可用限制条件
您可以指定使用以下限制条件的政策。更多限制条件正在制定。
| 服务 | 限制条件 | 说明 | 支持的前缀 |
|---|---|---|---|
| Compute Engine | 停用 Compute Engine 元数据的访客属性 | 设为 True 时,此布尔值限制条件会禁止通过 Compute Engine API 访问属于相应组织、项目或文件夹的 Compute Engine 虚拟机的访客属性。默认情况下,Compute Engine API 可用于访问 Compute Engine 虚拟机的访客属性。 constraints/compute.disableGuestAttributesAccess |
"is:" |
| 停用虚拟机嵌套虚拟化 | 此布尔值限制条件禁止对属于相应组织、项目或文件夹(此限制条件在其中设为 True)的所有 Compute Engine 虚拟机进行硬件加速嵌套虚拟化。默认情况下,Intel Haswell 或更新的 CPU 平台上运行的所有 Compute Engine 虚拟机都可以使用硬件加速嵌套虚拟化。 constraints/compute.disableNestedVirtualization |
"is:" |
|
| 禁止访问虚拟机串行端口 | 此布尔值限制条件禁止对属于相应组织、项目或文件夹(此限制条件在其中设为 True)的 Compute Engine 虚拟机进行串行端口访问。默认情况下,客户可以使用元数据属性以每个虚拟机或每个项目为基础进行 Compute Engine 虚拟机串行端口访问。无论元数据属性如何,强制执行此限制条件会停用 Compute Engine 虚拟机串行端口访问。 constraints/compute.disableSerialPortAccess |
"is:" |
|
| 禁止虚拟机串行端口输出记录到 Stackdriver | 如果强制执行此布尔值限制条件,会禁止串行端口从属于相应组织、项目或文件夹的 Compute Engine 虚拟机输出记录到 Stackdriver。 默认情况下,Compute Engine 虚拟机的串行端口输出记录功能处于停用状态,可以使用元数据属性以每个虚拟机或每个项目为基础上有选择地启用此功能。强制执行此限制条件后,在创建新虚拟机的情况下,会禁止新 Compute Engine 虚拟机的串行端口输出记录,并禁止用户将任何虚拟机(旧的或新的)的元数据属性更改为 True。constraints/compute.disableSerialPortLogging |
"is:" |
|
| 安全强化型虚拟机 | 如果此布尔值限制条件设为 True,会要求所有新 Compute Engine 虚拟机实例均使用启用了安全启动、vTPM 和完整性监控等选项的安全强化型磁盘映像。如果需要,您可以在创建后停用安全启动。运行中的现有实例会继续正常运行。默认情况下,不需要为了创建 Compute Engine 虚拟机实例而启用安全强化型虚拟机功能。安全强化型虚拟机功能可为您的虚拟机添加可验证的完整性和抗渗漏性。 constraints/compute.requireShieldedVm |
"is:" |
|
| 跳过默认网络创建 | 此布尔值限制条件设为 True 的情况下,可在 Google Cloud Platform 项目资源创建过程中跳过默认网络和相关资源的创建。默认情况下,系统会在创建项目资源时自动创建默认网络和辅助性资源。constraints/compute.skipDefaultNetworkCreation |
"is:" |
|
| 计算存储资源使用限制(Compute Engine 磁盘、映像和快照) | 此列表限制条件定义了一组可以使用 Compute Engine 存储资源的项目。默认情况下,具有相应 Cloud IAM 权限的任何人都可以访问 Compute Engine 资源。使用此限制条件时,用户必须具有 Cloud IAM 权限,并且不能被限制条件限制访问该资源。 允许或拒绝列表中指定的项目、文件夹和组织必须分别采用以下格式: under:projects/PROJECT_ID、under:folders/FOLDER_ID、under:organizations/ORGANIZATION_ID。constraints/compute.storageResourceUseRestrictions |
"is:"、"under:" |
|
| 定义可信映像项目 | 此列表限制条件定义了一组可用于针对 Compute Engine 进行映像存储和磁盘实例化的项目。 默认情况下,可以通过公开或明确与用户共享映像的任何项目中的映像创建实例。 发布商项目的允许/拒绝列表必须是采用以下格式的字符串: projects/PROJECT_ID。如果此限制条件已启用,则只有可信项目中的映像可用作新实例启动磁盘的来源。constraints/compute.trustedImageProjects |
"is:" |
|
| 为虚拟机实例定义允许的外部 IP | 此列表限制条件定义了一组可以使用外部 IP 地址的 Compute Engine 虚拟机实例。 默认情况下,所有虚拟机实例都可以使用外部 IP 地址。 虚拟机实例的允许/拒绝列表必须由虚拟机实例名称标识,格式为: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE。 constraints/compute.vmExternalIpAccess |
"is:" |
|
| Cloud Identity and Access Management | 网域限制共享 | 测试版:此列表限制条件定义了可添加至 Cloud IAM 政策的成员。 默认情况下,所有用户身份都允许添加至 Cloud IAM 政策。 允许/拒绝列表必须指定一个或多个 G Suite 客户 ID。如果启用了此限制条件,则只有允许列表中的身份才可以添加至 Cloud IAM 政策。 constraints/iam.allowedPolicyMemberDomains |
"is:" |
| 禁止创建服务帐号 | 测试版:此布尔值限制条件设为“True”的情况下,会禁止创建服务帐号。 默认情况下,用户可以根据他们的 Cloud IAM 角色和权限创建服务帐号。 constraints/iam.disableServiceAccountCreation |
"is:" |
|
| 禁止创建服务帐号密钥 | 测试版:此布尔值限制条件设为“True”的情况下,会禁止创建服务帐号外部密钥。 默认情况下,用户可以根据其 Cloud IAM 角色和权限创建服务帐号外部密钥。 constraints/iam.disableServiceAccountKeyCreation |
"is:" |
|
| Resource Manager | 限制共享的 VPC 项目安全锁移除 | 此布尔值限制条件设为 True 时,在没有组织级别权限的情况下可以移除共享 VPC 项目安全锁的一组用户将受到此限制条件的限制。默认情况下,任何具有安全锁更新权限的用户都可以移除共享的 VPC 项目安全锁。强制执行这一限制条件需要在组织级别授予权限。 constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
| Google Cloud Platform | 定义允许的 API 和服务 | 此列表限制条件定义了可以在此资源及其子资源中启用的一组服务及其 API。 默认情况下,允许启用所有服务。 服务的拒绝列表必须使用 API 的字符串名称进行标识,并且只能包含下面列表中明确拒绝的值。系统目前不支持明确允许 API。明确拒绝不在此列表中的 API 将导致出错。
constraints/serviceuser.services |
"is:" |
| Cloud Storage | 强制执行“仅限存储分区政策” | 测试版:此布尔值限制条件设为 True 的情况下,会要求存储分区使用“仅限存储分区政策”。组织资源中的所有新存储分区必须已启用“仅限存储分区政策”,且组织资源中的现有存储分区都不能停用“仅限存储分区政策”。实施此限制条件不会影响先前的操作:已停用“仅限存储分区政策”的现有存储分区将继续停用该选项。此限制条件的默认值为 False。“仅限存储分区政策”会禁止评估分配给存储分区中的 Cloud Storage 对象的 ACL。因此,只有 IAM 政策会授予对这些存储分区中对象的访问权限。 注意:将数据导出至 Cloud Storage 的某些 GCP 服务无法将数据导出至启用了“仅限存储分区政策”的存储分区。其中可能包括 Stackdriver、Compute Engine 的使用情况报告或自定义映像导出服务、Cloud Audit Logging、Firebase GCP Integration、Cloud SQL、Cloud Billing 和 Datastore 等服务。 constraints/storage.bucketPolicyOnly |
"is:" |
| 保留政策时长(以秒为单位) | 此列表限制条件定义了可以对 Cloud Storage 存储分区设置的一组保留政策时长。 默认情况下,如果未指定任何组织政策,Cloud Storage 存储分区的保留政策将没有任何时长限制。 允许的时长列表必须指定为大于零的正整数值,表示以秒为单位的保留政策。 对组织资源中的存储分区执行的任何插入、更新或修补操作都必须具有与此限制条件一致的保留政策时长。 强制执行此限制条件不会影响先前的操作。在应用新的组织政策后,现有存储分区的保留政策将保持不变并继续有效。 constraints/storage.retentionPolicySeconds |
"is:" |
|
方法指南
如需详细了解如何使用各个限制条件:
| 限制条件 | 方法指南 |
|---|---|
constraints/compute.vmExternalIpAccess |
停用虚拟机对外部 IP 的访问权限 |
constraints/compute.trustedImageProjects |
限制对映像的访问 |
constraints/iam.allowedPolicyMemberDomains(测试版) |
按网域限制身份 |
constraints/iam.disableServiceAccountKeyCreation(测试版) |
限制服务帐号密钥的创建 |
constraints/iam.disableServiceAccountCreation(测试版) |
限制服务帐号的创建 |
constraints/storage.bucketPolicyOnly(测试版) |
在 Cloud Storage 中设置组织政策 |
constraints/storage.retentionPolicySeconds |
在 Cloud Storage 中设置组织政策 |
了解详情
如需详细了解组织政策的核心概念:
阅读组织政策概览。
了解什么是限制条件。
阅读如何使用限制条件创建组织政策。
了解分层评估的工作原理。
