Einschränkungen für Organisationsrichtlinien

Mit dieser Listeneinschränkung werden die zulässigen Verschlüsselungseinstellungen für neue VLAN-Anhänge definiert.
Standardmäßig dürfen VLAN-Anhänge alle Verschlüsselungseinstellungen verwenden.
 Legen Sie IPSEC als zulässigen Wert fest, um zu erzwingen, dass nur verschlüsselte VLAN-Anhänge erstellt werden.

Diese Einschränkung sorgt dafür, dass Vorschaufunktionen blockiert werden, sofern sie nicht explizit zugelassen werden. Wenn die Einstellung auf „Zulassen“ festgelegt ist, können Sie steuern, welche Vorschaufunktionen für Ihr Projekt einzeln aktiviert oder deaktiviert werden können. Im Projekt kann nur auf aktivierte Vorschaufunktionen zugegriffen werden. Wenn Sie die Richtlinie später deaktivieren, ändert sich der Status der einzelnen Vorschaufunktionen nicht. Sie können einzeln deaktiviert werden. Diese Einschränkung gilt nur für Compute Alpha API-Funktionen.

[Öffentliche Vorschau] Mit dieser booleschen Einschränkung wird die hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden.

Vorschau: Diese Einschränkung verhindert, dass der Metadatenschlüssel „serial-port-enable“ für Compute Engine-VMs in der Organisation, dem Projekt oder dem Ordner, in dem diese Einschränkung erzwungen wird, auf „true“ gesetzt wird. Standardmäßig kann der Zugriff auf serielle Ports mit diesem Metadatenschlüssel für einzelne VMs, Zonen oder Projekte aktiviert werden. Wenn Sie den Zugriff auf den seriellen Port für bestimmte VMs zulassen möchten, können Sie sie mithilfe von Tags und bedingten Regeln von dieser Richtlinie ausnehmen.
Wichtig: Die Erzwingung dieser Einschränkung wirkt sich nicht auf vorhandene VMs aus, bei denen „serial-port-enable“ bereits auf „true“ gesetzt ist. Sie behalten den Zugriff bei, sofern ihre Metadaten nicht aktualisiert werden.

[Öffentliche Vorschau] Wenn diese Einschränkung erzwungen wird, wird das Logging serieller Ports in Stackdriver von Compute Engine-VMs deaktiviert.
Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Das Deaktivieren der Protokollierung serieller Ports kann dazu führen, dass bestimmte Dienste wie Google Kubernetes Engine-Cluster, die darauf beruhen, nicht mehr korrekt funktionieren. Bestätigen Sie vor dem Erzwingen dieser Einschränkung, dass die Produkte in Ihrem Projekt nicht auf das Logging serieller Ports angewiesen sind. Sie können bestimmten VM-Instanzen die Verwendung des seriellen Port-Loggings erlauben. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

[Öffentliche Vorschau] Wenn diese Einschränkung erzwungen wird, wird die Verwendung von gDNS eingeschränkt. Diese Einschränkung deaktiviert das Erstellen von gDNS-VMs und das Aktualisieren von VMs für die Verwendung von gDNS. Das Zurücksetzen eines zDNS-Projekts auf gDNS wird nicht blockiert, führt aber bei nachfolgenden Instance API-Aufrufen zur Durchsetzung von Richtlinienverstößen.

[Öffentliche Vorschau] Wenn diese Einschränkung erzwungen wird, muss VM Manager (OS Config) für alle neuen Projekte aktiviert werden. Diese Einschränkung verhindert bei neuen und vorhandenen Projekten Metadaten-Aktualisierungen, die VM Manager auf Projekt-, Projektzonen- oder Instanzebene deaktivieren. Sie können bestimmten VM-Instanzen erlauben, VM Manager zu deaktivieren. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

[Öffentliche Vorschau] Wenn diese Einschränkung erzwungen wird, muss OS Login für alle neu erstellten Projekte aktiviert werden. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login für Projekte, zonale Projekte oder Instanzen deaktivieren. Sie können bestimmten VM-Instanzen erlauben, OS Login zu deaktivieren. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

Mit dieser Einschränkung können Sie die Arten von Protokollweiterleitungs-Deployments (intern oder extern) einschränken, die in Ihrer Organisation erstellt werden können. Wenn Sie die Einschränkung konfigurieren möchten, geben Sie eine Zulassungsliste für den Typ der Protokollweiterleitungsbereitstellung an, die zulässig sein soll. Die Zulassungsliste darf nur die folgenden Werte enthalten:

• INTERN
• EXTERN

[Öffentliche Vorschau] Mit dieser Einschränkung wird definiert, ob Compute Engine-VM-Instanzen die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren, wenn keine Richtlinie angegeben ist. Wenn diese Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von VM-Instanzen mit aktivierter IP-Weiterleitung abgelehnt. Sie können die IP-Weiterleitung für bestimmte VM-Instanzen zulassen. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

[Public Preview] Mit dieser Einschränkung wird definiert, ob Compute Engine-VM-Instanzen externe IPv4-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Wenn diese Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von VM-Instanzen mit externen IPv4-Adressen verweigert. Die Verwendung externer IPv6-Adressen wird durch diese Einschränkung nicht eingeschränkt. Sie können bestimmten VM-Instanzen die Verwendung externer IPv4-IP-Adressen erlauben. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

Der Admission-Controller „DenyServiceExternalIPs“ muss in GKE-Clustern aktiviert bleiben. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs.

Anfragen zum Aktivieren der attributbasierten Zugriffssteuerung (Attribute-Based Access Control, ABAC) für GKE-Cluster ablehnen. ABAC ist eine Legacy-Authentifizierungsmethode, die in allen neuen Clustern standardmäßig deaktiviert ist. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled.

Der unsichere schreibgeschützte Port für kubelet (10255) muss deaktiviert bleiben. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port.

Aktivieren Sie die Legacy-Methode zur Clientzertifikatauthentifizierung nicht manuell. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate.

Deaktivieren Sie beim Erstellen oder Aktualisieren von GKE-Clustern nicht standardmäßige ClusterRoleBindings und RoleBindings, die auf die Systemidentitäten „system:anonymous“, „system:authenticated“ oder „system:unauthenticated“ verweisen. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage.

Verwenden Sie das Compute Engine-Standarddienstkonto nicht als Dienstkonto für Cluster oder Knotenpools. Verwenden Sie stattdessen ein IAM-Dienstkonto mit minimalen Berechtigungen. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa.

Binärautorisierung beim Erstellen oder Aktualisieren von GKE-Clustern aktivieren. Weitere Informationen finden Sie unter https://cloud.google.com/binary-authorization/docs/setting-up.

Erfordert, dass für alle GKE-Cluster mindestens die Standardkonfiguration von Cloud Logging verwendet wird. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging.

Aktivieren Sie den DNS-basierten Endpunkt für den Zugriff auf die GKE-Steuerungsebene und deaktivieren Sie IP-basierte Endpunkte, wenn Sie Cluster erstellen oder aktualisieren. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint.

Aktivieren Sie Google Groups for RBAC beim Erstellen oder Aktualisieren von GKE-Clustern. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac.

Aktivieren Sie die Verwendung von Kubernetes-NetworkPolicies, indem Sie die Durchsetzung von Netzwerkrichtlinien oder GKE Dataplane V2 aktivieren. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy oder https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2.

Aktivieren Sie private Knoten, wenn Sie GKE-Cluster und Knotenpools erstellen oder aktualisieren. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking.

Aktivieren Sie die Secret-Verschlüsselung mit selbstverwalteten Schlüsseln, wenn Sie GKE-Cluster erstellen oder aktualisieren. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets.

Aktivieren Sie Benachrichtigungen zu Sicherheitsbulletins, wenn Sie GKE-Cluster erstellen oder aktualisieren. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin.

Anforderung, dass Shielded Nodes aktiviert bleiben Shielded GKE-Knoten bieten eine starke, überprüfbare Knotenidentität und -integrität, die die Sicherheit von GKE-Knoten erhöht. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes.

Aktivieren Sie die Workload Identity-Föderation für GKE beim Erstellen oder Aktualisieren von Clustern. Weitere Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity.

Deaktivieren Sie den Zugriff auf Dataflow-Worker-VMs über projektweite SSH-Schlüssel.

Deaktivieren Sie die Verwendung öffentlicher IP-Adressen auf Dataflow-Worker-VMs.

Diese Einschränkung definiert die Gruppe der zulässigen Domains, die E-Mail-Adressen, die in „Wichtige Kontakte“ aufgenommen werden, enthalten dürfen.
Standardmäßig können E-Mail-Adressen mit beliebigen Domains in „Wichtige Kontakte“ aufgenommen werden.
In der Liste „allowedDomains“ muss mindestens eine Domain im Format @example.com angegeben werden. Wenn diese Einschränkung erzwungen wird, können nur E-Mail-Adressen mit einem Suffix, das mit einem der Einträge aus der Liste der zulässigen Domains übereinstimmt, in „Wichtige Kontakte“ aufgenommen werden.
 Diese Einschränkung hat keine Auswirkungen auf das Aktualisieren oder Entfernen vorhandener Kontakte.

Wenn diese Option erzwungen wird, können nur die MCP-Endpunkte der zugelassenen Dienste aktiviert werden. Standardmäßig wird diese Einschränkung erzwungen und die Liste der zulässigen Dienste ist leer, sodass keine MCP-Endpunkte aktiviert werden können.

Mit dieser Einschränkung werden die Hauptkontogruppen der Organisation definiert, denen IAM-Rollen in Ihrer Organisation zugewiesen werden können.
Wenn Sie eine Organisationshauptkontogruppe angeben, können allen Identitäten, die mit dieser Organisation verknüpft sind (einschließlich Workspace-Konten, Workspace-Gruppen, Dienstkonten, Personalpool-Identitäten, Arbeitslastpool-Identitäten und Dienst-Agents), Rollen in Ihrer Organisation zugewiesen werden. Ihr Organisationsprinzipalset ist nicht automatisch zulässig und muss als zulässiges Prinzipalset angegeben werden.
Sie können einzelne Mitglieder mit dem Präfix für den Hauptkontotyp angeben, z. B. „user:“ oder „serviceAccount:“, um ihnen und den zugehörigen Aliasen Rollen in Ihrer Organisation zuzuweisen.
Wenn diese Einschränkung erzwungen wird, kann die Erstellung von Ordnerressourcen aufgrund der automatischen Zuweisung der Rollen „Ordneradministrator“ und „Ordnerbearbeiter“ blockiert werden. Außerdem kann die Erstellung von Projektressourcen aufgrund der automatischen Zuweisung der Rolle „Inhaber“ blockiert werden.

Wenn diese Richtlinie erzwungen wird, wird das Erstellen von API-Schlüsseln, die an Dienstkonten gebunden sind, deaktiviert.

Weitere Informationen finden Sie unter Schlüsselbindung für Dienstkonten aktivieren.

Diese boolesche Einschränkung deaktiviert die Erstellung von Dienstkonten, wenn diese Einschränkung auf „True“ gesetzt ist.
Standardmäßig können Dienstkonten von Nutzern basierend auf ihren Cloud IAM-Rollen und ‑Berechtigungen erstellt werden.

Durch das Erzwingen dieser Einschränkung wird das Erstellen von Dienstkontoschlüsseln blockiert.

Mit dieser booleschen Einschränkung wird das Feature deaktiviert, das das Hochladen öffentlicher Schlüssel in Dienstkonten zulässt, bei denen diese Einschränkung auf „True“ festgelegt ist.
Standardmäßig können Nutzer auf Basis ihrer Cloud IAM-Rollen und ‑Berechtigungen öffentliche Schlüssel in Dienstkonten hochladen.

Wenn diese Einschränkung erzwungen wird, kann niemand den Compute Engine- und App Engine-Standarddienstkonten die Rolle „Bearbeiter“ (roles/editor) oder „Inhaber“ (roles/owner) zuweisen. Weitere Informationen zu Standarddienstkonten finden Sie unter https://cloud.google.com/iam/help/service-accounts/default. Wenn Sie diese Einschränkung erzwingen, wird den Standarddienstkonten nicht automatisch die Rolle „Bearbeiter“ (roles/editor) zugewiesen. Dies kann zu Berechtigungsproblemen für Dienste führen, die diese Dienstkonten verwenden. Informationen dazu, welche Rollen den einzelnen Dienstkonten zugewiesen werden sollten, finden Sie unter https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Liste der AWS-Konto-IDs, die für die Workload Identity-Föderation in Cloud IAM konfiguriert werden können.

Identitätsanbieter, die für die Authentifizierung von Arbeitslasten in Cloud IAM konfiguriert werden können und durch URI/URLs angegeben werden. Diese Einschränkung wird von Google verwaltet.

Wenn diese boolesche Einschränkung erzwungen wird, wird das Erstellen und Aktualisieren von Kafka Connect-Clustern deaktiviert.

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Assured Workloads-Onboardings automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Wenn diese boolesche Einschränkung erzwungen wird, können für Pub/Sub-Abos keine Single Message Transforms (SMTs) festgelegt werden.

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Assured Workloads-Onboardings automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Wenn diese boolesche Einschränkung erzwungen wird, können für Pub/Sub-Themen keine Single Message Transforms (SMTs) festgelegt werden.

Wenn diese Einschränkung erzwungen wird, muss die IAM-Aufrufer-Prüfung für Cloud Run-Dienste aktiviert sein.
 Wenn diese Einschränkung nicht erzwungen wird, können Sie das Feld service.invoker_iam_disabled (Version 2) oder die Annotation run.googleapis.com/invoker-iam-disabled (Version 1) für Cloud Run-Dienste auf True festlegen. Ein ähnliches Ergebnis lässt sich auch erzielen, indem Sie „allUsers“ die Berechtigung run.routes.invoke gewähren. Weitere Informationen finden Sie unter https://cloud.google.com/run/docs/securing/managing-access#make-service-public und https://cloud.google.com/run/docs/securing/security.

Die Version, die Sie verwenden möchten, ist gemäß der Richtlinie Ihrer Organisation nicht zulässig. Bitte lesen Sie sich die Richtlinie durch und wählen Sie eine zulässige Version aus.

Mit dieser Listeneinschränkung werden die zulässigen Zugriffsmodi auf Notebooks und Instanzen in Vertex AI Workbench definiert, soweit sie erzwungen werden. Über die Zulassungs‑ oder Sperrliste können mit dem service-account-Modus mehrere Nutzer oder mit dem single-user-Modus ein einzelner Nutzer angegeben werden. Der Zugriffsmodus muss explizit als „zulässig“ oder „abgelehnt“ aufgelistet sein.

Unterstütztes Präfix: is:

constraints/ainotebooks.accessMode

Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von Vertex AI Workbench-Instanzen mit aktivierter Option zum Herunterladen von Dateien verhindert. Standardmäßig kann die Option zum Herunterladen von Dateien in jeder beliebigen Vertex AI Workbench-Instanz aktiviert werden.

constraints/ainotebooks.disableFileDownloads

Durch das Erzwingen dieser booleschen Einschränkung wird verhindert, dass auf neu erstellten, von Nutzern verwalteten Vertex AI Workbench-Notebooks und ‑Instanzen der Root-Zugriff aktiviert wird. Standardmäßig kann der Root-Zugriff auf von Nutzern verwalteten Vertex AI Workbench-Notebooks und ‑Instanzen aktiviert sein.

constraints/ainotebooks.disableRootAccess

Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von Vertex AI Workbench-Instanzen mit aktiviertem Terminal verhindert. Standardmäßig kann das Terminal in Vertex AI Workbench-Instanzen aktiviert werden.

constraints/ainotebooks.disableTerminal

Mit dieser Listeneinschränkung werden die VM- und Container-Image-Optionen definiert, die ein Nutzer beim Erstellen neuer nutzerverwalteter Vertex AI Workbench-Notebooks auswählen kann. Die zulässigen bzw. nicht zulässigen Optionen müssen explizit aufgeführt sein.
Das erwartete Format für VM-Instanzen ist ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Ersetzen Sie IMAGE_TYPE durch image-family oder image-name. Beispiele: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
Das erwartete Format für Container-Images ist ainotebooks-container/CONTAINER_REPOSITORY:TAG. Beispiele: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.

Unterstütztes Präfix: is:

constraints/ainotebooks.environmentOptions

Wenn diese boolesche Einschränkung erzwungen wird, muss für neu erstellte, von Nutzern verwaltete Vertex AI Workbench-Notebooks und ‑Instanzen ein Zeitplan für automatische Upgrades festgelegt werden. Mit dem Metadaten-Flag notebook-upgrade-schedule kann ein Cron-Zeitplan für die automatischen Upgrades definiert werden. Beispiel: --metadata=notebook-upgrade-schedule="00 19 * * MON"

constraints/ainotebooks.requireAutoUpgradeSchedule

Durch das Erzwingen dieser booleschen Einschränkung wird der Zugriff auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen eingeschränkt. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden.

constraints/ainotebooks.restrictPublicIp

Diese Listenbeschränkung definiert die VPC-Netzwerke, die ein Nutzer auswählen kann, wenn er neue Instanzen von Vertex AI Workbench erstellt, in denen diese Beschränkung erzwungen wird. Standardmäßig kann eine Vertex AI Workbench-Instanz mit beliebigen VPC-Netzwerken erstellt werden. Die Liste der zulässigen oder abgelehnten Netzwerke muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.

Unterstützte Präfixe: is:, under:

constraints/ainotebooks.restrictVpcNetworks

Mit dieser Listenbeschränkung wird die Gruppe der generativen KI-Modelle und ‑Funktionen definiert, die in Vertex AI-APIs verwendet werden dürfen. Die Werte der Zulassungsliste müssen das Format model_id:feature_family haben. Beispiel: publishers/google/models/text-bison:predict. Mit dieser Listenbeschränkung wird nur der Zugriff auf generative KI-Modelle von Google eingeschränkt. Sie gilt weder für Modelle von Drittanbietern noch für Open-Source-Modelle. Die Einschränkung vertexai.allowedModels kann verwendet werden, um den Zugriff auf eine breitere Palette von Modellen zu definieren, einschließlich Modelle von Google und Drittanbietern sowie Open-Source-Modelle. Standardmäßig können alle Modelle in Vertex AI-APIs verwendet werden.

Unterstütztes Präfix: is:

constraints/vertexai.allowedGenAIModels

Mit dieser Listeneinschränkung werden die Modelle und Features definiert, die in Vertex AI APIs verwendet werden dürfen. Die Werte der Zulassungsliste müssen das Format „model_id:feature_family“ haben, z. B. „publishers/google/models/gemini-1.0-pro:predict“. Standardmäßig können alle Modelle in Vertex AI APIs verwendet werden.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Zugriff auf Model Garden-Modelle steuern.

constraints/vertexai.allowedModels

Mit dieser Listenbeschränkung werden die erweiterten Funktionen des verwalteten Partnermodells definiert, die in Vertex AI-APIs verwendet werden dürfen. Die Werte der Zulassungsliste müssen das Format „publishers/publisher_id/models[/model_id:feature_family]“ haben, z. B. „publishers/anthropic/models/claude-sonnet-4:web_search“, „publishers/anthropic/models/claude-sonnet-4“ oder „publishers/anthropic“. Standardmäßig sind alle erweiterten Funktionen der verwalteten Partnermodelle in Vertex AI-APIs blockiert.

Unterstütztes Präfix: is:

constraints/vertexai.allowedPartnerModelFeatures

Durch das Erzwingen dieser booleschen Beschränkung wird die Funktion „Fundierung mit der Google Suche“ in APIs für generative KI deaktiviert. Die Funktion ist standardmäßig aktiviert.

constraints/vertexai.disableGenAIGoogleSearchGrounding

Mit dieser Listenbeschränkung werden die Fundierungsquellen definiert, die für die Verwendung mit generativen APIs von Vertex AI zulässig oder unzulässig sind.
Standardmäßig sind alle Fundierungsquellen zulässig.
Gültige Werte sind: GoogleMaps, VertexAiSearch, VertexRagStore, EnterpriseWebSearch, ExternalApiSimpleSearch, ExternalApiElasticSearch und UrlContext.

Unterstütztes Präfix: is:

constraints/vertexai.genAIGroundingSources

Deaktiviert Code-Downloads von zuvor in App Engine hochgeladenen Quellcodes.

constraints/appengine.disableCodeDownload

Mit dieser Listeneinschränkung wird die Gruppe der Legacy-Laufzeiten von App Engine Standard (Python 2.7, PHP 5.5 und Java 8) definiert, die für Bereitstellungen nach Ende des Supportzeitraums zulässig sind. Der Supportzeitraum für Legacy-Laufzeiten von App Engine Standard endet am 30. Januar 2024. Versuche, Anwendungen mit Legacy-Laufzeiten nach diesem Datum bereitzustellen, werden generell blockiert. Weitere Informationen finden Sie im Zeitplan für den Support von App Engine Standard-Laufzeiten. Wenn Sie diese Einschränkung auf „Zulassen“ festlegen, wird die Blockierung von App Engine Standard-Bereitstellungen für die von Ihnen angegebenen Legacy-Laufzeiten bis zum Datum der Laufzeiteinstellung aufgehoben. Wenn Sie diese Einschränkung auf „Alle zulassen“ festlegen, wird die Blockierung von App Engine Standard-Bereitstellungen für alle Legacy-Laufzeiten bis zum Datum der Laufzeiteinstellung aufgehoben. Für Laufzeiten, deren Supportzeitraum zu Ende ist, gibt es keine regelmäßigen Sicherheits‑ und Wartungspatches. Daher empfehlen wir Ihnen dringend, ein Upgrade Ihrer Anwendungen auf eine allgemein verfügbare Laufzeitversion durchzuführen.

Unterstütztes Präfix: is:

constraints/appengine.runtimeDeploymentExemption

Wenn diese boolesche Beschränkung erzwungen wird, können Nutzer keine Daten mithilfe von BigQuery Omni in Amazon Web Services verarbeiten.

constraints/bigquery.disableBQOmniAWS

Wenn diese boolesche Beschränkung erzwungen wird, können Nutzer keine Daten mithilfe von BigQuery Omni in Microsoft Azure verarbeiten.

constraints/bigquery.disableBQOmniAzure

Mit dieser Listeneinschränkung werden die zulässigen Cloud Build-Integrationen zum Ausführen von Builds durch den Empfang von Webhooks von Diensten außerhalb von Google Cloud festgelegt. Wenn diese Einschränkung erzwungen wird, werden nur Webhooks für Dienste verarbeitet, deren Host mit einem der zulässigen Werte übereinstimmt.
Standardmäßig verarbeitet Cloud Build alle Webhooks für Projekte mit mindestens einem LIVE-Trigger.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Builds auf Organisationsrichtlinien abstimmen.

constraints/cloudbuild.allowedIntegrations

Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen des Legacy-Cloud Build-Dienstkontos verhindert.

constraints/cloudbuild.disableCreateDefaultServiceAccount

Durch das Erzwingen dieser booleschen Einschränkung kann das Cloud Build-Legacy-Dienstkonto standardmäßig verwendet werden.

constraints/cloudbuild.useBuildServiceAccount

Durch das Erzwingen dieser booleschen Einschränkung kann das Compute Engine-Dienstkonto standardmäßig verwendet werden.

constraints/cloudbuild.useComputeServiceAccount

Wenn diese boolesche Einschränkung erzwungen wird, fügt Cloud Deploy den bereitgestellten Objekten keine Cloud Deploy-Kennzeichnungslabels mehr hinzu.
Labels zur Identifizierung von Cloud Deploy-Ressourcen werden bereitgestellten Objekten beim Erstellen des Release standardmäßig hinzugefügt.

constraints/clouddeploy.disableServiceLabelGeneration

Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic zur Bereitstellung einer Cloud Functions-Funktion (1st gen) definiert. Wenn diese Einschränkung erzwungen wird, müssen die Funktionen Einstellungen für eingehenden Traffic haben, die mit einem der zulässigen Werte übereinstimmen.
Standardmäßig kann Cloud Functions beliebige Einstellungen für eingehenden Traffic verwenden.
Einstellungen für eingehenden Traffic müssen in der Liste der zulässigen Einstellungen mit IngressSettings-Enum-Werten angegeben werden. Der Enum-Standardwert ist INGRESS_SETTINGS_UNSPECIFIED. Vor Verwendung in einer Organisationsrichtlinie muss der Enum-Wert geändert werden.
Verwenden Sie für Cloud Functions (2nd gen) die Einschränkung constraints/run.allowedIngress.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Organisationsrichtlinien einrichten.

constraints/cloudfunctions.allowedIngressSettings

Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für ausgehenden Traffic des VPC-Connectors zur Bereitstellung einer Cloud Functions-Funktion (1st gen) definiert. Wenn diese Einschränkung erzwungen wird, müssen die Funktionen Einstellungen für ausgehenden Traffic des VPC-Connectors haben, die mit einem der zulässigen Werte übereinstimmen.
Standardmäßig können Cloud Function-Funktionen beliebige Einstellungen für ausgehenden Traffic des VPC-Connectors verwenden.
Einstellungen für ausgehenden Traffic des VPC-Connectors müssen in der Liste der zulässigen Einstellungen mit VpcConnectorEgressSettings-Enum-Werten angegeben werden. Der Enum-Standardwert VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED wird nicht unterstützt. Wenn Sie ihn in eine Richtlinie aufnehmen, wird ein Fehler ausgegeben.
Verwenden Sie für Cloud Functions (2nd gen) die Einschränkung constraints/run.allowedVPCEgress.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Organisationsrichtlinien einrichten.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings

Diese boolesche Einschränkung erzwingt das Festlegen eines VPC-Connectors bei Bereitstellung einer Cloud Functions-Funktion (1st gen). Wenn die Einschränkung erzwungen wird, muss für Funktionen ein VPC-Connector angegeben werden.
Standardmäßig ist die Angabe eines VPC-Connectors nicht erforderlich, um eine Cloud Functions-Funktion bereitzustellen.

Weitere Informationen finden Sie unter Organisationsrichtlinien einrichten.

constraints/cloudfunctions.requireVPCConnector

Mit dieser Listeneinschränkung wird die Gruppe zulässiger Cloud Function-Generationen definiert, die zum Erstellen neuer Cloud Function-Ressourcen verwendet werden dürfen. Gültige Werte: 1stGen, 2ndGen.

Unterstütztes Präfix: is:

constraints/cloudfunctions.restrictAllowedGenerations

Mit dieser Listeneinschränkung werden die Cloud KMS-Schlüsseltypen definiert, die unter einem bestimmten Hierarchieknoten erstellt werden dürfen. Wenn diese Einschränkung erzwungen wird, dürfen innerhalb des zugehörigen Hierarchieknotens nur KMS-Schlüsseltypen erstellt werden, die in dieser Organisationsrichtlinie angegeben sind. Das Konfigurieren dieser Organisationsrichtlinie wirkt sich auch auf das Schutzniveau von Importjobs und Schlüsselversionen aus. Standardmäßig sind alle Schlüsseltypen zulässig. Gültige Werte sind: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. Ablehnungsrichtlinien sind unzulässig.

Unterstütztes Präfix: is:

constraints/cloudkms.allowedProtectionLevels

Durch das Erzwingen dieser booleschen Einschränkung dürfen nur deaktivierte Schlüsselversionen gelöscht werden. Standardmäßig können aktivierte und deaktivierte Schlüsselversionen gelöscht werden. Wenn diese Einschränkung erzwungen wird, gilt sie sowohl für neue als auch für bestehende Schlüsselversionen.

constraints/cloudkms.disableBeforeDestroy

Mit dieser Listeneinschränkung wird der Mindestwert für die geplante Dauer für das Löschen in Tagen definiert, den der Nutzer beim Erstellen eines neuen Schlüssels festlegen kann. Wenn diese Einschränkung erzwungen wird, werden keine Schlüssel mit einer geringeren Dauer für das Löschen erstellt. Standardmäßig beträgt der Mindestwert für die geplante Dauer für das Löschen für alle Schlüssel 1 Tag. Ausgenommen sind reine Importschlüssel, für die kein Mindestwert für die geplante Dauer für das Löschen gilt.
Im Format in:1d, in:7d, in:15d, in:30d, in:60d, in:90d oder in:120d kann nur ein zulässiger Wert angegeben werden. Wenn beispielsweise für constraints/cloudkms.minimumDestroyScheduledDuration der Wert in:15d festgelegt ist, können Nutzer Schlüssel mit einer geplanten Dauer für das Löschen von mehr als 15 Tagen erstellen, also z. B. 16 Tage oder 31 Tage. Dagegen sind dann keine Schlüssel mit einer geplanten Dauer für das Löschen unter 15 Tagen möglich, z. B. 14 Tage. Jede Ressource in der Hierarchie kann die Mindestdauer für das geplante Löschen übernehmen, ersetzen oder mit der Richtlinie der übergeordneten Ressource zusammengeführt werden. Wenn die Richtlinie einer Ressource mit der Richtlinie der übergeordneten Ressource zusammengeführt wird, ist die Mindestdauer für das geplante Löschen der Ressource der jeweils niedrigere Wert der in den Richtlinien der Ressource selbst bzw. der der übergeordneten Ressource festgelegten Mindestwerte. Wenn beispielsweise für eine Organisation eine Mindestdauer für das geplante Löschen von 7 Tagen gilt und in der Richtlinie für ein untergeordnetes Projekt das Zusammenführen mit der übergeordneten Ressource mit einem Wert von in:15d festgelegt ist, beträgt der geltende Mindestwert für das Löschen für das Projekt 7 Tage.

Unterstützte Präfixe: is:, in:

constraints/cloudkms.minimumDestroyScheduledDuration

Mit dieser Listeneinschränkung wird die Liste der für Cloud Scheduler-Jobs zulässigen Zieltypen, wie App Engine HTTP, HTTP oder Pub/Sub, festgelegt.
Standardmäßig sind alle Jobziele zugelassen.
Gültige Werte: APPENGINE, HTTP, PUBSUB.

Unterstütztes Präfix: is:

constraints/cloudscheduler.allowedTargetTypes

Mit dieser booleschen Beschränkung wird das Hinzufügen autorisierter Netzwerke für den Datenbankzugriff ohne Proxy auf Cloud SQL-Instanzen beschränkt, bei denen diese Beschränkung erzwungen wird. Diese Beschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit vorhandenen autorisierten Netzwerken funktionieren weiterhin, selbst nachdem diese Beschränkung erzwungen wurde.
Standardmäßig können autorisierte Netzwerke Cloud SQL-Instanzen hinzugefügt werden.

constraints/sql.restrictAuthorizedNetworks

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Assured Workloads-Onboardings automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden bestimmte Supportelemente eingeschränkt und alle Zugriffspfade für Diagnosen und andere Kundensupport-Anwendungsfälle deaktiviert, die nicht den erweiterten Anforderungen an die Datenhoheit von Assured Workloads entsprechen.

constraints/sql.restrictNoncompliantDiagnosticDataAccess

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Onboardings von Assured Workloads automatisch konfiguriert und dient nur der erweiterten gesetzlichen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden bestimmte Supportaspekte eingeschränkt und die bereitgestellten Ressourcen entsprechen genau den erweiterten Anforderungen an die digitale Souveränität von Assured Workloads. Diese Richtlinie gilt rückwirkend, d. h. sie wird auf bestehende Projekte angewendet. Bereits bereitgestellte Ressourcen sind davon jedoch nicht betroffen, d. h. Änderungen an der Richtlinie spiegeln sich nur in Ressourcen wider, die nach Änderung der Richtlinie erstellt werden.

constraints/sql.restrictNoncompliantResourceCreation

Diese boolesche Einschränkung erfordert, dass die öffentliche IP-Adresse in Cloud SQL-Instanzen konfiguriert wird, wobei die Einschränkung erzwungen wird. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehendem Zugriff auf eine öffentliche IP-Adresse funktionieren weiterhin, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig ist es der öffentlichen IP-Adresse erlaubt, auf Cloud SQL-Instanzen zuzugreifen.

constraints/sql.restrictPublicIp

Durch das Erzwingen dieser booleschen Einschränkung wird der Google Cloud Marketplace für alle Nutzer in der Organisation deaktiviert. Standardmäßig ist der Zugriff auf den öffentlichen Marktplatz für die Organisation aktiviert. Diese Richtlinie funktioniert nur, wenn der private Marktplatz aktiviert ist (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace).
Wichtig: Wir empfehlen dringend, die Funktion für Zugriffsbeschränkungen für Marktplatznutzer zu verwenden, wie unter https://cloud.google.com/marketplace/docs/governance/strict-user-access beschrieben, um eine unbefugte Nutzung des Marktplatzes in Ihrer Organisation zu verhindern, anstatt dies über diese Organisationsrichtlinie zu tun.

constraints/commerceorggovernance.disablePublicMarketplace

Mit dieser Listeneinschränkung wird die Gruppe von Diensten definiert, die für Organisationen im Marketplace zulässig sind. Sie darf nur Werte aus der folgenden Liste enthalten:

• PRIVATE_MARKETPLACE
• IAAS_PROCUREMENT

Unterstütztes Präfix: is:

constraints/commerceorggovernance.marketplaceServices

Mit dieser Listeneinschränkung werden die zulässigen Verschlüsselungseinstellungen für neue VLAN-Anhänge definiert.
Standardmäßig dürfen VLAN-Anhänge alle Verschlüsselungseinstellungen verwenden.
 Legen Sie IPSEC als zulässigen Wert fest, um zu erzwingen, dass nur verschlüsselte VLAN-Anhänge erstellt werden.

Unterstütztes Präfix: is:

constraints/compute.allowedVlanAttachmentEncryption

Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen oder Aktualisieren von Google Compute Engine-Ressourcen deaktiviert, die IPv6 nutzen.
Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Google Compute Engine-Ressourcen mit IPv6-Nutzung in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren.
Wenn diese Einschränkung festgelegt ist, hat sie eine höhere Priorität als andere IPv6-Organisationseinschränkungen, einschließlich disableVpcInternalIpv6, disableVpcExternalIpv6 und disableHybridCloudIpv6.

constraints/compute.disableAllIpv6

Durch das Erzwingen dieser booleschen Beschränkung wird das Erstellen neuer globaler Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Aktualisieren von Regeln für vorhandene globale Cloud Armor-Sicherheitsrichtlinien deaktiviert. Das Entfernen von Regeln oder das Entfernen, Beschreiben oder Auflisten globaler Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Cloud Armor-Sicherheitsrichtlinien sind von dieser Beschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
Cloud Armor-Sicherheitsrichtlinien können standardmäßig in beliebigen Organisationen, Ordnern oder Projekten erstellt oder aktualisiert werden.

constraints/compute.disableGlobalCloudArmorPolicy

Diese boolesche Einschränkung deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Wenn sie erzwungen wird, können nur regionale Load-Balancing-Produkte ohne globale Abhängigkeiten erstellt werden. Standardmäßig ist das Erstellen von globalem Load-Balancing zulässig.

constraints/compute.disableGlobalLoadBalancing

Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen globaler selbstverwalteter SSL-Zertifikate deaktiviert. Das Erstellen von regionalen selbstverwalteten oder von Google verwalteten Zertifikaten wird durch diese Einschränkung nicht deaktiviert.
Standardmäßig können Sie globale selbstverwaltete SSL-Zertifikate in beliebigen Organisationen, Ordnern oder Projekten erstellen.

constraints/compute.disableGlobalSelfManagedSslCertificate

Mit dieser booleschen Einschränkung wird der globale Zugriff auf den seriellen Port bei Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung erzwungen wird. In der Standardeinstellung können Kunden den Zugriff des seriellen Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Beim Erzwingen dieser Einschränkung wird der Zugriff des seriellen Ports für alle Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert. Der regionale Zugriff des seriellen Ports ist von dieser Einschränkung nicht betroffen. Wenn Sie den gesamten Zugriff des seriellen Ports deaktivieren möchten, verwenden Sie die Einschränkung „compute.disableSerialPortAccess“.

constraints/compute.disableGlobalSerialPortAccess

Mit dieser booleschen Einschränkung wird der Compute Engine API-Zugriff auf die Gastattribute von Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, bei der bzw. dem diese Einschränkung erzwungen wird.
Standardmäßig kann die Compute Engine API für den Zugriff auf Compute Engine-VM-Gastattribute verwendet werden.

constraints/compute.disableGuestAttributesAccess

Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen oder Aktualisieren von Hybrid-Cloud-Ressourcen wie Interconnect-Anhängen und Cloud VPN-Gateways mit einem stack_type von IPV4_IPV6 oder IPV6_ONLY bzw. einem gatewayIpVersion von IPv6 deaktiviert.
Wird die Einschränkung für eine Cloud Router-Ressource erzwungen, können weder IPv6-Sitzungen mit Border Gateway Protocol (BGP) noch der IPv6-Routenaustausch über IPv4-BGP-Sitzungen erstellt werden.
Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Hybrid-Cloud-Ressourcen mit stack_type von IPV4_IPV6 in Projekten, Ordnern und Organisationen erstellen oder aktualisieren.

constraints/compute.disableHybridCloudIpv6

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Beschränkung wird während des Assured Workloads-Onboardings automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Wenn Sie diese boolesche Beschränkung erzwingen, werden die GetSerialPortOutput API und die GetScreenshot API deaktiviert, die auf die Ausgabe des seriellen VM-Ports zugreifen und Screenshots der VM-UIs aufnehmen.

constraints/compute.disableInstanceDataAccessApis

Diese boolesche Einschränkung gibt an, ob ein Nutzer Internetnetzwerk-Endpunktgruppen (NEGs) mit einem type von INTERNET_FQDN_PORT und INTERNET_IP_PORT erstellen kann.
Standardmäßig kann jeder Nutzer mit den entsprechenden IAM-Berechtigungen Internet-NEGs in jedem beliebigen Projekt erstellen.

constraints/compute.disableInternetNetworkEndpointGroup

Mit dieser booleschen Einschränkung wird hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden.

constraints/compute.disableNestedVirtualization

Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von VM-Instanztypen verhindert, die nicht den FIPS-Anforderungen entsprechen.

constraints/compute.disableNonFIPSMachineTypes

Mit dieser Listeneinschränkung wird die Gruppe von Private Service Connect-Endpunkttypen definiert, für die Nutzer keine Weiterleitungsregeln erstellen können. Wenn diese Einschränkung erzwungen wird, können Nutzer keine Weiterleitungsregeln für den Private Service Connect-Endpunkttyp erstellen. Diese Einschränkung wird nicht rückwirkend erzwungen.
Standardmäßig können Weiterleitungsregeln für jeden Private Service Connect-Endpunkttyp erstellt werden.
Die Zulassungs-/Ablehnungsliste der Private Service Connect-Endpunkte muss aus der folgenden Liste stammen:

• GOOGLE_APIS
• SERVICE_PRODUCERS

Unterstütztes Präfix: is:

constraints/compute.disablePrivateServiceConnectCreationForConsumers

Mit dieser booleschen Beschränkung wird der Zugriff über den seriellen Port auf Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, bei der bzw. dem diese Beschränkung erzwungen wird.
Standardmäßig können Kunden den Zugriff auf serielle Ports auf Compute Engine-VMs für einzelne VMs oder projektweise auswählen. Hierfür werden Metadatenattribute verwendet. Durch das Erzwingen dieser Beschränkung wird der Zugriff über den seriellen Port auf Compute Engine-VMs ungeachtet der Metadatenattribute deaktiviert.

constraints/compute.disableSerialPortAccess

Diese boolesche Einschränkung deaktiviert das Logging serieller Ports in Stackdriver von Compute Engine-VMs, die zu der Organisation, dem Projekt oder dem Ordner gehören, für die diese Einschränkung erzwungen wird.
Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Wenn diese Einschränkung erzwungen wird, deaktiviert sie das Logging serieller Ports für neu erstellte Compute Engine-VMs. Damit wird auch verhindert, dass Nutzer die Metadatenattribute von VMs (alt oder neu) ändern und auf True setzen. Das Deaktivieren der Protokollierung serieller Ports kann dazu führen, dass bestimmte Dienste wie Google Kubernetes Engine-Cluster, die darauf beruhen, nicht mehr korrekt funktionieren. Bestätigen Sie vor dem Erzwingen dieser Einschränkung, dass die Produkte in Ihrem Projekt nicht auf das Logging serieller Ports angewiesen sind.

constraints/compute.disableSerialPortLogging

Durch diese boolesche Einschränkung wird das Tool „SSH im Browser“ in der Cloud Console für VMs deaktiviert, die OS Login verwenden, sowie für VMs, auf denen die flexible App Engine-Umgebung ausgeführt wird. Wenn die Einschränkung erzwungen wird, ist die Schaltfläche „SSH im Browser“ deaktiviert. Standardmäßig wird die Nutzung des Tools „SSH im Browser“ zugelassen.

constraints/compute.disableSshInBrowser

Wenn diese boolesche Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von Subnetzwerken mit einem stack_type von IPV4_IPV6 und einem ipv6_access_type von EXTERNAL deaktiviert.
Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Subnetzwerke mit stack_type von IPV4_IPV6 in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren.

constraints/compute.disableVpcExternalIpv6

Wenn diese boolesche Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von Subnetzwerken mit einem stack_type von IPV4_IPV6 und einem ipv6_access_type von INTERNAL deaktiviert.
Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen Subnetzwerke mit stack_type von IPV4_IPV6 in beliebigen Projekten, Ordnern und Organisationen erstellen oder aktualisieren.

constraints/compute.disableVpcInternalIpv6

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Assured Workloads-Onboarding automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Damit werden Einstellungen gesteuert, die erforderlich sind, um mögliche Zugriffspfade auf den VM-Kernarbeitsspeicher zu eliminieren. Wenn die Einschränkung erzwungen wird, ist die Möglichkeit, auf den VM-Kernarbeitsspeicher zuzugreifen, eingeschränkt, da Zugriffspfade deaktiviert werden, und die interne Datenerhebung wird eingeschränkt, wenn ein Fehler auftritt.

constraints/compute.enableComplianceMemoryProtection

Durch das Erzwingen dieser booleschen Einschränkung wird das Fail-Open-Verhalten bei serverseitigen Fehlern für die Methoden regions.list, regions.get und projects.get deaktiviert. Wenn die Kontingentinformationen nicht verfügbar sind, bedeutet dies, dass diese Methoden fehlschlagen, wenn die Einschränkung erzwungen wird. Standardmäßig sind diese Methoden bei serverseitigen Fehlern erfolgreich und es wird eine Warnmeldung angezeigt, wenn die Kontingentinformationen nicht verfügbar sind.

constraints/compute.requireBasicQuotaInResponse

Durch das Erzwingen dieser booleschen Einschränkung wird VM Manager (OS Config) für alle neuen Projekte aktiviert. VM Manager ist dann für alle VM-Instanzen aktiviert, die in neuen Projekten erstellt werden. Diese Einschränkung verhindert bei neuen und vorhandenen Projekten Metadaten-Aktualisierungen, die VM Manager auf Projekt- oder Instanzebene deaktivieren.
VM Manager ist für Compute Engine-Projekte standardmäßig deaktiviert.

Weitere Informationen finden Sie unter OS Config-Organisationsrichtlinie aktivieren.

constraints/compute.requireOsConfig

Wenn diese boolesche Beschränkung erzwungen wird, wird OS Login für alle neu erstellten Projekte aktiviert. Bei allen in neuen Projekten erstellten VM-Instanzen ist OS Login aktiviert. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login für Projekte oder Instanzen deaktivieren.
Standardmäßig ist das OS Login-Feature bei Compute Engine-Projekten deaktiviert.

constraints/compute.requireOsLogin

Wenn diese boolesche Beschränkung erzwungen wird, müssen alle neuen Compute Engine-VM-Instanzen Shielded-Laufwerks-Images mit aktiviertem Secure Boot, vTPM und Integritätsmonitoring verwenden. Secure Boot kann bei Bedarf nach der Erstellung deaktiviert werden. Vorhandene ausgeführte Instanzen sind weiter funktionsfähig.
Standardmäßig müssen Shielded VM-Features für das Erstellen von Compute Engine-VM-Instanzen nicht aktiviert werden. Mit Shielded VM-Features erhalten Ihre VMs eine überprüfbare Integrität und einen Schutz vor Exfiltration.

constraints/compute.requireShieldedVm

Mit dieser Listeneinschränkung wird die Gruppe von Ziel-SSL-Proxys und Ziel-HTTPS-Proxys definiert, die die Standard-SSL-Richtlinie verwenden dürfen. Standardmäßig dürfen alle Ziel-SSL-Proxys und Ziel-HTTPS-Proxys die Standard-SSL-Richtlinie verwenden. Wenn diese Einschränkung erzwungen wird, muss für alle neuen Ziel-SSL-Proxys und Ziel-HTTPS-Proxys eine SSL-Richtlinie angegeben werden. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Bestehende Ziel-Proxys, die die Standard-SSL-Richtlinie verwenden, sind nicht betroffen. Die Liste der zulässigen/abgelehnten Ziel-SSL-Proxys und Ziel-HTTPS-Proxys muss in folgendem Format angegeben werden:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/global/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/regions/REGION_NAME/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/global/targetSslProxies/TARGET_PROXY_NAME

Unterstützte Präfixe: is:, under:

constraints/compute.requireSslPolicy

Mit dieser Listeneinschränkung werden die vordefinierten Richtlinien festgelegt, die für VPC-Flusslogs erzwungen werden können.
Standardmäßig können VPC-Flusslogs mit beliebigen Einstellungen in jedem Subnetz konfiguriert werden.
Mit dieser Einschränkung wird erzwungen, dass Flusslogs für alle Subnetze im Geltungsbereich mit einer erforderlichen Mindestabtastrate aktiviert werden.
Geben Sie einen oder mehrere der folgenden gültigen Werte an:

• ESSENTIAL (erlaubt Werte >= 0,1 und < 0,5)
• LIGHT (erlaubt Werte >= 0,5 und < 1,0)
• COMPREHENSIVE (erlaubt Werte == 1,0)

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien für VPC-Flusslogs konfigurieren.

constraints/compute.requireVpcFlowLogs

Mit dieser Listeneinschränkung wird eine Gruppe von Subnetzwerken definiert, die Cloud NAT verwenden dürfen. Standardmäßig können alle Subnetzwerke Cloud NAT verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.

Unterstützte Präfixe: is:, under:

Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien.

constraints/compute.restrictCloudNATUsage

Mit dieser Listenbeschränkung werden die Backend-Bucket‑Ressourcen und Backend-Dienstressourcen eingeschränkt, an die eine urlMap-Ressource angehängt werden kann. Diese Beschränkung gilt nicht für Backend-Buckets und Backend-Dienste im selben Projekt wie die urlMap-Ressource. Standardmäßig kann eine urlMap-Ressource in einem Projekt auf kompatible Backend-Buckets und Backend-Dienste aus anderen Projekten in derselben Organisation verweisen, sofern der Nutzer die Berechtigung „compute.backendService.use“, „compute.regionBackendServices.use“ oder „compute.backendBuckets.use“ hat. Sie sollten diese Beschränkung nicht zusammen mit der Beschränkung „compute.restrictSharedVpcBackendServices“ verwenden, um Konflikte zu vermeiden. Projekte, Ordner und Organisationsressourcen in Zulassungs- oder Sperrlisten wirken sich auf alle Backend-Buckets und Backend-Dienste aus, die sich in der Ressourcenhierarchie unter ihnen befinden. Nur Projekte, Ordner und Organisationsressourcen können in die Zulassungs- oder Sperrliste aufgenommen werden und müssen im folgenden Format angegeben werden:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/regions/REGION/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/global/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME
• projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME

Unterstützte Präfixe: is:, under:

constraints/compute.restrictCrossProjectServices

Mit dieser Listeneinschränkung wird die Gruppe von Compute Engine-Netzwerken definiert, die Dedicated Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.

Unterstützte Präfixe: is:, under:

Weitere Informationen finden Sie unter Cloud Interconnect-Nutzung einschränken.

constraints/compute.restrictDedicatedInterconnectUsage

Mit dieser Listeneinschränkung werden die Load-Balancer-Typen definiert, die für eine Organisation, einen Ordner oder ein Projekt erstellt werden können. Jeder erlaubte oder abgelehnte Load-Balancer-Typ muss explizit aufgelistet sein. Standardmäßig ist das Erstellen aller Load-Balancer-Typen zulässig.
Die Liste der zulässigen oder abgelehnten Werte muss als Stringname eines Load-Balancers identifiziert werden und darf nur Werte aus der folgenden Liste enthalten:

• INTERNAL_TCP_UDP
• INTERNAL_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_TCP_PROXY
• REGIONAL_INTERNAL_MANAGED_TCP_PROXY
• EXTERNAL_NETWORK_TCP_UDP
• EXTERNAL_TCP_PROXY
• EXTERNAL_SSL_PROXY
• EXTERNAL_HTTP_HTTPS
• EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
• GLOBAL_EXTERNAL_MANAGED_SSL_PROXY

Unterstützte Präfixe: is:, in:

Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien für Cloud Load Balancing.

constraints/compute.restrictLoadBalancerCreationForTypes

Mit der Sperrliste dieser Listeneinschränkung wird die Gruppe von Diensten definiert, für die alle neuen Ressourcen mit aktiviertem Confidential Computing erstellt werden müssen. Standardmäßig ist für neue Ressourcen die Verwendung von Confidential Computing nicht erforderlich. Wenn diese Listeneinschränkung erzwungen wird, kann Confidential Computing während des gesamten Lebenszyklus der Ressource nicht deaktiviert werden. Vorhandene Ressourcen funktionieren weiterhin wie gewohnt. Die Liste der abgelehnten Dienste muss über den Stringnamen einer API identifiziert werden und kann nur explizit abgelehnte Werte aus der nachfolgenden Liste enthalten. Das explizite Zulassen von APIs wird derzeit nicht unterstützt. Das explizite Ablehnen von APIs, die nicht in dieser Liste enthalten sind, führt zu einem Fehler. Liste der unterstützten APIs: [compute.googleapis.com, container.googleapis.com]

Unterstütztes Präfix: is:

constraints/compute.restrictNonConfidentialComputing

Mit dieser Listeneinschränkung werden die Compute Engine-Netzwerke definiert, die Partner Interconnect verwenden dürfen. Standardmäßig können Netzwerke jede beliebige Art von Interconnect verwenden. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.

Unterstützte Präfixe: is:, under:

Weitere Informationen finden Sie unter Cloud Interconnect-Nutzung einschränken.

constraints/compute.restrictPartnerInterconnectUsage

Mit dieser Listeneinschränkung werden die Organisationen, Ordner und Projekte definiert, die in der Organisation oder im Projekt eines Erstellers eine Verbindung zu Dienstanhängen herstellen können. Die Listen mit zulässigen oder abgelehnten Elementen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder under:projects/PROJECT_ID. Standardmäßig sind alle Verbindungen zulässig.

Unterstützte Präfixe: is:, under:

Weitere Informationen finden Sie unter Sicherheit für Private Service Connect-Nutzer verwalten.

constraints/compute.restrictPrivateServiceConnectConsumer

Mit dieser Listeneinschränkung wird definiert, zu welchen Dienstanhängen Private Service Connect-Nutzer eine Verbindung herstellen können. Die Einschränkung blockiert die Bereitstellung von Private Service Connect-Endpunkten oder ‑Backends je nach Organisations‑, Ordner‑ oder Projektressource des Dienstanhangs, auf den die Endpunkte oder Backends verweisen. Die Listen mit zulässigen oder abgelehnten Elementen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder under:projects/PROJECT_ID. Standardmäßig sind alle Verbindungen zulässig.

Unterstützte Präfixe: is:, under:

Weitere Informationen finden Sie unter Sicherheit für Private Service Connect-Nutzer verwalten.

constraints/compute.restrictPrivateServiceConnectProducer

Mit dieser Listeneinschränkung wird der Typ von Protokollweiterleitungsregel-Objekten mit Zielinstanzen definiert, die ein Nutzer erstellen kann. Wenn diese Beschränkung erzwungen wird, sind neue Weiterleitungsregel-Objekte mit Zielinstanz auf interne und/oder externe IP-Adressen beschränkt, je nach den angegebenen Typen. Die zulässigen oder abgelehnten Typen müssen explizit aufgeführt sein. Standardmäßig ist das Erstellen von internen und externen Protokollweiterleitungsregel-Objekten mit Zielinstanz erlaubt.
Die Liste der zulässigen oder abgelehnten Werte darf nur Werte aus der folgenden Liste enthalten:

• INTERN
• EXTERN

Diese Einschränkung wird automatisch im Rahmen der Google Cloud -Sicherheitsbaseline bereitgestellt.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Protokollweiterleitung – Übersicht.

constraints/compute.restrictProtocolForwardingCreationForTypes

Mit dieser Listeneinschränkung wird die Gruppe freigegebener VPC-Backend-Dienste definiert, die zulässige Ressourcen nutzen können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts. Standardmäßig können zulässige Ressourcen jeden freigegebenen VPC-Backend-Dienst verwenden. Die Liste der zulässigen/abgelehnten Backend-Dienste muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME oder projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Diese Einschränkung gilt nicht rückwirkend.

Unterstützte Präfixe: is:, under:

constraints/compute.restrictSharedVpcBackendServices

Mit dieser Listeneinschränkung wird die Gruppe von freigegebenen VPC-Hostprojekten definiert, an die Projekte auf oder unter dieser Ressource angehängt werden können. Ein Projekt kann standardmäßig einem beliebigen Hostprojekt in derselben Organisation zugeordnet werden, wodurch es zu einem Dienstprojekt wird. Projekte, Ordner und Organisationen in den Listen der zulässigen/abgelehnten Projekte, Ordner und Organisationen wirken sich in der Ressourcenhierarchie auf alle darunterliegenden Objekte aus und müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID.

Unterstützte Präfixe: is:, under:

constraints/compute.restrictSharedVpcHostProjects

Mit dieser Listeneinschränkung wird eine Gruppe freigegebener VPC-Subnetzwerke definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts. Standardmäßig können zulässige Ressourcen jedes freigegebene VPC-Subnetzwerk verwenden. Die Liste der zulässigen/abgelehnten Subnetzwerke muss im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.

Unterstützte Präfixe: is:, under:

constraints/compute.restrictSharedVpcSubnetworks

Mit dieser Listeneinschränkung werden die VPC-Netzwerke definiert, bei denen ein Peering mit den VPC-Netzwerken möglich ist, die zu diesem Projekt, Ordner oder dieser Organisation gehören. Jedes Peering-Ende muss die Peering-Berechtigung haben. Standardmäßig kann ein Netzwerkadministrator das Peering für ein Netzwerk mit jedem anderen Netzwerk vornehmen. Die Liste der zulässigen/abgelehnten Netzwerke muss im folgenden Format identifiziert werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/global/networks/NETWORK_NAME.

Unterstützte Präfixe: is:, under:

constraints/compute.restrictVpcPeering

Mit dieser Listeneinschränkung wird die Gruppe gültiger IP-Adressen definiert, die als VPN-Peer-IPs konfiguriert werden können. Standardmäßig kann jede IP ein VPN-Peer-IP für ein VPC-Netzwerk sein. Die Liste der zulässigen/abgelehnten IP-Adressen muss in Form von gültigen IP-Adressen im folgenden Format angegeben werden: IP_V4_ADDRESS oder IP_V6_ADDRESS.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken.

constraints/compute.restrictVpnPeerIPs

Wenn diese Beschränkung erzwungen wird, verwenden neu erstellte Projekte „Zonales DNS“ als Standardeinstellung. Standardmäßig ist diese Einschränkung auf False festgelegt. Neu erstellte Projekte verwenden dann den Standard-DNS-Typ.

Diese Einschränkung wird automatisch im Rahmen der Google Cloud -Sicherheitsbaseline bereitgestellt.

constraints/compute.setNewProjectDefaultToZonalDNSOnly

Mit dieser Listeneinschränkung wird die Gruppe von Projekten definiert, die in der Organisation freigegebene Reservierungen erstellen und deren Inhaber sein dürfen. Eine freigegebene Reservierung ist mit einer lokalen Reservierung vergleichbar, mit dem Unterschied, dass sie nicht nur von Inhaberprojekten, sondern auch von anderen Compute Engine-Projekten in der Ressourcenhierarchie genutzt werden kann. Die Liste der Projekte, die auf die freigegebene Reservierung zugreifen dürfen, muss das folgende Format haben: projects/PROJECT_NUMBER oder under:projects/PROJECT_NUMBER.

Unterstützte Präfixe: is:, under:

constraints/compute.sharedReservationsOwnerProjects

Mit dieser booleschen Beschränkung wird das Erstellen des Standardnetzwerks und zugehöriger Ressourcen beim Erstellen von Ressourcen für das Google Cloud-Projekt übersprungen, bei dem diese Beschränkung erzwungen wird. Standardmäßig werden beim Erstellen einer Projektressource automatisch ein Standardnetzwerk und unterstützende Ressourcen erstellt.

constraints/compute.skipDefaultNetworkCreation

Diese Listeneinschränkung definiert eine Gruppe von Projekten, welche die Speicherressourcen von Compute Engine verwenden dürfen. Standardmäßig kann jeder Nutzer mit entsprechenden Cloud IAM-Berechtigungen auf Compute Engine-Ressourcen zugreifen. Wenn diese Einschränkung verwendet wird, müssen Nutzer Cloud IAM-Berechtigungen haben und dürfen nicht unter die Zugriffseinschränkung für diese Ressource fallen.
Projekte, Ordner und Organisationen, die in den Listen mit zulässigen oder abgelehnten Elementen angegeben werden, müssen folgendes Format haben: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

Unterstützte Präfixe: is:, under:

constraints/compute.storageResourceUseRestrictions

Mit dieser Listeneinschränkung werden die Projekte definiert, die zur Image-Speicherung und Instanziierung von Datenträgern für Compute Engine verwendet werden können.
Standardmäßig können Instanzen aus Images in einem beliebigen Projekt mit öffentlich oder explizit für den Nutzer freigegebenen Images erstellt werden.
Die Liste der zulässigen/abgelehnten Publisher-Projekte muss in Form von Strings im Format projects/PROJECT_ID angegeben werden. Wenn diese Einschränkung aktiv ist, sind nur Images aus vertrauenswürdigen Projekten als Quelle für Bootlaufwerke neuer Instanzen zulässig.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Einschränkungen für den Image-Zugriff festlegen.

constraints/compute.trustedImageProjects

Mit dieser Listeneinschränkung wird die Gruppe von VM-Instanzen definiert, die die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren. VM-Instanzen müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID oder projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Diese Einschränkung gilt nicht rückwirkend.

Unterstützte Präfixe: is:, under:

constraints/compute.vmCanIpForward

Diese Listenbeschränkung definiert die Gruppe von Compute Engine-VM-Instanzen, die externe IPv4-Adressen verwenden dürfen. Die Verwendung von IPv6-Adressen wird von dieser Beschränkung nicht eingeschränkt.
Standardmäßig können alle VM-Instanzen externe IPv4- und IPv6-Adressen verwenden.
Die Liste der zulässigen/abgelehnten VM-Instanzen muss durch den Namen der VM-Instanz im folgenden Format identifiziert werden: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Externen IP-Zugriff auf bestimmte Instanzen beschränken.

constraints/compute.vmExternalIpAccess

Durch das Erzwingen dieser booleschen Einschränkung wird das Aktivieren von Identity-Aware Proxy für globale Ressourcen deaktiviert. Das Aktivieren von IAP für regionale Ressourcen ist von dieser Einschränkung nicht betroffen.
Standardmäßig ist das Aktivieren von IAP für globale Ressourcen zulässig.

constraints/iap.requireGlobalIapWebDisabled

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Onboardings von Assured Workloads automatisch konfiguriert und dient nur der erweiterten gesetzlichen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden alle Zugriffspfade für Diagnosen und andere Anwendungsfälle im Kundensupport deaktiviert, die nicht den Anforderungen von Assured Workloads entsprechen.

constraints/container.restrictNoncompliantDiagnosticDataAccess

Mit dieser Listeneinschränkung wird eine Gruppe von Remotes definiert, mit denen Repositories im Dataform-Projekt kommunizieren können. Wenn Sie die Kommunikation mit allen Remotes sperren möchten, legen Sie den Wert auf Deny all fest. Diese Einschränkung gilt rückwirkend und sperrt die Kommunikation für vorhandene Repositories, die dagegen verstoßen. Die Einträge sollten Links zu vertrauenswürdigen Remotes im selben Format wie in Dataform sein.
Standardmäßig können Repositories in Dataform-Projekten mit allen Remotes kommunizieren.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Remote-Repositories einschränken.

constraints/dataform.restrictGitRemotes

Standardmäßig können Datastream-Verbindungsprofile mit öffentlichen oder privaten Verbindungsmethoden erstellt werden. Wenn die boolesche Einschränkung für diese Organisationsrichtlinie erzwungen wird, können nur private Verbindungsmethoden (z. B. VPC-Peering) zum Erstellen von Verbindungsprofilen verwendet werden.

constraints/datastream.disablePublicConnectivity

Mit dieser Listeneinschränkung wird die Gruppe von Domains definiert, die E-Mail-Adressen, die in „Wichtige Kontakte“ aufgenommen werden, enthalten dürfen.
Standardmäßig können E-Mail-Adressen mit beliebigen Domains in „Wichtige Kontakte“ aufgenommen werden.
In der Liste der zulässigen/abgelehnten Domains muss mindestens eine Domain im Format @example.com angegeben werden. Wenn diese Einschränkung aktiv ist und mit zulässigen Werten konfiguriert wurde, können nur E-Mail-Adressen mit einem Suffix, das mit einem der Einträge aus der Liste der zulässigen Domains übereinstimmt, in „Wichtige Kontakte“ hinzugefügt werden.
Diese Einschränkung hat keine Auswirkungen auf das Aktualisieren oder Entfernen vorhandener Kontakte.

Diese Einschränkung wird automatisch im Rahmen der Google Cloud -Sicherheitsbaseline bereitgestellt.

Unterstütztes Präfix: is:

constraints/essentialcontacts.allowedContactDomains

Durch das Erzwingen dieser booleschen Einschränkung können Administratoren von Organisationsrichtlinien dafür sorgen, dass nur auf Organisations‑ oder Ordnerebene zugewiesene Kontakte Sicherheitsbenachrichtigungen erhalten können. Insbesondere werden Projektinhaber und Kontaktadministratoren durch das Erzwingen dieser Einschränkung daran gehindert, einen wichtigen Kontakt mit dem Feld notification_category_subscriptions, das die Kategorie SECURITY oder ALL enthält, zu erstellen oder zu aktualisieren, wenn der Kontakt auch eine Projektressource als übergeordnetes Element hat.

constraints/essentialcontacts.disableProjectSecurityContacts

Wenn diese boolesche Einschränkung erzwungen wird, muss bei Firestore-Importen und -Exporten der Firestore-Dienst-Agent verwendet werden.
Bei Firestore-Importen und -Exporten kann standardmäßig das App Engine-Dienstkonto verwendet werden.
Firestore verwendet das App Engine-Dienstkonto künftig nicht mehr für Importe und Exporte und alle Konten müssen zum Firestore-Dienst-Agent migriert werden. Danach ist diese Einschränkung nicht mehr erforderlich.

constraints/firestore.requireP4SAforImportExport

Durch das Erzwingen dieser booleschen Einschränkung wird Cloud Logging für die Cloud Healthcare API deaktiviert.
Audit-Logs sind von dieser Einschränkung nicht betroffen.
Cloud-Logs, die vor dem Erzwingen der Einschränkung für die Cloud Healthcare API generiert wurden, werden nicht gelöscht und können weiterhin aufgerufen werden.

Weitere Informationen finden Sie unter Cloud Logging für die Cloud Healthcare API deaktivieren.

constraints/gcp.disableCloudLogging

Mit dieser Listeneinschränkung werden die Dienstkonten definiert, denen OAuth 2.0-Zugriffstoken mit einer Lebensdauer von bis zu 12 Stunden gewährt werden kann. Standardmäßig beträgt die maximale Lebensdauer für diese Zugriffstokens 1 Stunde.
In der Liste der zugelassenen/abgelehnten Dienstkonten muss mindestens eine E-Mail-Adresse eines Dienstkontos angegeben sein.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Lebensdauer von OAuth 2.0-Zugriffstokens verlängern.

constraints/iam.allowServiceAccountCredentialLifetimeExtension

Mit dieser Listenbeschränkung werden die Hauptkontogruppen der Organisation und die Google Workspace-Kundennummern festgelegt, deren Hauptkonten IAM-Richtlinien hinzugefügt werden können.
Standardmäßig können alle Nutzeridentitäten zu IAM-Richtlinien hinzugefügt werden. In dieser Einschränkung können nur zulässige Werte definiert werden, abgelehnte Werte werden nicht unterstützt.
Alle Domains, die mit einem Google Workspace-Konto oder der in allowed_values aufgeführten Hauptkontogruppe verknüpft sind, werden von der Organisationsrichtlinie zugelassen. Alle anderen Domains werden von der Organisationsrichtlinie blockiert.
Die google.com-Kundennummer muss dieser Liste nicht hinzugefügt werden, um mit Google-Diensten interagieren zu können. Wenn Sie die google.com-Kundennummer hinzufügen, können Sie Daten an Google-Mitarbeiter und Nicht-Produktionssysteme weitergeben. Dies sollte nur für die Datenweitergabe an Google-Mitarbeiter verwendet werden.

Diese Einschränkung wird automatisch im Rahmen der Google Cloud -Sicherheitsbaseline bereitgestellt.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Identitäten nach Domain einschränken.

constraints/iam.allowedPolicyMemberDomains

Durch das Erzwingen dieser booleschen Einschränkung wird das Ausschließen zusätzlicher Hauptkonten vom Audit-Logging verhindert. Diese Einschränkung wirkt sich nicht auf Ausnahmen vom Audit-Logging aus, die vor dem Erzwingen der Einschränkung aufgetreten sind.

constraints/iam.disableAuditLoggingExemption

Wenn diese Richtlinie erzwungen wird, können Dienstkonten mit der Rolle „ServiceAccountUser“ nur für Jobs (VMs, Funktionen usw.) bereitgestellt werden, die im selben Projekt wie das Dienstkonto ausgeführt werden.

Weitere Informationen finden Sie unter Für eine Ressource in einem anderen Projekt konfigurieren.

constraints/iam.disableCrossProjectServiceAccountUsage

Mit dieser booleschen Beschränkung wird das Erstellen von Dienstkonten deaktiviert, bei denen diese Beschränkung erzwungen wird.
Standardmäßig können Nutzer auf Basis ihrer Cloud IAM-Rollen und ‑Berechtigungen Dienstkonten erstellen.

Weitere Informationen finden Sie unter Erstellung von Dienstkonten deaktivieren.

constraints/iam.disableServiceAccountCreation

Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen externer Dienstkontoschlüssel und HMAC-Schlüssel für Cloud Storage deaktiviert.
Standardmäßig können externe Schlüssel für Dienstkonten von Nutzern basierend auf ihren Cloud IAM-Rollen und -Berechtigungen erstellt werden.

Diese Einschränkung wird automatisch im Rahmen der Google Cloud -Sicherheitsbaseline bereitgestellt.

Weitere Informationen finden Sie unter Erstellung von Dienstkontoschlüsseln deaktivieren.

constraints/iam.disableServiceAccountKeyCreation

Mit dieser booleschen Einschränkung wird das Feature deaktiviert, das das Hochladen öffentlicher Schlüssel in Dienstkonten zulässt, bei denen diese Einschränkung erzwungen wird.
Standardmäßig können Nutzer auf Basis ihrer Cloud IAM-Rollen und ‑Berechtigungen öffentliche Schlüssel in Dienstkonten hochladen.

Diese Einschränkung wird automatisch im Rahmen der Google Cloud -Sicherheitsbaseline bereitgestellt.

Weitere Informationen finden Sie unter Hochladen von Dienstkontoschlüsseln deaktivieren.

constraints/iam.disableServiceAccountKeyUpload

Wenn diese boolesche Beschränkung erzwungen wird, muss Workload Identity beim Erstellen aller neuen GKE-Cluster deaktiviert sein. Vorhandene GKE-Cluster, bei denen Workload Identity bereits aktiviert ist, funktionieren weiterhin wie gewohnt. Standardmäßig kann Workload Identity für jeden GKE-Cluster aktiviert werden.

Weitere Informationen finden Sie unter Erstellung von Clustern mit Workload Identity deaktivieren.

constraints/iam.disableWorkloadIdentityClusterCreation

Mit dieser Listeneinschränkung wird die maximal zulässige Dauer für den Ablauf von Dienstkontoschlüsseln definiert. Standardmäßig laufen erstellte Schlüssel niemals ab.
Die zulässige Dauer wird in Stunden angegeben und muss aus der Liste unten stammen. Es kann nur ein zulässiger Wert angegeben werden. Abgelehnte Werte werden nicht unterstützt. Die Angabe einer Dauer, die nicht in dieser Liste enthalten ist, führt zu einem Fehler.

• 1h
• 8h
• 24h
• 168h
• 336h
• 720h
• 1440h
• 2160h

Unterstütztes Präfix: is:

constraints/iam.serviceAccountKeyExpiryHours

Mit dieser Listeneinschränkung wird die jeweilige Reaktion definiert, wenn Google einen mit einem Dienstkonto verknüpften öffentlich zugänglichen Schlüssel erkennt. Zu den überwachten Schlüsseln gehören langlebige Dienstkontoschlüssel und API-Schlüssel, die an ein Dienstkonto gebunden sind. Wenn nichts festgelegt ist, gilt standardmäßig das für DISABLE_KEY beschriebene Verhalten.
Die zulässigen Werte sind DISABLE_KEY und WAIT_FOR_ABUSE. Werte, die dieser Liste nicht explizit hinzugefügt wurden, können nicht verwendet werden. Es kann nur ein zulässiger Wert angegeben werden. Abgelehnte Werte werden nicht unterstützt.
Wenn Sie den Wert DISABLE_KEY zulassen, werden alle öffentlich zugänglichen Dienstkontoschlüssel automatisch deaktiviert. Außerdem wird ein Eintrag im Audit-Log erstellt.
Wenn Sie den Wert WAIT_FOR_ABUSE zulassen, wird dieser Schutz deaktiviert und die zugänglichen Dienstkontoschlüssel werden nicht automatisch deaktiviert. Google Cloud kann jedoch offengelegte Dienstkontoschlüssel deaktivieren, wenn sie auf eine Weise verwendet werden, die sich negativ auf die Plattform auswirkt. Google Cloud ist jedoch nicht dazu verpflichtet.
Um diese Einschränkung zu erzwingen, legen Sie sie als Ersatz für die übergeordnete Richtlinie in der Google Cloud Console fest. Bei Verwendung der gcloud CLI können Sie alternativ inheritFromParent=false in der Richtliniendatei festlegen. Diese Einschränkung kann nicht mit einer übergeordneten Richtlinie zusammengeführt werden.

Unterstütztes Präfix: is:

constraints/iam.serviceAccountKeyExposureResponse

Liste der AWS-Konto-IDs, die für die Workload Identity-Föderation in Cloud IAM konfiguriert werden können.

Unterstütztes Präfix: is:

constraints/iam.workloadIdentityPoolAwsAccounts

Identitätsanbieter, die für die Authentifizierung von Arbeitslasten in Cloud IAM konfiguriert werden können und durch URI/URLs angegeben werden.

Unterstütztes Präfix: is:

constraints/iam.workloadIdentityPoolProviders

Diese Einschränkung bestimmt, welche VPC Service Controls-Modi beim Bereitstellen einer neuen von Anthos Service Mesh verwalteten Steuerungsebene festgelegt werden können. Gültige Werte sind „NONE“ und „COMPATIBLE“.

Unterstütztes Präfix: is:

constraints/meshconfig.allowedVpcscModes

Wenn diese boolesche Beschränkung auf „True“ festgelegt ist, wird die Einhaltung der Assured Workloads-Anforderungen erzwungen. Dazu wird das Erstellen oder Ändern von VM Manager-Ressourcen eingeschränkt, die Inline-Scripts oder Binärausgabedateien verwenden. Insbesondere müssen die Felder „script“ und „output_file_path“ in den Ressourcen „OSPolicyAssignment“ und „PolicyOrchestrator“ leer bleiben.

constraints/osconfig.restrictInlineScriptAndOutputFileUsage

Durch das Erzwingen dieser booleschen Einschränkung wird für alle neuen Pub/Sub-Themen bei der Erstellung „MessageStoragePolicy::enforce_in_transit“ auf „true“ gesetzt. Damit wird sichergestellt, dass Kundendaten nur innerhalb der Regionen übertragen werden, die in der Nachrichtenspeicherrichtlinie für das Thema als zulässig festgelegt sind.

constraints/pubsub.enforceInTransitRegions

Wenn diese boolesche Einschränkung erzwungen wird, wird die Gruppe der Nutzer eingeschränkt, die eine Sperre für ein freigegebene VPC-Hostprojekt entfernen können, ohne eine Berechtigung auf Organisationsebene zu haben.
Standardmäßig kann jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren die Sperre eines freigegebene VPC-Hostprojekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene gewährt werden.

constraints/compute.restrictXpnProjectLienRemoval

Durch das Erzwingen dieser booleschen Einschränkung, können Nutzer eine projektübergreifende Dienstkontosperre nur entfernen, wenn sie die entsprechende Berechtigung auf Organisationsebene haben. Standardmäßig hat jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren die Möglichkeit, eine projektübergreifende Dienstkontosperre zu entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene vorhanden sein.

Weitere Informationen finden Sie unter Für eine Ressource in einem anderen Projekt konfigurieren.

constraints/iam.restrictCrossProjectServiceAccountLienRemoval

Bei Erzwingung dieser Listeneinschränkung für eine Organisationsressource werden die Google Cloud-Ressourcen festgelegt, die in Listen- und Suchmethoden für Nutzer in der Domain der Organisation zurückgegeben werden, in der diese Einschränkung erzwungen wird. Hiermit können Sie die Ressourcen einschränken, die in verschiedenen Bereichen der Cloud Console wie der Ressourcenauswahl, der Suche und der Seite „Ressourcen verwalten“ sichtbar sind. Diese Einschränkung wird immer nur auf Organisationsebene ausgewertet. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen im folgenden Format vorliegen: under:organizations/ORGANIZATION_ID.

Unterstützte Präfixe: is:, under:

Weitere Informationen finden Sie unter Projektsichtbarkeit für Nutzer einschränken.

constraints/resourcemanager.accessBoundaries

Mit dieser Listeneinschränkung wird geprüft, ob ein Projekt mit einem aktivierten Dienst organisationsübergreifend verschoben werden kann. Für eine Ressource mit einem aktivierten unterstützten Dienst muss diese Einschränkung erzwungen und der unterstützte Dienst in die zulässigen Werte aufgenommen werden, damit die Ressource organisationsübergreifend verschoben werden kann. Die aktuelle Liste der zulässigen Werte für verfügbare unterstützte Dienste ist:

• SHARED_VPC

Unterstütztes Präfix: is:

constraints/resourcemanager.allowEnabledServicesForExport

Mit dieser Listeneinschränkung wird die Gruppe externer Organisationen definiert, in die Ressourcen verschoben werden können. Außerdem werden damit sämtliche Verschiebevorgänge in alle anderen Organisationen abgelehnt. Standardmäßig können Ressourcen nicht organisationsübergreifend verschoben werden. Wenn diese Einschränkung auf eine Ressource angewendet wird, kann die Ressource nur in Organisationen verschoben werden, die ausdrücklich durch diese Einschränkung zugelassen werden. Die Einschränkung gilt nicht für das Verschieben von Ressourcen innerhalb einer Organisation. Für den Verschiebevorgang sind weiterhin dieselben IAM-Berechtigungen wie für das normale Verschieben von Ressourcen erforderlich. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen im folgenden Format vorliegen: under:organizations/ORGANIZATION_ID.

Unterstützte Präfixe: is:, under:

constraints/resourcemanager.allowedExportDestinations

Mit dieser Listenbeschränkung wird die Gruppe externer Organisationen definiert, aus denen Ressourcen importiert werden können. Außerdem werden damit sämtliche Verschiebevorgänge aus allen anderen Organisationen abgelehnt. Standardmäßig können Ressourcen nicht organisationsübergreifend verschoben werden. Wenn diese Einschränkung auf eine Ressource angewendet wird, müssen importierte Ressourcen, die sich direkt unter dieser Ressource befinden, ausdrücklich durch diese Einschränkung zugelassen werden. Die Beschränkung gilt nicht für das Verschieben von Ressourcen innerhalb einer Organisation oder von außerhalb einer Organisation in eine Organisation. Für den Verschiebevorgang sind weiterhin dieselben IAM-Berechtigungen wie für das normale Verschieben von Ressourcen erforderlich. Werte, die in Zulassungs-/Sperrlisten angegeben sind, müssen im folgenden Format vorliegen: under:organizations/ORGANIZATION_ID.

Unterstützte Präfixe: is:, under:

constraints/resourcemanager.allowedImportSources

Mit dieser Listeneinschränkung werden die Namen von Binärautorisierungsrichtlinien definiert, die für eine Cloud Run-Ressource angegeben werden dürfen. Verwenden Sie den Wert default, um eine Standardrichtlinie zuzulassen oder nicht zuzulassen. Wenn Sie eine oder mehrere benutzerdefinierte Plattformrichtlinien zulassen oder nicht zulassen möchten, muss die Ressourcen-ID jeder dieser Richtlinien separat hinzugefügt werden.

Unterstütztes Präfix: is:

constraints/run.allowedBinaryAuthorizationPolicies

Mit dieser Listeneinschränkung werden die zulässigen Einstellungen für eingehenden Traffic für Cloud Run-Dienste definiert. Wenn diese Einschränkung erzwungen wird, müssen die Einstellungen für eingehenden Traffic von Diensten mit einem der zulässigen Werte übereinstimmen. Vorhandene Cloud Run-Dienste mit Einstellungen für eingehenden Traffic, die gegen diese Einschränkung verstoßen, können weiterhin aktualisiert werden, bis die Einstellungen für eingehenden Traffic des Dienstes so geändert werden, dass sie dieser Einschränkung entsprechen. Sobald ein Dienst dieser Einschränkung entspricht, können dafür nur Einstellungen für eingehenden Traffic verwendet werden, die gemäß dieser Einschränkung zulässig sind.
Standardmäßig können beliebige Einstellungen für eingehenden Traffic für Cloud Run-Dienste verwendet werden.
Die Zulassungsliste muss unterstützte Werte für Einstellungen für eingehenden Traffic enthalten. Diese sind all, internal und internal-and-cloud-load-balancing.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Zulässige Einstellungen für eingehenden Traffic einschränken.

constraints/run.allowedIngress

Diese Listeneinschränkung definiert die zulässigen Einstellungen für ausgehenden VPC-Traffic, die für eine Cloud-Run-Ressource angegeben werden. Wenn diese Einschränkung erzwungen wird, müssen Cloud-Run-Ressourcen mit einem Connector für serverlosen VPC-Zugriff oder mit aktiviertem ausgehendem Direct-VPC-Traffic bereitgestellt werden. Die Einstellungen zu ausgehendem VPC-Traffic müssen einem der zulässigen Werte entsprechen.
Standardmäßig können Einstellungen für ausgehenden VPC-Traffic von Cloud Run-Ressourcen auf jeden unterstützten Wert festgelegt werden.
Die Zulassungsliste muss unterstützte Werte für Einstellungen für ausgehenden VPC-Traffic enthalten. Diese sind private-ranges-only und all-traffic.

Für bestehende Cloud Run-Dienste müssen alle neuen Überarbeitungen dieser Einschränkung entsprechen. Vorhandene Dienste mit Überarbeitungen, die Traffic bereitstellen, der gegen diese Einschränkung verstößt, können weiterhin Traffic zu Überarbeitungen migrieren, die gegen diese Einschränkung verstoßen. Sobald der gesamte Traffic für einen Dienst von Überarbeitungen bereitgestellt wird, die dieser Einschränkung entsprechen, dürfen nachfolgende Trafficmigrationen den Traffic nur zu Überarbeitungen migrieren, die dieser Einschränkung entsprechen.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Einstellungen für ausgehenden VPC-Traffic einschränken.

constraints/run.allowedVPCEgress

Wenn diese boolesche Einschränkung erzwungen wird, wird verhindert, dass den in Ihren Projekten erstellten App Engine- und Compute Engine-Dienstkonten default beim Erstellen der Konten automatisch eine IAM-Rolle für das Projekt zugewiesen wird.
Diese Dienstkonten erhalten standardmäßig die Rolle "Bearbeiter", wenn sie erstellt werden. Weitere Informationen zu Standarddienstkonten finden Sie unter https://cloud.google.com/iam/help/service-accounts/default.
Informationen zu Rollen, die anstelle der Rolle „Editor“ zugewiesen werden können, erhalten Sie unter https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Diese Einschränkung wird automatisch im Rahmen der Google Cloud -Sicherheitsbaseline bereitgestellt.

constraints/iam.automaticIamGrantsForDefaultServiceAccounts

Mit dieser Listeneinschränkung werden die zulässigen Cloud Build-Worker-Pools zum Ausführen von Builds mit Cloud Build festgelegt. Wenn diese Einschränkung erzwungen wird, müssen Builds in einem Worker-Pool der zulässigen Werte erstellt werden.
Standardmäßig kann Cloud Build jeden beliebigen Worker-Pool nutzen.
Die Liste der zulässigen Worker-Pools muss das folgende Format haben:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID

Unterstützte Präfixe: is:, under:

constraints/cloudbuild.allowedWorkerPools

Mit dieser Listeneinschränkung wird die Gruppe von Standorten definiert, an denen standortbasierte Google Cloud-Ressourcen erstellt werden können. Wichtig: Die Informationen auf dieser Seite beschreiben nicht die Verpflichtungen der Google Cloud Platform gegenüber ihren Kunden hinsichtlich des Datenstandorts für Kundendaten (wie in der Vereinbarung definiert, unter der Google sich bereit erklärt hat, Google Cloud Platform-Dienste bereitzustellen, und wie in der Zusammenfassung der Google Cloud Platform-Dienste unter https://cloud.google.com/terms/services beschrieben). Eine Liste der Google Cloud Platform-Dienste, für die der Standort der Kundendaten von Kunden ausgewählt werden kann, finden Sie unter „Google Cloud Platform Services with Data Residency“ unter https://cloud.google.com/terms/data-residency.
Standardmäßig können Ressourcen an jedem Standort erstellt werden. Eine vollständige Liste der unterstützten Dienste finden Sie unter https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services.
In den Richtlinien für diese Einschränkung können Mehrfachregionen wie asia und europe, Regionen wie us-east1 oder europe-west1 als erlaubte oder abgelehnte Standorte angegeben werden. Wenn eine Mehrfachregion erlaubt oder abgelehnt wird, bedeutet dies nicht, dass alle enthaltenen untergeordneten Standorte ebenfalls erlaubt oder abgelehnt sind. Wenn in der Richtlinie beispielsweise die Multiregion us abgelehnt wird, die sich auf multiregionale Ressourcen wie einige Speicherdienste bezieht, können trotzdem Ressourcen am regionalen Standort us-east1 erstellt werden. Die Gruppe in:us-locations enthält dagegen alle Standorte innerhalb der Region us und kann zum Blockieren jeder Region verwendet werden.
Wir empfehlen, Richtlinien mithilfe von Wertgruppen zu definieren.
Sie können von Google ausgewählte Wertgruppen und Standortsammlungen zum einfachen Definieren Ihrer Ressourcenstandorte angeben. Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran, dem dann die Wertgruppe folgt.
Zum Erstellen von Ressourcen, die sich ausschließlich in den USA befinden, legen Sie beispielsweise in:us-locations in der Liste der zulässigen Werte fest.
Wenn das Feld suggested_value in einer Standortrichtlinie verwendet wird, sollte es eine Region sein. Wenn der angegebene Wert eine Region ist, kann eine Benutzeroberfläche für eine zonale Ressource jede Zone in dieser Region vorab angeben.

Unterstützte Präfixe: is:, in:

Weitere Informationen finden Sie unter Ressourcenstandorte einschränken.

constraints/gcp.resourceLocations

Mit dieser Listeneinschränkung wird definiert, welche Projekte verwendet werden können, um kundenverwaltete Verschlüsselungsschlüssel (CMEKs) beim Erstellen von Ressourcen bereitzustellen. Wenn Sie diese Einschränkung auf Allow festlegen, also nur CMEK-Schlüssel aus diesen Projekten zulassen, können CMEK-Schlüssel aus anderen Projekten nicht zum Schutz neu erstellter Ressourcen verwendet werden. Werte für diese Einschränkung müssen im folgenden Format angegeben werden: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID. Unterstützte Dienste, die diese Einschränkung erzwingen, sind:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• workstations.googleapis.com

Unterstützte Präfixe: is:, under:

Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien.

constraints/gcp.restrictCmekCryptoKeyProjects

Mit dieser Listeneinschränkung wird die Gruppe von Google Cloud API-Endpunkten festgelegt, über die auf Ressourcen in einer Organisation, einem Ordner oder einem Projekt zugegriffen werden kann.
Sie kann verwendet werden, um den Zugriff auf Google Cloud-Ressourcen über globale API-Endpunkte zu blockieren und die Verwendung standortbezogener oder regionaler Endpunkte zu erzwingen. Wenn Sie beispielsweise bigquery.googleapis.com in der Sperrliste dieser Richtlinie angeben, schlagen Anfragen an bigquery.googleapis.com/... fehl, während Anfragen an {location}-bigquery.googleapis.com/... erfolgreich sind.
Standardmäßig ist der Zugriff auf alle Google Cloud API-Endpunkte zulässig.
Die Sperrliste der Endpunkte muss aus der folgenden Liste stammen. Andere Werte können für die Sperrliste nicht gespeichert werden.
Weitere Informationen, einschließlich der Liste gültiger Werte für die Beschränkung, finden Sie im Nutzerhandbuch „Endpunktnutzung einschränken“.

Diese Einschränkung kann im Probelaufmodus verwendet werden.

Unterstützte Präfixe: is:, in:

Weitere Informationen finden Sie unter Endpunktnutzung einschränken.

constraints/gcp.restrictEndpointUsage

Mit dieser Listeneinschränkung wird definiert, für welche Dienste kundenverwaltete Verschlüsselungsschlüssel (CMEKs) erforderlich sind. Wenn Sie diese Einschränkung auf Deny festlegen, also die Ressourcenerstellung ohne CMEK ablehnen, müssen neu erstellte Ressourcen für die angegebenen Dienste durch einen CMEK-Schlüssel geschützt werden. Unterstützte Dienste, die in dieser Einschränkung festgelegt werden können, sind:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• storagetransfer.googleapis.com
• workstations.googleapis.com

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien.

constraints/gcp.restrictNonCmekServices

Mit dieser Einschränkung werden die Google Cloud-Ressourcendienste definiert, die in einer Organisation, einem Ordner oder einem Projekt verwendet werden können, z. B. compute.googleapis.com und storage.googleapis.com.
Standardmäßig sind alle Google Cloud-Ressourcendienste zulässig.
Weitere Informationen finden Sie unter https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

Diese Einschränkung kann im Probelaufmodus verwendet werden.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Ressourcennutzung einschränken.

constraints/gcp.restrictServiceUsage

Mit dieser Listeneinschränkung wird die Gruppe von TLS-Cipher-Suites definiert, die zum Zugriff auf Ressourcen in einer Organisation, einem Ordner oder einem Projekt verwendet werden kann, in dem diese Einschränkung erzwungen wird.
Standardmäßig sind alle TLS-Cipher-Suites zulässig. TLS-Cipher-Suites können in Form einer Zulassungs- oder Sperrliste angegeben werden und müssen durch ihre Namen identifiziert werden. Beispiel: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256.Sie können auch Wertegruppen angeben, also Sammlungen von Cipher Suites, die von Google ausgewählt wurden, um das Festlegen der Beschränkung zu erleichtern. Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran, dem dann die Wertgruppe folgt. Beispiel: in:CNSA-2.0-recommended-ciphers.
Diese Beschränkung wird nur auf Anfragen angewendet, die TLS verwenden. Unverschlüsselte Anfragen werden dadurch nicht beschränkt.
Weitere Informationen finden Sie im Nutzerhandbuch zum Beschränken von TLS-Cipher-Suites.

Diese Einschränkung kann im Probelaufmodus verwendet werden.

Unterstützte Präfixe: is:, in:

constraints/gcp.restrictTLSCipherSuites

Mit dieser Einschränkung wird die Gruppe von TLS-Versionen definiert, die nicht in einer Organisation, einem Ordner oder einem Projekt verwendet werden können, in der/dem die Einschränkung erzwungen wird. Dies gilt auch für die untergeordneten Elemente der jeweiligen Ressource.
Standardmäßig sind alle TLS-Versionen zulässig. TLS-Versionen können nur in der Sperrliste angegeben werden und müssen im Format TLS_VERSION_1 oder TLS_VERSION_1_1 identifiziert werden.
Diese Einschränkung gilt nur für Anfragen mit TLS. Unverschlüsselte Anfragen werden dadurch nicht eingeschränkt.
Weitere Informationen finden Sie unter https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.

Diese Einschränkung kann im Probelaufmodus verwendet werden.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter TLS-Versionen einschränken.

constraints/gcp.restrictTLSVersion

Durch das Erzwingen dieser booleschen Einschränkung wird das Aktivieren von Identity-Aware Proxy für regionale Ressourcen deaktiviert. Das Aktivieren von IAP für globale Ressourcen ist von dieser Einschränkung nicht betroffen.
Standardmäßig ist das Aktivieren von IAP für regionale Ressourcen zulässig.

constraints/iap.requireRegionalIapWebDisabled

Diese Listeneinschränkung schränkt die Dienste und zugehörigen APIs ein, die für diese Ressource aktiviert werden können. Standardmäßig sind alle Dienste zulässig.
Die Liste der abgelehnten Dienste muss aus der folgenden Liste stammen. Die explizite Aktivierung von APIs über diese Einschränkung wird derzeit nicht unterstützt. Wenn Sie eine API angeben, die nicht in dieser Liste enthalten ist, wird ein Fehler ausgegeben.

• compute.googleapis.com
• deploymentmanager.googleapis.com
• dns.googleapis.com

Unterstütztes Präfix: is:

constraints/serviceuser.services

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Onboardings von Assured Workloads automatisch konfiguriert und dient nur der erweiterten gesetzlichen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung werden bestimmte Supportaspekte eingeschränkt und die bereitgestellten Ressourcen entsprechen genau den erweiterten Anforderungen an die digitale Souveränität von Assured Workloads. Diese Richtlinie gilt für bestehende Projekte, aber nicht für Ressourcen, die bereits bereitgestellt wurden, d. h. Änderungen an der Richtlinie spiegeln sich nur in Ressourcen wider, die nach der Änderung der Richtlinie erstellt werden.

constraints/spanner.assuredWorkloadsAdvancedServiceControls

Konfigurieren oder ändern Sie diese Richtlinie nicht. Diese Einschränkung wird während des Assured Workloads-Onboardings automatisch konfiguriert und dient nur der erweiterten regulatorischen Kontrolle von Assured Workloads. Durch das Erzwingen dieser booleschen Einschränkung wird das Erstellen von Cloud Spanner-Instanzen mit einer Konfiguration für multiregionale Instanzen verhindert, sofern kein Standort ausgewählt ist. Da Cloud Spanner die Standortauswahl derzeit noch nicht unterstützt, sind Mehrfachregionen nicht zugelassen. In Zukunft werden Nutzer in Cloud Spanner einen Standort für Mehrfachregionen auswählen können. Diese Einschränkung kann nicht rückwirkend erzwungen werden. Für bereits erstellte Cloud Spanner-Instanzen gilt sie daher nicht.

constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected

Wenn der detaillierte Audit-Logging-Modus erzwungen wird, werden sowohl die Anfrage als auch die Antwort in Cloud-Audit-Logs einbezogen. Es kann bis zu 10 Minuten dauern, bis Änderungen an dieser Funktion wirksam werden. Diese Organisationsrichtlinie wird in Abstimmung mit der Bucket-Sperre dringend empfohlen, wenn Sie die Compliance mit Standards wie die SEC-Regel 17a–4(f), CFTC-Regel 1.31(c)–(d) und FINRA-Regel 4511(c) anstreben. Diese Richtlinie wird derzeit nur in Cloud Storage unterstützt.

Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien für Cloud Storage.

constraints/gcp.detailedAuditLoggingMode

Schützen Sie Ihre Cloud Storage-Daten vor öffentlichem Zugriff, indem Sie die Verhinderung des öffentlichen Zugriffs erzwingen. Diese Governance-Richtlinie verhindert, dass auf vorhandene und zukünftige Ressourcen über das öffentliche Internet zugegriffen wird. Dabei werden ACLs und IAM-Berechtigungen deaktiviert und blockiert, die Zugriff auf allUsers und allAuthenticatedUsers gewähren. Sie können diese Richtlinie für die gesamte Organisation (empfohlen), bestimmte Projekte oder bestimmte Ordner erzwingen und so dafür sorgen, dass keine Daten öffentlich zugänglich sind.
Diese Richtlinie überschreibt vorhandene öffentliche Berechtigungen. Der öffentliche Zugriff auf vorhandene Buckets und Objekte wird nach dem Aktivieren dieser Richtlinie aufgehoben. Weitere Einzelheiten zu den Auswirkungen einer geänderten Erzwingung dieser Einschränkung auf Ressourcen finden Sie unter https://cloud.google.com/storage/docs/public-access-prevention.

Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien für Cloud Storage.

constraints/storage.publicAccessPrevention

Mit dieser Einschränkung werden die Authentifizierungstypen definiert, deren Zugriff auf Speicherressourcen der Organisation in Cloud Storage eingeschränkt wird. Unterstützte Werte sind USER_ACCOUNT_HMAC_SIGNED_REQUESTS, SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS und RSA_SIGNED_REQUESTS. Mit in:ALL_HMAC_SIGNED_REQUESTS können Sie HMAC-signierte Anfragen für Nutzerkonten und Dienstkonten einbeziehen. Mit in:ALL_SIGNED_REQUESTS können Sie HMAC- und RSA-signierte Anfragen einbeziehen.

Unterstützte Präfixe: is:, in:

constraints/storage.restrictAuthTypes

Mit dieser Listeneinschränkung werden die Zeiträume für Aufbewahrungsrichtlinien definiert, die für Cloud Storage-Buckets festgelegt werden können.
Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Aufbewahrungsrichtlinie beliebiger Dauer haben.
Die Liste der zulässigen Zeiträume für die Aufbewahrungsrichtlinie muss als positiver ganzzahliger Wert größer als Null in der Einheit Sekunden angegeben werden.
Bei allen Vorgängen zum Einfügen, Aktualisieren oder Reparieren für einen Bucket in der Organisationsressource muss die in der Aufbewahrungsrichtlinie angegebene Dauer der Einschränkung entsprechen.
Diese Einschränkung kann nicht rückwirkend erzwungen werden. Wenn eine neue Organisationsrichtlinie erzwungen wird, bleibt die Aufbewahrungsrichtlinie vorhandener Buckets unverändert und gültig.

Unterstütztes Präfix: is:

Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien für Cloud Storage.

constraints/storage.retentionPolicySeconds

Durch das Erzwingen dieser booleschen Einschränkung wird der (unverschlüsselte) HTTP-Zugriff auf alle Speicherressourcen ausdrücklich verhindert. Standardmäßig lässt die Cloud Storage XML API unverschlüsselten HTTP-Zugriff zu. Die Cloud Storage JSON API, gRPC und die Cloud Console lassen nur verschlüsselten HTTP-Zugriff auf Cloud Storage-Ressourcen zu.

constraints/storage.secureHttpTransport

Mit dieser Einschränkung wird die zulässige Aufbewahrungsdauer der Richtlinien zur Datenlöschung in Cloud Storage-Buckets definiert, in denen diese Einschränkung erzwungen wird. Bei allen Vorgängen zum Einfügen, Aktualisieren oder Patchen für einen Bucket, in dem diese Einschränkung erzwungen wird, muss die Dauer der Richtlinie zur Datenlöschung der Einschränkung entsprechen. Wenn eine neue Organisationsrichtlinie erzwungen wird, bleibt die Richtlinie zur Datenlöschung für vorhandene Buckets unverändert und gültig. Wenn keine Organisationsrichtlinie angegeben ist, kann ein Cloud Storage-Bucket standardmäßig eine Richtlinie zur Datenlöschung mit beliebiger Dauer haben.

Unterstütztes Präfix: is:

constraints/storage.softDeletePolicySeconds

Diese boolesche Einschränkung erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden, wenn die Einschränkung auf True gesetzt ist. Bei jedem neuen Bucket in der Organisationsressource muss der einheitliche Zugriff auf Bucket-Ebene aktiviert sein. Für keinen der hier vorhandenen Buckets kann diese Option deaktiviert werden.
Diese Einschränkung kann nicht rückwirkend erzwungen werden: Bei vorhandenen Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene bleibt dieser deaktiviert. Der Standardwert für diese Einschränkung ist False.
Durch den einheitlichen Zugriff auf Bucket-Ebene wird die Auswertung von ACLs deaktiviert, die Cloud Storage-Objekten in dem Bucket zugeordnet sind. Daher gewähren nur IAM-Richtlinien Zugriff auf Objekte in diesen Buckets.

Diese Einschränkung wird automatisch im Rahmen der Google Cloud -Sicherheitsbaseline bereitgestellt.

Weitere Informationen finden Sie unter Einschränkungen für Organisationsrichtlinien für Cloud Storage.

constraints/storage.uniformBucketLevelAccess