Informationen zu Einschränkungen

Eine Einschränkung ist eine Art Abgrenzung gegen einen GCP-Dienst oder eine Liste von GCP-Diensten. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Diese Vorlage wird dann als Organisationsrichtlinie, die die in der Einschränkung definierten Regeln implementiert, auf den Knoten einer Ressourcenhierarchie angewendet. Der GCP-Dienst, der dieser Einschränkung zugeordnet und mit dem Knoten der Ressourcenhierarchie verknüpft ist, erzwingt dann die Einschränkungen, die in der Organisationsrichtlinie konfiguriert wurden.

Eine Einschränkung verfügt über einen Typ, der bestimmt, welche Organisationsrichtlinienwerte eingegeben und für die Überprüfung der Erzwingung verwendet werden können. Der erzwingende GCP-Dienst evaluiert den Einschränkungstyp und -wert, um die Einschränkung zu ermitteln.

Bei der Evaluierung der Hierarchie wird die Organisationsrichtlinie, die für den aktuellen Knoten der Ressourcenhierarchie festgelegt wurde, wirksam. Wenn für inheritFromParent der Wert TRUE festgelegt wurde, tritt die Übernahmezusammenführung in Kraft.

Einschränkungsattribute

Jede Einschränkung wird durch diese Attribute definiert:

  • Name: Der eindeutige Name der Einschränkung.
    • Beispiel: constraints/compute.disableSerialPortAccess
  • Anzeigename: Der nutzerfreundliche Name der Einschränkung.
  • Beschreibung: Informationen dazu, welche Einschränkungen von welchen GCP-Diensten erzwungen werden.
  • Standardverhalten: Verhalten, wenn keine benutzerdefinierte Konfiguration für die Richtlinie festgelegt wurde.


Einschränkungstypen

Listeneinschränkung

Eine Listeneinschränkung lässt eine Liste von Werten, die in einer Organisationsrichtlinie definiert ist, zu oder nicht zu. Diese Liste von Werten wird in Form eines Strings für die Hierarchieunterstruktur angegeben. Der Unterstrukturstring gibt die Art von Ressource an, für die er gilt. Dies kann beispielsweise eine Liste von Projekt-IDs in der Form projects/PROJECT_ID für constraints/compute.trustedImageProjects sein.

In der folgenden Tabelle werden einige gängige Einschränkungskonfigurationen für die Richtlinienerzwingung beschrieben:

Richtlinie Einschränkungskonfiguration
Bestimmte Wertemenge zulassen Legen Sie im Feld für zulässige Werte (ListPolicy.allowed_values) eine Liste mit Strings fest
Legen Sie für ListPolicy.all_values die Option ALL_VALUES_UNSPECIFIED fest
Bestimmte Wertemenge ablehnen Legen Sie im Feld für abgelehnte Werte (ListPolicy.denied_values) eine Liste mit Strings fest
Legen Sie für ListPolicy.all_values die Option ALL_VALUES_UNSPECIFIED fest
Wert und alle seine untergeordneten Werte ablehnen Legen Sie im Feld für abgelehnte Werte (ListPolicy.denied_values) einen Unterstrukturstring wie organizations/1234 fest
Legen Sie für ListPolicy.all_values die Option ALL_VALUES_UNSPECIFIED fest
Alle gültigen Werte zulassen Legen Sie für ListPolicy.all_values die Option ALLOW fest
Legen Sie weder ListPolicy.allowed_values noch ListPolicy.denied_values fest
Alle Werte ablehnen Legen Sie für ListPolicy.all_values die Option DENY fest
Legen Sie weder ListPolicy.allowed_values noch ListPolicy.denied_values fest

Sie können einem Wert auch ein Präfix in der Form "Präfix:Wert" voranstellen, das den Wert weiter spezifiziert:

  • is: – Der Vergleich erfolgt anhand des exakten Wertes. Dieses Verhalten ist mit dem Verhalten ohne Präfix identisch und erforderlich, wenn der Wert einen Doppelpunkt enthält.
  • under: – Der Vergleich erfolgt anhand des Wertes und aller untergeordneter Werte. Wenn eine Ressource mit diesem Präfix zugelassen oder abgelehnt wird, werden ihre untergeordneten Ressourcen ebenfalls zugelassen oder abgelehnt. Der angegebene Wert muss ein Unterstrukturstring wie in den folgenden Beispielen sein:
    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_ID

Einige Einschränkungen sind nicht kompatibel mit der Verwendung von Hierarchie-Unterstrukturstrings als Werte. Informationen zu den Einschränkungen, die die Verwendung von Hierarchie-Unterstruktur-Wertpräfixen unterstützen, finden Sie unter Einschränkungen für Organisationsrichtlinien .

Wertepräfixe für Hierarchieunterstrukturen sind eine Betafunktion und können so geändert werden, dass eine Abwärtskompatibilität nicht mehr gegeben ist. Sie unterliegen weder einem SLA noch einer Einstellungsrichtlinie. Weitere Informationen zur Verwendung von Werten mit Präfixen in Einschränkungen finden Sie unter Erzwingung für eine Hierarchieunterstruktur einrichten.

Wenn keine Liste mit Werten bereitgestellt wird, tritt abhängig von der spezifischen Einschränkung eines der folgenden Standardverhalten in Kraft:

  • ALLOW – Jeder gültige Wert ist zulässig.
  • DENY – Kein Wert ist zulässig.

Boolesche Einschränkung

Eine boolesche Einschränkung wird entweder erzwungen oder nicht erzwungen. Die Richtlinie wird erzwungen, indem für Policy.enforced der Wert True festgelegt wird.

constraints/compute.disableSerialPortAccess etwa verfügt über zwei mögliche Status:

  • TRUE – Die Einschränkung disableSerialPortAccess wird erzwungen und der Zugriff auf serielle Ports ist nicht zulässig.
  • FALSE – Die Einschränkung disableSerialPortAccess wird nicht erzwungen oder überprüft, daher ist der Zugriff auf serielle Ports zulässig.

Wenn keine Richtlinie festgelegt wurde oder für die Richtlinie RestoreDefault festgelegt wurde, ist der Zugriff auf serielle Ports zulässig. Dies ist Standardeinstellung für die Einschränkung.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager