Restrições da política da organização

Restrições disponíveis

Você pode especificar políticas que usam as restrições a seguir.

Restrições aceitas por vários serviços do Google Cloud

Restrição Descrição Prefixos compatíveis
Pools de workers permitidos (Cloud Build) Nesta restrição de lista é definido o conjunto de pools de workers do Cloud Build com permissão para executar builds usando o Cloud Build. Quando essa restrição é aplicada, os builds precisam ser compilados em um pool de workers que corresponda a um dos valores permitidos.
Por padrão, o Cloud Build pode usar qualquer pool de workers.
A lista de pools de workers permitidos precisa ter o formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


constraints/cloudbuild.allowedWorkerPools
"is:", "under:"
Google Cloud Platform - Restrição de localização de recursos Essa restrição de lista define o conjunto de locais onde os recursos do Google Cloud baseados em local podem ser criados.
Por padrão, os recursos podem ser criados em qualquer local.
As políticas para essa restrição podem especificar multirregiões, como asia e europe, além de permitir ou negar locais como us-east1 ou europe-west1. Permitir ou negar várias regiões não significa permitir ou negar todos os sublocais incluídos. Por exemplo, se a política negar a multirregião us, que se refere a recursos multirregionais, como alguns serviços de armazenamento, os recursos ainda poderão ser criados no local regional us-east1. Por outro lado, o grupo in:us-locations contém todos os locais dentro da região us e pode ser usado para bloquear todas as regiões.
Recomendamos o uso de grupos de valor para definir a política.
É possível especificar grupos de valores ou conjuntos de locais selecionados pelo Google para oferecer uma maneira simples de definir locais de recurso. Para usar grupos de valores na política da sua organização, use a string in: como prefixo das suas entradas, seguida pelo grupo de valores.
Por exemplo, para criar recursos que só ficarão fisicamente nos EUA, defina in:us-locations na lista de valores permitidos.
Se o campo suggested_value for usado em uma política de local, mas deveria ser uma região. Se o valor especificado for de uma região, uma IU para um recurso de zona precisa preencher qualquer zona em tal região.
constraints/gcp.resourceLocations
"is:", "in:"
Restringir quais projetos podem fornecer CryptoKeys do KMS para CMEK Esta restrição de lista define quais projetos podem ser usados para fornecer chaves de criptografia gerenciadas pelo cliente (CMEK) ao criar recursos. Definir essa restrição como Allow (ou seja, permitir apenas chaves CMEK desses projetos) garante que as chaves CMEK de outros projetos não possam ser usadas para proteger recursos recém-criados. Os valores dessa restrição precisam ser especificados na forma de under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID. Os serviços com suporte que aplicam essa restrição são:
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • documentai.googleapis.com
  • logging.googleapis.com
  • pubsub.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
A aplicação dessa restrição pode aumentar com o tempo para incluir outros serviços. Tenha cuidado ao aplicar essa restrição a projetos, pastas ou organizações em que uma combinação de serviços com e sem suporte é usada. Não é permitido definir essa restrição como Deny ou Deny All. A aplicação dessa restrição não é retroativa. Os recursos CMEKs atuais do Google Cloud com CryptoKeys do KMS de projetos não permitidos precisam ser reconfigurados ou recriados manualmente para garantir a aplicação.
constraints/gcp.restrictCmekCryptoKeyProjects
"is:", "under:"
Restringir quais serviços podem criar recursos sem CMEK Esta restrição de lista define quais serviços exigem chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Definir essa restrição como Deny (ou seja, negar a criação de recursos sem CMEK) exige que, para os serviços especificados, os recursos recém-criados sejam protegidos por uma chave CMEK. Os serviços com suporte que podem ser definidos nessa restrição são:
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • documentai.googleapis.com
  • logging.googleapis.com
  • pubsub.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • spanner.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
Não é permitido definir essa restrição como Deny All. Não é permitido definir essa restrição como Allow. A aplicação dessa restrição não é retroativa. Os recursos do Google Cloud que não são CMEK precisam ser reconfigurados ou recriados manualmente para garantir a aplicação.
constraints/gcp.restrictNonCmekServices
"is:"
Restringir o uso do serviço de recursos Esta restrição define o conjunto de serviços de recursos do Google Cloud que podem ser usados em uma organização, pasta ou projeto, como compute.googleapis.com e storage.googleapis.com.
Por padrão, todos os serviços de recursos do Google Cloud são permitidos.
Para mais informações, acesse https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

constraints/gcp.restrictServiceUsage
"is:"
Desativar a permissão do Identity-Aware Proxy (IAP) em recursos regionais Quando aplicada, essa restrição booleana desativa a permissão do Identity-Aware Proxy nos recursos regionais. Essa restrição não impede a ativação do IAP em recursos globais.
Por padrão, a ativação do IAP em recursos regionais é permitida.
constraints/iap.requireRegionalIapWebDisabled
"is:"
Restringir as APIs e os serviços permitidos do Google Cloud Com essa restrição de lista, são restringidos o conjunto de serviços e as respectivas APIs que podem ser ativadas nesse recurso. Por padrão, todos os serviços são permitidos.
A lista de serviços negados precisa ser proveniente da lista abaixo. No momento, não é possível ativar explicitamente as APIs usando essa restrição. Especificar uma API que não está na lista resultará em erro.
A aplicação dessa restrição não é retroativa. Se um serviço já estiver ativado em um recurso quando essa restrição for aplicada, ele permanecerá ativado.

constraints/serviceuser.services
"is:"

Restrições para serviços específicos

Serviço(s) Restrição Descrição Prefixos compatíveis
Vertex AI Workbench Definir o modo de acesso para notebooks e instâncias do Vertex AI Workbench Esta restrição de lista define os modos de acesso permitidos aos notebooks e instâncias do Vertex AI Workbench quando aplicados. A lista de permissões ou negação pode especificar vários usuários com o modo service-account ou acesso de usuário único com o modo single-user. O modo de acesso a ser permitido ou negado precisa ser listado explicitamente.
constraints/ainotebooks.accessMode
"is:"
Vertex AI Workbench Desativar downloads de arquivos em novas instâncias do Vertex AI Workbench Quando aplicada, essa restrição booleana impede a criação de instâncias do Vertex AI Workbench com a opção de download de arquivo ativada. Por padrão, a opção de download de arquivos pode ser ativada em qualquer instância do Vertex AI Workbench.
constraints/ainotebooks.disableFileDownloads
"is:"
Vertex AI Workbench Desativar o acesso raiz em novos notebooks e instâncias gerenciados pelo usuário do Vertex AI Workbench Essa restrição booleana, quando aplicada, impede que instâncias e notebooks recém-criados do Vertex AI Workbench ativem o acesso raiz. Por padrão, as instâncias e os notebooks gerenciados pelo usuário do Vertex AI Workbench podem ter acesso raiz ativado.
constraints/ainotebooks.disableRootAccess
"is:"
Vertex AI Workbench Desativar o terminal em novas instâncias do Vertex AI Workbench Quando aplicada, essa restrição booleana impede a criação de instâncias do Vertex AI Workbench com o terminal ativado. Por padrão, o terminal pode ser ativado em instâncias do Vertex AI Workbench.
constraints/ainotebooks.disableTerminal
"is:"
Vertex AI Workbench Restringir opções de ambiente em novos notebooks e instâncias do Vertex AI Workbench Esta restrição de lista define as opções de imagem da VM e do contêiner que um usuário pode selecionar ao criar novos notebooks e instâncias do Vertex AI Workbench em que essa restrição é aplicada. As opções permitidas ou negadas precisam ser listadas explicitamente.
O formato esperado para instâncias de VM é ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Substitua IMAGE_TYPE por image-family ou image-name. Exemplos: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
O formato esperado para imagens de contêiner será ainotebooks-container/CONTAINER_REPOSITORY:TAG. Exemplos: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.
constraints/ainotebooks.environmentOptions
"is:"
Vertex AI Workbench Exigir upgrades automáticos programados em novos notebooks e instâncias gerenciados pelo usuário do Vertex AI Workbench Quando aplicada, essa restrição booleana exige que as instâncias e notebooks recém-criados do Vertex AI Workbench tenham um cronograma de upgrade automático definido. É possível definir a programação do upgrade automático usando a sinalização de metadados `notebook-upgrade-schedule` para especificar uma programação cron para os upgrades automáticos. Por exemplo: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`.
constraints/ainotebooks.requireAutoUpgradeSchedule
"is:"
Vertex AI Workbench Restringir o acesso de IP público em novos notebooks e instâncias do Vertex AI Workbench Quando aplicada, essa restrição booleana restringe o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os IPs públicos podem acessar notebooks e instâncias do Vertex AI Workbench.
constraints/ainotebooks.restrictPublicIp
"is:"
Vertex AI Workbench Restringir redes VPC em novas instâncias do Vertex AI Workbench Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench em que essa restrição é aplicada. Por padrão, é possível criar uma instância do Vertex AI Workbench com qualquer rede VPC. A lista de redes permitidas ou negadas precisa ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/ainotebooks.restrictVpcNetworks
"is:", "under:"
App Engine Desativar download do código-fonte Desativa os downloads de código relacionados ao código-fonte enviado anteriormente por upload ao App Engine.
constraints/appengine.disableCodeDownload
"is:"
App Engine Isenção de implantação de ambiente de execução (App Engine) Esta restrição de lista define o conjunto de ambientes de execução legados do ambiente padrão do App Engine (Python 2.7, PHP 5.5 e Java 8) permitidos para implantações após o fim do suporte. Os ambientes de execução legados no ambiente padrão do App Engine vão chegar ao fim do suporte em 30 de janeiro de 2024. Geralmente, as tentativas de implantar aplicativos usando ambientes de execução legados após essa data serão bloqueadas. Consulte o cronograma de suporte ao ambiente de execução padrão do App Engine. Definir essa restrição como "Permitir" desbloqueia as implantações padrão do App Engine para os ambientes de execução legados especificados até a data de desativação. Definir essa restrição como "Permitir tudo" desbloqueia as implantações padrão do App Engine para todos os ambientes de execução legados até a data de desativação. Os ambientes de execução que chegaram ao fim do suporte não recebem patches de segurança e manutenção de rotina. É altamente recomendável fazer upgrade dos seus aplicativos para usar uma versão do ambiente de execução com disponibilidade geral.
constraints/appengine.runtimeDeploymentExemption
"is:"
BigQuery Desativar o BigQuery Omni para Cloud AWS Quando definida como True, essa restrição booleana impedirá que os usuários usem o BigQuery Omni para processar dados com a restrição aplicada na Amazon Web Services.
constraints/bigquery.disableBQOmniAWS
"is:"
BigQuery Desativar o BigQuery Omni para Cloud Azure Quando definida como True, essa restrição booleana impedirá que os usuários usem o BigQuery Omni para processar dados com a restrição aplicada no Microsoft Azure.
constraints/bigquery.disableBQOmniAzure
"is:"
Cloud Build Integrações permitidas (Cloud Build) Esta restrição de lista define as integrações permitidas do Cloud Build para executar builds por receber webhooks de serviços fora do Google Cloud. Quando essa restrição for aplicada, apenas os webhooks de serviços com um host que corresponda a um dos valores permitidos serão processados.
Por padrão, o Cloud Build processa todos os webhooks de projetos que tenham pelo menos um gatilho ATIVO.
constraints/cloudbuild.allowedIntegrations
"is:"
Cloud Deploy Desativar rótulos de serviço do Cloud Deploy Quando aplicada, essa restrição booleana impede que o Cloud Deploy adicione rótulos de identificador do Cloud Deploy aos objetos implantados.
Por padrão, os rótulos que identificam os recursos do Cloud Deploy são adicionados aos objetos implantados durante a criação da versão.
constraints/clouddeploy.disableServiceLabelGeneration
"is:"
Cloud Functions Configurações de saída permitidas (Cloud Functions) Esta restrição de lista define as configurações de entrada permitidas para implantação de uma Função do Cloud. Quando essa restrição é aplicada, as funções precisam ter configurações de entrada que correspondam a um dos valores permitidos.
Por padrão, o Cloud Functions pode usar qualquer configuração de entrada.
As configurações de entrada precisam ser especificadas na lista permitida usando os valores de enum IngressSettings.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Configurações de saída permitidas do conector de acesso VPC (Cloud Functions) Essa restrição de lista define as configurações permitidas de saída do conector de acesso VPC para implantação de uma Função do Cloud. Quando essa restrição é aplicada, as funções precisam ter obrigatoriamente as configurações de saída do conector de acesso VPC que correspondam a um dos valores permitidos.
Por padrão, o Cloud Functions pode usar qualquer configuração de saída do Conector VPC.
As configurações de saída do Conector VPC devem ser especificadas na lista de permissões usando os valores de enum VpcConnectorEgressSettings.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions Requer um Conector VPC (Cloud Functions) Essa restrição booleana requer a configuração de um conector de acesso VPC ao implantar uma função do Cloud. Quando essa restrição é aplicada, as funções precisam especificar obrigatoriamente um conector de acesso VPC.
Por padrão, a especificação de um conector VPC não é obrigatória para implantar uma Função do Cloud.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud Functions Gerações permitidas do Cloud Functions Esta restrição de lista define o conjunto de gerações permitidas da função do Cloud que podem ser usadas para criar novos recursos de função. Os valores válidos são: 1stGen, 2ndGen.
constraints/cloudfunctions.restrictAllowedGenerations
"is:"
Cloud KMS Restringe quais tipos de CryptoKey do KMS podem ser criados. Esta restrição de lista define os tipos de chaves do Cloud KMS que podem ser criados em um determinado nó da hierarquia. Quando essa restrição é aplicada, somente os tipos de chaves KMS especificados nessa política da organização podem ser criados no respectivo nó da hierarquia. A configuração dessa política da organização também afetará o nível de proteção dos jobs de importação e das versões das chaves. Por padrão, todos os tipos de chaves são permitidos. Os valores válidos são: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. As políticas de negação não são permitidas.
constraints/cloudkms.allowedProtectionLevels
"is:"
Cloud KMS Restringir a destruição de chaves às versões desativadas Quando aplicada, essa restrição booleana só permite a destruição de versões de chave que estão no estado desativado. Por padrão, as versões de chave que estão no estado ativado e as que estão no estado desativado podem ser destruídas. Quando essa restrição é aplicada, ela se aplica às versões de chave novas e atuais.
constraints/cloudkms.disableBeforeDestroy
"is:"
Cloud KMS Duração mínima programada da destruição por chave Esta restrição de lista define a duração mínima programada de destruição em dias que o usuário pode especificar ao criar uma nova chave. Nenhuma chave com duração programada de destruição menor que esse valor pode ser criada após a aplicação da restrição. Por padrão, a duração mínima programada de destruição de todas as chaves é de 1 dia, exceto no caso de chaves somente de importação, em que o período é de 0 dias.
Somente um valor permitido pode ser especificado no formato in:1d, in:7d, in:15d, in:30d, in:60d, in:90d ou in:120d. Por exemplo, se constraints/cloudkms.minimumDestroyScheduledDuration estiver definido como in:15d, os usuários vão poder criar chaves com a duração programada da destruição definida para qualquer valor maior que 15 dias, como 16 ou 31 dias. No entanto, os usuários não podem criar chaves com duração programada de destruição inferior a 15 dias, como 14 dias. Para cada recurso na hierarquia, a duração programada de destruição mínima pode herdar, substituir ou ser mesclada com a política do pai. Quando a política do recurso é mesclada com a do pai, o valor efetivo da duração programada mínima de destruição no recurso é o menor entre o valor especificado na política do recurso e a duração programada mínima de destruição efetiva do pai. Por exemplo, se uma organização tiver uma duração mínima programada de destruição de sete dias e, em um projeto filho, a política estiver definida como "Mesclar com pai" com um valor de in:15d, a duração mínima programada da destruição efetiva no projeto será de sete dias.
constraints/cloudkms.minimumDestroyScheduledDuration
"is:", "in:"
Cloud Scheduler Tipos de destino permitidos para jobs Esta restrição define a lista de tipos de destino, como HTTP, HTTP ou Pubsub do App Engine, permitidos para jobs do Cloud Scheduler.
Por padrão, todos os destinos de job são permitidos.
Os valores válidos são: APPENGINE, HTTP, PUBSUB.
constraints/cloudscheduler.allowedTargetTypes
"is:"
Cloud SQL Restringir redes autorizadas em instâncias do Cloud SQL Essa restrição booleana limita a adição de redes autorizadas no acesso de banco de dados sem proxy às instâncias do Cloud SQL em que a restrição está definida como True Essa limitação não é retroativa, e as instâncias do Cloud SQL com redes autorizadas ainda funcionarão mesmo após a aplicação dela.
Por padrão, é possível adicionar redes autorizadas a instâncias do Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Desative os caminhos de acesso administrativo e de diagnóstico no Cloud SQL para atender aos requisitos de compliance. Não configure nem modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e se destina apenas ao controle regulamentar avançado do Assured Workloads. Quando essa restrição booleana é aplicada, alguns aspectos da compatibilidade são prejudicados, e todos os caminhos de acesso para diagnósticos e outros casos de uso de suporte ao cliente que não atendem aos requisitos de soberania avançados para o Assured Workloads são desativados.
constraints/sql.restrictNoncompliantDiagnosticDataAccess
"is:"
Cloud SQL Restrinja cargas de trabalho não compatíveis para instâncias do Cloud SQL. Não configure nem modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e se destina apenas ao controle regulamentar avançado do Assured Workloads. Quando essa restrição booleana é aplicada, alguns aspectos da compatibilidade são prejudicados e os recursos provisionados seguirão estritamente os requisitos de soberania avançados para o Assured Workloads. Essa política é retroativa, ou seja, será aplicada a projetos existentes, mas não afetará os recursos que já foram provisionados. Ou seja, as alterações feitas na política serão refletidas apenas nos recursos criados após a modificação.
constraints/sql.restrictNoncompliantResourceCreation
"is:"
Cloud SQL Restringir o acesso de IP público nas instâncias do Cloud SQL Essa limitação booleana restringe a configuração do IP público em instâncias do Cloud SQL. Para isso, a limitação precisa estar definida como True. Essa limitação não é retroativa, e as instâncias do Cloud SQL com acesso atual de IP público ainda funcionarão mesmo após a aplicação dela.
Por padrão, o acesso de IP público é permitido nas instâncias do Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Google Cloud Marketplace Desativar Marketplace público Quando aplicada, essa restrição booleana desativa o mercado público para todos os usuários na organização. Por padrão, o acesso ao mercado público está ativado para a organização.
constraints/commerceorggovernance.disablePublicMarketplace
"is:"
Google Cloud Marketplace Restringir o acesso nos serviços do Marketplace Esta restrição de lista define o conjunto de serviços permitidos para organizações de mercado e só pode incluir valores da lista abaixo:
  • PRIVATE_MARKETPLACE
  • IAAS_PROCUREMENT
Se PRIVATE_MARKETPLACE estiver na lista de valores permitidos, o mercado privado será ativado. Se IAAS_PROCUREMENT estiver na lista de valores permitidos, a experiência de governança de compras de IaaS será ativada para todos os produtos. Por padrão, o mercado privado fica desativado, e a experiência de governança de compras de IaaS fica desativada. Além disso, a política IAAS_PROCUREMENT funciona de maneira independente da capacidade de governança da solicitação de compras, que é específica para produtos SaaS listados no Marketplace.
constraints/commerceorggovernance.marketplaceServices
"is:"
Google Compute Engine Configurações permitidas de criptografia de anexos da VLAN Esta restrição de lista define as configurações de criptografia permitidas para novos anexos da VLAN.
Por padrão, os anexos da VLAN têm permissão para usar qualquer configuração de criptografia.
Defina a IPSEC como o valor permitido para aplicar apenas a criação de anexos da VLAN criptografados.
constraints/compute.allowedVlanAttachmentEncryption
"is:"
Google Compute Engine Desativar o uso do IPv6 Essa restrição booleana, quando definida como True, desativa a criação ou atualização dos recursos do Google Compute Engine envolvidos no uso do IPv6.
Por padrão, qualquer pessoa com as permissões apropriadas do Cloud IAM pode criar ou atualizar recursos do Google Compute Engine com uso do IPv6 em qualquer projeto, pasta e organização.
Se definida, esta restrição terá maior prioridade que outras restrições de organização do IPv6, incluindo disableVpcInternalIpv6, disableVpcExternalIpv6 e disableHybridCloudIpv6.
constraints/compute.disableAllIpv6
"is:"
Google Compute Engine Desativar a criação de políticas de segurança do Cloud Armor Quando aplicada, essa restrição booleana desativa a criação de políticas de segurança do Cloud Armor.
Por padrão, é possível criar políticas de segurança do Cloud Armor em qualquer organização, pasta ou projeto.
constraints/compute.disableGlobalCloudArmorPolicy
"is:"
Google Compute Engine Desativar balanceamento de carga global Essa restrição booleana desativa a criação de produtos de balanceamento de carga global. Quando aplicada, só podem ser criados produtos de balanceamento de carga regionais sem dependências globais. Por padrão, é permitido criar balanceamento de carga global.
constraints/compute.disableGlobalLoadBalancing
"is:"
Google Compute Engine Desativar criação de certificados SSL autogerenciados globais Quando aplicada, essa restrição booleana desativa a criação de certificados SSL autogerenciados globais. A criação de certificados gerenciados pelo Google ou regionais não é desativada por esta restrição.
Por padrão, é possível criar certificados SSL globais e autogerenciados em qualquer organização, pasta ou projeto.
constraints/compute.disableGlobalSelfManagedSslCertificate
"is:"
Google Compute Engine Desativar o acesso global às portas seriais da VM Essa restrição booleana desativa o acesso à porta serial global às VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que a restrição é aplicada. Por padrão, os clientes podem ativar o acesso à porta serial para VMs do Compute Engine por VM ou por projeto usando atributos de metadados. A aplicação dessa restrição desativará o acesso à porta serial global das VMs do Compute Engine, independentemente dos atributos de metadados. O acesso à porta serial regional não é afetado por esta restrição. Para desativar todo o acesso à porta serial, use a restrição compute.disableSerialPortAccess.
constraints/compute.disableGlobalSerialPortAccess
"is:"
Google Compute Engine Desativar os atributos de convidado dos metadados do Compute Engine Essa restrição booleana desativa o acesso da API do Compute Engine aos Atributos de convidado das VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta onde essa restrição está definida como True.
Por padrão, a API do Compute Engine pode ser usada para acessar atributos de convidado da VM do Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Google Compute Engine Desativar o uso de IPv6 na nuvem híbrida Essa restrição booleana, quando definida como True, desativa a criação ou atualização de recursos de nuvem híbrida, incluindo Cloud Router, anexos de interconexão e Cloud VPN com stack_type de IPV4_IPV6.
Por padrão, qualquer pessoa com as permissões apropriadas do Cloud IAM pode criar ou atualizar recursos de nuvem híbrida com stack_type de IPV4_IPV6 em qualquer projeto, pasta e organização.
constraints/compute.disableHybridCloudIpv6
"is:"
Google Compute Engine Desativar APIs de acesso a dados da instância Não configure nem modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e se destina apenas ao controle regulamentar avançado do Assured Workloads. Essa restrição booleana, quando aplicada, vai desativar as APIs GetSerialPortOutput e Getscreenshot, que acessam a saída da porta serial da VM e fazem capturas de tela nas IUs da VM.
constraints/compute.disableInstanceDataAccessApis
"is:"
Google Compute Engine Desativar grupos de endpoints de rede de Internet Essa restrição booleana restringe se um usuário pode criar grupos de endpoints de rede (NEG, na sigla em inglês) da Internet com um type de INTERNET_FQDN_PORT e INTERNET_IP_PORT.
Por padrão, qualquer usuário com as permissões apropriadas do IAM pode criar NEGs da Internet em qualquer projeto.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Google Compute Engine Desativar virtualização aninhada da VM Essa restrição booleana desativa a virtualização aninhada acelerada por hardware de todas as VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição está definida. True.
Por padrão, a virtualização aninhada acelerada por hardware é permitida em todas as VMs do Compute Engine em execução no Intel Haswell ou em plataformas de CPU mais recentes.

constraints/compute.disableNestedVirtualization
"is:"
Google Compute Engine Aplicar tipos de máquina compatíveis com FIPS Quando aplicada, essa restrição booleana desativa a criação de tipos de instâncias de VM que não atendem aos requisitos dos FIPS.
constraints/compute.disableNonFIPSMachineTypes
"is:"
Google Compute Engine Desativar o Private Service Connect para consumidores Esta restrição de lista define o conjunto de tipos de endpoints do Private Service Connect para os quais os usuários não podem criar regras de encaminhamento. Quando essa restrição é aplicada, os usuários são impedidos de criar regras de encaminhamento para o tipo de endpoints do Private Service Connect. Essa restrição não é aplicada de maneira retroativa.
Por padrão, é possível criar regras de encaminhamento para qualquer tipo de endpoint do Private Service Connect.
A lista de endpoints permitidos/negados do Private Service Connect precisa ser proveniente da lista abaixo:
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
O uso de GOOGLE_APIS na lista de permissões/negações restringirá a criação de regras de encaminhamento do Private Service Connect para acessar APIs do Google. O uso de SERVICE_PRODUCERS na lista de permissões/negações restringirá a criação de regras de encaminhamento do Private Service Connect para acessar serviços em outra rede VPC.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Google Compute Engine Desativar acesso à porta serial da VM Essa restrição booleana desativa o acesso à porta serial para VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição está definida como True.
Por padrão, os clientes podem ativar o acesso à porta serial para VMs do Compute Engine por VM ou por projeto usando atributos de metadados. Essa restrição desativa o acesso à porta serial das VMs do Compute Engine, independentemente dos atributos de metadados.

constraints/compute.disableSerialPortAccess
"is:"
Google Compute Engine Desativar o registro da porta serial da VM para o Stackdriver Esta restrição booleana desativa a geração de registros de porta serial no Stackdriver a partir de VMs do Compute Engine que pertencem à organização, ao projeto ou à pasta em que a restrição está sendo aplicada.
Por padrão, a geração de registros de porta serial das VMs do Compute Engine fica desativada e pode ser ativada seletivamente por VM ou por projeto com o uso de atributos de metadados. Quando aplicada, essa restrição desativa a geração de registros de porta serial de novas VMs do Compute Engine sempre que uma nova VM é criada, além de impedir que os usuários alterem o atributo de metadados de qualquer VM (antiga ou nova) para True. Desativar a geração de registros de porta serial pode fazer com que alguns serviços que dependem dele, como os clusters do Google Kubernetes Engine, não funcionem corretamente. Antes de aplicar a restrição, verifique se os produtos no seu projeto não dependem desses registros.
constraints/compute.disableSerialPortLogging
"is:"
Google Compute Engine Desativar SSH no navegador Essa restrição booleana desativa a ferramenta SSH no navegador no Console do Cloud. Quando aplicado, o botão SSH no navegador é desativado. Por padrão, o uso da ferramenta SSH no navegador é permitido.
constraints/compute.disableSshInBrowser
"is:"
Google Compute Engine Desativar o uso do IPv6 externo da VPC Essa restrição booleana, quando definida como True, desativa a criação ou a atualização de sub-redes com stack_type de IPV4_IPV6 e ipv6_access_type de EXTERNAL.
Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode criar ou atualizar sub-redes com stack_type de IPV4_IPV6 em qualquer projeto, pasta e organização.
constraints/compute.disableVpcExternalIpv6
"is:"
Google Compute Engine Desativar o uso do IPv6 interno da VPC Essa restrição booleana, quando definida como True, desativa a criação ou a atualização de sub-redes com stack_type de IPV4_IPV6 e ipv6_access_type de INTERNAL.
Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode criar ou atualizar sub-redes com stack_type de IPV4_IPV6 em qualquer projeto, pasta e organização.
constraints/compute.disableVpcInternalIpv6
"is:"
Google Compute Engine Ativar as configurações necessárias para cargas de trabalho de proteção de memória de compliance Não configure nem modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e se destina apenas ao controle regulamentar avançado do Assured Workloads. Essa restrição controla as configurações necessárias para eliminar possíveis caminhos de acesso à memória principal da VM. Quando aplicada, ela limita a capacidade de acessar a memória principal da VM desativando os caminhos de acesso e restringe a coleta de dados interna quando ocorre um erro.
constraints/compute.enableComplianceMemoryProtection
"is:"
Google Compute Engine Requer login do SO Essa restrição booleana, quando definida como true, ativa o login do SO em todos os projetos recém-criados. Todas as instâncias de VM criadas em novos projetos terão o login do SO ativado. Nos projetos novos e atuais, essa restrição impede as atualizações de metadados que desativam o login do SO no nível do projeto e da instância.
Por padrão, o recurso de login do SO é desativado em projetos do Compute Engine.
As instâncias do GKE em clusters privados que executam o pool de nós de versões 1.20.5-gke.2000 e posteriores oferecem suporte ao Login do SO. No momento, as instâncias do GKE em clusters públicos não são compatíveis com o login do SO. Se essa restrição for aplicada a um projeto que executa clusters públicos, as instâncias do GKE desse projeto talvez não funcionem corretamente.
constraints/compute.requireOsLogin
"is:"
Google Compute Engine VMs protegidas Quando essa restrição booleana é definida como True, é obrigatório que todas as novas instâncias de VM do Compute Engine usem imagens de disco protegidas, com as opções de inicialização segura, vTPM e monitoramento de integridade ativadas. Se você quiser, a inicialização segura pode ser desativada depois da criação. As instâncias em execução atuais continuarão a funcionar como de costume.
Por padrão, os recursos de VM protegida não precisam ser ativados para a criação de instâncias de VM do Compute Engine. A integridade verificável e a resistência à exportação são adicionadas às VMs pelos recursos de VM protegida.
constraints/compute.requireShieldedVm
"is:"
Google Compute Engine Exigir políticas predefinidas para registros do fluxo de VPC Esta restrição de lista define o conjunto de políticas predefinidas que podem ser aplicadas aos registros de fluxo de VPC.
Por padrão, os registros de fluxo de VPC podem ser configurados com qualquer configuração em cada sub-rede.
Essa restrição impõe a ativação de registros de fluxo para todas as sub-redes no escopo com uma taxa de amostragem mínima necessária.
Especifique um ou mais dos seguintes valores válidos:
  • ESSENTIAL (permite valores >= 0,1 e < 0,5)
  • LIGHT (permite valores >= 0,5 e < 1,0)
  • COMPREHENSIVE (permite valores == 1,0)

constraints/compute.requireVpcFlowLogs
"is:"
Google Compute Engine Restringir o uso do Cloud NAT Esta restrição de lista define o conjunto de sub-redes com permissão para usar o Cloud NAT. Por padrão, todas as sub-redes podem usar o Cloud NAT. A lista de sub-redes permitidas/negadas precisa ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Google Compute Engine Restringir uso da Interconexão dedicada Essa restrição de lista define o conjunto de redes do Compute Engine que podem usar a Interconexão dedicada. Por padrão, as redes podem usar qualquer tipo de Interconexão. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Google Compute Engine Restringir a criação de balanceadores de carga com base em tipos de balanceador de carga Esta restrição de lista define o conjunto de tipos de balanceador de carga que pode ser criado para uma organização, pasta ou projeto. Cada tipo de balanceador de carga a ser permitido ou negado precisa ser listado explicitamente. Por padrão, a criação de todos os tipos de balanceadores de carga é permitida.
A lista de valores permitidos ou negados precisa ser identificada como o nome da string de um balanceador de carga e pode incluir apenas valores da lista a seguir:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_TCP_PROXY
  • REGIONAL_INTERNAL_MANAGED_TCP_PROXY
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
  • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY
  • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY

  • Para incluir todos os tipos de balanceador de carga interno ou externo, use o prefixo "in:" seguido de INTERNAL ou EXTERNAL. Por exemplo, permitir "in:INTERNAL" permitirá todos os tipos de balanceador de carga da lista acima que incluem INTERNAL.
    constraints/compute.restrictLoadBalancerCreationForTypes
    "is:", "in:"
    Google Compute Engine Restringir computação não confidencial A lista de proibições dessa restrição de lista define o conjunto de serviços que exigem que todos os novos recursos sejam criados com a Computação confidencial ativada. Por padrão, os novos recursos não precisam usar a Computação confidencial. Essa restrição de lista é aplicada, mas a Computação confidencial não poderá ser desativada durante todo o ciclo de vida do recurso. Os recursos atuais continuarão a funcionar normalmente. A lista de serviços negados precisa ser identificada como o nome da string de uma API e só pode incluir valores explicitamente negados da lista abaixo. No momento, não há compatibilidade com permissão explícita de APIs. Negar explicitamente APIs que não estejam na lista resultará em erro. Lista de APIs compatíveis: [compute.googleapis.com, container.googleapis.com]
    constraints/compute.restrictNonConfidentialComputing
    "is:"
    Google Compute Engine Restringir uso da Interconexão por parceiro Essa restrição de lista define o conjunto de redes do Compute Engine que podem usar a Interconexão do parceiro. Por padrão, as redes podem usar qualquer tipo de Interconexão. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictPartnerInterconnectUsage
    "is:", "under:"
    Google Compute Engine Restringir consumidores permitidos do Private Service Connect Essa restrição de lista define as organizações, as pastas e os projetos que podem se conectar a anexos de serviço na organização ou no projeto de um produtor. As listas permitidas ou negadas precisam ser identificadas no seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou under:projects/PROJECT_ID. Por padrão, todas as conexões são permitidas.
    constraints/compute.restrictPrivateServiceConnectConsumer
    "is:", "under:"
    Google Compute Engine Restringir produtores permitidos do Private Service Connect Esta restrição de lista define a quais anexos de serviço os consumidores do Private Service Connect podem se conectar. A restrição bloqueia a implantação de endpoints ou back-ends do Private Service Connect com base na organização, na pasta ou no recurso do projeto do anexo de serviço a que os endpoints ou back-ends se referem. As listas permitidas ou negadas precisam ser identificadas no seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou under:projects/PROJECT_ID. Por padrão, todas as conexões são permitidas.
    constraints/compute.restrictPrivateServiceConnectProducer
    "is:", "under:"
    Google Compute Engine Restringir encaminhamento de protocolo com base no tipo de endereço IP Esta restrição de lista define o tipo de objetos de regra de encaminhamento de protocolo com a instância de destino que um usuário pode criar. Quando essa restrição é aplicada, novos objetos de regras de encaminhamento com instância de destino são limitados a endereços IP internos e/ou externos, com base nos tipos especificados. Os tipos permitidos ou negados precisam ser listados explicitamente. Por padrão, a criação de objetos de regra de encaminhamento de protocolo interno e externo com a instância de destino é permitida.
    A lista de valores permitidos ou negados só pode incluir valores da lista a seguir:
    • INTERNAL
    • EXTERNAL
    .
    constraints/compute.restrictProtocolForwardingCreationForTypes
    "is:"
    Google Compute Engine Restringir serviços de back-end de VPC compartilhada Esta restrição de lista define o conjunto de serviços de back-end da VPC compartilhada que os recursos qualificados podem usar. Esta restrição não se aplica a recursos dentro do mesmo projeto. Por padrão, os recursos qualificados podem usar qualquer serviço de back-end de VPC compartilhada. A lista de serviços de back-end permitidos/negados precisa ser especificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME ou projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Essa restrição não é retroativa.
    constraints/compute.restrictSharedVpcBackendServices
    "is:", "under:"
    Google Compute Engine Restringir projetos de host de VPC compartilhada Esta restrição de lista define o conjunto de projetos host de VPC compartilhada aos quais os projetos neste recurso ou abaixo dele podem ser anexados. Por padrão, um projeto pode ser anexado a qualquer projeto host na mesma organização, tornando-se um projeto de serviço. Projetos, pastas e organizações em listas permitidas/negadas afetam todos os objetos abaixo deles na hierarquia de recursos e devem ser especificados no formulário: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.
    constraints/compute.restrictSharedVpcHostProjects
    "is:", "under:"
    Google Compute Engine Restrinja as sub-redes de VPC compartilhadas Esta restrição de lista define o conjunto de sub-redes VPC compartilhadas que pode ser usado por recursos qualificados. Esta restrição não se aplica a recursos dentro do mesmo projeto. Por padrão, os recursos qualificados podem usar qualquer sub-rede VPC compartilhada. A lista de sub-redes permitidas/negadas deve ser especificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
    constraints/compute.restrictSharedVpcSubnetworks
    "is:", "under:"
    Google Compute Engine Restringir o uso de peering de VPC Nesta restrição de lista é definido o conjunto de redes VPC que têm permissão de peering com as redes VPC que pertencem a esse projeto, pasta ou organização. Por padrão, um administrador de rede para uma rede tem permissão de peering com qualquer outra rede. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictVpcPeering
    "is:", "under:"
    Google Compute Engine Restringir IPs de peering de VPN Esta restrição de lista define o conjunto de endereços IP válidos que podem ser configurados como IPs de peering de VPN. Por padrão, qualquer IP pode ser um IP de peer VPN para uma rede VPC. É preciso especificar a lista de endereços IP permitidos/negados como endereços IP válidos no formato IP_V4_ADDRESS ou IP_V6_ADDRESS.
    constraints/compute.restrictVpnPeerIPs
    "is:"
    Google Compute Engine Define a configuração do DNS interno para novos projetos como "Somente DNS zonal" Quando definidos como "True", os projetos recém-criados usarão o DNS zonal como padrão. Por padrão, essa restrição é definida como "False" e os projetos recém-criados usarão o tipo de DNS padrão.
    constraints/compute.setNewProjectDefaultToZonalDNSOnly
    "is:"
    Google Compute Engine Projetos de proprietário de reservas compartilhadas Esta restrição de lista define o conjunto de projetos que podem criar e ter reservas compartilhadas na organização. Uma reserva compartilhada é semelhante a uma reserva local. A diferença é que, em vez de ser consumida apenas por projetos de proprietário, ela pode ser consumida por outros projetos do Compute Engine na hierarquia de recursos. A lista de projetos com permissão para acessar a reserva compartilhada precisa ter o formato: projects/PROJECT_NUMBER ou under:projects/PROJECT_NUMBER.
    constraints/compute.sharedReservationsOwnerProjects
    "is:", "under:"
    Google Compute Engine Pular criação de rede padrão Essa restrição booleana pula a criação da rede padrão e dos recursos relacionados durante a criação do recurso Projeto do Google Cloud Platform, em que essa restrição é definida como True. Uma rede padrão e os recursos de suporte são criados automaticamente quando um recurso de projeto é criado.

    constraints/compute.skipDefaultNetworkCreation
    "is:"
    Google Compute Engine Restrições de uso de recursos do Compute Storage (discos, imagens e snapshots do Compute Engine) Com essa restrição de lista, é definido um conjunto de projetos que podem usar os recursos de armazenamento do Compute Engine. Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode acessar os recursos do Compute Engine. Para usar essa restrição, os usuários precisam ter as permissões do Cloud IAM e não podem ter limitações para acessar o recurso.
    Projetos, pastas e organizações especificados em listas permitidas ou negadas devem estar no formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

    constraints/compute.storageResourceUseRestrictions
    "is:", "under:"
    Google Compute Engine Definir projetos de imagens confiáveis Essa restrição de lista define o conjunto de projetos que podem ser usados para armazenamento de imagens e instanciação de disco do Compute Engine.
    Por padrão, as instâncias são criadas de imagens em qualquer projeto que compartilhe imagens pública ou explicitamente com o usuário.
    A lista de projetos de editores permitidos/recusados precisa ser strings no formato: projects/PROJECT_ID. Se esta restrição estiver ativa, somente imagens de projetos confiáveis serão permitidas como fonte de discos de inicialização para novas instâncias.

    constraints/compute.trustedImageProjects
    "is:"
    Google Compute Engine Restringir encaminhamento IP da VM Esta restrição de lista define o conjunto de instâncias da VM que pode ativar o encaminhamento IP. Por padrão, qualquer VM pode ativar o encaminhamento IP em qualquer rede virtual. As instâncias de VM devem ser especificadas no formulário: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Essa restrição não é retroativa.
    constraints/compute.vmCanIpForward
    "is:", "under:"
    Google Compute Engine Definir os IPs externos de instâncias de VM permitidas Com essa restrição de lista, é definido o conjunto de instâncias de VMs do Compute Engine que podem usar endereços IP externos.
    Por padrão, todas as instâncias de VM podem usar endereços IP externos.
    A lista de instâncias de VM permitidas/negadas deve ser identificada pelo nome da instância da VM, no formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

    constraints/compute.vmExternalIpAccess
    "is:"
    Google Compute Engine Desativar a permissão do Identity-Aware Proxy (IAP) em recursos globais Quando aplicada, essa restrição booleana desativa o Identity-Aware Proxy nos recursos globais. A ativação do IAP em recursos regionais não é impedida por essa restrição.
    Por padrão, a ativação do IAP em recursos globais é permitida.
    constraints/iap.requireGlobalIapWebDisabled
    "is:"
    Google Kubernetes Engine Desative os caminhos de acesso administrativo de diagnóstico no GKE. Não configure nem modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e se destina apenas ao controle regulamentar avançado do Assured Workloads. Quando essa restrição booleana é aplicada, todos os caminhos de acesso para diagnósticos e outros casos de uso de suporte ao cliente que não obedecem aos requisitos do Assured Workloads serão desativados.
    constraints/container.restrictNoncompliantDiagnosticDataAccess
    "is:"
    Dataform Restringir git remotos para repositórios no Dataform Essa restrição de lista define um conjunto de controles remotos com que os repositórios no projeto do Dataform podem se comunicar. Para bloquear a comunicação com todos os controles remotos, defina o valor como Deny all. Essa restrição é retroativa e bloqueia a comunicação de repositórios existentes que a violam. As entradas precisam ser links para controles remotos confiáveis no mesmo formato que o Dataform.
    Por padrão, os repositórios em projetos do Dataform podem se comunicar com qualquer controle remoto.
    constraints/dataform.restrictGitRemotes
    "is:"
    O Datastream Datastream: bloquear métodos de conectividade pública Por padrão, os perfis de conexão do Datastream podem ser criados com métodos de conectividade públicos ou privados. Se a restrição booleana para esta política da organização for aplicada, somente métodos de conectividade particulares (por exemplo, o peering de VPC) podem ser usados para criar perfis de conexão.
    constraints/datastream.disablePublicConnectivity
    "is:"
    Contatos essenciais Contatos restritos ao domínio Essa restrição de lista define o conjunto de domínios que os endereços de e-mail adicionados aos Contatos Essenciais podem ter.
    Por padrão, os endereços de e-mail com qualquer domínio podem ser adicionados aos Contatos Essenciais.
    A lista de permissões/negações precisa especificar um ou mais domínios no formato @example.com. Se esta restrição estiver ativa e configurada com valores permitidos, apenas endereços de e-mail com um sufixo que corresponda a uma das entradas da lista de domínios permitidos poderão ser adicionados aos Contatos essenciais.
    Esta restrição não tem efeito na atualização ou remoção de contatos existentes de dados.
    constraints/essentialcontacts.allowedContactDomains
    "is:"
    Contatos essenciais Desativar contatos de segurança do projeto Quando aplicada, essa restrição booleana permite que os administradores de políticas da organização garantam que apenas os contatos atribuídos no nível da organização ou da pasta possam receber notificações de segurança. Especificamente, aplicar essa restrição impede que proprietários de projetos e administradores de projetos criem ou atualizem um contato essencial com um campo notification_category_subscriptions que contenha a categoria SECURITY ou ALL, se o contato também tiver um recurso de projeto como pai.
    constraints/essentialcontacts.disableProjectSecurityContacts
    "is:"
    Firestore Exigir o agente de serviço do Firestore para importação/exportação Quando aplicada, essa restrição booleana exige que as importações e exportações do Firestore usem o agente de serviço do Firestore.
    Por padrão, as importações e exportações do Firestore podem usar a conta de serviço do App Engine.
    O Firestore deixará de usar a conta de serviço do App Engine para importações e exportações no futuro, e todas as contas precisarão migrar para o agente de serviço do Firestore. Depois disso, essa restrição não será mais necessária.

    constraints/firestore.requireP4SAforImportExport
    "is:"
    Cloud Healthcare Desativar o Cloud Logging na API Cloud Healthcare Quando aplicada, essa restrição booleana desativa o Cloud Logging na API Cloud Healthcare.
    Os registros de auditoria não são afetados por essa restrição.
    Os registros do Cloud gerados para a API Cloud Healthcare antes da aplicação da restrição não são excluídos e ainda podem ser acessados.

    constraints/gcp.disableCloudLogging
    "is:"
    Identity and Access Management Permitir a extensão de tokens de acesso do OAuth 2.0 para até 12 horas Essa restrição de lista define o conjunto de contas de serviço que podem receber tokens de acesso OAuth 2.0 com duração de até 12 horas. Por padrão, a vida útil máxima desses tokens de acesso é de 1 hora.
    A lista de contas de serviço permitidas/negadas precisa especificar um ou mais endereços de e-mail de conta de serviço.
    constraints/iam.allowServiceAccountCredentialLifetimeExtension
    "is:"
    Identity and Access Management Compartilhamento restrito de domínio Com esta restrição de lista, você define um ou mais IDs de cliente do Cloud Identity ou do Google Workspace com principais que podem ser adicionados às políticas do IAM.
    Por padrão, é possível adicionar todas as identidades de usuário às políticas do IAM. Somente valores permitidos podem ser definidos nessa restrição. Valores negados não são compatíveis.
    Se essa restrição estiver ativa, somente os principais pertencentes aos IDs de cliente permitidos poderão ser adicionados às políticas do IAM.
    constraints/iam.allowedPolicyMemberDomains
    "is:"
    Identity and Access Management Desativar a isenção de geração de registros de auditoria Quando aplicada, essa restrição booleana impede que principais adicionais sejam isentos do registro de auditoria. Essa restrição não afeta isenções de registro de auditoria que existiam antes de você aplicar a restrição.
    constraints/iam.disableAuditLoggingExemption
    "is:"
    Identity and Access Management Desativar o uso da conta de serviço entre projetos Quando aplicadas, as contas de serviço só poderão ser implantadas (usando o papel ServiceAccountUser) nos jobs (VMs, funções etc.) em execução no mesmo projeto da conta de serviço.
    constraints/iam.disableCrossProjectServiceAccountUsage
    "is:"
    Identity and Access Management Desativar criação de conta de serviço Essa restrição booleana desativa a criação de contas de serviço em que a restrição está definida como "True".
    Por padrão, as contas de serviço podem ser criadas por usuários com base nos respectivos papéis e permissões do Cloud IAM.

    constraints/iam.disableServiceAccountCreation
    "is:"
    Identity and Access Management Desativar criação de chave da conta de serviço Essa restrição booleana desativa a criação de chaves externas da conta de serviço em que a restrição está definida como "True".
    Por padrão, chaves externas de contas de serviço podem ser criadas por usuários com base nos respectivos papéis e permissões do Cloud IAM.

    constraints/iam.disableServiceAccountKeyCreation
    "is:"
    Identity and Access Management Desativar upload de chave da conta de serviço Essa restrição booleana desativa o recurso que permite o upload de chaves públicas para contas de serviço em que a restrição está definida como "True".
    Por padrão, os usuários podem fazer upload de chaves públicas para contas de serviço com base nos respectivos papéis e permissões do Cloud IAM.
    constraints/iam.disableServiceAccountKeyUpload
    "is:"
    Identity and Access Management Desativar a criação de cluster da Identidade da carga de trabalho Essa restrição booleana, quando definida como "True", requer que todos os novos clusters do GKE tenham a Identidade da carga de trabalho desativada no momento da criação. Esses clusters que já têm o recurso ativado continuarão funcionando normalmente. Por padrão, a Identidade da carga de trabalho pode ser ativada para qualquer cluster do GKE.
    constraints/iam.disableWorkloadIdentityClusterCreation
    "is:"
    Identity and Access Management Duração da validade da chave da conta de serviço em horas Esta restrição de lista define a duração máxima permitida para a expiração da chave da conta de serviço. Por padrão, as chaves criadas nunca expiram.
    A duração permitida é especificada em horas e precisa estar na lista abaixo. Só é possível especificar um valor permitido, e os valores negados não são aceitos. Especificar uma duração que não está na lista resultará em um erro.
    • 1h
    • 8h
    • 24h
    • 168h
    • 336h
    • 720h
    • 1440h
    • 2160h
    Para aplicar essa restrição, configure-a para substituir a política mãe no Console do Cloud ou defina inheritFromParent=false no arquivo de política, se estiver usando a CLI gcloud. Não é possível mesclar essa restrição com uma política mãe. A aplicação da restrição não é retroativa e não vai alterar as chaves pré-existentes.
    constraints/iam.serviceAccountKeyExpiryHours
    "is:"
    Identity and Access Management Contas da AWS permitidas que podem ser configuradas para a federação de identidade da carga de trabalho no Cloud IAM Lista de IDs de contas da AWS que podem ser configurados para a federação de identidade de carga de trabalho no Cloud IAM.
    constraints/iam.workloadIdentityPoolAwsAccounts
    "is:"
    Identity and Access Management Provedores de Identidade externos autorizados para cargas de trabalho no Cloud IAM Provedores de identidade que podem ser configurados para autenticação de carga de trabalho no Cloud IAM, especificados por URI/URLs.
    constraints/iam.workloadIdentityPoolProviders
    "is:"
    Plano de controle gerenciado do Anthos Service Mesh Modo VPC Service Controls permitido para planos de controle gerenciados do Anthos Service Mesh. Essa restrição determina quais modos do VPC Service Controls podem ser definidos ao provisionar um novo plano de controle gerenciado do Anthos Service Mesh. Os valores válidos são "NONE" e "COMPATIBLE".
    constraints/meshconfig.allowedVpcscModes
    "is:"
    Resource Manager Restringir a remoção da garantia do projeto de VPC compartilhada Essa restrição booleana restringe o conjunto de usuários que podem remover uma garantia de projeto de host da VPC compartilhada sem permissão no nível da organização, em que a restrição está definida como True.
    Por padrão, qualquer usuário com permissão para atualizar garantias pode remover uma garantia de projeto host da VPC compartilhada. A aplicação dessa restrição exige que a permissão seja concedida no nível da organização.
    constraints/compute.restrictXpnProjectLienRemoval
    "is:"
    Resource Manager Restringir a remoção de garantias da conta de serviço entre projetos Essa restrição booleana, quando aplicada, impede que os usuários removam uma garantia da conta de serviço entre projetos sem permissão no nível da organização. Por padrão, qualquer usuário com permissão para atualizar garantias pode remover uma garantia da conta de serviço entre projetos. A aplicação dessa restrição exige que a permissão seja concedida no nível da organização.
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval
    "is:"
    Resource Manager Restringir visibilidade da consulta de recursos Quando esta restrição de lista é aplicada a um recurso de organização, ela define o conjunto de recursos do Google Cloud que é retornado nos métodos de pesquisa e lista usados pelos usuários que estão no domínio da organização em que a restrição é implementada. Use para limitar quais recursos ficarão visíveis em várias partes do Console do Cloud, como a página “Gerenciar recursos”, “Pesquisa” e “Seletor de recursos”. Essa restrição é avaliada somente no nível da organização. Os valores especificados nas listas de permissão/negação precisam estar no formato: under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.accessBoundaries
    "is:", "under:"
    Resource Manager Exigir lista de serviços ativados em toda a organização Essa restrição de lista funciona como uma checagem para verificar se um projeto com um serviço ativado está qualificado para a mudança entre organizações. Um recurso com um serviço compatível ativado precisa ter essa restrição aplicada, e esse serviço incluído nos valores permitidos para se qualificar para uma mudança entre organizações. The current list of allowed values for supported services that can be used is:
    • SHARED_VPC

    Essa restrição fornece um controle adicional sobre constraints/resourcemanager.allowedExportDestinations. Esta list_constraint está vazia por padrão e não bloqueará movimentos entre organizações, a menos que um serviço compatível seja ativado no recurso a ser exportado. Essa restrição permite um controle mais refinado sobre os recursos por meio de funcionalidades que exigem mais atenção ao serem movidas para outra organização. Por padrão, um recurso com um serviço compatível ativado não pode ser movido entre organizações.
    constraints/resourcemanager.allowEnabledServicesForExport
    "is:"
    Resource Manager Destinos permitidos para exportar recursos Esta restrição de lista define o conjunto de organizações externas para as quais os recursos podem ser movidos e nega todos os movimentos para todas as outras organizações. Por padrão, os recursos não podem ser movidos entre organizações. Se essa restrição for aplicada a um recurso, ele só poderá ser movido para organizações que forem explicitamente permitidas por essa restrição. As mudanças dentro de uma organização não são regidas por essa restrição. A operação de transferência ainda exigirá as mesmas permissões do IAM que as permissões normais de recursos. Os valores especificados nas listas de permissão/negação precisam estar no formato: under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedExportDestinations
    "is:", "under:"
    Resource Manager Fontes permitidas para importação de recursos Esta restrição de lista define o conjunto de organizações externas das quais os recursos podem ser importados e nega todos os movimentos de todas as outras organizações. Por padrão, os recursos não podem ser movidos entre organizações. Se essa restrição for aplicada a um recurso, os recursos importados diretamente abaixo dele precisarão ser explicitamente permitidos por essa restrição. As mudanças dentro de uma organização não são regidas por essa restrição. A operação de transferência ainda exigirá as mesmas permissões do IAM que as permissões normais de recursos. Os valores especificados nas listas de permissão/negação precisam estar no formato: under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedImportSources
    "is:", "under:"
    Cloud Run Políticas de autorização binária permitidas (Cloud Run) Esta restrição de lista define o conjunto de nomes de políticas de autorização binária que podem ser especificados em um recurso do Cloud Run. Para permitir ou proibir uma política padrão, use o valor "default". Para permitir ou proibir uma ou mais políticas de plataforma personalizadas, adicione separadamente o ID de recurso de cada uma.
    constraints/run.allowedBinaryAuthorizationPolicies
    "is:"
    Cloud Run Configurações de entrada permitidas (Cloud Run) Esta restrição de lista define as configurações de entrada permitidas para os serviços do Cloud Run. Quando essa restrição é aplicada, os serviços precisam ter configurações de entrada que correspondam a um dos valores permitidos. Os serviços atuais do Cloud Run com configurações de entrada que violam essa restrição podem continuar sendo atualizados até que as configurações de entrada do serviço sejam alteradas para obedecer a essa restrição. Depois que um serviço obedece a essa restrição, ele só poderá usar as configurações de entrada permitidas.
    Por padrão, os serviços do Cloud Run podem usar qualquer configuração de entrada.
    A lista de permissões precisa conter valores de configurações de entrada compatíveis, que são all, internal e internal-and-cloud-load-balancing.

    constraints/run.allowedIngress
    "is:"
    Cloud Run Configurações de saída de VPC permitidas (Cloud Run) Esta restrição de lista define as configurações de saída de VPC permitidas a serem especificadas em um recurso do Cloud Run. Quando essa restrição é aplicada, os recursos do Cloud Run precisam ser implantados com um conector de acesso VPC sem servidor ou com a saída direta de VPC ativada. Além disso, as configurações de saída da VPC precisam corresponder a um dos valores permitidos.
    Por padrão, os recursos do Cloud Run podem definir as configurações de saída da VPC com qualquer valor compatível.
    A lista de permissões precisa conter os valores de configurações de saída da VPC compatíveis, que são private-ranges-only e all-traffic.

    Para os serviços atuais do Cloud Run, todas as novas revisões precisam obedecer a essa restrição. Os serviços atuais com revisões que atendem ao tráfego que violam essa restrição podem continuar a migração do tráfego para revisões que violem essa restrição. Depois que todo o tráfego de um serviço é transmitido por revisões em conformidade com essa restrição, todas as migrações seguintes só podem ocorrer para revisões também de acordo com a restrição.
    constraints/run.allowedVPCEgress
    "is:"
    Gestão de consumidores de serviço Desativar concessões automáticas do IAM para contas de serviço padrão Essa restrição booleana, quando aplicada, impede que as contas de serviço default do App Engine e do Compute Engine recebam automaticamente qualquer papel IAM no projeto quando são criadas.
    Por padrão, essas contas de serviço recebem automaticamente o papel de editor quando são criadas.
    constraints/iam.automaticIamGrantsForDefaultServiceAccounts
    "is:"
    Service Control Restringir versões de TLS Essa restrição define o conjunto de versões de TLS que não podem ser usadas na organização, na pasta ou no projeto em que a restrição é aplicada, ou em qualquer um dos filhos desse recurso na hierarquia de recursos.
    Por padrão, todas as versões do TLS são permitidas. As versões do TLS só podem ser especificadas na lista de proibições e precisam ser identificadas no formato TLS_VERSION_1 ou TLS_VERSION_1_1.
    Essa restrição só é aplicada a solicitações que usam TLS. Ele não será usado para restringir solicitações não criptografadas.
    Para mais informações, consulte https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.
    constraints/gcp.restrictTLSVersion
    "is:"
    Cloud Spanner Ativar o controle de serviço avançado para cargas de trabalho de compliance Não configure nem modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e se destina apenas ao controle regulamentar avançado do Assured Workloads. Quando essa restrição booleana é aplicada, alguns aspectos da compatibilidade são prejudicados e os recursos provisionados seguirão estritamente os requisitos de soberania avançados para o Assured Workloads. Essa política será aplicada a projetos existentes, mas não afetará os recursos que já foram provisionados, ou seja, as modificações na política serão refletidas apenas nos recursos criados após a modificação.
    constraints/spanner.assuredWorkloadsAdvancedServiceControls
    "is:"
    Cloud Spanner Desativar a multirregião do Cloud Spanner se nenhum local for selecionado Não configure nem modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e se destina apenas ao controle regulamentar avançado do Assured Workloads. Essa restrição booleana, quando aplicada, impede a criação de instâncias do Spanner usando a configuração de instâncias multirregionais, a menos que um local seja selecionado. O Cloud Spanner hoje ainda não é compatível com a seleção de locais, portanto, todas as multirregiões serão bloqueadas. No futuro, o Spanner vai oferecer a funcionalidade de selecionar um local para várias regiões. A aplicação dessa restrição não é retroativa. As instâncias do Spanner que já foram criadas não serão afetadas.
    constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected
    "is:"
    Cloud Storage Google Cloud Platform: modo de geração de registros de auditoria detalhado Quando o modo de registro de auditoria detalhado é aplicado, a solicitação e a resposta são incluídas nos registros de auditoria do Cloud. As alterações nesse recurso podem levar até 10 minutos para serem aplicadas. Esta política organizacional é altamente recomendada com o bloqueio de buckets para quem quiser estar em compliance, por exemplo, com a Regra SEC 17a-4(f), a Regra CFTC 1.31(c)-(d) e a FINRA 4511(c). Somente o Cloud Storage oferece suporte a esta política, atualmente.
    constraints/gcp.detailedAuditLoggingMode
    "is:"
    Cloud Storage Aplicar a prevenção de acesso público Proteja os dados do Cloud Storage contra exposição pública aplicando a prevenção ao acesso público. Essa política de governança impede o acesso por Internet pública aos recursos atuais e futuros ao desativar e bloquear as ACLs e as permissões do IAM que concedem acesso a allUsers e allAuthenticatedUsers. Aplique essa política a toda a organização (recomendado), a projetos ou pastas específicos para garantir que os dados não sejam expostos ao público.
    Essa política substitui as permissões públicas atuais. O acesso público será revogado para os buckets e objetos atuais depois que essa política for ativada.
    constraints/storage.publicAccessPrevention
    "is:"
    Cloud Storage Cloud Storage: restringir tipos de autenticação A restrição define o conjunto de tipos de autenticação que não pode acessar os recursos de armazenamento na organização no Cloud Storage. Os valores aceitos são USER_ACCOUNT_HMAC_SIGNED_REQUESTS e SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Use in:ALL_HMAC_SIGNED_REQUESTS para incluir ambos.
    constraints/storage.restrictAuthTypes
    "is:", "in:"
    Cloud Storage Duração da política de retenção, em segundos Essa restrição de lista define o conjunto de durações das políticas de retenção que podem ser definidas nos buckets do Cloud Storage.
    Por padrão, se nenhuma política da organização for especificada, um bucket do Cloud Storage poderá ter uma política de retenção de qualquer duração.
    A lista de durações permitidas precisa ser especificada como um valor inteiro positivo maior que zero, representando a política de retenção em segundos.
    Qualquer operação de inserção, atualização ou correção em um bucket no recurso da organização precisa ter uma duração de política de retenção que corresponda à restrição.
    A aplicação dessa restrição não é retroativa. Quando uma nova política da organização é aplicada, a política de retenção dos buckets atuais permanece inalterada e válida.

    constraints/storage.retentionPolicySeconds
    "is:"
    Cloud Storage Execute o acesso uniforme no nível do bucket Essa restrição booleana exige que os buckets usem um acesso uniforme no nível do bucket, em que essa restrição é definida como True. Qualquer bucket novo no recurso Organização precisa ter o acesso uniforme no nível do bucket ativado. Além disso, nenhum bucket atual no recurso Organização pode desativar esse acesso.
    A aplicação dessa restrição não é retroativa: buckets atuais com o acesso no nível do bucket desativado permanecem com o acesso desativado. O valor padrão dessa restrição é False.
    O acesso uniforme no nível do bucket desativa a avaliação de Listas de controle de acesso (ACLs, na sigla em inglês) atribuídas a objetos do Cloud Storage no bucket. Como consequência, apenas políticas de IAM concedem acesso a objetos nesses buckets.

    constraints/storage.uniformBucketLevelAccess
    "is:"

    Guias de instruções

    Para mais informações sobre como usar restrições individuais:

    Restrição Guia de instruções
    constraints/cloudbuild.allowedIntegrations O portão cria a política da organização
    constraints/cloudfunctions.allowedIngressSettings Como usar VPC Service Controls
    constraints/cloudfunctions.allowedVpcConnectorEgressSettings Como usar VPC Service Controls
    constraints/cloudfunctions.requireVPCConnector Como usar VPC Service Controls
    constraints/gcp.restrictNonCmekServices Políticas da organização CMEK
    constraints/gcp.restrictCmekCryptoKeyProjects Políticas da organização CMEK
    constraints/gcp.restrictTLSVersion Restringir versões do TLS
    constraints/compute.restrictPrivateServiceConnectConsumer
    constraints/compute.restrictPrivateServiceConnectProducer
    Gerenciar a segurança dos consumidores do Private Service Connect
    constraints/compute.restrictCloudNATUsage Restringir o uso do Cloud NAT
    constraints/compute.restrictLoadBalancerCreationForTypes Restrições do Cloud Load Balancing
    constraints/compute.restrictProtocolForwardingCreationForTypes Restrições de encaminhamento de protocolo
    constraints/compute.restrictDedicatedInterconnectUsage
    constraints/compute.restrictPartnerInterconnectUsage
    Como restringir o uso do Cloud Interconnect
    constraints/compute.restrictVpnPeerIPs Como restringir endereços IP pares por meio de um túnel do Cloud VPN
    constraints/compute.trustedImageProjects Como restringir o acesso às imagens
    constraints/compute.vmExternalIpAccess Como desativar o acesso IP externo para VMs
    constraints/compute.requireVpcFlowLogs Restrições da política da organização para os registros de fluxo de VPC
    constraints/dataform.restrictGitRemotes Restringir repositórios remotos
    constraints/gcp.restrictServiceUsage Como restringir o uso de recursos
    constraints/iam.allowedPolicyMemberDomains Como restringir identidades por domínio
    constraints/iam.allowServiceAccountCredentialLifetimeExtension Estender o ciclo de vida dos tokens de acesso do OAuth 2.0
    constraints/iam.disableCrossProjectServiceAccountUsage Como anexar uma conta de serviço a um recurso em um projeto diferente
    constraints/iam.disableServiceAccountCreation Como restringir a criação de uma conta de serviço
    constraints/iam.disableServiceAccountKeyCreation Como restringir a criação da chave da conta de serviço
    constraints/iam.disableServiceAccountKeyUpload Como restringir o upload da chave da conta de serviço
    constraints/iam.disableWorkloadIdentityClusterCreation Como restringir a criação de um cluster de identidade da carga de trabalho
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval Como anexar uma conta de serviço a um recurso em um projeto diferente
    constraints/gcp.detailedAuditLoggingMode
    constraints/storage.retentionPolicySeconds
    constraints/storage.uniformBucketLevelAccess
    constraints/storage.publicAccessPrevention
    Restrições da política da organização para o Cloud Storage
    constraints/gcp.disableCloudLogging Como desativar o Cloud Logging
    constraints/gcp.resourceLocations Como restringir locais dos recursos
    constraints/resourcemanager.accessBoundaries Como restringir a visibilidade do projeto para usuários
    constraints/run.allowedIngress Como usar o VPC Service Controls
    constraints/run.allowedVPCEgress Como usar o VPC Service Controls

    Saiba mais

    Para saber mais sobre os principais conceitos da política da organização: