Diese Seite wurde von der Cloud Translation API übersetzt.

Informationen zu Einschränkungen

Eine Einschränkung gilt spezifisch für einen Google Cloud-Dienst oder eine Liste von Google Cloud-Diensten. Sie können sich die Einschränkung als Vorlage vorstellen, die definiert, welches Verhalten kontrolliert wird. Diese Vorlage wird dann als Organisationsrichtlinie auf den Knoten einer Ressourcenhierarchie angewendet, wodurch die in der Einschränkung definierten Regeln implementiert werden. Der Google Cloud-Dienst, dem die Einschränkung zugeordnet ist und der mit dem entsprechenden Ressourcenhierarchieknoten verknüpft ist, setzt dann die in der Organisationsrichtlinie konfigurierten Einschränkungen durch.

Eine Einschränkung verfügt über einen Typ, der bestimmt, welche Organisationsrichtlinienwerte eingegeben und für die Überprüfung der Erzwingung verwendet werden können. Der die Einschränkung durchsetzende Google Cloud-Dienst wertet den Typ und Wert der Einschränkung aus, um ihren Umfang zu ermitteln. Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien.

Bei der Evaluierung der Hierarchie wird die Organisationsrichtlinie, die für den aktuellen Knoten der Ressourcenhierarchie festgelegt wurde, wirksam. Wenn inheritFromParent auf TRUE eingestellt ist, erfolgt eine Zusammenführung durch Übernahme.

Einschränkungsattribute

Jede Einschränkung wird durch diese Attribute definiert:

Name: Der eindeutige Name der Einschränkung.
- Beispiel: constraints/compute.disableSerialPortAccess
Anzeigename: Der nutzerfreundliche Name der Einschränkung.
Beschreibung: Details dazu, welche Maßnahmen durch welche Google Cloud-Dienste umgesetzt werden.
Standardverhalten: Verhalten, wenn keine benutzerdefinierte Konfiguration für die Richtlinie festgelegt wurde.

Einschränkungstypen

Listeneinschränkung

Eine Listeneinschränkung lässt eine Liste von Werten, die in einer Organisationsrichtlinie definiert ist, zu oder nicht zu. Diese Liste von Werten wird in Form eines Strings für die Hierarchieunterstruktur angegeben. Der Unterstrukturstring gibt die Art von Ressource an, für die er gilt. Zum Beispiel eine Liste von Projekt-IDs im Format projects/PROJECT_ID für constraints/compute.trustedImageProjects.

In der folgenden Tabelle werden einige gängige Einschränkungskonfigurationen für die Richtlinienerzwingung beschrieben:

Richtlinie	Einschränkungskonfiguration
Bestimmte Wertemenge zulassen	Legen Sie im Feld für zulässige Werte (`ListPolicy.allowed_values`) eine Liste von Strings fest. Stellen Sie `ListPolicy.all_values` auf `ALL_VALUES_UNSPECIFIED` ein.
Bestimmte Wertemenge ablehnen	Legen Sie im Feld für abgelehnte Werte (`ListPolicy.denied_values`) eine Liste von Strings fest. Stellen Sie `ListPolicy.all_values` auf `ALL_VALUES_UNSPECIFIED` ein.
Wert und alle seine untergeordneten Werte ablehnen	Legen Sie im Feld für abgelehnte Werte (`ListPolicy.denied_values`) einen Unterstrukturstring, z. B. `organizations/1234`, fest. Stellen Sie `ListPolicy.all_values` auf `ALL_VALUES_UNSPECIFIED` ein.
Alle gültigen Werte zulassen	Stellen Sie `ListPolicy.all_values` auf `ALLOW` ein. Legen Sie `ListPolicy.allowed_values` oder `ListPolicy.denied_values` nicht fest.
Alle Werte ablehnen	Stellen Sie `ListPolicy.all_values` auf `DENY` ein. Legen Sie `ListPolicy.allowed_values` oder `ListPolicy.denied_values` nicht fest.

Werten kann auch ein Präfix im Format prefix:value verwendet werden. Dadurch erhält der Wert eine zusätzliche Bedeutung:

is:: Führt einen Vergleich mit dem genauen Wert durch Dieses Verhalten ist mit dem Verhalten ohne Präfix identisch und erforderlich, wenn der Wert einen Doppelpunkt enthält.
under:: Führt einen Vergleich mit dem Wert und allen zugehörigen untergeordneten Werten durch Wenn eine Ressource mit diesem Präfix zugelassen oder abgelehnt wird, werden ihre untergeordneten Ressourcen ebenfalls zugelassen oder abgelehnt. Der angegebene Wert muss ein Unterstrukturstring wie in den folgenden Beispielen sein:

organizations/ORGANIZATION_ID
folders/FOLDER_ID
projects/PROJECT_ID

Einige Einschränkungen sind nicht kompatibel mit der Verwendung von Hierarchie-Unterstrukturstrings als Werte. Informationen zu den Einschränkungen, die die Verwendung von Hierarchie-Unterstruktur-Wertpräfixen unterstützen, finden Sie unter Einschränkungen für Organisationsrichtlinien .

Wertepräfixe für Hierarchieunterstrukturen sind eine Betafunktion und können so geändert werden, dass eine Abwärtskompatibilität nicht mehr gegeben ist. Sie unterliegen weder einem SLA noch einer Einstellungsrichtlinie. Weitere Informationen zur Verwendung von Werten mit Präfixen in Einschränkungen finden Sie unter Erzwingung für eine Hierarchieunterstruktur einrichten.

Wenn keine Liste mit Werten bereitgestellt wird, tritt abhängig von der spezifischen Einschränkung eines der folgenden Standardverhalten in Kraft:

ALLOW – Jeder gültige Wert ist zulässig.
DENY – Kein Wert ist zulässig.

Boolesche Einschränkung

Eine boolean constraint wird entweder erzwungen oder nicht erzwungen. Durch das Festlegen von Policy.enforced auf True wird die Richtlinie durchgesetzt.

Beispiel: constraints/compute.disableSerialPortAccess hat zwei mögliche Status:

TRUE: Die Einschränkung disableSerialPortAccess wird durchgesetzt und der Zugriff auf den seriellen Port ist nicht zulässig.
FALSE: Die Einschränkung disableSerialPortAccess wird nicht durchgesetzt oder aktiviert, daher ist der Zugriff auf den seriellen Port zulässig.

Wenn keine Richtlinie festgelegt oder die Richtlinie auf RestoreDefault eingestellt ist, ist der Zugriff auf den seriellen Port zulässig, da die Standardeinstellung der Einschränkung "zulässig" ist.