可用限制条件
您可以指定使用以下限制条件的政策。
多个 Google Cloud 服务支持的限制条件
限制条件 | 说明 | 支持的前缀 |
---|---|---|
允许的工作器池 (Cloud Build) | 此列表限制条件定义了一组允许使用 Cloud Build 执行构建的 Cloud Build 工作器池。当强制执行此限制条件时,构建必须在与其中一个允许的值匹配的工作器池中进行。 默认情况下,Cloud Build 可以使用任何工作器池。 工作器池的许可名单必须采用以下格式:
constraints/cloudbuild.allowedWorkerPools |
"is:" 和 "under:" |
Google Cloud Platform - 资源位置限制 | 此列表限制条件定义了可以创建基于位置的 Google Cloud 资源的一组位置。 默认情况下,可以在任何位置创建资源。 针对此限制条件的政策可以将多地区(例如 asia 和 europe )和单地区(例如 us-east1 或 europe-west1 )指定为允许或拒绝的位置。允许或拒绝多地区并不表示也应该允许或拒绝其中包含的所有更具体的位置。例如,如果政策拒绝 us 多区域(表示多区域资源,例如某些存储服务),您仍然可以在区域位置 us-east1 中创建资源。另一方面,in:us-locations 组包含 us 区域内的所有位置,并且可用于阻止每个区域。建议使用值组来定义政策。 您可以指定值组(即由 Google 精心挑选的一组位置),以便更方便地定义您的资源位置。如需在组织政策中使用值组,请为您的条目前添加 in: 字符串作为前缀,后跟值组。例如,要创建仅位于美国的资源,请在允许的值列表中设置 in:us-locations 。如果在位置政策中使用了 suggested_value 字段,则该字段应为区域。如果指定的值为地区,则区域资源的界面可以预填充该地区中的任何区域。constraints/gcp.resourceLocations |
"is:" 和 "in:" |
限制哪些项目可以为 CMEK 提供 KMS CryptoKey | 此列表限制条件定义了在创建资源时可以使用哪些项目来提供客户管理的加密密钥 (CMEK)。将此限制条件设为 Allow (即仅允许来自这些项目的 CMEK 密钥)可确保来自其他项目的 CMEK 密钥无法用来保护新创建的资源。此约束条件的值必须以 under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 或 projects/PROJECT_ID 的形式指定。可实施此限制条件的受支持服务包括:
Deny 或 Deny All 。此限制条件的实施不具有可追溯性。如果现有的 CMEK Google Cloud 资源使用了来自不允许项目的 KMS CryptoKey,则必须手动重新配置或重新创建,以确保强制执行。constraints/gcp.restrictCmekCryptoKeyProjects |
"is:" 和 "under:" |
限制哪些服务可以在没有 CMEK 的情况下创建资源 | 此列表限制条件定义了哪些服务需要客户管理的加密密钥 (CMEK)。如果将此限制条件设为 Deny (即拒绝在没有 CMEK 的情况下创建资源),那么对于指定服务,必须使用 CMEK 密钥保护新创建的资源。可受此限制条件设置支持的服务包括:
Deny All 。不允许将此限制条件设置为 Allow 。此限制条件的实施不具有可追溯性。您必须手动重新配置或重新创建现有的非 CMEK Google Cloud 资源,以确保强制执行。constraints/gcp.restrictNonCmekServices |
"is:" |
限制资源服务用量 | 此限制条件定义了可在组织、文件夹或项目中使用的一组 Google Cloud 资源服务,例如 compute.googleapis.com 和 storage.googleapis.com。 默认情况下,允许使用所有 Google Cloud 资源服务。 如需了解详情,请参阅 https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources。 constraints/gcp.restrictServiceUsage |
"is:" |
禁止在区域级资源上启用 Identity-Aware Proxy (IAP) | 强制执行此布尔值限制条件时,系统会禁止在区域级资源上启用 Identity-Aware Proxy。在全球性资源上启用 IAP 不受此限制条件的限制。 默认情况下,系统允许在区域级资源上启用 IAP。 constraints/iap.requireRegionalIapWebDisabled |
"is:" |
限制允许的 Google Cloud API 和服务 | 此列表限制条件限制了可以针对此资源启用的一组服务及其 API。默认情况下,允许启用所有服务。 遭拒的服务的列表必须来自以下列表。目前不支持通过此限制条件明确启用 API。如果指定的 API 不在此列表中,则会导致错误。 实施此限制条件不会影响先前的操作。也就是说,在实施此限制条件后,资源中之前启用的服务仍会保持启用状态。 constraints/serviceuser.services |
"is:" |
特定服务的限制条件
服务 | 限制条件 | 说明 | 支持的前缀 |
---|---|---|---|
Vertex AI Workbench | 为 Vertex AI Workbench 笔记本和实例定义访问模式 | 此列表限制条件定义了对强制执行的 Vertex AI Workbench 笔记本和实例的访问模式。您可以使用允许或拒绝列表,使用 service-account 模式指定多个用户,使用 single-user 模式指定单用户访问模式。必须明确列出要允许或拒绝的访问模式。constraints/ainotebooks.accessMode |
"is:" |
Vertex AI Workbench | 在新的 Vertex AI Workbench 实例上停用文件下载 | 强制执行此布尔值限制条件时,系统会阻止在启用文件下载选项的情况下创建 Vertex AI Workbench 实例。默认情况下,可以在任何 Vertex AI Workbench 实例上启用文件下载选项。constraints/ainotebooks.disableFileDownloads |
"is:" |
Vertex AI Workbench | 停用用户管理的新的 Vertex AI Workbench 笔记本和实例的 root 访问权限 | 强制执行此布尔值限制条件时,系统会阻止新创建的 Vertex AI Workbench 用户管理的笔记本和实例无法启用 root 访问权限。默认情况下,Vertex AI Workbench 用户管理的笔记本和实例可以启用 root 访问权限。constraints/ainotebooks.disableRootAccess |
"is:" |
Vertex AI Workbench | 在新的 Vertex AI Workbench 实例上停用终端 | 强制执行此布尔值限制条件时,系统会阻止在启用终端的情况下创建 Vertex AI Workbench 实例。默认情况下,可以在 Vertex AI Workbench 实例上启用终端。constraints/ainotebooks.disableTerminal |
"is:" |
Vertex AI Workbench | 限制新的 Vertex AI Workbench 笔记本和实例的环境选项 | 此列表限制条件定义了用户在创建新的 Vertex AI Workbench 笔记本和强制执行此限制条件的实例时可以选择的虚拟机和容器映像选项。必须明确列出允许或拒绝选项。 虚拟机实例的预期格式为 ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE 。将 IMAGE_TYPE 替换为 image-family 或 image-name 。示例:ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu 、ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 。容器映像的预期格式为 ainotebooks-container/CONTAINER_REPOSITORY:TAG 。示例:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest 、ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48 。constraints/ainotebooks.environmentOptions |
"is:" |
Vertex AI Workbench | 要求对用户管理的新 Vertex AI Workbench 笔记本和实例进行自动计划升级 | 强制执行此布尔值限制条件时,系统会要求新创建的 Vertex AI Workbench 用户管理的笔记本和实例设置了自动升级时间表。如需定义自动升级时间表,请使用“notebook-upgrade-schedule”元数据标志指定自动升级的 Cron 时间表。例如:`--metadata=notebook-upgrade-schedule="00 19 * * MON"`。constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
Vertex AI Workbench | 限制新的 Vertex AI Workbench 笔记本和实例的公共 IP 访问权限 | 强制执行此布尔值限制条件时,系统会限制对新创建的 Vertex AI Workbench 笔记本和实例的公共 IP 访问权限。默认情况下,公共 IP 可以访问 Vertex AI Workbench 笔记本和实例。constraints/ainotebooks.restrictPublicIp |
"is:" |
Vertex AI Workbench | 在新的 Vertex AI Workbench 实例上限制 VPC 网络 | 此列表限制条件定义了用户在新建强制执行此限制条件的 Vertex AI Workbench 实例时可以选择的 VPC 网络。默认情况下,您可以使用任何 VPC 网络创建 Vertex AI Workbench 实例。广告联盟的允许或拒绝列表必须按以下格式标识:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME 。constraints/ainotebooks.restrictVpcNetworks |
"is:" 和 "under:" |
App Engine | 停用源代码下载 | 停用之前上传到 App Engine 的源代码的下载。 constraints/appengine.disableCodeDownload |
"is:" |
App Engine | 运行时部署豁免 (App Engine) | 此列表限制条件定义了一组 App Engine 标准旧版运行时(Python 2.7、PHP 5.5 和 Java 8),可用于在支持服务终止后进行部署。App Engine 标准环境旧版运行时将于 2024 年 1 月 30 日终止支持。一般情况下,在此日期之后,您将无法尝试使用旧版运行时部署应用。请参阅 App Engine 标准环境运行时支持时间表。将此限制条件设为“允许”将为您指定的旧版运行时取消屏蔽 App Engine 标准环境部署,直至运行时停用日期为止。如果将此限制条件设为“全部允许”,系统将在所有旧版运行时中取消屏蔽 App Engine 标准环境部署,直至运行时停用日期为止。已到支持终止阶段的运行时不会收到例行安全和维护补丁。我们强烈建议您将应用升级为使用正式版运行时版本。constraints/appengine.runtimeDeploymentExemption |
"is:" |
BigQuery | 停用适用于 Cloud AWS 的 BigQuery Omni | 如果此布尔值限制条件设为 True ,系统将禁止用户使用 BigQuery Omni 来处理对其强制执行此限制条件的 Amazon Web Services 上的数据。constraints/bigquery.disableBQOmniAWS |
"is:" |
BigQuery | 停用适用于 Cloud Azure 的 BigQuery Omni | 如果此布尔值限制条件设为 True ,系统将禁止用户使用 BigQuery Omni 来处理对其强制执行此限制条件的 Microsoft Azure 上的数据。constraints/bigquery.disableBQOmniAzure |
"is:" |
Cloud Build | 允许的集成 (Cloud Build) | 此列表限制条件定义了允许的 Cloud Build 集成,以便通过接收来自 Google Cloud 外部服务的 webhook 来执行构建。如果强制执行此限制条件,系统只会在服务的主机匹配了某个允许的值时处理 webhook。 默认情况下,对于至少具有一个 LIVE 触发器的项目,Cloud Build 会处理所有 webhook。 constraints/cloudbuild.allowedIntegrations |
"is:" |
Cloud Deploy | 停用 Cloud Deploy 服务标签 | 如果强制执行此布尔值限制条件,Cloud Deploy 就无法将 Cloud Deploy 标识符标签添加到所部署的对象。 默认情况下,在版本创建期间,系统会将标识 Cloud Deploy 资源的标签添加到所部署的对象。 constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
Cloud Functions | 允许的入站流量设置 (Cloud Functions) | 此列表限制条件指定了 Cloud Functions 函数部署可使用的入站流量设置。当强制执行此限制条件时,函数需要具有与某个允许的值匹配的入站流量设置。 默认情况下,Cloud Functions 函数可以使用任意入站流量设置。 入站流量设置必须使用 IngressSettings 枚举的值在允许列表中指定。constraints/cloudfunctions.allowedIngressSettings |
"is:" |
Cloud Functions | 允许使用的 VPC 连接器出站流量设置 (Cloud Functions) | 此列表限制条件定义了部署 Cloud Functions 函数时允许使用的 VPC 连接器出站流量设置。当强制执行此限制条件时,函数需要具有与某个允许的值匹配的 VPC 连接器出站流量设置。 默认情况下,Cloud Functions 可以使用任何 VPC 连接器出站流量设置。 必须使用 VpcConnectorEgressSettings 枚举的值在允许列表中指定 VPC 连接器出站流量设置。constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
Cloud Functions | 需要 VPC 连接器 (Cloud Functions) | 当您部署 Cloud Functions 函数时,此布尔值限制条件会强制设置 VPC 连接器。当强制执行此限制条件时,函数需要指定一个 VPC 连接器。 默认情况下,无需指定 VPC 连接器即可部署 Cloud Functions 函数。 constraints/cloudfunctions.requireVPCConnector |
"is:" |
Cloud Functions | 允许的 Cloud Functions 代数 | 此列表限制条件定义了一组允许的 Cloud Functions 函数世代,这些代数可用于创建新的函数资源。有效值包括:1stGen 、2ndGen 。constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
Cloud KMS | 限制可以创建哪些 KMS CryptoKey 类型。 | 此列表限制条件指定了可以在给定层次结构节点下创建的 Cloud KMS 密钥类型。实施此限制条件后,只有此组织政策中指定的 KMS 密钥类型可以在关联的层次结构节点中创建。配置此组织政策还会影响导入作业和密钥版本的保护级别。默认情况下,系统允许创建所有密钥类型。有效值包括:SOFTWARE 、HSM 、EXTERNAL 、EXTERNAL_VPC 。不允许拒绝政策。constraints/cloudkms.allowedProtectionLevels |
"is:" |
Cloud KMS | 将密钥销毁功能限制为已停用的密钥版本 | 强制执行此布尔值限制条件时,仅允许销毁处于已停用状态的密钥版本。默认情况下,可以销毁处于启用状态的密钥版本和处于已停用状态的密钥版本。强制执行此限制条件后,它将同时应用于新的和现有的密钥版本。constraints/cloudkms.disableBeforeDestroy |
"is:" |
Cloud KMS | 每个密钥的安排销毁时间下限 | 此列表限制条件定义了用户在创建新密钥时可以指定的最短销毁计划时长(以天为单位)。强制执行该限制条件后,无法创建预定销毁时长低于此值的密钥。默认情况下,所有密钥的预定销毁最短持续时间为 1 天,但对于仅限导入的密钥,该期限为 0 天。 只能指定一个允许的值,格式为 in:1d 、in:7d 、in:15d 、in:30d 、in:60d 、in:90d 或 in:120d 。例如,如果 constraints/cloudkms.minimumDestroyscheduleDuration 设置为 in:15d ,则用户可以创建将销毁计划时长设置为大于 15 天(如 16 天或 31 天)的任何值的密钥。但是,用户无法创建预定销毁时间低于 15 天(例如 14 天)的密钥。对于层次结构中的每个资源,最短销毁计划时长可能会继承或替换,或与父级的政策合并。将资源的政策与父级的政策合并后,该资源的最短销毁计划时长的有效值是资源政策中指定的值与父级的有效最短销毁计划时长之间的最低值。例如,如果某个组织的预定销毁时间最短为 7 天,且在子项目中,政策设为“与父级合并”且值为 in:15d ,则该项目的有效预定销毁时间的最短持续时间为 7 天。constraints/cloudkms.minimumDestroyScheduledDuration |
"is:" 和 "in:" |
Cloud Scheduler | 允许的作业目标类型 | 此列表限制条件定义了 Cloud Scheduler 作业允许使用的目标类型(例如 App Engine HTTP、HTTP 或 PubSub)的列表。 默认情况下,允许所有作业目标。 有效值包括: APPENGINE 、HTTP 、PUBSUB 。constraints/cloudscheduler.allowedTargetTypes |
"is:" |
Cloud SQL | 在 Cloud SQL 实例上限制已授权网络 | 设为 True 时,此布尔值限制条件会限制向 Cloud SQL 实例添加授权网络来进行无代理的数据库访问。此限制条件不会影响先前的操作;也就是说,即使在实施此限制条件之后,已有授权网络的 Cloud SQL 实例也仍然照常运作。默认情况下,系统允许向 Cloud SQL 实例添加授权网络。 constraints/sql.restrictAuthorizedNetworks |
"is:" |
Cloud SQL | 停用 Cloud SQL 中的诊断和管理员权限路径,以满足合规性要求。 | 请勿配置或修改此政策。此限制条件会在 Assured Workloads 初始配置期间自动配置,仅适用于 Assured Workloads 的高级监管控制。强制执行此布尔值限制条件时,可支持性的某些方面将受损,并且不符合 Assured Workloads 高级主权要求的诊断和其他客户服务用例的所有访问路径都将被停用。constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Cloud SQL | 对 Cloud SQL 实例限制不合规的工作负载。 | 请勿配置或修改此政策。此限制条件会在 Assured Workloads 初始配置期间自动配置,仅适用于 Assured Workloads 的高级监管控制。强制执行此布尔值限制条件时,可支持性的某些方面将受到影响,预配的资源将严格遵守 Assured Workloads 的高级主权要求。此政策具有追溯性,因为它将应用于现有项目,但不会影响已预配的资源;也就是说,对政策的修改只会反映在修改政策后创建的资源中。constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
Cloud SQL | 限制 Cloud SQL 实例的公共 IP 访问权限 | 设置为 True 时,该布尔值限制条件会限制在 Cloud SQL 实例上配置公共 IP 地址。此限制条件不会影响先前的操作;也就是说,即使在实施此限制条件之后,已有公共 IP 访问权限的 Cloud SQL 实例也仍然照常运作。默认情况下,系统允许为 Cloud SQL 实例配置公共 IP 访问权限。 constraints/sql.restrictPublicIp |
"is:" |
Google Cloud Marketplace | 停用公开市场 | 强制执行此布尔值限制条件时,系统会为组织下的所有用户停用公开购物平台。默认情况下,组织的公开市场访问权限处于启用状态。constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
Google Cloud Marketplace | 限制对 Marketplace 服务的访问权限 | 此列表限制条件定义了市场组织可以使用的服务集,并且只能包含以下列表中的值:
PRIVATE_MARKETPLACE 位于允许的值列表中,则表示私下交易市场已启用。如果 IAAS_PROCUREMENT 位于允许的值列表中,则表示已为所有产品启用 IaaS 采购治理体验。默认情况下,私下交易市场处于停用状态,IaaS 采购治理体验会处于停用状态。此外,IAAS_PROCUREMENT 政策独立于“采购申请”治理功能(专门针对购物平台上列出的 SaaS 产品)。constraints/commerceorggovernance.marketplaceServices |
"is:" |
Compute Engine | 允许的 VLAN 连接加密设置 | 此列表限制条件定义了新 VLAN 连接可以使用的加密设置。 默认情况下,允许 VLAN 连接使用任何加密设置。 将 IPSEC 设置为允许的值,以强制仅创建加密的 VLAN 连接。 constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
Compute Engine | 禁止使用所有 IPv6 | 此布尔值限制条件设为 True 时,将禁止创建或更新使用 IPv6 所涉及的任何 Google Compute Engine 资源。默认情况下,具有适当 Cloud IAM 权限的任何人都可以在任何项目、文件夹和组织中创建或更新使用 IPv6 的 Google Compute Engine 资源。 如果设置了此限制条件,则它的优先级将高于其他 IPv6 组织限制条件(包括 disableVpcInternalIpv6 、disableVpcExternalIpv6 和 disableHybridCloudIpv6 )。constraints/compute.disableAllIpv6 |
"is:" |
Compute Engine | 禁止创建 Cloud Armor 安全政策 | 强制执行此布尔值限制条件时,系统会禁止创建 Cloud Armor 安全政策。 默认情况下,您可以在任何组织、文件夹或项目中创建 Cloud Armor 安全政策。 constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
Compute Engine | 停用全球负载均衡 | 此布尔值限制条件禁止创建全球负载均衡产品。强制执行时,您只能创建没有全球依赖项的区域级负载均衡产品。默认情况下,允许创建全球负载均衡。constraints/compute.disableGlobalLoadBalancing |
"is:" |
Compute Engine | 禁止创建自行管理的全球 SSL 证书 | 强制执行此布尔值限制条件时,系统会禁止创建自行管理的全球 SSL 证书。此限制条件不会禁止创建 Google 代管的证书或自行管理的区域级证书。 默认情况下,您可以在任何组织、文件夹或项目中创建自行管理的全球 SSL 证书。 constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
Compute Engine | 停用对虚拟机串行端口的全球访问权限 | 此布尔值限制条件禁止对属于强制执行限制条件的组织、项目或文件夹的 Compute Engine 虚拟机进行全局串行端口访问。默认情况下,客户可以使用元数据属性以每个虚拟机或每个项目为基础进行 Compute Engine 虚拟机串行端口访问。无论元数据属性如何,强制执行此限制条件将停用 Compute Engine 虚拟机的全局串行端口访问权限。区域性串行端口访问不受此限制条件的影响。如需停用所有串行端口访问,请改用 compute.disableSerialPortAccess 限制条件。constraints/compute.disableGlobalSerialPortAccess |
"is:" |
Compute Engine | 停用 Compute Engine 元数据的客机特性 | 设为 True 时,此布尔值限制条件会禁止通过 Compute Engine API 访问属于相应组织、项目或文件夹的 Compute Engine 虚拟机的客机特性。默认情况下,系统允许使用 Compute Engine API 访问 Compute Engine 虚拟机的客机特性。 constraints/compute.disableGuestAttributesAccess |
"is:" |
Compute Engine | 禁止使用混合云 IPv6 | 此布尔值限制条件设为 True 时,会禁止创建或更新 stack_type 为 IPV4_IPV6 的混合云资源,包括 Cloud Router、互连连接和 Cloud VPN。默认情况下,具有适当 Cloud IAM 权限的任何人都可以在任何项目、文件夹和组织中创建或更新 stack_type 为 IPV4_IPV6 的混合云资源。constraints/compute.disableHybridCloudIpv6 |
"is:" |
Compute Engine | 停用 Instance Data Access API | 请勿配置或修改此政策。此限制条件会在 Assured Workloads 初始配置期间自动配置,仅适用于 Assured Workloads 的高级监管控制。强制执行此布尔值限制条件时,系统会停用 GetSerialPortOutput 和 GetScreenshot API,它们可以访问虚拟机的串行端口输出以及从虚拟机界面中截取屏幕截图。constraints/compute.disableInstanceDataAccessApis |
"is:" |
Compute Engine | 停用互联网网络端点组 | 此布尔值限制条件限制用户能否创建 type 为 INTERNET_FQDN_PORT 和 INTERNET_IP_PORT 的互联网网络端点组 (NEG)。默认情况下,任何具有适当 IAM 权限的用户都可以在任何项目中创建互联网网络端点组。 constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
Compute Engine | 停用虚拟机嵌套虚拟化 | 设置为 True 时,此布尔值限制条件会对属于相应组织、项目或文件夹的所有 Compute Engine 虚拟机停用硬件加速的嵌套虚拟化功能。默认情况下,在 Intel Haswell 或更新的 CPU 平台上运行的所有 Compute Engine 虚拟机都可以使用硬件加速的嵌套虚拟化功能。 constraints/compute.disableNestedVirtualization |
"is:" |
Compute Engine | 强制执行符合 FIPS 要求的机器类型 | 强制执行此布尔值限制条件时,系统会禁止创建不符合 FIPS 要求的虚拟机实例类型。constraints/compute.disableNonFIPSMachineTypes |
"is:" |
Compute Engine | 为使用方停用 Private Service Connect | 此列表限制条件定义了用户无法为其创建转发规则的一组 Private Service Connect 端点类型。当强制执行此限制条件时,系统将阻止用户为 Private Service Connect 端点类型创建转发规则。此限制条件不会追溯强制执行。 默认情况下,您可以为任何 Private Service Connect 端点类型创建转发规则。 Private Service Connect 端点的允许/拒绝列表必须来自以下列表:
GOOGLE_APIS 会限制创建用于访问 Google API 的 Private Service Connect 转发规则。在允许/拒绝列表中使用 SERVICE_PRODUCERS 会限制创建用于访问另一个 VPC 网络中的服务的 Private Service Connect 转发规则。constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
Compute Engine | 禁止访问虚拟机串行端口 | 设置为 True 时,此布尔值限制条件会禁止通过串行端口访问属于相应组织、项目或文件夹的 Compute Engine 虚拟机。默认情况下,客户可以使用元数据特性针对单个虚拟机或项目进行 Compute Engine 虚拟机串行端口访问。无论元数据属性如何,强制执行此限制条件会停用 Compute Engine 虚拟机串行端口访问。 constraints/compute.disableSerialPortAccess |
"is:" |
Compute Engine | 禁止虚拟机串行端口输出记录到 Stackdriver | 此布尔值限制条件会禁止串行端口从属于实施了此限制条件的组织、项目或文件夹的 Compute Engine 虚拟机输出记录到 Stackdriver。 默认情况下,Compute Engine 虚拟机的串行端口输出日志记录功能处于停用状态,您可以使用元数据特性针对单个虚拟机或项目有选择地启用此功能。实施这项限制条件时,系统会为新创建的 Compute Engine 虚拟机停用串行端口输出日志记录功能,并禁止用户将任何虚拟机(无论新旧)的元数据特性更改为 True 。停用串行端口日志记录功能可能会导致依赖于它的某些服务(如 Google Kubernetes Engine 集群)无法正常运行。在强制执行此限制条件之前,请确认您项目中的产品不依赖于串行端口日志记录功能。constraints/compute.disableSerialPortLogging |
"is:" |
Compute Engine | 在浏览器中停用 SSH | 此布尔值限制条件会停用 Cloud 控制台中的浏览器中的 SSH 工具。强制执行时,“在浏览器中使用 SSH”按钮会停用。默认情况下,系统允许使用“在浏览器中使用 SSH”工具。constraints/compute.disableSshInBrowser |
"is:" |
Compute Engine | 禁止使用 VPC 外部的 IPv6 | 此布尔值限制条件设为 True 时,将禁止创建或更新 stack_type 为 IPV4_IPV6 且 ipv6_access_type 为 EXTERNAL 的子网。默认情况下,拥有相应 Cloud IAM 权限的任何人都可以在任何项目、文件夹和组织中创建或更新 stack_type 为 IPV4_IPV6 的子网。constraints/compute.disableVpcExternalIpv6 |
"is:" |
Compute Engine | 禁止使用 VPC 内部的 IPv6 | 此布尔值限制条件设为 True 时,将禁止创建或更新 stack_type 为 IPV4_IPV6 且 ipv6_access_type 为 INTERNAL 的子网。默认情况下,拥有相应 Cloud IAM 权限的任何人都可以在任何项目、文件夹和组织中创建或更新 stack_type 为 IPV4_IPV6 的子网。constraints/compute.disableVpcInternalIpv6 |
"is:" |
Compute Engine | 启用合规性内存保护工作负载所需的设置 | 请勿配置或修改此政策。此限制条件会在 Assured Workloads 初始配置期间自动配置,仅适用于 Assured Workloads 的高级监管控制。此限制条件可控制所需的设置,以消除对虚拟机核心内存的潜在访问路径。强制执行后,系统会停用访问路径来限制对虚拟机核心内存的访问,并在发生错误时限制内部数据收集。constraints/compute.enableComplianceMemoryProtection |
"is:" |
Compute Engine | 要求 OS Login | 设为 true 时,此布尔值限制条件会为所有新创建的项目启用 OS Login。在新项目中创建的所有虚拟机实例都将启用 OS Login。如果在新项目和现有的项目中设置此限制,将无法进行会在项目或实例级停用 OS Login 的元数据更新。默认情况下,OS Login 功能在 Compute Engine 项目中处于停用状态。 运行节点池 1.20.5-gke.2000 及更高版本的专用集群中的 GKE 实例支持 OS Login。公共集群中的 GKE 实例目前不支持 OS Login。如果对某个运行公共集群的项目应用此限制条件,则该项目中运行的 GKE 实例可能无法正常运行。 constraints/compute.requireOsLogin |
"is:" |
Compute Engine | 安全强化型虚拟机 | 如果此布尔值限制条件设为 True ,则所有新 Compute Engine 虚拟机实例都必须使用启用了安全启动、vTPM 和完整性监控选项的安全强化型磁盘映像。如果需要,您可以在创建实例后停用安全启动。运行中的现有实例会继续正常运行。默认情况下,无需启用安全强化型虚拟机功能即可创建 Compute Engine 虚拟机实例。安全强化型虚拟机功能可为您的虚拟机添加可验证的完整性和抗渗漏性。 constraints/compute.requireShieldedVm |
"is:" |
Compute Engine | 必须提供 VPC 流日志的预定义政策 | 此列表限制条件定义了可以针对 VPC 流日志强制执行的一组预定义政策。 默认情况下,可以使用每个子网中的任何设置来配置 VPC 流日志。 此限制条件可为范围内符合最低采样率要求的所有子网强制启用流日志。 请指定以下一个或多个有效值:
constraints/compute.requireVpcFlowLogs |
"is:" |
Compute Engine | 限制 Cloud NAT 用量 | 此列表限制条件定义了可以使用 Cloud NAT 的一组子网。默认情况下,所有子网都可以使用 Cloud NAT。子网的允许/拒绝列表必须按以下格式标识:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 或 projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME 。constraints/compute.restrictCloudNATUsage |
"is:" 和 "under:" |
Compute Engine | 限制专用互连用量 | 此列表限制条件定义了一组可以使用专用互连的 Compute Engine 网络。默认情况下,网络可以使用任何类型的互连。网络的允许/拒绝列表必须按以下格式标识:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME 。constraints/compute.restrictDedicatedInterconnectUsage |
"is:" 和 "under:" |
Compute Engine | 根据负载平衡器类型限制负载平衡器的创建 | 此列表限制条件定义了可以为组织、文件夹或项目创建的负载均衡器类型。必须明确列出各个要允许或拒绝的负载均衡器类型。默认情况下,允许创建所有类型的负载平衡器。 允许或拒绝值列表必须使用负载均衡器的字符串名称进行标识,并且只能包含下方列表中的值:
如需包含所有内部或外部负载均衡器类型,请使用 in: 前缀,后跟 INTERNAL 或 EXTERNAL。例如,通过允许 in:INTERNAL 将允许上述列表中包含 INTERNAL 的所有负载均衡器类型。 constraints/compute.restrictLoadBalancerCreationForTypes |
"is:" 和 "in:" |
Compute Engine | 限制非机密计算 | 此列表限制条件的拒绝名单定义了一组要求在创建所有新资源时都启用机密计算的服务。默认情况下,新资源不需要使用机密计算。在强制执行此列表限制条件期间,该资源的整个生命周期内都必须使用机密计算。现有资源会继续照常运行。拒绝的服务名单必须使用 API 的字符串名称进行标识,并且只能包含下方列表中明确拒绝的值。系统目前不支持明确允许 API。明确拒绝不在此列表中的 API 将导致出错。支持的 API 列表:[compute.googleapis.com, container.googleapis.com]constraints/compute.restrictNonConfidentialComputing |
"is:" |
Compute Engine | 限制合作伙伴互连用量 | 此列表限制条件定义了一组可以使用合作伙伴互连的 Compute Engine 网络。默认情况下,网络可以使用任何类型的互连。网络的允许/拒绝列表必须按以下格式标识:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME 。constraints/compute.restrictPartnerInterconnectUsage |
"is:" 和 "under:" |
Compute Engine | 限制允许的 Private Service Connect 使用方 | 此列表限制条件定义了可以连接到生产者组织或项目中的服务连接的组织、文件夹和项目。允许或拒绝列表必须按以下格式进行标识:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 或 under:projects/PROJECT_ID 。默认情况下,系统允许所有连接。constraints/compute.restrictPrivateServiceConnectConsumer |
"is:" 和 "under:" |
Compute Engine | 限制允许的 Private Service Connect 提供方 | 此列表限制条件定义了 Private Service Connect 使用方可以连接哪些服务连接。根据端点或后端所引用的服务连接的组织、文件夹或项目资源,该限制条件会阻止部署 Private Service Connect 端点或后端。允许或拒绝列表必须按以下格式进行标识:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 或 under:projects/PROJECT_ID 。默认情况下,系统允许所有连接。constraints/compute.restrictPrivateServiceConnectProducer |
"is:" 和 "under:" |
Compute Engine | 根据 IP 地址类型限制协议转发 | 此列表限制条件定义了用户可以创建的带有目标实例的协议转发规则对象类型。实施此限制条件后,根据指定的类型,带有目标实例的新转发规则对象将仅限于内部和/或外部 IP 地址。必须明确列出要允许或拒绝的类型。默认情况下,允许创建带有目标实例的内部和外部协议转发规则对象。 允许或拒绝值列表只能包含下方列表中的值:
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
Compute Engine | 限制共享 VPC 后端服务 | 此列表限制条件定义了符合条件的资源可以使用的一组共享 VPC 后端服务。此限制条件不适用于同一项目中的资源。默认情况下,符合条件的资源可以使用任何共享 VPC 后端服务。后端服务的允许/拒绝列表必须按以下格式指定:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME 或 projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME 。此限制条件不具有可追溯性。 constraints/compute.restrictSharedVpcBackendServices |
"is:" 和 "under:" |
Compute Engine | 限制共享 VPC 宿主项目 | 此列表限制条件定义了一组共享 VPC 宿主项目,此资源中或其子资源中的项目可以附加到这组共享项目。默认情况下,一个项目可以附加到同一组织中的任何宿主项目,从而成为服务项目。允许/拒绝列表中的项目、文件夹和组织会影响资源层次结构中位于其自身下方的所有对象,并且必须按以下格式指定:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 或 projects/PROJECT_ID 。constraints/compute.restrictSharedVpcHostProjects |
"is:" 和 "under:" |
Compute Engine | 限制共享 VPC 子网 | 此列表限制条件定义了符合条件的资源可以使用的一组共享 VPC 子网络。此限制条件不适用于同一项目中的资源。默认情况下,符合条件的资源可以使用任何共享 VPC 子网络。子网的允许/拒绝列表必须按以下格式指定:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 或 projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME 。constraints/compute.restrictSharedVpcSubnetworks |
"is:" 和 "under:" |
Compute Engine | 限制 VPC 对等互连用量 | 此列表限制条件定义了可与属于此项目、文件夹或组织的 VPC 网络建立对等互连的一组 VPC 网络。默认情况下,一个网络的 Network Admin 可与其他任何网络建立对等互连。网络的允许/拒绝列表必须按以下格式标识:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME 。constraints/compute.restrictVpcPeering |
"is:" 和 "under:" |
Compute Engine | 限制 VPN 对等 IP | 此列表限制条件定义了可配置为 VPN 对等 IP 的一组有效 IP 地址。默认情况下,任何 IP 都可以是 VPC 网络的 VPN 对等 IP。IP 地址的允许/拒绝列表必须指定为以下有效 IP 地址:IP_V4_ADDRESS 或 IP_V6_ADDRESS 。constraints/compute.restrictVpnPeerIPs |
"is:" |
Compute Engine | 将新项目的内部 DNS 设置设为“仅限区域 DNS” | 如果设置为“True”,新创建的项目将默认使用区域 DNS。默认情况下,此限制条件设置为“False”,新创建的项目将使用默认 DNS 类型。constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
Compute Engine | 共享预留所有者项目 | 此列表限制条件定义了一组可在组织中创建和拥有共享预留的项目。共享预留与本地预留类似,只不过它们并非只能由所有者项目使用,还可供资源层次结构中的其他 Compute Engine 项目使用。允许访问共享预留的项目列表必须采用以下格式:projects/PROJECT_NUMBER 或 under:projects/PROJECT_NUMBER 。constraints/compute.sharedReservationsOwnerProjects |
"is:" 和 "under:" |
Compute Engine | 跳过默认网络创建 | 设置为 True 时,此布尔值限制条件会在 Google Cloud Platform 项目资源创建期间跳过默认网络和相关资源的创建作业。默认情况下,系统会在创建项目资源时自动创建默认网络和支持资源。constraints/compute.skipDefaultNetworkCreation |
"is:" |
Compute Engine | 计算存储资源使用限制(Compute Engine 磁盘、映像和快照) | 此列表限制条件定义了一组可以使用 Compute Engine 存储资源的项目。默认情况下,具有相应 Cloud IAM 权限的任何人都可以访问 Compute Engine 资源。使用此限制条件时,用户必须具备 Cloud IAM 权限,且不能被限制条件限制访问资源。 允许或拒绝列表中指定的项目、文件夹和组织必须分别采用以下格式: under:projects/PROJECT_ID 、under:folders/FOLDER_ID 、under:organizations/ORGANIZATION_ID 。constraints/compute.storageResourceUseRestrictions |
"is:" 和 "under:" |
Compute Engine | 定义可信映像项目 | 此列表限制条件定义了一组可用于针对 Compute Engine 进行映像存储和磁盘实例化的项目。 默认情况下,可以基于向该用户公开或明确共享映像的任何项目中的映像创建实例。 发布商项目的允许/拒绝列表必须是采用以下格式的字符串: projects/PROJECT_ID 。如果此限制条件已启用,那么只有可信项目中的映像可用作新实例启动磁盘的来源。constraints/compute.trustedImageProjects |
"is:" |
Compute Engine | 限制虚拟机 IP 转发 | 此列表限制条件定义了可启用 IP 转发功能的一组虚拟机实例。默认情况下,任何虚拟机都可以在任何虚拟网络中启用 IP 转发功能。虚拟机实例必须按以下格式指定:under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 或 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME 。此限制条件不具有可追溯性。 constraints/compute.vmCanIpForward |
"is:" 和 "under:" |
Compute Engine | 为虚拟机实例定义允许的外部 IP | 此列表限制条件定义了一组可以使用外部 IP 地址的 Compute Engine 虚拟机实例。 默认情况下,所有虚拟机实例都可以使用外部 IP 地址。 虚拟机实例的允许/拒绝列表必须由虚拟机实例名称标识,格式为: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess |
"is:" |
Compute Engine | 禁止对全球性资源启用 Identity-Aware Proxy (IAP) | 强制执行此布尔值限制条件时,系统会禁止在全球性资源上启用 Identity-Aware Proxy。在区域级资源上启用 IAP 不受此限制条件的限制。 默认情况下,允许对全球资源启用 IAP。 constraints/iap.requireGlobalIapWebDisabled |
"is:" |
Google Kubernetes Engine | 在 GKE 中停用诊断管理员权限路径。 | 请勿配置或修改此政策。此限制条件会在 Assured Workloads 初始配置期间自动配置,仅适用于 Assured Workloads 的高级监管控制。强制执行此布尔值限制条件时,所有不符合 Assured Workloads 要求的诊断和其他客户服务用例的访问路径都将被停用。constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Dataform | 在 Dataform 中限制代码库的 Git 远程 | 此列表限制条件定义了一组远程信息,Dataform 项目中的仓库可以与之通信。如需禁止与所有遥控器通信,请将该值设置为 Deny all 。此限制条件具有追溯性,并且会阻止违反该限制条件的现有代码库的通信。条目应该是指向可信遥控器的链接,其格式与 Dataform 中提供的格式相同。默认情况下,Dataform 项目中的代码库可以与任何遥控器进行通信。 constraints/dataform.restrictGitRemotes |
"is:" |
Datastream | Datastream - 禁止使用公共连接方法 | 默认情况下,可以使用公共或专用连接方法创建 Datastream 连接配置文件。如果强制执行了此组织政策的布尔值限制,则只能使用专用连接方法(例如 VPC 对等互连)创建连接配置文件。 constraints/datastream.disablePublicConnectivity |
"is:" |
重要联系人 | 网域限定联系人 | 此列表限制条件指定了添加到重要联系人中的电子邮件地址可以拥有的一组网域。 默认情况下,任何网域中的电子邮件地址都可以添加到重要联系人中。 允许/拒绝列表必须指定一个或多个 @example.com 形式的网域。如果此限制条件已启用并配置了允许的值,只有后缀与域名许可名单中的某个条目匹配的电子邮件地址才可以添加到重要联系人中。此限制条件不会影响现有联系人的更新或移除。 constraints/essentialcontacts.allowedContactDomains |
"is:" |
重要联系人 | 停用项目安全联系人 | 强制执行此布尔值限制条件时,组织政策管理员可以确保只有在组织或文件夹级别分配的联系人才能收到安全通知。具体而言,如果项目所有者和联系人还拥有项目资源作为父级,则强制执行此限制条件会阻止项目所有者和联系人管理员使用包含 SECURITY 或 ALL 类别的 notification_category_subscriptions 字段创建或更新重要联系人。constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
Firestore | 需要 Firestore Service Agent 才能导入/导出 | 强制执行布尔值限制条件时,系统会要求 Firestore 导入和导出使用 Firestore Service Agent。 默认情况下,Firestore 导入和导出可以使用 App Engine 服务账号。 Firestore 将来会停止使用 App Engine 服务账号来执行导入和导出,并且所有账号都需要迁移到 Firestore Service Agent,此后将不再需要此限制条件。 constraints/firestore.requireP4SAforImportExport |
"is:" |
Cloud Healthcare | 为 Cloud Healthcare API 停用 Cloud Logging | 强制执行此布尔值限制条件时,系统会针对 Cloud Healthcare API 停用 Cloud Logging。 审核日志不受此限制条件的影响。 在强制执行限制条件之前为 Cloud Healthcare API 生成的 Cloud 日志不会被删除,仍然可供访问。 constraints/gcp.disableCloudLogging |
"is:" |
Identity and Access Management | 允许将 OAuth 2.0 访问令牌的生命周期延长至最多 12 小时 | 此列表限制条件定义了一组可以授予生命周期长达 12 小时的 OAuth 2.0 访问令牌的服务账号。默认情况下,这些访问令牌的最长生命周期为 1 小时。 服务账号的允许/拒绝列表必须指定一个或多个服务账号电子邮件地址。 constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
Identity and Access Management | 网域限定共享 | 此列表限制条件定义了可将其主账号添加至 IAM 政策中的一个或多个 Cloud Identity 或 Google Workspace 客户 ID。 默认情况下,所有用户身份都可以添加至 IAM 政策。此限制条件中只能定义允许的值,不支持拒绝值。 如果此限制条件已启用,则只有属于允许的客户 ID 的主账号才能添加至 IAM 政策。 constraints/iam.allowedPolicyMemberDomains |
"is:" |
Identity and Access Management | 停用审核日志记录豁免 | 强制执行此布尔值限制条件时,系统会禁止您豁免对其他主账号的审核日志记录。此限制条件不会影响在强制执行该限制条件之前存在的任何审核日志记录豁免。constraints/iam.disableAuditLoggingExemption |
"is:" |
Identity and Access Management | 停用跨项目服务账号使用情况 | 当强制执行时,服务账号只能使用 ServiceAccountUser 角色部署到服务账号所在项目中运行的作业(虚拟机、函数等)。 constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
Identity and Access Management | 禁止创建服务账号 | 此布尔值限制条件禁止创建将此限制条件设为“True”的服务帐号。 默认情况下,用户可以根据其 Cloud IAM 角色和权限创建服务帐号。 constraints/iam.disableServiceAccountCreation |
"is:" |
Identity and Access Management | 禁止创建服务账号密钥 | 设置为“True”时,此布尔值限制条件会禁止创建服务帐号外部密钥。 默认情况下,用户可以根据用户的 Cloud IAM 角色和权限创建服务帐号外部密钥。 constraints/iam.disableServiceAccountKeyCreation |
"is:" |
Identity and Access Management | 停用服务账号密钥上传功能 | 设为“True”时,此布尔值限制条件会停用允许向服务帐号上传公钥的功能。 默认情况下,用户可以根据其 Cloud IAM 角色和权限将公钥上传到服务帐号。 constraints/iam.disableServiceAccountKeyUpload |
"is:" |
Identity and Access Management | 停用 Workload Identity 集群创建 | 设置为“True”时,此布尔值限制条件会要求所有新的 GKE 集群在创建时停用 Workload Identity。已启用 Workload Identity 的现有 GKE 集群会继续正常运行。默认情况下,可以为任何 GKE 集群启用 Workload Identity。constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
Identity and Access Management | 服务帐号密钥的有效期(以小时为单位) | 此列表限制条件定义了服务帐号密钥的有效期所允许的最长时长。默认情况下,创建的密钥永不过期。 允许的时长以小时为单位,且必须来自以下列表。只能指定一个允许的值,不支持拒绝的值。不在此列表中指定时长会导致错误。
inheritFromParent=false (如果使用 gcloud CLI)。此限制条件无法与父政策合并。强制执行限制条件不会追溯既往,也不会更改现有密钥。constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
Identity and Access Management | 可在 Cloud IAM 中为工作负载身份联合配置的允许的 AWS 账号 | 可在 Cloud IAM 中为工作负载身份联合配置的 AWS 账号 ID 列表。 constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
Identity and Access Management | 为处理工作负载而允许 Cloud IAM 联系的外部身份提供商 | 可以进行配置以在 Cloud IAM 内进行工作负载身份验证的身份提供商(通过 URI/网址指定)。constraints/iam.workloadIdentityPoolProviders |
"is:" |
Anthos Service Mesh 代管式控制平面。 | 适用于 Anthos Service Mesh 代管式控制平面的 VPC Service Controls 模式 | 此限制条件确定在预配新的 Anthos Service Mesh 代管式控制平面时可以设置哪些 VPC Service Controls 模式。有效值为“NONE”和“COMPATIBLE”。constraints/meshconfig.allowedVpcscModes |
"is:" |
Resource Manager | 限制共享 VPC 项目安全锁移除 | 此布尔值限制条件设为 True 时,可限制没有组织级权限即可移除共享 VPC 宿主项目安全锁的一组用户。默认情况下,任何有权更新安全锁的用户都可以移除共享 VPC 宿主项目安全锁。强制执行此限制条件需要在组织级别授予权限。 constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
Resource Manager | 限制移除跨项目服务账号安全锁 | 当强制执行此布尔值限制条件时,系统可防止用户在没有组织级别权限的情况下移除跨项目服务账号安全锁。默认情况下,任何具有安全锁更新权限的用户都可以移除跨项目服务账号安全锁。强制执行此限制条件需要在组织级别授予该权限。 constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
Resource Manager | 限制资源查询的公开范围 | 针对某个组织资源强制执行此列表限制条件后,系统会为执行此限制条件的组织的网域用户指定返回到列表的一组 Google Cloud 资源和搜索方法。这可用于限制在 Cloud Console 的各个部分(例如资源选择器、搜索和管理资源页面)中显示的资源。请注意,此限制条件仅在组织级别进行评估。许可名单/拒绝名单中指定的值必须采用如下格式:under:organizations/ORGANIZATION_ID 。constraints/resourcemanager.accessBoundaries |
"is:" 和 "under:" |
Resource Manager | 跨组织移动时需要启用的服务许可清单 | 此列表限制条件的作用是检查启用了某项服务的项目是否可以进行跨组织移动。启用了某项受支持服务的资源必须强制执行此限制条件,并且必须在允许值中包含相应的受支持服务,才可进行跨组织移动。受支持服务当前的允许值列表如下:
此限制条件在 constraints/resourcemanager.allowedExportDestinations 之上提供了额外一层控制。此 list_constraint 默认为空,且不会阻止跨组织移动,除非针对要导出的资源启用了某项受支持服务。在将资源移至另一个组织的过程中,此限制条件允许对那些使用需要更加谨慎的特征的资源进行更精细的控制。默认情况下,无法在组织间移动启用了某项受支持服务的资源。 constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
Resource Manager | 允许的资源导出目的地 | 此列表限制条件指定了一组可将资源移至其中的外部组织,并拒绝所有将资源移至其他所有组织的操作。默认情况下,您无法在组织之间移动资源。如果对某项资源应用此限制条件,相应资源只能移至此限制条件明确允许的组织中。资源在组织内部的移动不受此限制条件的约束。移动操作仍然需要与正常的资源移动相同的 IAM 权限。许可名单/拒绝名单中指定的值必须采用如下格式:under:organizations/ORGANIZATION_ID 。constraints/resourcemanager.allowedExportDestinations |
"is:" 和 "under:" |
Resource Manager | 允许的资源导入来源 | 此列表限制条件指定了一组可作为资源导入来源的外部组织,并拒绝所有从其他所有组织导入资源的操作。默认情况下,您无法在组织之间移动资源。如果对某项资源应用此限制条件,此限制条件必须明确允许在此资源下直接导入的资源。资源在组织内部的移动不受此限制条件的约束。移动操作仍然需要与正常的资源移动相同的 IAM 权限。许可名单/拒绝名单中指定的值必须采用如下格式:under:organizations/ORGANIZATION_ID 。constraints/resourcemanager.allowedImportSources |
"is:" 和 "under:" |
Cloud Run | 允许的 Binary Authorization 政策 (Cloud Run) | 此列表限制条件定义了一组可以针对 Cloud Run 资源指定的 Binary Authorization 政策名称。如需允许/禁止默认政策,请使用值“default”。如需允许/禁止一项或多项自定义平台政策,必须单独添加每项此类政策的资源 ID。constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
Cloud Run | 允许的入站流量设置 (Cloud Run) | 此列表限制条件定义了 Cloud Run 服务可以使用的入站流量设置。如果实施了此限制条件,服务必须具有与某个允许的值匹配的入站流量设置。入站流量设置违反此限制条件的现有 Cloud Run 服务可以继续更新,直到相应服务的入站流量设置更改为符合此限制条件为止。服务一旦符合此限制条件,就只能使用此限制条件允许的入站流量设置。 默认情况下,Cloud Run 服务可以使用任何入站流量设置。 允许的列表必须包含支持的入站流量设置值,包括 all 、internal 和 internal-and-cloud-load-balancing 。constraints/run.allowedIngress |
"is:" |
Cloud Run | 允许的 VPC 出站流量设置 (Cloud Run) | 此列表限制条件定义了要针对 Cloud Run 资源指定的 VPC 出站流量设置。强制执行此限制条件时,必须使用无服务器 VPC 访问通道连接器或启用了直接 VPC 出站流量来部署 Cloud Run 资源,并且 VPC 出站流量设置必须与某个允许的值匹配。 默认情况下,Cloud Run 资源可以将 VPC 出站流量设置设为任何受支持的值。 允许的列表必须包含受支持的 VPC 出站流量设置值,即 private-ranges-only 和 all-traffic 。对于现有 Cloud Run 服务,所有新修订版本都必须遵守此限制条件。如果现有服务用于处理流量的修订版本违反此限制条件,仍可以继续将流量迁移到违反此限制条件的修订版本。在服务的所有流量都由符合此限制条件的修订版本处理后,所有后续流量迁移都只能将流量迁移到符合此限制条件的修订版本。 constraints/run.allowedVPCEgress |
"is:" |
服务使用者管理 | 停用默认服务账号的自动 IAM 授权 | 强制执行此布尔值限制条件后,当创建账号时,在项目中创建的默认 App Engine 和 Compute Engine 服务账号将无法自动获得项目的任何 IAM 角色。 默认情况下,这些服务账号在创建后会自动获得 Editor 角色。 constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
Service Control | 限制 TLS 版本 | 此限制条件定义了无法用于实施此限制条件的组织、文件夹或项目,或者资源层次结构中该资源的任何子级的 TLS 版本集。 默认情况下,系统允许使用所有 TLS 版本。TLS 版本只能在拒绝列表中指定,并且必须以 TLS_VERSION_1 或 TLS_VERSION_1_1 格式标识。此限制条件仅适用于使用 TLS 的请求。它不会用于限制未加密的请求。 如需了解详情,请参阅 https://cloud.google.com/assured-workloads/docs/restrict-tls-versions。 constraints/gcp.restrictTLSVersion |
"is:" |
Cloud Spanner | 为合规性工作负载启用高级服务控制 | 请勿配置或修改此政策。此限制条件会在 Assured Workloads 初始配置期间自动配置,仅适用于 Assured Workloads 的高级监管控制。强制执行此布尔值限制条件时,可支持性的某些方面将受到影响,预配的资源将严格遵守 Assured Workloads 的高级主权要求。此政策将应用于现有项目,但不会影响已预配的资源;也就是说,对政策进行的修改只会反映在修改政策后创建的资源中。constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
Cloud Spanner | 如果未选择位置,停用 Cloud Spanner 多区域 | 请勿配置或修改此政策。此限制条件会在 Assured Workloads 初始配置期间自动配置,仅适用于 Assured Workloads 的高级监管控制。强制执行此布尔值限制条件时,除非选择了位置,否则它会阻止使用多区域实例配置创建 Spanner 实例。Cloud Spanner 目前还不支持选择位置,因此不允许使用所有多区域。将来,Spanner 将为用户提供为多区域选择位置的功能。此限制条件的实施不具有可追溯性。已创建的 Spanner 实例不会受到影响。constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
Cloud Storage | Google Cloud Platform - 详细的审核日志记录模式 | 强制执行详细的审核日志模式时,请求和响应都会包含在 Cloud Audit Logs 中。对此功能进行的更改最多可能需要 10 分钟才会生效。在寻求满足 SEC 规则 17a-4(f)、CFTC 规则 1.31(c)-(d) 和 FINRA 规则 4511(c) 等合规性要求时,强烈建议将此组织政策与存储桶锁定搭配使用。目前,只有 Cloud Storage 支持此政策。constraints/gcp.detailedAuditLoggingMode |
"is:" |
Cloud Storage | 强制执行禁止公开访问设置 | 通过强制执行阻止公开访问的措施,让您的 Cloud Storage 数据免遭公开泄露。此治理政策通过停用和阻止向 allUsers 和 allAuthenticatedUsers 授予访问权限的 ACL 和 IAM 权限,防止通过公共互联网访问现有和未来的资源。对整个组织(推荐)、特定项目或特定文件夹强制执行此政策,以确保数据不会公开泄露。此政策会覆盖现有的公共权限。启用此政策后,系统将撤消现有存储桶和对象的公开访问权限。 constraints/storage.publicAccessPrevention |
"is:" |
Cloud Storage | Cloud Storage - 限制身份验证类型 | 此限制条件定义了一组将无法访问 Cloud Storage 中组织下的任何存储资源的身份验证类型。支持的值包括 USER_ACCOUNT_HMAC_SIGNED_REQUESTS 和 SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS 。使用 in:ALL_HMAC_SIGNED_REQUESTS 可同时包含这两种方法。constraints/storage.restrictAuthTypes |
"is:" 和 "in:" |
Cloud Storage | 保留政策时长(秒) | 此列表限制条件定义了可针对 Cloud Storage 存储分区设置的一组保留政策时长。 默认情况下,如果未指定任何组织政策,Cloud Storage 存储桶的保留政策将没有任何时长限制。 允许的时长列表必须指定为大于零的正整数值,并以秒作为保留政策时长的时间单位。 对组织资源中的存储桶执行的任何插入、更新或修补操作都必须具有与此限制条件一致的保留政策时长。 实施此限制条件不会影响先前的操作。强制执行新的组织政策后,现有存储分区的保留政策将保持不变并继续有效。 constraints/storage.retentionPolicySeconds |
"is:" |
Cloud Storage | 实施统一存储桶级访问权限 | 此布尔值限制条件设置为 True 时,存储桶必须使用统一的存储桶级访问权限。组织资源中的所有新存储桶都必须启用统一的存储桶级访问权限,并且组织资源中的任何存储桶都不得停用统一的存储桶级访问权限。实施此限制条件不会影响先前的操作;也就是说,已停用统一的存储桶级访问权限的现有存储桶将继续停用该权限。此限制条件的默认值为 False 。统一的存储桶级访问权限会禁止评估分配给该存储桶中的 Cloud Storage 对象的 ACL。因此,只有 IAM 政策会授予对这些存储分区中对象的访问权限。 constraints/storage.uniformBucketLevelAccess |
"is:" |
方法指南
如需详细了解如何使用各个限制条件:
限制条件 | 方法指南 |
---|---|
constraints/cloudbuild.allowedIntegrations |
组织政策门控 build |
constraints/cloudfunctions.allowedIngressSettings |
使用 VPC Service Controls |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
使用 VPC Service Controls |
constraints/cloudfunctions.requireVPCConnector |
使用 VPC Service Controls |
constraints/gcp.restrictNonCmekServices |
CMEK 组织政策 |
constraints/gcp.restrictCmekCryptoKeyProjects |
CMEK 组织政策 |
constraints/gcp.restrictTLSVersion |
限制 TLS 版本 |
constraints/compute.restrictPrivateServiceConnectConsumer constraints/compute.restrictPrivateServiceConnectProducer |
管理 Private Service Connect 使用方的安全性 |
constraints/compute.restrictCloudNATUsage |
限制 Cloud NAT 用量 |
constraints/compute.restrictLoadBalancerCreationForTypes |
Cloud Load Balancing 限制条件 |
constraints/compute.restrictProtocolForwardingCreationForTypes |
协议转发限制条件 |
constraints/compute.restrictDedicatedInterconnectUsage constraints/compute.restrictPartnerInterconnectUsage |
限制 Cloud Interconnect 用量 |
constraints/compute.restrictVpnPeerIPs |
通过 Cloud VPN 隧道限制对等 IP 地址 |
constraints/compute.trustedImageProjects |
限制对映像的访问 |
constraints/compute.vmExternalIpAccess |
停用虚拟机的外部 IP 访问权限 |
constraints/compute.requireVpcFlowLogs |
VPC 流日志的组织政策限制条件 |
constraints/dataform.restrictGitRemotes |
限制远程代码库 |
constraints/gcp.restrictServiceUsage |
限制资源用量 |
constraints/iam.allowedPolicyMemberDomains |
按网域限制身份 |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
延长 OAuth 2.0 访问令牌的生命周期 |
constraints/iam.disableCrossProjectServiceAccountUsage |
将服务账号附加到其他项目中的资源 |
constraints/iam.disableServiceAccountCreation |
限制服务账号的创建 |
constraints/iam.disableServiceAccountKeyCreation |
限制服务账号密钥的创建 |
constraints/iam.disableServiceAccountKeyUpload |
限制服务账号密钥上传功能 |
constraints/iam.disableWorkloadIdentityClusterCreation |
限制工作负载身份集群创建功能 |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
将服务账号附加到其他项目中的资源 |
constraints/gcp.detailedAuditLoggingMode constraints/storage.retentionPolicySeconds constraints/storage.uniformBucketLevelAccess constraints/storage.publicAccessPrevention |
Cloud Storage 的组织政策限制 |
constraints/gcp.disableCloudLogging |
停用 Cloud Logging |
constraints/gcp.resourceLocations |
限制资源位置 |
constraints/resourcemanager.accessBoundaries |
限制用户可以看到的项目 |
constraints/run.allowedIngress |
使用 VPC Service Controls |
constraints/run.allowedVPCEgress |
使用 VPC Service Controls |
了解详情
如需详细了解组织政策的核心概念:
阅读组织政策概览。
了解什么是限制条件。
阅读如何使用限制条件创建组织政策。
了解分层评估的工作原理。