Postura predefinida para segurança por predefinição, essenciais

Esta restrição impede que os utilizadores criem chaves persistentes para contas de serviço, o que diminui o risco de credenciais de contas de serviço expostas.

O valor é true para desativar a criação de chaves de contas de serviço.

Esta restrição impede que as contas de serviço predefinidas recebam a função de editor do Identity and Access Management (IAM) excessivamente permissiva no momento da criação.

O valor é true para desativar as concessões de IAM automáticas para contas de serviço predefinidas.

Esta restrição evita o risco de material de chaves personalizado roubado e reutilizado em chaves de contas de serviço.

O valor é true para desativar os carregamentos de chaves de contas de serviço.

Esta política impede que os contentores do Cloud Storage estejam abertos ao acesso público não autenticado.

O valor é true para impedir o acesso público aos contentores.

Esta política impede que os contentores do Cloud Storage usem ACLs por objeto (um sistema separado das políticas de IAM) para fornecer acesso, aplicando a consistência para a gestão de acesso e a auditoria.

O valor é true para aplicar o acesso uniforme ao nível do contentor.

Esta política requer o início de sessão do SO em VMs criadas recentemente para gerir mais facilmente as chaves SSH, fornecer autorização ao nível do recurso com políticas de IAM e registar o acesso do utilizador.

O valor é true para exigir o Início de sessão do SO.

Esta política impede que os utilizadores acedam à porta série da VM, que pode ser usada para acesso indireto a partir do plano de controlo da API Compute Engine.

O valor é true para desativar o acesso à porta de série da VM.

Esta política impede a eliminação acidental de projetos anfitriões da VPC partilhada, restringindo a remoção de restrições de projetos.

O valor é true para restringir a remoção da retenção do projeto de VPC partilhada.

Esta política impede a criação de instâncias do Compute Engine com um endereço IP público, o que pode expô-las ao tráfego de Internet de entrada e de saída.

O valor é denyAll para desativar todo o acesso a partir de endereços IP públicos. Se quiser alterá-lo para permitir que determinadas instâncias de VM tenham acesso público, defina os valores permitidos:

policy_rules:
    - values:
      allowed_values:
      - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

Esta política desativa a criação automática de uma rede de VPC predefinida e de regras de firewall predefinidas em cada novo projeto, garantindo que as regras de rede e de firewall são criadas intencionalmente.

O valor é true para evitar a criação da rede VPC predefinida.

Esta política restringe a escolha de definições de DNS antigas por parte dos programadores de aplicações para instâncias do Compute Engine que tenham uma fiabilidade do serviço inferior à das definições de DNS modernas.

O valor é Zonal DNS only para novos projetos.

Esta política impede a criação de instâncias do Cloud SQL com endereços IP públicos, o que pode expô-las ao tráfego de Internet de entrada e de saída.

O valor é true para restringir o acesso a instâncias do Cloud SQL por endereços IP públicos.

Esta política impede que os intervalos de rede públicos ou não RFC 1918 acedam às bases de dados do Cloud SQL.

O valor é true para restringir redes autorizadas em instâncias do Cloud SQL.

Esta política permite o encaminhamento de protocolos de VMs apenas para endereços IP internos.

O valor é INTERNAL para restringir o encaminhamento de protocolos com base no tipo de endereço IP.

Esta política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de Internet de entrada e saída.

O valor é true para desativar as sub-redes IPv6 externas.

Esta política desativa a virtualização aninhada para todas as VMs do Compute Engine de modo a diminuir o risco de segurança relacionado com instâncias aninhadas não monitorizadas.

O valor é true para desativar a virtualização aninhada da VM.