ID e under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Definir projetos de imagens confiáveis Essa restrição de lista define o conjunto de projetos que podem ser usados para armazenamento de imagens e instanciação de disco do Compute Engine.
Por padrão, as instâncias são criadas de imagens em qualquer projeto que compartilhe imagens pública ou explicitamente com o usuário.
A lista de projetos de editores permitidos/proibidos precisa ser de strings no formato: projects/PROJECT_ID. Se essa restrição estiver ativa, somente imagens de projetos confiáveis serão permitidas como fonte de discos de inicialização de novas instâncias.

constraints/compute.trustedImageProjects
"is:"
Definir os IPs externos de instâncias de VM permitidas Com essa restrição de lista, é definido o conjunto de instâncias de VMs do Compute Engine que podem usar endereços IP externos.
Por padrão, todas as instâncias de VM podem usar endereços IP externos.
A lista de instâncias de VMs permitidas/proibidas precisa ser identificada pelo nome da instância neste formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Cloud Identity and Access Management Compartilhamento restrito de domínio BETA: com essa restrição de lista, é definido o conjunto de membros que podem ser adicionados às políticas do Cloud IAM.
Por padrão, todas as identidades de usuários podem ser adicionadas às políticas do Cloud IAM.
A lista de permitidos/negados precisa especificar um ou mais códigos de clientes do G Suite. Se essa restrição estiver ativa, somente as identidades na lista permitida estarão qualificadas para inclusão nas políticas do Cloud IAM.

constraints/iam.allowedPolicyMemberDomains
"is:"
Desativar criação de conta de serviço BETA: com essa restrição booleana, é desativada a criação de contas de serviço onde esta restrição é configurada como "True".
Por padrão, as contas de serviço podem ser criadas por usuários com base nos respectivos papéis e permissões do Cloud IAM

constraints/iam.disableServiceAccountCreation
"is:"
Desativar criação de chave da conta de serviço BETA: com essa restrição booleana, é desabilitada a criação de chaves externas da conta de serviço onde esta restrição é configurada como "True".
Por padrão, as chaves externas da conta de serviço podem ser criadas pelos usuários com base nos respectivos papéis e permissões do Cloud IAM.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Resource Manager Restringir a remoção da garantia compartilhada do projeto VPC Com essa restrição booleana, é feita a restrição do conjunto de usuários que podem remover uma garantia compartilhada do projeto VPC sem permissão no nível da organização, em que essa restrição é definida como True.
Por padrão, qualquer usuário com a permissão para atualizar garantias pode remover uma garantia compartilhada do projeto VPC. A aplicação dessa restrição exige que a permissão seja concedida no nível da organização.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Google Cloud Platform Definir APIs e serviços permitidos Com essa restrição de lista, são definidos o conjunto de serviços e as respectivas APIs que podem ser ativadas no recurso e abaixo dele.
Por padrão, todos os serviços são permitidos.
A lista de serviços negados precisa ser identificada como o nome da string de uma API e só pode incluir valores explicitamente negados da lista abaixo. No momento, não há compatibilidade com permissão explícita de APIs. Negar explicitamente APIs que não estejam na lista resultará em erro.
A aplicação dessa restrição não é retroativa. Se um serviço já estiver ativado em um recurso quando essa restrição for aplicada, ele permanecerá ativado.

constraints/serviceuser.services
"is:"
Cloud Storage Aplicar somente a política do intervalo BETA: esta restrição booleana exige que os intervalos usem somente a política do intervalo quando a restrição estiver definida como True. Qualquer novo intervalo no recurso da organização precisa ter somente a política do intervalo ativada. Além disso, nenhum intervalo atual no recurso da organização pode desativar a política.
A aplicação dessa restrição não é retroativa: intervalos atuais com a política "Somente política do intervalo" ativada continuam com ela desativada. O valor padrão desta restrição é False.
A opção Somente a política do intervalo desativa a avaliação de ACLs atribuídas a objetos do Cloud Storage no intervalo. Como consequência, apenas políticas de IAM concedem acesso a objetos nesses intervalos.
OBSERVAÇÃO: certos serviços do GCP que exportam para o Cloud Storage não podem exportar para os intervalos que tenham "Somente política do intervalo" ativada. Isso pode incluir serviços como Stackdriver, exportações de alertas de uso ou imagens personalizadas do Compute Engine, Cloud Audit Logging, integrações do GCP com Firebase, Cloud SQL, Cloud Billing e Datastore.

constraints/storage.bucketPolicyOnly
"is:"
Duração da política de retenção, em segundos Essa restrição de lista define o conjunto de durações das políticas de retenção que podem ser definidas nos intervalos do Cloud Storage.
Por padrão, se nenhuma política da organização for especificada, um intervalo do Cloud Storage poderá ter uma política de retenção de qualquer duração.
A lista de durações permitidas precisa ser especificada como um valor inteiro positivo maior que zero, representando a política de retenção em segundos.
Qualquer operação de inserção, atualização ou correção em um intervalo no recurso da organização precisa ter uma duração de política de retenção que corresponda à restrição.
A aplicação dessa restrição não é retroativa. Quando uma nova política da organização é aplicada, a política de retenção dos intervalos atuais permanece inalterada e válida.

constraints/storage.retentionPolicySeconds
"is:"

Guias de instruções

Para mais informações sobre como usar restrições individuais:

Restrição Guia de instruções
constraints/compute.vmExternalIpAccess Como desativar o acesso IP externo para VMs
constraints/compute.trustedImageProjects Como restringir o acesso às imagens
constraints/iam.allowedPolicyMemberDomains (Beta) Como restringir identidades por domínio
constraints/iam.disableServiceAccountKeyCreation (Beta) Como restringir a criação da chave da conta de serviço
constraints/iam.disableServiceAccountCreation (Beta) Como restringir a criação de uma conta de serviço
constraints/storage.bucketPolicyOnly (Beta) Como definir políticas da organização para o Cloud Storage
constraints/storage.retentionPolicySeconds Como definir políticas da organização para o Cloud Storage

Saiba mais

Para saber mais sobre os principais conceitos da política da organização:

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Resource Manager