Memahami batasan

Batasan adalah jenis pembatasan terhadap layanan Google Cloud atau daftar layanan Google Cloud. Bayangkan batasan sebagai cetak biru yang menentukan perilaku apa yang dikontrol. Cetak biru ini kemudian diterapkan ke node hierarki resource sebagai kebijakan organisasi, yang menerapkan aturan yang ditentukan dalam batasan. Layanan Google Cloud yang dipetakan ke batasan tersebut dan terkait dengan node hierarki resource tersebut kemudian akan menerapkan pembatasan yang dikonfigurasi dalam kebijakan organisasi.

Batasan memiliki jenis, yang menentukan nilai kebijakan organisasi yang dapat dimasukkan dan digunakan untuk memeriksa penerapan. Layanan Google Cloud penerapan akan mengevaluasi jenis dan nilai batasan untuk menentukan batasan. Untuk informasi selengkapnya, lihat Batasan kebijakan organisasi.

Selama evaluasi hierarki, kebijakan organisasi yang ditetapkan pada node hierarki resource saat ini akan diterapkan. Jika inheritFromParent ditetapkan ke TRUE, penggabungan pewarisan akan berlaku.

Atribut batasan

Setiap batasan ditentukan oleh atribut berikut:

  • Name: nama unik batasan.
    • Contoh, constraints/compute.disableSerialPortAccess
  • Nama tampilan: nama batasan yang mudah dipahami.
  • Deskripsi: detail tentang penegakan yang diterapkan dan oleh layanan Google Cloud yang mana.
  • Perilaku default: perilaku tanpa adanya konfigurasi yang ditentukan pengguna dalam kebijakan.

Jenis batasan

Batasan daftar

Batasan daftar mengizinkan atau melarang daftar nilai yang ditentukan dalam kebijakan organisasi. Daftar nilai ini dinyatakan sebagai string subhierarki hierarki. String subhierarki menentukan jenis resource yang diterapkan padanya. Misalnya, daftar project ID dalam bentuk projects/PROJECT_ID untuk constraints/compute.trustedImageProjects.

Tabel berikut menjelaskan beberapa konfigurasi batasan umum untuk penegakan kebijakan:

Kebijakan Konfigurasi batasan
Mengizinkan kumpulan nilai tertentu Tetapkan kolom nilai yang diizinkan (ListPolicy.allowed_values) ke daftar string
Setel ListPolicy.all_values ke ALL_VALUES_UNSPECIFIED
Menolak kumpulan nilai tertentu Setel kolom nilai yang ditolak (ListPolicy.denied_values) ke daftar string
Setel ListPolicy.all_values ke ALL_VALUES_UNSPECIFIED
Menolak nilai dan semua nilai turunannya Tetapkan kolom nilai yang ditolak (ListPolicy.denied_values) ke string subhierarki, seperti organizations/1234
Tetapkan ListPolicy.all_values ke ALL_VALUES_UNSPECIFIED
Izinkan semua nilai yang valid Setel ListPolicy.all_values ke ALLOW
Jangan setel ListPolicy.allowed_values atau ListPolicy.denied_values
Tolak semua nilai Setel ListPolicy.all_values ke DENY
Jangan setel ListPolicy.allowed_values atau ListPolicy.denied_values

Nilai juga dapat diberi awalan dalam bentuk prefix:value, yang kemudian memberi nilai tambahan itu:

  • is: - Menerapkan perbandingan terhadap nilai persisnya. Perilaku ini sama dengan tidak memiliki awalan, dan diperlukan jika nilai menyertakan titik dua.
  • under: - Menerapkan perbandingan ke nilai dan semua nilai turunannya. Jika resource diizinkan atau ditolak dengan awalan ini, resource turunannya juga akan ditolak. Nilai yang diberikan harus berupa string subhierarki hierarki, seperti dalam contoh berikut:
    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_ID

Beberapa batasan tidak kompatibel dengan penggunaan string subhierarki hierarki sebagai nilai. Untuk informasi tentang batasan yang mendukung penggunaan awalan nilai subhierarki hierarki, lihat Batasan kebijakan organisasi.

Awalan nilai subhierarki hierarki adalah fitur beta, yang dapat diubah sehingga tidak kompatibel dengan versi sebelumnya, serta tidak tunduk pada SLA atau kebijakan penghentian layanan mana pun. Untuk mengetahui informasi selengkapnya tentang penggunaan nilai awalan dalam batasan, lihat Menyiapkan penerapan terhadap subhierarki.

Jika tidak ada daftar nilai yang diberikan, nilai default yang berlaku, bergantung pada batasan spesifiknya, mungkin:

  • ALLOW - Nilai apa pun yang valid diizinkan.
  • DENY - Tidak ada nilai yang diizinkan.

Batasan Boolean

boolean constraint sedang diterapkan atau tidak. Kebijakan ini diterapkan dengan menetapkan Policy.enforced ke True.

Misalnya, constraints/compute.disableSerialPortAccess akan memiliki dua kemungkinan status:

  • TRUE - batasan disableSerialPortAccess diterapkan, dan akses port serial tidak diizinkan.
  • FALSE - batasan disableSerialPortAccess tidak diterapkan atau diperiksa, sehingga akses port serial diizinkan.

Jika tidak ada kebijakan yang ditetapkan, atau kebijakan disetel ke RestoreDefault, akses port serial akan diizinkan karena default batasannya adalah mengizinkan.