组织政策限制条件

可用限制条件

您可以指定使用以下限制条件的政策。更多限制条件正在制定。

服务 限制条件 说明 支持的前缀
App Engine 停用源代码下载功能 不允许下载之前上传到 App Engine 的源代码。
constraints/appengine.disableCodeDownload
"is:"
Cloud Functions 允许使用的入站流量设置 (Cloud Functions) 此列表限制条件指定了 Cloud Functions 函数部署可使用的入站流量设置。当强制执行此限制条件时,函数需要具有与某个允许的值匹配的入站流量设置。
默认情况下,Cloud Functions 可以使用任意入站流量设置。必须使用 IngressSettings 枚举的值在允许的列表中指定
入口流量设置。

constraints/cloudfunctions.allowedIngressSettings
"is:"
允许使用的 VPC 连接器出站流量设置 (Cloud Functions) 此列表限制条件定义了部署 Cloud Functions 函数时允许使用的 VPC 连接器出站流量设置。当强制执行此限制条件时,函数需要具有与某个允许的值匹配的 VPC 连接器出站流量设置。
默认情况下,Cloud Functions 可以使用任何 VPC 连接器出站流量设置。必须使用 VpcConnectorEgressSettings 枚举的值在允许的列表中指定
VPC 连接器出口设置。

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
要求使用 VPC 连接器 (Cloud Functions) 当您部署 Cloud Functions 函数时,此布尔值限制条件会强制设置 VPC 连接器。当强制执行此限制条件时,函数需要指定一个 VPC 连接器。
默认情况下,无需指定 VPC 连接器即可部署 Cloud Functions。

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL 限制 Cloud SQL 实例使用默认的 Google 管理的加密功能 BETA 版:此布尔值限制条件设为 True 时,所有新创建、重启或更新的 Cloud SQL 实例都必须使用客户管理的加密密钥 (CMEK)。此限制条件不会影响先前的操作(这意味着使用 Google 管理的加密功能的现有实例不会受到影响,除非这些实例发生了更新或刷新)。
默认情况下,此限制条件设置为 False,即允许 Cloud SQL 实例使用 Google 管理的加密功能。

constraints/sql.disableDefaultEncryptionCreation
"is:"
限制 Cloud SQL 实例的授权网络 设为 True 时,此布尔值限制条件会限制向 Cloud SQL 实例添加授权网络来进行无代理的数据库访问。此限制条件不会影响先前的操作;也就是说,即使在实施此限制条件之后,已有授权网络的 Cloud SQL 实例也仍然照常运作。
默认情况下,系统允许向 Cloud SQL 实例添加授权网络。

constraints/sql.restrictAuthorizedNetworks
"is:"
限制 Cloud SQL 实例的公共 IP 访问权限 设置为 True 时,该布尔值限制条件会限制在 Cloud SQL 实例上配置公共 IP 地址。此限制条件不会影响先前的操作;也就是说,即使在实施此限制条件之后,已有公共 IP 访问权限的 Cloud SQL 实例也仍然照常运作。
默认情况下,系统允许为 Cloud SQL 实例配置公共 IP 访问权限。

constraints/sql.restrictPublicIp
"is:"
Compute Engine 停用 Compute Engine 元数据的客机特性 设为 True 时,此布尔值限制条件会禁止通过 Compute Engine API 访问属于相应组织、项目或文件夹的 Compute Engine 虚拟机的客机特性
默认情况下,系统允许使用 Compute Engine API 访问 Compute Engine 虚拟机的客机特性。

constraints/compute.disableGuestAttributesAccess
"is:"
停用互联网网络端点组 此布尔值限制条件限定了用户是否可以使用 INTERNET_FQDN_PORTtypeINTERNET_IP_PORT 创建互联网网络端点组 (NEG)。
默认情况下,具有相应 IAM 权限的任何用户都可以在任何项目中创建互联网 NEG。
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
停用虚拟机嵌套虚拟化 设置为 True 时,此布尔值限制条件会对属于相应组织、项目或文件夹的所有 Compute Engine 虚拟机停用硬件加速的嵌套虚拟化功能。
默认情况下,在 Intel Haswell 或更新的 CPU 平台上运行的所有 Compute Engine 虚拟机都可以使用硬件加速的嵌套虚拟化功能。

constraints/compute.disableNestedVirtualization
"is:"
停用虚拟机串行端口访问权限 设置为 True 时,此布尔值限制条件会禁止通过串行端口访问属于相应组织、项目或文件夹的 Compute Engine 虚拟机。
默认情况下,客户可以使用元数据特性针对单个虚拟机或项目进行 Compute Engine 虚拟机串行端口访问。无论元数据特性如何,实施此限制条件都会停用 Compute Engine 虚拟机的串行端口访问权限。

constraints/compute.disableSerialPortAccess
"is:"
停用将虚拟机串行端口输出记录到 Stackdriver 的功能 如果组织、项目或文件夹实施了此布尔值限制条件,则系统不允许将属于该组织、项目或文件夹的 Compute Engine 虚拟机的串行端口输出记录到 Stackdriver。
默认情况下,Compute Engine 虚拟机的串行端口输出日志记录功能处于停用状态,您可以使用元数据特性针对单个虚拟机或项目有选择地启用此功能。实施这项限制条件时,系统会为新创建的 Compute Engine 虚拟机停用串行端口输出日志记录功能,并禁止用户将任何虚拟机(无论新旧)的元数据特性更改为 True
constraints/compute.disableSerialPortLogging
"is:"
要求使用 OS Login 设为 true 时,此布尔值限制条件会为所有新创建的项目启用 OS Login。在新项目中创建的所有虚拟机实例都将启用 OS Login。在新项目和现有的项目中,此限制条件可防止会在项目或实例级停用 OS Login 的元数据更新。
默认情况下,OS Login 功能在 Compute Engine 项目中处于停用状态。
GKE 实例目前不支持 OS Login。如果对某一项目应用此限制条件,则在该项目中运行的 GKE 实例可能无法正常运行。
constraints/compute.requireOsLogin
"is:"
安全强化型虚拟机 如果此布尔值限制条件设为 True,则所有新 Compute Engine 虚拟机实例都必须使用启用了安全启动、vTPM 和完整性监控选项的安全强化型磁盘映像。如果需要,您可以在创建实例后停用安全启动。运行中的现有实例会继续正常运行。
默认情况下,无需启用安全强化型虚拟机功能即可创建 Compute Engine 虚拟机实例。安全强化型虚拟机功能可为您的虚拟机添加可验证的完整性和抗渗漏性。
constraints/compute.requireShieldedVm
"is:"
限制共享 VPC 宿主项目 此列表限制条件定义了一组共享 VPC 宿主项目,此资源中或其子资源中的项目可以附加到这组共享项目。默认情况下,一个项目可以附加到同一组织中的任何宿主项目,从而成为服务项目。允许/拒绝列表中的项目、文件夹和组织会影响资源层次结构中位于其自身下方的所有对象,并且必须按以下格式指定:under:organizations/ORGANIZATION_IDunder:folders/FOLDER_IDprojects/PROJECT_ID
constraints/compute.restrictSharedVpcHostProjects
"is:""under:"
限制共享 VPC 子网 此列表限制条件定义了符合条件的资源可以使用的一组共享 VPC 子网。此限制条件仅适用于共享 VPC 服务项目中的资源,而不适用于共享 VPC 宿主项目本身中的资源。默认情况下,服务项目中符合条件的资源可以使用任何共享 VPC 子网,只要创建该资源的 IAM 成员拥有该子网的 Network User 角色即可。子网的允许/拒绝列表必须按以下格式指定:projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME
constraints/compute.restrictSharedVpcSubnetworks
"is:"
限制 VPC 对等互连用量 此列表限制条件定义了可与属于此项目、文件夹或组织的 VPC 网络建立对等互连的一组 VPC 网络。默认情况下,一个网络的 Network Admin 可与其他任何网络建立对等互连。网络的允许/拒绝列表必须按以下格式标识:under:organizations/ORGANIZATION_IDunder:folders/FOLDER_IDunder:projects/PROJECT_IDprojects/PROJECT_ID/global/networks/NETWORK_NAME
constraints/compute.restrictVpcPeering
"is:""under:"
跳过默认网络创建作业 设置为 True 时,此布尔值限制条件会在 Google Cloud Platform 项目资源创建期间跳过默认网络和相关资源的创建作业。默认情况下,系统会在创建项目资源时自动创建默认网络和支持资源。

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute 存储资源使用限制(Compute Engine 磁盘、映像和快照) 此列表限制条件定义了一组可以使用 Compute Engine 存储资源的项目。默认情况下,任何具有相应 Cloud IAM 权限的人员都可以访问 Compute Engine 资源。使用此限制条件时,用户必须具备 Cloud IAM 权限,且不能被限制条件限制访问资源。
允许或拒绝列表中指定的项目、文件夹和组织必须分别采用以下格式:under:projects/PROJECT_IDunder:folders/FOLDER_IDunder:organizations/ORGANIZATION_ID

constraints/compute.storageResourceUseRestrictions
"is:""under:"
定义可信映像项目 此列表限制条件定义了一组可用于针对 Compute Engine 进行映像存储和磁盘实例化的项目。
默认情况下,可以基于向该用户公开或明确共享映像的任何项目中的映像创建实例。
发布商项目的允许/拒绝列表必须是采用以下格式的字符串:projects/PROJECT_ID。如果此限制条件已启用,那么只有可信项目中的映像可用作新实例启动磁盘的来源。

constraints/compute.trustedImageProjects
"is:"
限制虚拟机 IP 转发功能 此列表限制条件定义了可启用 IP 转发功能的一组虚拟机实例。默认情况下,任何虚拟机都可以在任何虚拟网络中启用 IP 转发功能。虚拟机实例必须按以下格式指定:under:organizations/ORGANIZATION_IDunder:folders/FOLDER_IDunder:projects/PROJECT_IDprojects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME
constraints/compute.vmCanIpForward
"is:""under:"
为虚拟机实例定义允许的外部 IP 此列表限制条件定义了一组可以使用外部 IP 地址的 Compute Engine 虚拟机实例。
默认情况下,所有虚拟机实例都可以使用外部 IP 地址。
虚拟机实例的允许/拒绝列表必须由虚拟机实例名称标识,格式为:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
Cloud Identity and Access Management 网域限定共享 此列表限制条件定义了可添加至 Cloud IAM 政策的成员组。
默认情况下,所有用户身份都可以添加至 Cloud IAM 政策。
允许/拒绝列表必须指定一个或多个 Cloud Identity 或 G Suite 客户 ID。如果启用了此限制条件,则只有允许列表中的身份才可以添加至 Cloud IAM 政策。

constraints/iam.allowedPolicyMemberDomains
"is:"
定义允许的根证书授权机构 Beta 版:此列表限制条件定义了一组受信任的根证书授权机构,由这组授权机构颁发的公共证书可以添加到 Cloud IAM 服务帐号中。
默认情况下,所有公共证书都可以上传到 Cloud IAM 服务帐号。
如果启用了此限制条件,则允许列表中只有由根证书授权机构颁发的公共证书才可以添加到 Cloud IAM 服务帐号中。
constraints/iam.allowedPublicCertificateTrustedRootCA
"is:"
停用服务帐号创建功能 设置为“True”时,此布尔值限制条件会禁止创建服务帐号。
默认情况下,用户可根据其 Cloud IAM 角色和权限创建服务帐号。

constraints/iam.disableServiceAccountCreation
"is:"
停用服务帐号密钥创建功能 设置为“True”时,此布尔值限制条件会禁止创建服务帐号外部密钥。
默认情况下,用户可根据其 Cloud IAM 角色和权限创建服务帐号外部密钥。

constraints/iam.disableServiceAccountKeyCreation
"is:"
停用服务帐号密钥上传功能 设置为“True”时,此布尔值限制条件会停用允许向服务帐号上传公钥的功能。
默认情况下,用户可根据其 Cloud IAM 角色和权限向服务帐号上传公钥。
constraints/iam.disableServiceAccountKeyUpload
"is:"
停用 Workload Identity 集群创建 设置为“True”时,此布尔值限制条件会要求所有新的 GKE 集群在创建时停用 Workload Identity。已启用 Workload Identity 的现有 GKE 集群会继续正常运行。默认情况下,可以为任何 GKE 集群启用 Workload Identity。
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
资源管理器 限制共享 VPC 项目安全锁移除作业 设置为 True 时,此布尔值限制条件会限制无组织级层权限、但能够移除共享 VPC 项目安全锁的一组用户。
默认情况下,任何具有安全锁更新权限的用户都可以移除共享 VPC 项目安全锁。实施此限制条件需要在组织级层授予权限。

constraints/compute.restrictXpnProjectLienRemoval
"is:"
服务使用者管理 停用默认服务帐号的自动 IAM 授权 Beta 版:如果将此项设为 Enforce ON,则可避免在创建默认服务帐号时自动为其授予项目相关的任何 IAM 角色(仍可创建默认服务帐号)。 "is:"
Google Cloud Platform Google Cloud Platform - 资源位置限制 此列表限制条件定义了可以创建基于位置的 GCP 资源的一组位置。针对此限制条件的策略可以将多个区域(例如 asiaeurope)和单区域(例如 us-east1europe-west1)指定为允许或拒绝的位置。必须明确列出各个要允许或拒绝的位置。允许或拒绝多区域并不表示也应该允许或拒绝其中包含的所有子位置。例如,如果策略拒绝了 us 区域,则仍可以在区域位置 us-east1 中创建资源。
您可以指定值组(即由 Google 精心挑选的一组位置),以便轻松定义您的资源位置。如需在组织政策中使用值组,请在您的条目前面添加 in: 字符串作为前缀,并后跟值组。
如果在位置策略中使用了 suggested_value 字段,则该字段应为区域。如果指定的值为区域,则地区资源的界面可以预填充该区域中的任何地区。
默认情况下,您可以在任何位置创建资源。
constraints/gcp.resourceLocations
"is:""in:"
定义允许的 API 和服务 此列表限制条件定义了可以针对此资源及其子资源启用的一组服务及其 API。
默认情况下,系统允许启用所有服务。
拒绝服务列表必须使用 API 的字符串名称进行标识,并且只能包含下方列表中明确拒绝的值。系统目前不支持明确允许 API。明确拒绝不在此列表中的 API 将导致出错。
实施此限制条件不会影响先前的操作。也就是说,在实施此限制条件后,资源中之前启用的服务仍会保持启用状态。

constraints/serviceuser.services
"is:"
Cloud Storage 保留政策时长(秒) 此列表限制条件定义了可针对 Cloud Storage 存储分区设置的一组保留政策时长。
默认情况下,如果未指定任何组织政策,Cloud Storage 存储分区的保留政策将没有任何时长限制。
允许的时长列表必须指定为大于零的正整数值,并以秒作为保留政策时长的时间单位。
对组织资源中的存储分区执行的任何插入、更新或修补操作都必须具有与此限制条件一致的保留政策时长。
实施此限制条件不会影响先前的操作。也就是说,在应用新的组织政策后,现有存储分区的保留政策将保持不变并继续有效。

constraints/storage.retentionPolicySeconds
"is:"
实施统一的存储分区级访问权限 此布尔值限制条件设置为 True 时,存储分区必须使用统一的存储分区级访问权限。组织资源中的所有新存储分区都必须启用统一的存储分区级访问权限,并且组织资源中的任何存储分区都不得停用统一的存储分区级访问权限。
实施此限制条件不会影响先前的操作;也就是说,已停用统一的存储分区级访问权限的现有存储分区将继续停用该权限。此限制条件的默认值为 False
统一的存储分区级访问权限会禁止评估分配给该存储分区中的 Cloud Storage 对象的 ACL。因此,只有 IAM 政策会授予对这些存储分区中对象的访问权限。

constraints/storage.uniformBucketLevelAccess
"is:"

方法指南

如需详细了解如何使用各个限制条件:

限制条件 方法指南
constraints/compute.vmExternalIpAccess 停用虚拟机的外部 IP 访问权限
constraints/compute.trustedImageProjects 限制对映像的访问
constraints/iam.allowedPolicyMemberDomains 按网域限制身份
constraints/iam.disableServiceAccountKeyCreation 限制服务帐号密钥的创建
constraints/iam.disableServiceAccountCreation 限制服务帐号的创建
constraints/storage.uniformBucketLevelAccess 在 Cloud Storage 中设置组织政策
constraints/storage.retentionPolicySeconds 在 Cloud Storage 中设置组织政策
constraints/gcp.resourceLocations 限制资源位置
constraints/cloudfunctions.allowedIngressSettings 使用 VPC Service Controls

了解详情

如需详细了解组织政策的核心概念: