Informationen zu Einschränkungen

Eine Einschränkung gilt spezifisch für einen Google Cloud-Dienst oder eine Liste von Google Cloud-Diensten. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Diese Vorlage wird dann als Organisationsrichtlinie auf den Knoten einer Ressourcenhierarchie angewendet, wodurch die in der Einschränkung definierten Regeln implementiert werden. Der Google Cloud-Dienst, dem die Einschränkung zugeordnet ist und der mit dem entsprechenden Ressourcenhierarchieknoten verknüpft ist, setzt dann die in der Organisationsrichtlinie konfigurierten Einschränkungen durch.

Eine Einschränkung verfügt über einen Typ, der bestimmt, welche Organisationsrichtlinienwerte eingegeben und für die Überprüfung der Erzwingung verwendet werden können. Der die Einschränkung durchsetzende Google Cloud-Dienst wertet den Typ und Wert der Einschränkung aus, um ihren Umfang zu ermitteln. Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien.

Bei der Evaluierung der Hierarchie wird die Organisationsrichtlinie, die für den aktuellen Knoten der Ressourcenhierarchie festgelegt wurde, wirksam. Wenn inheritFromParent auf TRUE eingestellt ist, erfolgt eine Zusammenführung durch Übernahme.

Einschränkungsattribute

Jede Einschränkung wird durch diese Attribute definiert:

  • Name: Der eindeutige Name der Einschränkung.
    • Beispiel: constraints/compute.disableSerialPortAccess
  • Anzeigename: Der nutzerfreundliche Name der Einschränkung.
  • Beschreibung: Details dazu, welche Maßnahmen durch welche Google Cloud-Dienste umgesetzt werden.
  • Standardverhalten: Verhalten, wenn keine benutzerdefinierte Konfiguration für die Richtlinie festgelegt wurde.

Einschränkungstypen

Listeneinschränkung

Eine Listeneinschränkung lässt eine Liste von Werten, die in einer Organisationsrichtlinie definiert ist, zu oder nicht zu. Diese Liste von Werten wird in Form eines Strings für die Hierarchieunterstruktur angegeben. Der Unterstrukturstring gibt die Art von Ressource an, für die er gilt. Zum Beispiel eine Liste von Projekt-IDs im Format projects/PROJECT_ID für constraints/compute.trustedImageProjects.

In der folgenden Tabelle werden einige gängige Einschränkungskonfigurationen für die Richtlinienerzwingung beschrieben:

Richtlinie Einschränkungskonfiguration
Bestimmte Wertemenge zulassen Legen Sie im Feld für zulässige Werte (ListPolicy.allowed_values) eine Liste von Strings fest.
Stellen Sie ListPolicy.all_values auf ALL_VALUES_UNSPECIFIED ein.
Bestimmte Wertemenge ablehnen Legen Sie im Feld für abgelehnte Werte (ListPolicy.denied_values) eine Liste von Strings fest.
Stellen Sie ListPolicy.all_values auf ALL_VALUES_UNSPECIFIED ein.
Wert und alle seine untergeordneten Werte ablehnen Legen Sie im Feld für abgelehnte Werte (ListPolicy.denied_values) einen Unterstrukturstring, z. B. organizations/1234, fest.
Stellen Sie ListPolicy.all_values auf ALL_VALUES_UNSPECIFIED ein.
Alle gültigen Werte zulassen Stellen Sie ListPolicy.all_values auf ALLOW ein.
Legen Sie ListPolicy.allowed_values oder ListPolicy.denied_values nicht fest.
Alle Werte ablehnen Stellen Sie ListPolicy.all_values auf DENY ein.
Legen Sie ListPolicy.allowed_values oder ListPolicy.denied_values nicht fest.

Sie können auch ein Präfix im Format prefix:value haben, das dann eine zusätzliche Bedeutung hat:

  • is:: Führt einen Vergleich mit dem genauen Wert durch Dieses Verhalten ist mit dem Verhalten ohne Präfix identisch und erforderlich, wenn der Wert einen Doppelpunkt enthält.
  • under:: Führt einen Vergleich mit dem Wert und allen zugehörigen untergeordneten Werten durch Wenn eine Ressource mit diesem Präfix zugelassen oder abgelehnt wird, werden ihre untergeordneten Ressourcen ebenfalls zugelassen oder abgelehnt. Der angegebene Wert muss ein Unterstrukturstring wie in den folgenden Beispielen sein:
    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_ID

Einige Einschränkungen sind nicht kompatibel mit der Verwendung von Hierarchie-Unterstrukturstrings als Werte. Informationen zu den Einschränkungen, die die Verwendung von Hierarchie-Unterstruktur-Wertpräfixen unterstützen, finden Sie unter Einschränkungen für Organisationsrichtlinien .

Wertepräfixe für Hierarchieunterstrukturen sind eine Betafunktion und können so geändert werden, dass eine Abwärtskompatibilität nicht mehr gegeben ist. Sie unterliegen weder einem SLA noch einer Einstellungsrichtlinie. Weitere Informationen zur Verwendung von Werten mit Präfixen in Einschränkungen finden Sie unter Erzwingung für eine Hierarchieunterstruktur einrichten.

Wenn keine Liste mit Werten bereitgestellt wird, tritt abhängig von der spezifischen Einschränkung eines der folgenden Standardverhalten in Kraft:

  • ALLOW – Jeder gültige Wert ist zulässig.
  • DENY – Kein Wert ist zulässig.

Boolesche Einschränkung

Eine boolesche Einschränkung wird entweder erzwungen oder nicht erzwungen. Durch das Festlegen von Policy.enforced auf True wird die Richtlinie durchgesetzt.

Beispiel: constraints/compute.disableSerialPortAccess hat zwei mögliche Status:

  • TRUE: Die Einschränkung disableSerialPortAccess wird durchgesetzt und der Zugriff auf den seriellen Port ist nicht zulässig.
  • FALSE: Die Einschränkung disableSerialPortAccess wird nicht durchgesetzt oder aktiviert, daher ist der Zugriff auf den seriellen Port zulässig.

Wenn keine Richtlinie festgelegt oder die Richtlinie auf RestoreDefault eingestellt ist, ist der Zugriff auf den seriellen Port zulässig, da die Standardeinstellung der Einschränkung "zulässig" ist.