Batasan adalah jenis pembatasan terhadap layanan Google Cloud atau daftar layanan Google Cloud. Bayangkan batasan sebagai cetak biru yang menentukan perilaku apa yang dikontrol. Cetak biru ini kemudian diterapkan ke node hierarki resource sebagai kebijakan organisasi, yang menerapkan aturan yang ditentukan dalam batasan. Layanan Google Cloud yang dipetakan ke batasan tersebut dan terkait dengan node hierarki resource tersebut kemudian akan menerapkan pembatasan yang dikonfigurasi dalam kebijakan organisasi.
Batasan memiliki jenis, yang menentukan nilai kebijakan organisasi yang dapat dimasukkan dan digunakan untuk memeriksa penerapan. Layanan Google Cloud penerapan akan mengevaluasi jenis dan nilai batasan untuk menentukan batasan. Untuk informasi selengkapnya, lihat Batasan kebijakan organisasi.
Selama evaluasi hierarki, kebijakan organisasi
yang ditetapkan pada node hierarki resource saat ini akan diterapkan. Jika
inheritFromParent
ditetapkan ke TRUE
, penggabungan pewarisan akan
berlaku.
Atribut batasan
Setiap batasan ditentukan oleh atribut berikut:
- Name: nama unik batasan.
- Contoh,
constraints/compute.disableSerialPortAccess
- Contoh,
- Nama tampilan: nama batasan yang mudah dipahami.
- Deskripsi: detail tentang penegakan yang diterapkan dan oleh layanan Google Cloud yang mana.
- Perilaku default: perilaku tanpa adanya konfigurasi yang ditentukan pengguna dalam kebijakan.
Jenis batasan
Batasan daftar
Batasan daftar mengizinkan atau melarang
daftar nilai yang ditentukan dalam kebijakan organisasi. Daftar nilai ini
dinyatakan sebagai string subhierarki hierarki. String subhierarki menentukan jenis
resource yang diterapkan padanya. Misalnya, daftar project ID dalam bentuk
projects/
PROJECT_ID untuk constraints/compute.trustedImageProjects
.
Tabel berikut menjelaskan beberapa konfigurasi batasan umum untuk penegakan kebijakan:
Kebijakan | Konfigurasi batasan |
---|---|
Mengizinkan kumpulan nilai tertentu | Tetapkan kolom nilai yang diizinkan (ListPolicy.allowed_values ) ke daftar string Setel ListPolicy.all_values ke ALL_VALUES_UNSPECIFIED |
Menolak kumpulan nilai tertentu | Setel kolom nilai yang ditolak (ListPolicy.denied_values ) ke daftar string Setel ListPolicy.all_values ke ALL_VALUES_UNSPECIFIED |
Menolak nilai dan semua nilai turunannya | Tetapkan kolom nilai yang ditolak (ListPolicy.denied_values ) ke string subhierarki, seperti organizations/1234 Tetapkan ListPolicy.all_values ke ALL_VALUES_UNSPECIFIED |
Izinkan semua nilai yang valid | Setel ListPolicy.all_values ke ALLOW Jangan setel ListPolicy.allowed_values atau ListPolicy.denied_values |
Tolak semua nilai | Setel ListPolicy.all_values ke DENY Jangan setel ListPolicy.allowed_values atau ListPolicy.denied_values |
Nilai juga dapat diberi awalan dalam bentuk prefix:value
, yang kemudian memberi nilai tambahan itu:
is:
- Menerapkan perbandingan terhadap nilai persisnya. Perilaku ini sama dengan tidak memiliki awalan, dan diperlukan jika nilai menyertakan titik dua.under:
- Menerapkan perbandingan ke nilai dan semua nilai turunannya. Jika resource diizinkan atau ditolak dengan awalan ini, resource turunannya juga akan ditolak. Nilai yang diberikan harus berupa string subhierarki hierarki, seperti dalam contoh berikut:organizations/ORGANIZATION_ID
folders/FOLDER_ID
projects/PROJECT_ID
Beberapa batasan tidak kompatibel dengan penggunaan string subhierarki hierarki sebagai nilai. Untuk informasi tentang batasan yang mendukung penggunaan awalan nilai subhierarki hierarki, lihat Batasan kebijakan organisasi.
Awalan nilai subhierarki hierarki adalah fitur beta, yang dapat diubah sehingga tidak kompatibel dengan versi sebelumnya, serta tidak tunduk pada SLA atau kebijakan penghentian layanan mana pun. Untuk mengetahui informasi selengkapnya tentang penggunaan nilai awalan dalam batasan, lihat Menyiapkan penerapan terhadap subhierarki.
Jika tidak ada daftar nilai yang diberikan, nilai default yang berlaku, bergantung pada batasan spesifiknya, mungkin:
ALLOW
- Nilai apa pun yang valid diizinkan.DENY
- Tidak ada nilai yang diizinkan.
Batasan Boolean
boolean constraint sedang diterapkan atau tidak. Kebijakan ini diterapkan dengan menetapkan Policy.enforced
ke
True
.
Misalnya, constraints/compute.disableSerialPortAccess
akan memiliki dua
kemungkinan status:
- TRUE - batasan
disableSerialPortAccess
diterapkan, dan akses port serial tidak diizinkan. - FALSE - batasan
disableSerialPortAccess
tidak diterapkan atau diperiksa, sehingga akses port serial diizinkan.
Jika tidak ada kebijakan yang ditetapkan, atau kebijakan disetel ke RestoreDefault
, akses port
serial akan diizinkan karena default batasannya adalah mengizinkan.