Batasan kebijakan organisasi

Batasan daftar ini menentukan setelan enkripsi yang diizinkan untuk Lampiran VLAN baru.
Secara default, Lampiran VLAN diizinkan untuk menggunakan setelan enkripsi apa pun.
Tetapkan IPSEC sebagai nilai yang diizinkan untuk mewajibkan pembuatan lampiran VLAN terenkripsi saja.

Batasan ini memastikan bahwa fitur pratinjau diblokir kecuali jika batasan ini diizinkan secara eksplisit. Setelah disetel ke izinkan, Anda dapat mengontrol fitur pratinjau mana yang dapat diaktifkan atau dinonaktifkan secara terpisah untuk project Anda. Hanya fitur pratinjau yang diaktifkan yang dapat diakses dalam project. Selanjutnya, menonaktifkan kebijakan tidak akan mengubah status fitur pratinjau individual yang telah ditetapkan & fitur tersebut dapat dinonaktifkan secara individual. Batasan ini hanya berlaku untuk fitur Compute Alpha API.

[Pratinjau Publik] Batasan boolean ini menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk semua VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang menetapkan batasan ini ke True.
Secara default, virtualisasi bertingkat dengan akselerasi hardware diizinkan untuk semua VM Compute Engine yang berjalan di platform CPU Intel Haswell atau yang lebih baru.

Pratinjau: Batasan ini mencegah kunci metadata serial-port-enable disetel ke benar (true) untuk VM Compute Engine dalam organisasi, project, atau folder tempat batasan ini diberlakukan. Secara default, akses port serial dapat diaktifkan per VM, per zona, atau per project menggunakan kunci metadata ini. Untuk mengizinkan akses port serial bagi VM tertentu, Anda dapat mengecualikannya dari kebijakan ini menggunakan tag dan aturan bersyarat.
Penting: Menerapkan batasan ini tidak memengaruhi VM yang ada yang serial-port-enable-nya sudah disetel ke benar (true); VM tersebut akan mempertahankan akses kecuali jika metadatanya diperbarui.

[Pratinjau Publik] Jika diberlakukan, batasan ini akan menonaktifkan logging port serial ke Stackdriver dari VM Compute Engine.
Secara default, logging port serial untuk VM Compute Engine dinonaktifkan, dan dapat diaktifkan secara selektif per VM atau per project menggunakan atribut metadata. Menonaktifkan logging port serial dapat menyebabkan layanan tertentu yang mengandalkannya, seperti cluster Google Kubernetes Engine, tidak berfungsi dengan benar. Sebelum Anda menerapkan batasan ini, pastikan produk di project Anda tidak bergantung pada logging port serial. Anda dapat mengizinkan instance VM tertentu menggunakan logging port serial. Pertama, terapkan tag untuk menandai instance, lalu gunakan aturan bersyarat berdasarkan nilai tag untuk mengecualikan instance tersebut dari penegakan.

[Pratinjau Publik] Batasan ini, jika diterapkan, akan membatasi penggunaan gDNS. Pembatasan ini menonaktifkan pembuatan VM gDNS dan mengupdate VM untuk menggunakan gDNS. Mengembalikan project zDNS ke gDNS tidak akan diblokir, tetapi akan menyebabkan penegakan pelanggaran kebijakan selama pemanggilan Instance API berikutnya.

[Pratinjau Publik] Jika diterapkan, batasan ini akan mewajibkan pengaktifan VM Manager (OS Config) di semua project baru. Pada project baru dan yang sudah ada, batasan ini mencegah pembaruan metadata yang dapat menonaktifkan VM Manager di tingkat project, project-zonal, atau instance. Anda dapat mengizinkan instance VM tertentu untuk menonaktifkan VM Manager. Pertama, terapkan tag untuk menandai instance, lalu gunakan aturan bersyarat berdasarkan nilai tag untuk mengecualikan instance tersebut dari penegakan.

[Pratinjau Publik] Jika diterapkan, batasan ini akan mewajibkan pengaktifan Login OS di semua Project yang baru dibuat. Pada project baru dan yang sudah ada, batasan ini mencegah pembaruan metadata yang dapat menonaktifkan Login OS di tingkat project, project-zonal, atau instance. Anda dapat mengizinkan instance VM tertentu untuk menonaktifkan Login OS. Pertama, terapkan tag untuk menandai instance, lalu gunakan aturan bersyarat berdasarkan nilai tag untuk mengecualikan instance tersebut dari penegakan.

Batasan ini memungkinkan Anda membatasi jenis deployment penerusan protokol (internal atau eksternal) yang dapat dibuat di organisasi Anda. Untuk mengonfigurasi batasan, Anda menentukan daftar yang diizinkan dari jenis deployment penerusan protokol yang akan diizinkan. Daftar yang diizinkan hanya dapat menyertakan nilai berikut:

• INTERNAL
• EKSTERNAL

[Pratinjau Publik] Batasan ini menentukan apakah instance VM Compute Engine dapat mengaktifkan penerusan IP. Secara default, jika tidak ada kebijakan yang ditentukan, semua VM dapat mengaktifkan penerusan IP di jaringan virtual mana pun. Jika diberlakukan, batasan ini akan menolak pembuatan atau update instance VM dengan penerusan IP yang diaktifkan. Anda dapat mengizinkan instance VM tertentu untuk mengaktifkan penerusan IP. Pertama, terapkan tag untuk menandai instance, lalu gunakan aturan bersyarat berdasarkan nilai tag untuk mengecualikan instance tersebut dari penegakan.

[Pratinjau Publik] Batasan ini menentukan apakah instance VM Compute Engine diizinkan menggunakan alamat IP eksternal IPv4. Secara default, semua instance VM diizinkan untuk menggunakan alamat IP eksternal. Jika diterapkan, batasan ini akan menolak pembuatan atau update instance VM dengan alamat IP eksternal IPv4. Batasan ini tidak akan membatasi penggunaan alamat IP eksternal IPv6. Anda dapat mengizinkan instance VM tertentu menggunakan alamat IP IPv4 eksternal. Pertama, terapkan tag untuk menandai instance, lalu gunakan aturan bersyarat berdasarkan nilai tag untuk mengecualikan instance tersebut dari penegakan.

Mewajibkan pengontrol penerimaan DenyServiceExternalIPs tetap diaktifkan di cluster GKE. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs

Menolak permintaan untuk mengaktifkan Kontrol Akses Berbasis Atribut (ABAC) di cluster GKE. ABAC adalah metode autentikasi lama yang dinonaktifkan secara default di semua cluster baru. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled

Memastikan port hanya baca kubelet yang tidak aman (10255) tetap dinonaktifkan. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port

Jangan mengaktifkan metode autentikasi sertifikat klien lama secara manual. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate

Nonaktifkan ClusterRoleBindings dan RoleBindings non-default yang mereferensikan identitas sistem system:anonymous, system:authenticated, atau system:unauthenticated saat membuat atau mengupdate cluster GKE. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage

Jangan gunakan akun layanan Compute Engine default sebagai akun layanan cluster atau node pool. Gunakan akun layanan IAM dengan hak istimewa minimal sebagai gantinya. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa

Aktifkan Otorisasi Biner saat membuat atau mengupdate cluster GKE. Untuk mengetahui detailnya, lihat https://cloud.google.com/binary-authorization/docs/setting-up.

Mewajibkan semua cluster GKE menggunakan setidaknya konfigurasi Cloud Logging default. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging

Aktifkan endpoint berbasis DNS untuk akses bidang kontrol GKE dan nonaktifkan endpoint berbasis IP saat membuat atau mengupdate cluster. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint.

Aktifkan Google Grup untuk RBAC saat membuat atau mengupdate cluster GKE. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac.

Aktifkan penggunaan NetworkPolicy Kubernetes dengan mengaktifkan penerapan kebijakan jaringan atau GKE Dataplane V2. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy atau https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2.

Aktifkan node pribadi saat membuat atau mengupdate cluster dan node pool GKE. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking.

Aktifkan enkripsi Secret dengan kunci yang dikelola sendiri saat membuat atau mengupdate cluster GKE. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets.

Aktifkan Notifikasi Buletin Keamanan saat membuat atau mengupdate cluster GKE. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin

Mengharuskan Node Terlindungi tetap diaktifkan. Node GKE yang Terlindungi memberikan identitas dan integritas node yang kuat serta dapat diverifikasi untuk meningkatkan keamanan node GKE. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes

Aktifkan Workload Identity Federation for GKE saat membuat atau mengupdate cluster. Untuk mengetahui detailnya, lihat https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity.

Menonaktifkan kunci SSH di tingkat project agar tidak dapat mengakses VM Pekerja Dataflow.

Nonaktifkan penggunaan IP publik di VM Pekerja Dataflow.

Batasan ini menentukan kumpulan domain yang diizinkan yang dapat dimiliki oleh alamat email yang ditambahkan ke Kontak Penting.
Secara default, alamat email dengan domain apa pun dapat ditambahkan ke Kontak Penting.
Daftar allowedDomains harus menentukan satu atau beberapa domain formulir @example.com. Jika batasan ini diterapkan, hanya alamat email dengan akhiran yang cocok dengan salah satu entri dari daftar domain yang diizinkan yang dapat ditambahkan di Kontak Penting.
Batasan ini tidak memengaruhi pembaruan atau penghapusan kontak yang ada.

Jika diterapkan, hanya layanan yang ada dalam daftar yang diizinkan yang dapat mengaktifkan endpoint mcp-nya. Secara default, batasan ini diterapkan dan daftar layanan yang diizinkan kosong, sehingga mencegah pengaktifan endpoint mcp apa pun.

Batasan ini menentukan kumpulan akun utama organisasi yang dapat diberi peran IAM di organisasi Anda.
Menentukan set utama organisasi memungkinkan semua identitas yang terkait dengan organisasi tersebut (termasuk akun Workspace, grup Workspace, akun layanan, identitas kumpulan tenaga kerja, identitas kumpulan beban kerja, dan agen layanan) diberi peran di organisasi Anda. Set utama organisasi Anda tidak otomatis diizinkan, dan harus disertakan sebagai set utama yang diizinkan.
Anda dapat menentukan anggota satu per satu menggunakan awalan jenis prinsipal (misalnya, `user:` atau `serviceAccount:` untuk memberikan peran kepada mereka dan alias terkait di organisasi Anda.
Menerapkan batasan ini dapat memblokir pembuatan resource folder karena pemberian peran Folder Admin dan Folder Editor otomatis, serta dapat memblokir pembuatan resource project karena pemberian peran Pemilik otomatis.

Jika diterapkan, akan menonaktifkan pembuatan Kunci API yang terikat ke akun layanan.

Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan pengikatan kunci ke akun layanan.

Batasan boolean ini menonaktifkan pembuatan akun layanan, tempat batasan ini ditetapkan ke `True`.
Secara default, akun layanan dapat dibuat oleh pengguna berdasarkan peran dan izin Cloud IAM mereka.

Batasan ini, jika diterapkan, akan memblokir pembuatan kunci akun layanan.

Batasan boolean ini menonaktifkan fitur yang memungkinkan upload kunci publik ke akun layanan jika batasan ini ditetapkan ke `True`.
Secara default, pengguna dapat mengupload kunci publik ke akun layanan berdasarkan peran dan izin Cloud IAM mereka.

Jika batasan ini diterapkan, siapa pun tidak dapat memberikan peran Editor (roles/editor) atau peran Pemilik (roles/owner) kepada akun layanan default Compute Engine dan App Engine kapan saja. Untuk mempelajari lebih lanjut akun layanan default, lihat https://cloud.google.com/iam/help/service-accounts/default. Menerapkan batasan ini akan mencegah akun layanan default diberi peran Editor secara otomatis (roles/editor). Hal ini dapat menyebabkan masalah izin untuk layanan yang menggunakan akun layanan ini. Untuk mempelajari peran yang akan diberikan ke setiap akun layanan, lihat https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Daftar ID akun AWS yang dapat dikonfigurasi untuk workload identity federation di Cloud IAM.

Penyedia Identitas yang dapat dikonfigurasi untuk autentikasi beban kerja dalam Cloud IAM, ditentukan oleh URI/URL. Batasan ini dikelola oleh Google.

Jika batasan boolean ini diterapkan, pembuatan dan pembaruan cluster Kafka Connect akan dinonaktifkan.

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, Langganan Pub/Sub tidak dapat menyetel Transformasi Pesan Tunggal (SMT).

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, Topik Pub/Sub tidak dapat menyetel Transformasi Pesan Tunggal (SMT).

Jika diterapkan, batasan ini mengharuskan pemeriksaan pemanggil IAM diaktifkan pada layanan Cloud Run.
Jika batasan ini tidak diterapkan, Anda dapat menyetel kolom service.invoker_iam_disabled (v2), atau anotasi run.googleapis.com/invoker-iam-disabled (v1) pada layanan Cloud Run ke True. Anda juga dapat mencapai hasil yang serupa dengan memberikan izin run.routes.invoke kepada allUsers. Buka https://cloud.google.com/run/docs/securing/managing-access#make-service-public dan https://cloud.google.com/run/docs/securing/security untuk mengetahui informasi selengkapnya.

Edisi yang Anda coba gunakan tidak diizinkan oleh kebijakan organisasi Anda. Tinjau kebijakan dan pilih edisi yang diizinkan.

Batasan daftar ini menentukan mode akses yang diizinkan ke notebook dan instance Vertex AI Workbench tempat batasan ini diterapkan. Daftar yang diizinkan atau ditolak dapat menentukan beberapa pengguna dengan mode service-account atau akses pengguna tunggal dengan mode single-user. Mode akses yang akan diizinkan atau ditolak harus dicantumkan secara eksplisit.

Awalan yang didukung: is:

constraints/ainotebooks.accessMode

Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance Vertex AI Workbench dengan opsi download file diaktifkan. Secara default, opsi download file dapat diaktifkan di instance Vertex AI Workbench mana pun.

constraints/ainotebooks.disableFileDownloads

Batasan boolean ini, jika diterapkan, akan mencegah notebook dan instance yang dikelola pengguna Vertex AI Workbench yang baru dibuat mengaktifkan akses root. Secara default, notebook dan instance yang dikelola pengguna Vertex AI Workbench dapat mengaktifkan akses root.

constraints/ainotebooks.disableRootAccess

Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance Vertex AI Workbench dengan terminal yang diaktifkan. Secara default, terminal dapat diaktifkan di instance Vertex AI Workbench.

constraints/ainotebooks.disableTerminal

Batasan daftar ini menentukan opsi VM dan image container yang dapat dipilih pengguna saat membuat notebook yang dikelola pengguna Vertex AI Workbench baru. Opsi yang diizinkan atau ditolak harus dicantumkan secara eksplisit.
Format yang diharapkan untuk instance VM adalah ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Ganti IMAGE_TYPE dengan image-family atau image-name. Contoh: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
Format yang diharapkan untuk image container adalah ainotebooks-container/CONTAINER_REPOSITORY:TAG. Contoh: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.

Awalan yang didukung: is:

constraints/ainotebooks.environmentOptions

Batasan boolean ini, jika diterapkan, mewajibkan notebook dan instance yang dikelola pengguna Vertex AI Workbench yang baru dibuat memiliki jadwal upgrade otomatis yang ditetapkan. Jadwal upgrade otomatis dapat ditentukan menggunakan tanda metadata notebook-upgrade-schedule untuk menentukan jadwal cron untuk upgrade otomatis. Contoh: --metadata=notebook-upgrade-schedule="00 19 * * MON".

constraints/ainotebooks.requireAutoUpgradeSchedule

Batasan boolean ini, jika diterapkan, akan membatasi akses IP publik ke notebook dan instance Vertex AI Workbench yang baru dibuat. Secara default, IP publik dapat mengakses notebook dan instance Vertex AI Workbench.

constraints/ainotebooks.restrictPublicIp

Batasan daftar ini menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru yang menerapkan batasan ini. Secara default, instance Vertex AI Workbench dapat dibuat dengan jaringan VPC apa pun. Daftar jaringan yang diizinkan atau ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/global/networks/NETWORK_NAME.

Awalan yang didukung: is:, under:

constraints/ainotebooks.restrictVpcNetworks

Batasan daftar ini menentukan kumpulan model dan fitur AI generatif yang diizinkan untuk digunakan di Vertex AI API. Nilai daftar yang diizinkan harus mengikuti format model_id:feature_family. Contoh, publishers/google/models/text-bison:predict. Batasan daftar ini hanya membatasi akses ke model AI generatif eksklusif Google, dan tidak memengaruhi model eksklusif pihak ketiga atau model open source. Batasan vertexai.allowedModels dapat digunakan untuk menentukan akses ke serangkaian model yang lebih luas, termasuk model eksklusif Google, model eksklusif pihak ketiga, dan model open source. Secara default, semua model dapat digunakan di Vertex AI API.

Awalan yang didukung: is:

constraints/vertexai.allowedGenAIModels

Batasan daftar ini menentukan kumpulan model dan fitur yang diizinkan untuk digunakan di Vertex AI API. Nilai daftar yang diizinkan harus mengikuti format "model_id:feature_family", misalnya "publishers/google/models/gemini-1.0-pro:predict". Secara default, semua model dapat digunakan di Vertex AI API.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses ke model Model Garden.

constraints/vertexai.allowedModels

Batasan daftar ini menentukan kumpulan fitur lanjutan model partner terkelola yang diizinkan untuk digunakan di Vertex AI API. Nilai daftar yang diizinkan harus mengikuti format "publishers/publisher_id/models[/model_id:feature_family]", misalnya "publishers/anthropic/models/claude-sonnet-4:web_search" atau "publishers/anthropic/models/claude-sonnet-4" atau "publishers/anthropic". Secara default, semua fitur lanjutan model partner terkelola diblokir di Vertex AI API.

Awalan yang didukung: is:

constraints/vertexai.allowedPartnerModelFeatures

Batasan boolean ini, jika diterapkan, akan menonaktifkan fitur Grounding dengan Google Penelusuran di API AI generatif. Secara default, fitur ini diaktifkan.

constraints/vertexai.disableGenAIGoogleSearchGrounding

Batasan daftar ini menentukan kumpulan sumber perujukan yang diizinkan atau ditolak untuk digunakan dengan API generatif Vertex AI.
Secara default, semua sumber perujukan diizinkan.
Nilai yang valid adalah: GoogleMaps, VertexAiSearch, VertexRagStore, EnterpriseWebSearch, ExternalApiSimpleSearch, ExternalApiElasticSearch, dan UrlContext.

Awalan yang didukung: is:

constraints/vertexai.genAIGroundingSources

Menonaktifkan download kode dari kode sumber yang diupload sebelumnya ke App Engine.

constraints/appengine.disableCodeDownload

Batasan daftar ini menentukan kumpulan runtime lama App Engine Standard (Python 2.7, PHP 5.5, dan Java 8) yang diizinkan untuk deployment setelah Akhir Dukungan. Runtime lama App Engine Standard akan mencapai Akhir Dukungan pada 30 Januari 2024. Secara umum, upaya untuk men-deploy aplikasi menggunakan runtime lama setelah tanggal ini akan diblokir. Lihat jadwal dukungan runtime App Engine Standard. Menyetel batasan ini ke “Izinkan” akan membuka blokir deployment App Engine Standard untuk runtime lama yang Anda tentukan hingga Tanggal Penghentian Runtime. Menyetel batasan ini ke “Izinkan Semua” akan membuka blokir deployment App Engine Standard untuk semua runtime lama hingga Tanggal Penghentian Runtime. Runtime yang telah mencapai Akhir Dukungan tidak menerima patch keamanan dan pemeliharaan rutin. Sebaiknya upgrade aplikasi Anda untuk menggunakan versi runtime yang Tersedia Secara Umum.

Awalan yang didukung: is:

constraints/appengine.runtimeDeploymentExemption

Batasan boolean ini, jika diterapkan, akan menonaktifkan pengguna agar tidak menggunakan BigQuery Omni untuk memproses data di Amazon Web Services tempat batasan ini diterapkan.

constraints/bigquery.disableBQOmniAWS

Batasan boolean ini, jika diterapkan, akan menonaktifkan pengguna agar tidak menggunakan BigQuery Omni untuk memproses data di Microsoft Azure tempat batasan ini diterapkan.

constraints/bigquery.disableBQOmniAzure

Batasan daftar ini menentukan integrasi Cloud Build yang diizinkan untuk melakukan Build melalui penerimaan webhook dari layanan di luar Google Cloud. Jika batasan ini diterapkan, hanya webhook untuk layanan yang host-nya cocok dengan salah satu nilai yang diizinkan yang akan diproses.
Secara default, Cloud Build memproses semua webhook untuk project yang memiliki setidaknya satu pemicu AKTIF.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi build berdasarkan kebijakan organisasi.

constraints/cloudbuild.allowedIntegrations

Batasan boolean ini, jika diterapkan, akan mencegah pembuatan akun layanan Cloud Build lama.

constraints/cloudbuild.disableCreateDefaultServiceAccount

Batasan boolean ini, jika diterapkan, memungkinkan akun layanan Cloud Build lama digunakan secara default.

constraints/cloudbuild.useBuildServiceAccount

Batasan boolean ini, jika diterapkan, memungkinkan akun layanan Compute Engine digunakan secara default.

constraints/cloudbuild.useComputeServiceAccount

Jika diterapkan, batasan boolean ini akan mencegah Cloud Deploy menambahkan label ID Cloud Deploy ke objek yang di-deploy.
Secara default, label yang mengidentifikasi resource Cloud Deploy ditambahkan ke objek yang di-deploy selama pembuatan rilis.

constraints/clouddeploy.disableServiceLabelGeneration

Batasan daftar ini menentukan setelan ingress yang diizinkan untuk deployment Cloud Function (generasi ke-1). Saat batasan ini diterapkan, fungsi akan diharuskan untuk memiliki setelan ingress yang cocok dengan salah satu nilai yang diizinkan.
Secara default, Cloud Functions dapat menggunakan setelan ingress apa pun. Setelan ingress
harus ditentukan dalam daftar yang diizinkan menggunakan nilai enum IngressSettings. Enum memiliki nilai default INGRESS_SETTINGS_UNSPECIFIED. Enum harus diubah ke nilai lain sebelum Anda dapat menggunakannya dalam kebijakan organisasi.
Untuk Cloud Functions (generasi ke-2), gunakan batasan constraints/run.allowedIngress.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Menyiapkan kebijakan organisasi.

constraints/cloudfunctions.allowedIngressSettings

Batasan daftar ini menetapkan setelan egress VPC Connector yang diizinkan untuk deployment Cloud Function (generasi ke-1). Ketika batasan ini diterapkan, fungsi akan diwajibkan untuk memiliki setelan egress VPC Connector yang cocok dengan salah satu nilai yang diizinkan.
Secara default, Cloud Functions dapat menggunakan setelan egress VPC Connector apa pun. Setelan egress VPC Connector
harus ditentukan dalam daftar yang diizinkan menggunakan nilai enum VpcConnectorEgressSettings. Nilai default enum, VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED, tidak didukung, dan menyertakannya dalam kebijakan akan menghasilkan error.
Untuk Cloud Functions (generasi ke-2), gunakan batasan constraints/run.allowedVPCEgress.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Menyiapkan kebijakan organisasi.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings

Batasan boolean ini menerapkan penyetelan VPC Connector saat men-deploy Cloud Function (generasi ke-1). Saat batasan ini diterapkan, fungsi akan diperlukan untuk menetapkan VPC Connector.
Secara default, penetapan VPC Connector tidak diperlukan untuk men-deploy Cloud Function.

Untuk mengetahui informasi selengkapnya, lihat Menyiapkan kebijakan organisasi.

constraints/cloudfunctions.requireVPCConnector

Batasan daftar ini menentukan kumpulan Generasi Cloud Function yang diizinkan yang dapat digunakan untuk membuat resource Function baru. Nilai yang valid adalah: 1stGen, 2ndGen.

Awalan yang didukung: is:

constraints/cloudfunctions.restrictAllowedGenerations

Batasan daftar ini menentukan jenis kunci Cloud KMS yang dapat dibuat di bawah node hierarki tertentu. Jika batasan ini diterapkan, hanya jenis kunci KMS yang ditentukan dalam kebijakan org ini yang dapat dibuat dalam node hierarki terkait. Mengonfigurasi kebijakan org ini juga akan memengaruhi tingkat perlindungan tugas impor dan versi kunci. Secara default, semua jenis kunci diizinkan. Nilai yang valid adalah: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. Kebijakan penolakan tidak diizinkan.

Awalan yang didukung: is:

constraints/cloudkms.allowedProtectionLevels

Batasan boolean ini, jika diterapkan, hanya mengizinkan penghancuran versi kunci yang dalam status dinonaktifkan. Secara default, versi kunci yang dalam status diaktifkan dan versi kunci yang dalam status dinonaktifkan dapat dihancurkan. Jika batasan ini diterapkan, batasan ini berlaku untuk versi kunci baru dan lama.

constraints/cloudkms.disableBeforeDestroy

Batasan daftar ini menentukan durasi terjadwal penghancuran minimum dalam hari yang dapat ditentukan pengguna saat membuat kunci baru. Tidak ada kunci dengan durasi terjadwal penghancuran yang lebih rendah dari nilai ini yang dapat dibuat setelah batasan diterapkan. Secara default, durasi minimum penghancuran terjadwal untuk semua kunci adalah 1 hari, kecuali dalam kasus kunci khusus impor yang durasinya 0 hari.
Hanya satu nilai yang diizinkan yang dapat ditentukan dalam format in:1d, in:7d, in:15d, in:30d, in:60d, in:90d, atau in:120d. Misalnya, jika constraints/cloudkms.minimumDestroyScheduledDuration ditetapkan ke in:15d, pengguna dapat membuat kunci dengan durasi terjadwal penghapusan yang ditetapkan ke nilai apa pun yang lebih tinggi dari 15 hari, seperti 16 hari atau 31 hari. Namun, pengguna tidak dapat membuat kunci dengan durasi terjadwal penghancuran yang lebih rendah dari 15 hari, seperti 14 hari. Untuk setiap resource dalam hierarki, durasi minimum yang dijadwalkan untuk penghancuran dapat diwariskan, diganti, atau digabungkan dengan kebijakan induk. Saat kebijakan resource digabungkan dengan kebijakan induk, nilai efektif durasi terjadwal penghancuran minimum di resource adalah yang terendah antara nilai yang ditentukan dalam kebijakan resource dan durasi terjadwal penghancuran minimum efektif induk. Misalnya, jika organisasi memiliki durasi terjadwal penghancuran minimum 7 hari dan di project turunan, kebijakan ditetapkan ke 'Gabungkan dengan induk' dengan nilai in:15d, maka durasi terjadwal penghancuran minimum yang berlaku di project adalah 7 hari.

Awalan yang didukung: is:, in:

constraints/cloudkms.minimumDestroyScheduledDuration

Batasan daftar ini menentukan daftar jenis target, seperti App Engine HTTP, HTTP, atau Pub/Sub, yang diizinkan untuk tugas Cloud Scheduler.
Secara default, semua target tugas diizinkan.
Nilai yang valid adalah: APPENGINE, HTTP, PUBSUB.

Awalan yang didukung: is:

constraints/cloudscheduler.allowedTargetTypes

Batasan boolean ini membatasi penambahan Jaringan yang Diizinkan untuk akses database yang tidak menggunakan proxy ke instance Cloud SQL, tempat batasan ini diterapkan. Batasan ini tidak berlaku surut, instance Cloud SQL dengan Jaringan yang Diizinkan yang ada tetap berfungsi meskipun batasan ini telah diterapkan.
Secara default, Jaringan yang Diizinkan dapat ditambahkan ke instance Cloud SQL.

constraints/sql.restrictAuthorizedNetworks

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, aspek tertentu dari dukungan akan terganggu dan semua jalur akses untuk diagnostik dan kasus penggunaan dukungan pelanggan lainnya yang tidak memenuhi persyaratan kedaulatan tingkat lanjut untuk Assured Workloads akan dinonaktifkan.

constraints/sql.restrictNoncompliantDiagnosticDataAccess

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, aspek tertentu dari dukungan akan terganggu dan resource yang disediakan akan secara ketat mengikuti persyaratan kedaulatan lanjutan untuk Assured Workloads. Kebijakan ini bersifat retroaktif karena akan berlaku untuk project yang ada, tetapi tidak akan memengaruhi resource yang telah disediakan; yaitu, perubahan pada kebijakan hanya akan tercermin dalam resource yang dibuat setelah kebijakan diubah.

constraints/sql.restrictNoncompliantResourceCreation

Batasan boolean ini membatasi konfigurasi IP Publik di instance Cloud SQL, tempat batasan ini diterapkan. Batasan ini tidak berlaku surut, instance Cloud SQL dengan akses IP Publik yang ada tetap berfungsi meskipun batasan ini telah diterapkan.
Secara default, akses IP Publik diizinkan untuk instance Cloud SQL.

constraints/sql.restrictPublicIp

Batasan boolean ini, jika diterapkan, akan menonaktifkan Google Cloud Marketplace untuk semua pengguna di organisasi. Secara default, akses marketplace publik diaktifkan untuk organisasi. Kebijakan ini hanya berfungsi jika Marketplace Pribadi diaktifkan (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace).
Penting: Untuk pengalaman yang paling optimal, sebaiknya Anda menggunakan fitur pembatasan akses pengguna marketplace, seperti yang dijelaskan di https://cloud.google.com/marketplace/docs/governance/strict-user-access untuk mencegah penggunaan marketplace yang tidak sah di organisasi Anda, bukan melakukannya melalui kebijakan organisasi ini.

constraints/commerceorggovernance.disablePublicMarketplace

Batasan daftar ini menentukan kumpulan layanan yang diizinkan untuk organisasi marketplace, dan hanya dapat menyertakan nilai dari daftar di bawah:

• PRIVATE_MARKETPLACE
• IAAS_PROCUREMENT

Awalan yang didukung: is:

constraints/commerceorggovernance.marketplaceServices

Batasan daftar ini menentukan setelan enkripsi yang diizinkan untuk Lampiran VLAN baru.
Secara default, Lampiran VLAN diizinkan untuk menggunakan setelan enkripsi apa pun.
Tetapkan IPSEC sebagai nilai yang diizinkan untuk mewajibkan pembuatan lampiran VLAN terenkripsi saja.

Awalan yang didukung: is:

constraints/compute.allowedVlanAttachmentEncryption

Jika diterapkan, batasan boolean ini akan menonaktifkan pembuatan atau update ke resource Google Compute Engine apa pun yang terlibat dalam penggunaan IPv6.
Secara default, siapa pun yang memiliki izin Cloud IAM yang sesuai dapat membuat atau memperbarui resource Google Compute Engine dengan penggunaan IPv6 di project, folder, dan organisasi mana pun.
Jika disetel, batasan ini akan memiliki prioritas yang lebih tinggi daripada batasan org IPv6 lainnya, termasuk disableVpcInternalIpv6, disableVpcExternalIpv6, dan disableHybridCloudIpv6.

constraints/compute.disableAllIpv6

Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan kebijakan keamanan Cloud Armor global baru, serta penambahan atau pembaruan aturan ke kebijakan keamanan Cloud Armor global yang ada. Batasan ini tidak membatasi penghapusan aturan atau penghapusan, deskripsi, atau pencantuman kebijakan keamanan Cloud Armor global. Kebijakan keamanan Cloud Armor regional tidak terpengaruh oleh batasan ini. Semua kebijakan keamanan global dan regional yang ada sebelum pemberlakuan batasan ini tetap berlaku.
Secara default, Anda dapat membuat atau mengupdate kebijakan keamanan Cloud Armor di organisasi, folder, atau project mana pun.

constraints/compute.disableGlobalCloudArmorPolicy

Batasan boolean ini menonaktifkan pembuatan produk load balancing global. Jika diterapkan, hanya produk load balancing regional tanpa dependensi global yang dapat dibuat. Secara default, pembuatan load balancing global diizinkan.

constraints/compute.disableGlobalLoadBalancing

Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan Sertifikat SSL yang dikelola sendiri secara global. Pembuatan sertifikat yang dikelola Google atau sertifikat yang dikelola sendiri regional tidak dinonaktifkan oleh batasan ini.
Secara default, Anda dapat membuat Sertifikat SSL yang dikelola sendiri secara global di organisasi, folder, atau project mana pun.

constraints/compute.disableGlobalSelfManagedSslCertificate

Batasan boolean ini menonaktifkan akses port serial global ke VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang memberlakukan batasan ini. Secara default, pelanggan dapat mengaktifkan akses port serial untuk VM Compute Engine per VM atau per project menggunakan atribut metadata. Pemberlakuan batasan ini akan menonaktifkan akses port serial global untuk VM Compute Engine, terlepas dari atribut metadata. Akses port serial regional tidak terpengaruh oleh batasan ini. Untuk menonaktifkan semua akses port serial, gunakan batasan compute.disableSerialPortAccess.

constraints/compute.disableGlobalSerialPortAccess

Batasan boolean ini menonaktifkan akses Compute Engine API ke Atribut Tamu VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang memberlakukan batasan ini.
Secara default, Compute Engine API dapat digunakan untuk mengakses atribut tamu VM Compute Engine.

constraints/compute.disableGuestAttributesAccess

Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan atau pembaruan resource cloud hybrid, termasuk Lampiran Interconnect dan gateway Cloud VPN dengan stack_type IPV4_IPV6 atau IPV6_ONLY, atau gatewayIpVersion IPv6.
Jika diterapkan pada resource Cloud Router, kemampuan untuk membuat sesi Border Gateway Protocol (BGP) IPv6 dan kemampuan untuk mengaktifkan pertukaran rute IPv6 melalui sesi BGP IPv4 akan dinonaktifkan.
Secara default, siapa pun yang memiliki izin Cloud IAM yang sesuai dapat membuat atau mengupdate resource hybrid cloud dengan stack_type IPV4_IPV6 di project, folder, dan organisasi.

constraints/compute.disableHybridCloudIpv6

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika diterapkan, batasan boolean ini akan menonaktifkan API GetSerialPortOutput dan GetScreenshot yang mengakses output port serial VM dan mengambil screenshot dari UI VM.

constraints/compute.disableInstanceDataAccessApis

Batasan boolean ini membatasi apakah pengguna dapat membuat Grup Endpoint Jaringan (NEG) Internet dengan type INTERNET_FQDN_PORT dan INTERNET_IP_PORT.
Secara default, setiap pengguna dengan izin IAM yang sesuai dapat membuat NEG Internet di project mana pun.

constraints/compute.disableInternetNetworkEndpointGroup

Batasan boolean ini menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk semua VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang menetapkan batasan ini ke True.
Secara default, virtualisasi bertingkat dengan akselerasi hardware diizinkan untuk semua VM Compute Engine yang berjalan di platform CPU Intel Haswell atau yang lebih baru.

constraints/compute.disableNestedVirtualization

Jika diterapkan, batasan boolean ini akan menonaktifkan pembuatan jenis instance VM yang tidak mematuhi persyaratan FIPS.

constraints/compute.disableNonFIPSMachineTypes

Batasan daftar ini menentukan kumpulan jenis endpoint Private Service Connect yang aturan penerusannya tidak dapat dibuat oleh pengguna. Jika batasan ini diterapkan, pengguna akan diblokir untuk membuat aturan penerusan untuk jenis endpoint Private Service Connect. Batasan ini tidak diterapkan secara surut.
Secara default, aturan penerusan dapat dibuat untuk semua jenis endpoint Private Service Connect.
Daftar endpoint Private Service Connect yang diizinkan/ditolak harus berasal dari daftar di bawah:

• GOOGLE_APIS
• SERVICE_PRODUCERS

Awalan yang didukung: is:

constraints/compute.disablePrivateServiceConnectCreationForConsumers

Batasan boolean ini menonaktifkan akses port serial ke VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang memberlakukan batasan ini.
Secara default, pelanggan dapat mengaktifkan akses port serial untuk VM Compute Engine per VM atau per project menggunakan atribut metadata. Menerapkan batasan ini akan menonaktifkan akses port serial untuk VM Compute Engine, terlepas dari atribut metadata.

constraints/compute.disableSerialPortAccess

Batasan boolean ini menonaktifkan logging port serial ke Stackdriver dari VM Compute Engine yang menjadi bagian dari organisasi, project, atau folder yang memberlakukan batasan ini.
Secara default, logging port serial untuk VM Compute Engine dinonaktifkan, dan dapat diaktifkan secara selektif per VM atau per project menggunakan atribut metadata. Jika diberlakukan, batasan ini akan menonaktifkan logging serial port untuk VM Compute Engine baru setiap kali VM baru dibuat, serta mencegah pengguna mengubah atribut metadata VM apa pun (lama atau baru) ke True. Menonaktifkan logging port serial dapat menyebabkan layanan tertentu yang mengandalkannya, seperti cluster Google Kubernetes Engine, tidak berfungsi dengan benar. Sebelum Anda menerapkan batasan ini, pastikan produk di project Anda tidak bergantung pada logging port serial.

constraints/compute.disableSerialPortLogging

Batasan boolean ini menonaktifkan alat SSH di browser di Konsol Cloud untuk VM yang menggunakan Login OS dan VM lingkungan fleksibel App Engine. Jika diterapkan, tombol SSH-in-browser akan dinonaktifkan. Secara default, penggunaan alat SSH-in-browser diizinkan.

constraints/compute.disableSshInBrowser

Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan atau pembaruan ke subnetwork dengan stack_type IPV4_IPV6 dan ipv6_access_type EXTERNAL.
Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat membuat atau memperbarui subnetwork dengan stack_type IPV4_IPV6 di project, folder, dan organisasi mana pun.

constraints/compute.disableVpcExternalIpv6

Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan atau pembaruan ke subnetwork dengan stack_type IPV4_IPV6 dan ipv6_access_type INTERNAL.
Secara default, siapa pun dengan izin Cloud IAM yang sesuai dapat membuat atau memperbarui subnetwork dengan stack_type IPV4_IPV6 di project, folder, dan organisasi mana pun.

constraints/compute.disableVpcInternalIpv6

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Batasan ini mengontrol setelan yang diperlukan untuk menghilangkan potensi jalur akses ke memori inti VM. Jika diterapkan, fitur ini akan membatasi kemampuan untuk mengakses memori inti VM dengan menonaktifkan jalur akses dan membatasi pengumpulan data internal saat terjadi error.

constraints/compute.enableComplianceMemoryProtection

Batasan boolean ini, jika diterapkan, akan menonaktifkan perilaku fail-open pada kegagalan sisi server untuk metode regions.list, regions.get, dan projects.get. Artinya, jika informasi kuota tidak tersedia, metode ini akan gagal saat batasan diterapkan. Secara default, metode ini berhasil pada kegagalan sisi server dan menampilkan pesan peringatan saat informasi kuota tidak tersedia.

constraints/compute.requireBasicQuotaInResponse

Jika diterapkan, batasan boolean ini akan mengaktifkan VM Manager (OS Config) di semua project baru. Semua instance VM yang dibuat di project baru akan mengaktifkan VM Manager. Pada project baru dan yang sudah ada, batasan ini mencegah pembaruan metadata yang dapat menonaktifkan VM Manager di tingkat project atau instance.
Secara default, VM Manager dinonaktifkan di project Compute Engine.

Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan kebijakan organisasi OS Config.

constraints/compute.requireOsConfig

Jika diterapkan, batasan boolean ini akan mengaktifkan Login OS di semua Project yang baru dibuat. Semua instance VM yang dibuat di project baru akan mengaktifkan Login OS. Pada project baru dan yang sudah ada, batasan ini mencegah pembaruan metadata yang dapat menonaktifkan Login OS di tingkatan project atau instance.
Secara default, fitur Login OS dinonaktifkan di project Compute Engine.

constraints/compute.requireOsLogin

Jika diterapkan, batasan boolean ini akan mengharuskan semua instance VM Compute Engine yang baru untuk menggunakan disk image Terlindung dengan opsi Booting Aman, vTPM, dan Pemantauan Integritas diaktifkan. Booting Aman dapat dinonaktifkan setelah pembuatan, jika diinginkan. Instance yang sedang berjalan akan terus berfungsi seperti biasa.
Secara default, fitur Shielded VM tidak perlu diaktifkan untuk membuat instance VM Compute Engine. Fitur VM Terlindung akan menambah integritas yang dapat diverifikasi dan resistansi pemindahan yang tidak sah ke VM Anda.

constraints/compute.requireShieldedVm

Batasan daftar ini menentukan kumpulan proxy SSL target dan proxy HTTPS target yang diizinkan untuk menggunakan kebijakan SSL default. Secara default, semua proxy SSL target dan proxy HTTPS target diizinkan untuk menggunakan kebijakan SSL default. Jika batasan ini diterapkan, proxy SSL target dan proxy HTTPS target baru akan diwajibkan untuk menentukan kebijakan SSL. Penerapan batasan ini tidak berlaku surut. Proxy target yang sudah ada dan menggunakan kebijakan SSL default tidak terpengaruh. Daftar proxy SSL target dan proxy HTTPS target yang diizinkan/ditolak harus diidentifikasi dalam format:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/global/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/regions/REGION_NAME/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/global/targetSslProxies/TARGET_PROXY_NAME

Awalan yang didukung: is:, under:

constraints/compute.requireSslPolicy

Batasan daftar ini menentukan kumpulan kebijakan standar yang dapat diterapkan untuk Log Aliran VPC.
Secara default, Log Aliran VPC dapat dikonfigurasi dengan setelan apa pun di setiap subnet.
Batasan ini mewajibkan pengaktifan log alur untuk semua subnetwork dalam cakupan dengan frekuensi pengambilan sampel minimum yang diperlukan.
Tentukan satu atau beberapa nilai valid berikut:

• ESSENTIAL (memungkinkan nilai >= 0,1 dan < 0,5)
• LIGHT (memungkinkan nilai >= 0,5 dan < 1,0)
• COMPREHENSIVE (mengizinkan nilai == 1,0)

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi batasan kebijakan organisasi untuk Log Aliran VPC.

constraints/compute.requireVpcFlowLogs

Batasan daftar ini menentukan kumpulan subnetwork yang diizinkan untuk menggunakan Cloud NAT. Secara default, semua subnetwork diizinkan untuk menggunakan Cloud NAT. Daftar subnetwork yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.

Awalan yang didukung: is:, under:

Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi.

constraints/compute.restrictCloudNATUsage

Batasan daftar ini membatasi resource bucket backend dan layanan backend yang dapat dilampirkan oleh resource urlMap. Batasan ini tidak berlaku untuk bucket backend dan layanan backend dalam project yang sama dengan resource urlMap. Secara default, resource urlMap dalam satu project dapat mereferensikan bucket backend dan layanan backend yang kompatibel dari project lain dalam organisasi yang sama selama pengguna memiliki izin compute.backendService.use, compute.regionBackendServices.use, atau compute.backendBuckets.use. Sebaiknya jangan gunakan batasan ini dengan batasan compute.restrictSharedVpcBackendServices untuk menghindari konflik. Project, folder, dan resource organisasi dalam daftar diizinkan atau ditolak memengaruhi semua backend bucket dan backend service di bawahnya dalam hierarki resource. Hanya project, folder, dan resource organisasi yang dapat disertakan dalam daftar yang diizinkan atau ditolak, dan harus ditentukan dalam format:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/regions/REGION/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/global/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME
• projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME

Awalan yang didukung: is:, under:

constraints/compute.restrictCrossProjectServices

Batasan daftar ini menentukan kumpulan jaringan Compute Engine yang diizinkan untuk menggunakan Dedicated Interconnect. Secara default, jaringan diizinkan untuk menggunakan semua jenis Interconnect. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/global/networks/NETWORK_NAME.

Awalan yang didukung: is:, under:

Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan Cloud Interconnect.

constraints/compute.restrictDedicatedInterconnectUsage

Batasan daftar ini menentukan kumpulan jenis load balancer yang dapat dibuat untuk organisasi, folder, atau project. Setiap jenis load balancer yang akan diizinkan atau ditolak harus dicantumkan secara eksplisit. Secara default, pembuatan semua jenis load balancer diizinkan.
Daftar nilai yang diizinkan atau ditolak harus diidentifikasi sebagai nama string load balancer, dan hanya dapat berisi nilai dari daftar di bawah ini:

• INTERNAL_TCP_UDP
• INTERNAL_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_TCP_PROXY
• REGIONAL_INTERNAL_MANAGED_TCP_PROXY
• EXTERNAL_NETWORK_TCP_UDP
• EXTERNAL_TCP_PROXY
• EXTERNAL_SSL_PROXY
• EXTERNAL_HTTP_HTTPS
• EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
• GLOBAL_EXTERNAL_MANAGED_SSL_PROXY

Awalan yang didukung: is:, in:

Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi untuk Cloud Load Balancing.

constraints/compute.restrictLoadBalancerCreationForTypes

Daftar yang ditolak dalam batasan daftar ini menentukan kumpulan layanan yang mengharuskan semua resource baru dibuat dengan mengaktifkan Confidential Computing. Secara default, resource baru tidak diperlukan untuk menggunakan Confidential Computing. Meski batasan daftar ini diterapkan, Confidential Computing tidak dapat dinonaktifkan selama siklus proses resource. Resource yang ada akan terus berfungsi seperti biasa. Daftar layanan yang ditolak harus diidentifikasi sebagai nama string API, dan hanya dapat menyertakan nilai yang ditolak secara eksplisit dari daftar di bawah. Mengizinkan API secara eksplisit saat ini tidak didukung. Menolak API secara eksplisit yang tidak ada dalam daftar ini akan mengakibatkan error. Daftar API yang didukung: [compute.googleapis.com, container.googleapis.com]

Awalan yang didukung: is:

constraints/compute.restrictNonConfidentialComputing

Batasan daftar ini menentukan kumpulan jaringan Compute Engine yang diizinkan untuk menggunakan Partner Interconnect. Secara default, jaringan diizinkan untuk menggunakan semua jenis Interconnect. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/global/networks/NETWORK_NAME.

Awalan yang didukung: is:, under:

Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan Cloud Interconnect.

constraints/compute.restrictPartnerInterconnectUsage

Batasan daftar ini menentukan organisasi, folder, dan project yang dapat terhubung ke lampiran layanan dalam organisasi atau project produsen. Daftar yang diizinkan atau ditolak harus diidentifikasi dalam bentuk berikut: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau under:projects/PROJECT_ID. Secara default, semua koneksi diizinkan.

Awalan yang didukung: is:, under:

Untuk mengetahui informasi selengkapnya, lihat Mengelola keamanan untuk konsumen Private Service Connect.

constraints/compute.restrictPrivateServiceConnectConsumer

Batasan daftar ini menentukan lampiran layanan mana yang dapat dihubungkan oleh konsumen Private Service Connect. Batasan ini memblokir deployment endpoint atau backend Private Service Connect berdasarkan resource organisasi, folder, atau project dari lampiran layanan yang dirujuk oleh endpoint atau backend. Daftar yang diizinkan atau ditolak harus diidentifikasi dalam bentuk berikut: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau under:projects/PROJECT_ID. Secara default, semua koneksi diizinkan.

Awalan yang didukung: is:, under:

Untuk mengetahui informasi selengkapnya, lihat Mengelola keamanan untuk konsumen Private Service Connect.

constraints/compute.restrictPrivateServiceConnectProducer

Batasan daftar ini menentukan jenis objek aturan penerusan protokol dengan instance target yang dapat dibuat oleh pengguna. Ketika batasan ini diterapkan, objek aturan penerusan baru dengan instance target dibatasi ke alamat IP internal dan/atau eksternal, berdasarkan jenis yang ditentukan. Jenis yang diizinkan atau ditolak harus dicantumkan secara eksplisit. Secara default, pembuatan objek aturan penerusan protokol internal dan eksternal dengan instance target diizinkan.
Daftar nilai yang diizinkan atau ditolak hanya dapat berisi nilai dari daftar di bawah:

• INTERNAL
• EKSTERNAL

Batasan ini otomatis disediakan sebagai bagian dari dasar keamananGoogle Cloud .

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penerusan protokol.

constraints/compute.restrictProtocolForwardingCreationForTypes

Batasan daftar ini menentukan kumpulan Layanan Backend VPC bersama yang dapat digunakan oleh resource yang memenuhi syarat. Batasan ini tidak berlaku pada resource dalam project yang sama. Secara default, resource yang memenuhi syarat dapat menggunakan Layanan Backend VPC Bersama mana pun. Daftar layanan backend yang diizinkan/ditolak harus ditentukan dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME, atau projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Batasan ini tidak berlaku surut.

Awalan yang didukung: is:, under:

constraints/compute.restrictSharedVpcBackendServices

Batasan daftar ini menentukan kumpulan project host VPC Bersama yang dapat dilampiri project pada atau di bawah resource ini. Secara default, sebuah project dapat terhubung ke project host mana pun dalam organisasi yang sama, sehingga menjadi project layanan. Project, folder, dan organisasi dalam daftar diizinkan/ditolak memengaruhi semua objek di bawahnya dalam hierarki resource tersebut, dan harus ditentukan dalam format: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau projects/PROJECT_ID.

Awalan yang didukung: is:, under:

constraints/compute.restrictSharedVpcHostProjects

Batasan daftar ini menentukan kumpulan subnetwork VPC bersama yang dapat digunakan oleh resource yang memenuhi syarat. Batasan ini tidak berlaku pada resource dalam project yang sama. Secara default, resource yang memenuhi syarat dapat menggunakan subnetwork VPC bersama mana pun. Daftar subnetwork yang diizinkan/ditolak harus ditentukan dalam format: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.

Awalan yang didukung: is:, under:

constraints/compute.restrictSharedVpcSubnetworks

Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan melakukan peering dengan jaringan VPC yang termasuk dalam project, folder, atau organisasi ini. Setiap ujung peering harus memiliki izin peering. Secara default, Admin Jaringan untuk satu jaringan dapat melakukan peering dengan jaringan lain mana pun. Daftar jaringan yang diizinkan/ditolak harus diidentifikasi dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/global/networks/NETWORK_NAME.

Awalan yang didukung: is:, under:

constraints/compute.restrictVpcPeering

Batasan daftar ini menentukan kumpulan alamat IP valid yang dapat dikonfigurasi sebagai IP peer VPN. Secara default, semua IP bisa menjadi IP peer VPN untuk jaringan VPC. Daftar alamat IP yang diizinkan/ditolak harus ditentukan sebagai alamat IP valid dalam format: IP_V4_ADDRESS atau IP_V6_ADDRESS.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi alamat IP Peer melalui tunnel Cloud VPN.

constraints/compute.restrictVpnPeerIPs

Jika diterapkan, project yang baru dibuat akan menggunakan DNS Zona sebagai default. Secara default, batasan ini ditetapkan ke False dan project yang baru dibuat akan menggunakan jenis DNS default.

Batasan ini otomatis disediakan sebagai bagian dari dasar keamananGoogle Cloud .

constraints/compute.setNewProjectDefaultToZonalDNSOnly

Batasan daftar ini menentukan kumpulan project yang diizinkan untuk membuat dan memiliki pemesanan bersama di organisasi. Pemesanan bersama mirip dengan pemesanan lokal, kecuali bahwa pemesanan bersama dapat digunakan oleh project Compute Engine lain dalam hierarki resource, bukan hanya oleh project pemilik. Daftar project yang diizinkan untuk mengakses pemesanan bersama harus dalam format: projects/PROJECT_NUMBER atau under:projects/PROJECT_NUMBER.

Awalan yang didukung: is:, under:

constraints/compute.sharedReservationsOwnerProjects

Pembatasan boolean ini tidak akan membuat jaringan default dan resource terkait selama pembuatan resource Project Google Cloud Platform, tempat pembatasan ini diterapkan. Secara default, jaringan default dan resource pendukung akan otomatis dibuat saat membuat resource Project.

constraints/compute.skipDefaultNetworkCreation

Batasan daftar ini menentukan serangkaian project yang diizinkan untuk menggunakan resource penyimpanan Compute Engine. Secara default, siapa pun yang memiliki izin Cloud IAM yang sesuai dapat mengakses resource Compute Engine. Saat menggunakan batasan ini, pengguna harus memiliki izin Cloud IAM, dan mereka tidak boleh dibatasi oleh batasan untuk mengakses resource.
Project, folder, dan organisasi yang ditentukan dalam daftar yang diizinkan atau ditolak harus dalam bentuk: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

Awalan yang didukung: is:, under:

constraints/compute.storageResourceUseRestrictions

Batasan daftar ini menentukan kumpulan project yang dapat digunakan untuk penyimpanan image dan instansiasi disk untuk Compute Engine.
Secara default, instance dapat dibuat dari image di project mana pun yang membagikan image secara publik atau secara eksplisit kepada pengguna.
Daftar project penayang yang diizinkan/ditolak harus berupa string dalam format: projects/PROJECT_ID. Jika batasan ini aktif, hanya image dari project tepercaya yang akan diizinkan sebagai sumber untuk disk booting instance baru.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Menetapkan batasan akses image.

constraints/compute.trustedImageProjects

Batasan daftar ini menentukan kumpulan instance VM yang dapat mengaktifkan penerusan IP. Secara default, semua VM dapat mengaktifkan penerusan IP di jaringan virtual mana pun. Instance VM harus ditentukan dalam bentuk: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, atau projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Batasan ini tidak berlaku surut.

Awalan yang didukung: is:, under:

constraints/compute.vmCanIpForward

Batasan daftar ini menentukan kumpulan instance VM Compute Engine yang diizinkan untuk menggunakan alamat IPv4 eksternal. Batasan ini tidak membatasi penggunaan alamat IPv6.
Secara default, semua instance VM diizinkan untuk menggunakan alamat IPv4 dan IPv6 eksternal.
Daftar instance VM yang diizinkan/ditolak harus diidentifikasi berdasarkan nama instance VM, dalam format: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi akses IP eksternal ke instance tertentu.

constraints/compute.vmExternalIpAccess

Batasan boolean ini, jika diterapkan, akan menonaktifkan pengaktifan Identity-Aware Proxy pada resource global. Mengaktifkan IAP di resource regional tidak dibatasi oleh batasan ini.
Secara default, IAP diizinkan untuk diaktifkan pada resource global.

constraints/iap.requireGlobalIapWebDisabled

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, semua jalur akses untuk diagnostik dan kasus penggunaan dukungan pelanggan lainnya yang tidak mematuhi persyaratan Assured Workloads akan dinonaktifkan.

constraints/container.restrictNoncompliantDiagnosticDataAccess

Batasan daftar ini menentukan kumpulan remote yang dapat dihubungi oleh repositori di project Dataform. Untuk memblokir komunikasi dengan semua perangkat remote, tetapkan nilai ke Deny all. Batasan ini berlaku surut, dan memblokir komunikasi untuk repositori yang ada yang melanggarnya. Entri harus berupa link ke remote tepercaya, dalam format yang sama seperti yang disediakan di Dataform.
Secara default, repositori dalam project Dataform dapat berkomunikasi dengan remote mana pun.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi repositori jarak jauh.

constraints/dataform.restrictGitRemotes

Secara default, profil koneksi Datastream dapat dibuat dengan metode konektivitas publik atau pribadi. Jika batasan boolean untuk kebijakan organisasi ini diterapkan, hanya metode konektivitas pribadi (misalnya, peering VPC) yang dapat digunakan untuk membuat profil koneksi.

constraints/datastream.disablePublicConnectivity

Batasan daftar ini menentukan kumpulan domain yang dapat dimiliki oleh alamat email yang ditambahkan ke Kontak Penting.
Secara default, alamat email dengan domain apa pun dapat ditambahkan ke Kontak Penting.
Daftar yang diizinkan/ditolak harus menentukan satu atau beberapa domain formulir @example.com. Jika batasan ini aktif dan dikonfigurasi dengan nilai yang diizinkan, hanya alamat email dengan akhiran yang cocok dengan salah satu entri dari daftar domain yang diizinkan yang dapat ditambahkan di Kontak Penting.
Batasan ini tidak memengaruhi pembaruan atau penghapusan kontak yang ada.

Batasan ini otomatis disediakan sebagai bagian dari dasar keamananGoogle Cloud .

Awalan yang didukung: is:

constraints/essentialcontacts.allowedContactDomains

Batasan boolean ini, jika diterapkan, memungkinkan administrator kebijakan organisasi memastikan bahwa hanya kontak yang ditetapkan di tingkat organisasi atau folder yang dapat menerima notifikasi keamanan. Secara khusus, penerapan batasan ini mencegah pemilik project dan administrator kontak membuat atau memperbarui Kontak Penting dengan kolom notification_category_subscriptions yang berisi kategori SECURITY atau ALL, jika kontak tersebut juga memiliki resource project sebagai induk.

constraints/essentialcontacts.disableProjectSecurityContacts

Batasan boolean ini, jika diterapkan, mewajibkan impor dan ekspor Firestore menggunakan Agen Layanan Firestore.
Secara default, impor dan ekspor Firestore dapat menggunakan akun layanan App Engine.
Firestore akan berhenti menggunakan akun layanan App Engine untuk impor dan ekspor pada masa mendatang dan semua akun harus bermigrasi ke Agen Layanan Firestore, setelah itu batasan ini tidak lagi diperlukan.

constraints/firestore.requireP4SAforImportExport

Batasan boolean ini, jika diterapkan, akan menonaktifkan Cloud Logging untuk Cloud Healthcare API.
Log audit tidak terpengaruh oleh batasan ini.
Log Cloud yang dibuat untuk Cloud Healthcare API sebelum batasan ini diberlakukan tidak akan dihapus dan masih dapat diakses.

Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan Cloud Logging untuk Cloud Healthcare API.

constraints/gcp.disableCloudLogging

Batasan daftar ini menentukan kumpulan akun layanan yang dapat diberi token akses OAuth 2.0 dengan masa pakai hingga 12 jam. Secara default, masa pakai maksimum untuk token akses ini adalah 1 jam.
Daftar akun layanan yang diizinkan/ditolak harus menentukan satu atau beberapa alamat email akun layanan.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Memperpanjang masa berlaku token akses OAuth 2.0.

constraints/iam.allowServiceAccountCredentialLifetimeExtension

Batasan daftar ini menentukan kumpulan akun utama organisasi dan ID pelanggan Google Workspace yang akun utamanya dapat ditambahkan ke kebijakan IAM.
Secara default, semua identitas pengguna dapat ditambahkan ke kebijakan IAM. Hanya nilai yang diizinkan yang dapat ditentukan dalam batasan ini, nilai yang ditolak tidak didukung.
Semua domain yang terkait dengan akun Google Workspace atau set utama yang tercantum dalam allowed_values akan diizinkan oleh kebijakan organisasi. Semua domain lain akan diblokir oleh kebijakan organisasi.
Anda tidak perlu menambahkan ID pelanggan google.com ke daftar ini untuk beroperasi dengan layanan Google. Menambahkan google.com memungkinkan berbagi dengan karyawan Google dan sistem non-produksi, dan hanya boleh digunakan untuk berbagi data dengan karyawan Google.

Batasan ini otomatis disediakan sebagai bagian dari dasar keamananGoogle Cloud .

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi identitas berdasarkan domain.

constraints/iam.allowedPolicyMemberDomains

Batasan boolean ini, jika diterapkan, akan mencegah Anda mengecualikan prinsipal tambahan dari logging audit. Batasan ini tidak memengaruhi pengecualian pencatatan audit yang ada sebelum Anda menerapkan batasan.

constraints/iam.disableAuditLoggingExemption

Jika diterapkan, akun layanan hanya dapat di-deploy (menggunakan peran ServiceAccountUser) ke tugas (VM, fungsi, dll.) yang berjalan di project yang sama dengan akun layanan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi resource dalam project yang berbeda.

constraints/iam.disableCrossProjectServiceAccountUsage

Batasan boolean ini menonaktifkan pembuatan akun layanan, tempat batasan ini diterapkan.
Secara default, akun layanan dapat dibuat oleh pengguna berdasarkan peran dan izin Cloud IAM mereka.

Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan pembuatan akun layanan.

constraints/iam.disableServiceAccountCreation

Batasan boolean ini, jika diterapkan, akan menonaktifkan pembuatan kunci eksternal akun layanan dan kunci HMAC Cloud Storage.
Secara default, kunci eksternal akun layanan dapat dibuat oleh pengguna berdasarkan peran dan izin Cloud IAM-nya.

Batasan ini otomatis disediakan sebagai bagian dari dasar keamananGoogle Cloud .

Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan pembuatan kunci akun layanan.

constraints/iam.disableServiceAccountKeyCreation

Batasan boolean ini menonaktifkan fitur yang memungkinkan upload kunci publik ke akun layanan tempat batasan ini diterapkan.
Secara default, pengguna dapat mengupload kunci publik ke akun layanan berdasarkan peran dan izin Cloud IAM mereka.

Batasan ini otomatis disediakan sebagai bagian dari dasar keamananGoogle Cloud .

Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan upload kunci akun layanan.

constraints/iam.disableServiceAccountKeyUpload

Jika diterapkan, batasan boolean ini akan mengharuskan semua cluster GKE baru untuk menonaktifkan Workload Identity pada saat dibuat. Cluster GKE saat ini yang Workload Identity-nya aktif akan terus berfungsi seperti biasa. Secara default, Workload Identity dapat diaktifkan untuk semua cluster GKE.

Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan pembuatan cluster workload identity.

constraints/iam.disableWorkloadIdentityClusterCreation

Batasan daftar ini menentukan durasi maksimum yang diizinkan untuk masa berlaku kunci akun layanan. Secara default, masa berlaku kunci yang dibuat tidak pernah berakhir.
Durasi yang diizinkan ditentukan dalam jam, dan harus berasal dari daftar di bawah. Hanya satu nilai yang diizinkan yang dapat ditentukan, dan nilai yang ditolak tidak didukung. Menentukan durasi yang tidak ada dalam daftar ini akan menyebabkan error.

• 1h
• 8h
• 24h
• 168h
• 336h
• 720h
• 1440h
• 2160h

Awalan yang didukung: is:

constraints/iam.serviceAccountKeyExpiryHours

Batasan daftar ini menentukan respons yang diambil jika Google mendeteksi bahwa kunci yang ditautkan ke akun layanan diekspos secara publik. Kunci yang dipantau mencakup kunci akun layanan yang aktif dalam waktu lama dan kunci API yang terikat ke akun layanan. Jika tidak disetel, defaultnya adalah perilaku yang dijelaskan untuk DISABLE_KEY.
Nilai yang diizinkan adalah DISABLE_KEY dan WAIT_FOR_ABUSE. Nilai yang tidak secara eksplisit menjadi bagian dari daftar ini tidak dapat digunakan. Hanya satu nilai yang diizinkan yang dapat ditentukan, dan nilai yang ditolak tidak didukung.
Mengizinkan nilai DISABLE_KEY akan otomatis menonaktifkan kunci akun layanan yang terekspos secara publik, dan membuat entri di log audit.
Mengizinkan nilai WAIT_FOR_ABUSE akan menonaktifkan perlindungan ini, dan tidak akan otomatis menonaktifkan kunci akun layanan yang terekspos. Namun, Google Cloud dapat menonaktifkan kunci akun layanan yang terekspos jika digunakan dengan cara yang merugikan platform, tetapi tidak menjamin akan melakukannya.
Untuk menerapkan batasan ini, tetapkan batasan ini untuk menggantikan kebijakan induk di Konsol Google Cloud, atau tetapkan inheritFromParent=false dalam file kebijakan jika menggunakan gcloud CLI. Batasan ini tidak dapat digabungkan dengan kebijakan induk.

Awalan yang didukung: is:

constraints/iam.serviceAccountKeyExposureResponse

Daftar ID akun AWS yang dapat dikonfigurasi untuk workload identity federation di Cloud IAM.

Awalan yang didukung: is:

constraints/iam.workloadIdentityPoolAwsAccounts

Penyedia Identitas yang dapat dikonfigurasi untuk autentikasi beban kerja dalam Cloud IAM, ditentukan oleh URI/URL.

Awalan yang didukung: is:

constraints/iam.workloadIdentityPoolProviders

Batasan ini menentukan mode Kontrol Layanan VPC yang dapat ditetapkan saat menyediakan Bidang Kontrol Terkelola Anthos Service Mesh baru. Nilai yang valid adalah "NONE" dan "COMPATIBLE".

Awalan yang didukung: is:

constraints/meshconfig.allowedVpcscModes

Batasan boolean ini, jika disetel ke 'True', akan menerapkan kepatuhan terhadap persyaratan Assured Workloads dengan membatasi pembuatan atau modifikasi resource VM Manager yang menggunakan skrip inline atau file output biner. Secara khusus, kolom 'script' dan 'output_file_path' dalam resource OSPolicyAssignment dan PolicyOrchestrator harus tetap kosong.

constraints/osconfig.restrictInlineScriptAndOutputFileUsage

Jika diterapkan, batasan boolean ini akan menyetel MessageStoragePolicy::enforce_in_transit ke benar untuk semua topik Pub/Sub baru pada saat pembuatan. Hal ini memastikan bahwa Data Pelanggan hanya ditransmisikan dalam region yang diizinkan yang ditentukan dalam kebijakan penyimpanan pesan untuk topik.

constraints/pubsub.enforceInTransitRegions

Batasan boolean ini membatasi kumpulan pengguna yang dapat menghapus lien project host VPC Bersama tanpa izin tingkat organisasi jika batasan ini diterapkan.
Secara default, setiap pengguna dengan izin untuk memperbarui lien dapat menghapus lien project host VPC Bersama. Penerapan batasan ini mengharuskan pemberian izin di tingkat organisasi.

constraints/compute.restrictXpnProjectLienRemoval

Batasan boolean ini, jika DITERAPKAN, mencegah pengguna menghapus hak retensi Akun Layanan Lintas Project tanpa izin tingkat organisasi. Secara default, setiap pengguna dengan izin untuk memperbarui hak gadai dapat menghapus hak gadai Akun Layanan Lintas Project. Penerapan batasan ini mengharuskan pemberian izin di tingkat organisasi.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi resource dalam project yang berbeda.

constraints/iam.restrictCrossProjectServiceAccountLienRemoval

Batasan daftar ini, saat diterapkan pada resource organisasi, menentukan kumpulan resource Google Cloud yang ditampilkan dalam metode daftar dan penelusuran untuk pengguna di domain organisasi tempat batasan ini diterapkan. Hal ini dapat digunakan untuk membatasi resource yang terlihat di berbagai bagian Konsol Cloud, seperti Pemilih Resource, Penelusuran, dan halaman Mengelola Resource. Perhatikan bahwa Batasan ini hanya dievaluasi di tingkat Organisasi. Nilai yang ditentukan dalam daftar izinkan/tolak harus dalam format: under:organizations/ORGANIZATION_ID.

Awalan yang didukung: is:, under:

Untuk mengetahui informasi selengkapnya, lihat Membatasi visibilitas project untuk pengguna.

constraints/resourcemanager.accessBoundaries

Batasan daftar ini berfungsi sebagai pemeriksaan untuk memverifikasi bahwa project dengan layanan yang diaktifkan memenuhi syarat untuk pemindahan lintas organisasi. Resource dengan layanan yang didukung dan diaktifkan harus menerapkan batasan ini dan layanan yang didukung tersebut disertakan dalam nilai yang diizinkan agar memenuhi syarat untuk pemindahan lintas organisasi. Daftar nilai yang diizinkan saat ini untuk layanan yang didukung yang dapat digunakan adalah:

• SHARED_VPC

Awalan yang didukung: is:

constraints/resourcemanager.allowEnabledServicesForExport

Batasan daftar ini menentukan kumpulan Organisasi eksternal tempat resource dapat dipindahkan, dan menolak semua pemindahan ke semua Organisasi lainnya. Secara default, resource tidak dapat dipindahkan antar-Organisasi. Jika batasan ini diterapkan ke resource, resource hanya dapat dipindahkan ke Organisasi yang diizinkan secara eksplisit oleh batasan ini. Pemindahan dalam Organisasi tidak diatur oleh batasan ini. Operasi pemindahan akan tetap memerlukan izin IAM yang sama seperti pemindahan resource normal. Nilai yang ditentukan dalam daftar izinkan/tolak harus dalam format: under:organizations/ORGANIZATION_ID.

Awalan yang didukung: is:, under:

constraints/resourcemanager.allowedExportDestinations

Batasan daftar ini menentukan kumpulan organisasi eksternal yang dapat mengimpor resource, dan menolak semua pemindahan dari semua organisasi lainnya. Secara default, resource tidak dapat dipindahkan antar-organisasi. Jika batasan ini diterapkan ke resource, resource yang diimpor langsung di bawah resource ini harus diizinkan secara eksplisit oleh batasan ini. Pemindahan dalam organisasi atau dari luar organisasi ke dalam organisasi tidak diatur oleh batasan ini. Operasi pemindahan akan tetap memerlukan izin IAM yang sama seperti pemindahan resource normal. Nilai yang ditentukan dalam daftar izinkan/tolak harus dalam format: under:organizations/ORGANIZATION_ID.

Awalan yang didukung: is:, under:

constraints/resourcemanager.allowedImportSources

Batasan daftar ini menentukan kumpulan nama kebijakan Otorisasi Biner yang diizinkan untuk ditentukan pada resource Cloud Run. Untuk mengizinkan/tidak mengizinkan kebijakan default, gunakan nilai default. Untuk mengizinkan/tidak mengizinkan satu atau beberapa kebijakan platform kustom, ID resource setiap kebijakan tersebut harus ditambahkan secara terpisah.

Awalan yang didukung: is:

constraints/run.allowedBinaryAuthorizationPolicies

Batasan daftar ini menentukan setelan ingress yang diizinkan untuk layanan Cloud Run. Saat batasan ini diterapkan, layanan akan diharuskan untuk memiliki setelan ingress yang cocok dengan salah satu nilai yang diizinkan. Layanan Cloud Run yang ada dengan setelan ingress yang melanggar batasan ini dapat terus diupdate hingga setelan ingress layanan diubah agar mematuhi batasan ini. Setelah layanan mematuhi batasan ini, layanan hanya dapat menggunakan setelan masuk yang diizinkan oleh batasan ini.
Secara default, layanan Cloud Run dapat menggunakan setelan ingress apa pun.
Daftar yang diizinkan harus berisi nilai setelan ingress yang didukung, yaitu all, internal, dan internal-and-cloud-load-balancing.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi setelan ingress yang diizinkan.

constraints/run.allowedIngress

Batasan daftar ini menentukan setelan egress VPC yang diizinkan untuk ditentukan pada resource Cloud Run. Jika batasan ini diterapkan, resource Cloud Run harus di-deploy dengan konektor Akses VPC Serverless atau dengan traffic keluar VPC Langsung yang diaktifkan, dan setelan traffic keluar VPC harus cocok dengan salah satu nilai yang diizinkan.
Secara default, resource Cloud Run dapat menyetel setelan traffic keluar VPC ke nilai yang didukung.
Daftar yang diizinkan harus berisi nilai setelan traffic keluar VPC yang didukung, yaitu private-ranges-only dan all-traffic.

Untuk layanan Cloud Run yang sudah ada, semua revisi baru harus mematuhi batasan ini. Layanan yang ada dengan revisi yang menyalurkan traffic yang melanggar batasan ini dapat terus memigrasikan traffic ke revisi yang melanggar batasan ini. Setelah semua traffic untuk layanan ditayangkan oleh revisi yang mematuhi batasan ini, semua migrasi traffic berikutnya hanya boleh memigrasikan traffic ke revisi yang mematuhi batasan ini.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi setelan keluar VPC yang diizinkan.

constraints/run.allowedVPCEgress

Batasan boolean ini, jika diterapkan, mencegah akun layanan App Engine dan Compute Engine default yang dibuat di project Anda agar tidak otomatis diberi peran IAM di project saat akun dibuat.
Secara default, akun layanan ini secara otomatis menerima peran Editor saat dibuat. Untuk mempelajari akun layanan default, lihat https://cloud.google.com/iam/help/service-accounts/default.
Untuk mempelajari peran yang akan diberikan sebagai pengganti peran Editor, lihat https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Batasan ini otomatis disediakan sebagai bagian dari dasar keamananGoogle Cloud .

constraints/iam.automaticIamGrantsForDefaultServiceAccounts

Batasan daftar ini menentukan kumpulan Kumpulan Pekerja Cloud Build yang diizinkan untuk melakukan Build menggunakan Cloud Build. Saat batasan ini diterapkan, build akan diwajibkan untuk di-build di Kumpulan Worker yang cocok dengan salah satu nilai yang diizinkan.
Secara default, Cloud Build dapat menggunakan Worker Pool apa pun.
Daftar Kumpulan Pekerja yang diizinkan harus dalam format:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID

Awalan yang didukung: is:, under:

constraints/cloudbuild.allowedWorkerPools

Batasan daftar ini menentukan kumpulan lokasi tempat resource Google Cloud berbasis lokasi dapat dibuat. Penting: Informasi di halaman ini tidak menjelaskan komitmen lokasi data Google Cloud Platform untuk Data Pelanggan (sebagaimana didefinisikan dalam perjanjian yang dengannya Google telah setuju untuk menyediakan layanan Google Cloud Platform dan sebagaimana dijelaskan dalam Ringkasan Layanan Google Cloud Platform di https://cloud.google.com/terms/services) kepada pelanggannya. Untuk daftar layanan Google Cloud Platform yang lokasi Data Pelanggannya dapat dipilih oleh pelanggan, lihat Layanan Google Cloud Platform dengan Residensi Data di https://cloud.google.com/terms/data-residency.
Secara default, resource dapat dibuat di lokasi mana pun. Untuk mengetahui daftar lengkap layanan yang didukung, lihat https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services.
Kebijakan untuk batasan ini dapat menentukan multi-region seperti asia dan europe, region seperti us-east1 atau europe-west1 sebagai lokasi yang diizinkan atau ditolak. Mengizinkan atau menolak multi-region tidak berarti bahwa semua sub-lokasi yang disertakan juga harus diizinkan atau ditolak. Misalnya, jika kebijakan menolak multi-region us (yang mengacu pada resource multi-region, seperti beberapa layanan penyimpanan), resource masih dapat dibuat di lokasi regional us-east1. Di sisi lain, grup in:us-locations berisi semua lokasi dalam region us, dan dapat digunakan untuk memblokir setiap region.
Sebaiknya gunakan grup nilai untuk menentukan kebijakan Anda.
Anda dapat menentukan grup nilai, kumpulan lokasi yang dipilih oleh Google untuk menyediakan cara yang mudah dalam menentukan lokasi resource Anda. Untuk menggunakan grup nilai dalam kebijakan organisasi Anda, beri awalan pada entri Anda dengan string in:, diikuti dengan grup nilai.
Misalnya, untuk membuat resource yang secara fisik hanya akan berlokasi di AS, tetapkan in:us-locations di daftar nilai yang diizinkan.
Jika kolom suggested_value digunakan dalam kebijakan lokasi, kolom tersebut harus berupa region. Jika nilai yang ditentukan adalah region, UI untuk resource zona dapat mengisi otomatis zona apa pun dalam region tersebut.

Awalan yang didukung: is:, in:

Untuk mengetahui informasi selengkapnya, lihat Membatasi Lokasi Resource.

constraints/gcp.resourceLocations

Batasan daftar ini menentukan project mana yang dapat digunakan untuk menyediakan Kunci Enkripsi yang Dikelola Pelanggan (CMEK) saat membuat resource. Menetapkan batasan ini ke Allow (yaitu hanya mengizinkan kunci CMEK dari project ini) memastikan bahwa kunci CMEK dari project lain tidak dapat digunakan untuk melindungi resource yang baru dibuat. Nilai untuk batasan ini harus ditentukan dalam bentuk under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau projects/PROJECT_ID. Layanan yang didukung yang menerapkan batasan ini adalah:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• workstations.googleapis.com

Awalan yang didukung: is:, under:

Untuk mengetahui informasi selengkapnya, lihat Kebijakan organisasi CMEK.

constraints/gcp.restrictCmekCryptoKeyProjects

Batasan daftar ini menentukan kumpulan endpoint Google Cloud API yang dapat digunakan untuk mengakses resource dalam organisasi, folder, atau project.
Batasan ini dapat digunakan untuk memblokir akses ke resource Google Cloud melalui endpoint API global, sehingga memastikan bahwa endpoint regional atau berbasis lokasi digunakan. Misalnya, menentukan bigquery.googleapis.com dalam daftar yang ditolak kebijakan ini akan menyebabkan permintaan ke bigquery.googleapis.com/... gagal, tetapi permintaan ke {location}-bigquery.googleapis.com/... berhasil.
Secara default, akses ke semua endpoint Google Cloud API diizinkan.
Daftar endpoint yang ditolak harus berasal dari daftar di bawah. Mencoba menyimpan daftar yang ditolak dengan nilai lain akan gagal.
Untuk mengetahui informasi selengkapnya, termasuk daftar nilai batasan yang valid, lihat Panduan pengguna membatasi penggunaan endpoint.

Batasan ini dapat digunakan dalam mode uji coba.

Awalan yang didukung: is:, in:

Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan endpoint.

constraints/gcp.restrictEndpointUsage

Batasan daftar ini menentukan layanan mana yang memerlukan Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Menetapkan batasan ini ke Deny (yaitu menolak pembuatan resource tanpa CMEK) mengharuskan, untuk layanan yang ditentukan, resource yang baru dibuat harus dilindungi oleh kunci CMEK. Layanan yang didukung yang dapat ditetapkan dalam batasan ini adalah:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• storagetransfer.googleapis.com
• workstations.googleapis.com

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Kebijakan organisasi CMEK.

constraints/gcp.restrictNonCmekServices

Batasan ini menentukan kumpulan layanan resource Google Cloud yang dapat digunakan dalam organisasi, folder, atau project, seperti compute.googleapis.com dan storage.googleapis.com.
Secara default, semua layanan resource Google Cloud diizinkan.
Untuk mengetahui informasi selengkapnya, lihat https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

Batasan ini dapat digunakan dalam mode uji coba.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan resource.

constraints/gcp.restrictServiceUsage

Batasan daftar ini menentukan kumpulan cipher suite TLS yang dapat digunakan untuk mengakses resource dalam organisasi, folder, atau project tempat batasan ini diterapkan.
Secara default, semua cipher suite TLS diizinkan. Cipher suite TLS dapat ditentukan sebagai daftar yang diizinkan atau daftar yang tidak diizinkan dan harus diidentifikasi menggunakan namanya. Misalnya, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256.Anda juga dapat menentukan grup nilai, kumpulan cipher suite yang dipilih oleh Google untuk menyediakan cara sederhana dalam menentukan batasan. Untuk menggunakan grup nilai dalam kebijakan organisasi Anda, beri awalan pada entri Anda dengan string in:, diikuti dengan grup nilai. Misalnya, in:CNSA-2.0-recommended-ciphers.
Batasan ini hanya diterapkan pada permintaan yang menggunakan TLS. Setelan ini tidak akan digunakan untuk membatasi permintaan yang tidak terenkripsi.
Untuk mengetahui informasi selengkapnya, lihat panduan pengguna Membatasi Cipher Suite TLS.

Batasan ini dapat digunakan dalam mode uji coba.

Awalan yang didukung: is:, in:

constraints/gcp.restrictTLSCipherSuites

Batasan ini menentukan kumpulan versi TLS yang tidak dapat digunakan di organisasi, folder, atau project tempat batasan ini diterapkan, atau turunan resource tersebut dalam hierarki resource.
Secara default, semua versi TLS diizinkan. Versi TLS hanya dapat ditentukan dalam daftar yang ditolak, dan harus diidentifikasi dalam bentuk TLS_VERSION_1 atau TLS_VERSION_1_1.
Batasan ini hanya diterapkan pada permintaan yang menggunakan TLS. Setelan ini tidak akan digunakan untuk membatasi permintaan yang tidak dienkripsi.
Untuk mengetahui informasi selengkapnya, lihat https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.

Batasan ini dapat digunakan dalam mode uji coba.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Membatasi versi TLS.

constraints/gcp.restrictTLSVersion

Batasan boolean ini, jika diterapkan, akan menonaktifkan pengaktifan Identity-Aware Proxy pada resource regional. Mengaktifkan IAP di resource global tidak dibatasi oleh batasan ini.
Secara default, IAP diizinkan untuk diaktifkan pada resource regional.

constraints/iap.requireRegionalIapWebDisabled

Batasan daftar ini membatasi set layanan dan API-nya yang dapat diaktifkan pada resource ini. Secara default, semua layanan diizinkan.
Daftar layanan yang ditolak harus berasal dari daftar di bawah. Mengaktifkan API secara eksplisit melalui batasan ini saat ini tidak didukung. Menentukan API yang tidak termasuk dalam daftar ini akan mengakibatkan error.

• compute.googleapis.com
• deploymentmanager.googleapis.com
• dns.googleapis.com

Awalan yang didukung: is:

constraints/serviceuser.services

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Jika batasan boolean ini diterapkan, aspek tertentu dari dukungan akan terganggu dan resource yang disediakan akan secara ketat mengikuti persyaratan kedaulatan lanjutan untuk Assured Workloads. Kebijakan ini akan berlaku untuk project yang ada, tetapi tidak akan memengaruhi resource yang telah disediakan; yaitu. modifikasi pada kebijakan hanya akan tercermin dalam resource yang dibuat setelah kebijakan diubah.

constraints/spanner.assuredWorkloadsAdvancedServiceControls

Jangan mengonfigurasi atau mengubah kebijakan ini. Batasan ini dikonfigurasi secara otomatis selama aktivasi Assured Workloads dan hanya ditujukan untuk kontrol peraturan lanjutan untuk Assured Workloads. Batasan boolean ini, jika diterapkan, akan mencegah pembuatan instance spanner menggunakan konfigurasi instance multi-region kecuali jika lokasi dipilih. Saat ini, Cloud Spanner belum mendukung pemilihan lokasi, sehingga semua multi-region tidak akan diizinkan. Pada masa mendatang, Spanner akan menyediakan fungsi bagi pengguna untuk memilih lokasi bagi multi-region. Penerapan batasan ini tidak berlaku surut. Instance Spanner yang sudah dibuat tidak akan terpengaruh.

constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected

Saat Mode Logging Audit Mendetail diterapkan, baik permintaan maupun respons akan disertakan dalam Cloud Audit Logs. Perubahan pada fitur ini dapat memerlukan waktu hingga 10 menit untuk diterapkan. Kebijakan Organisasi ini sangat dianjurkan untuk digunakan dengan Bucket Lock ketika mengupayakan kepatuhan terhadap standar seperti Aturan SEC 17a-4(f), Aturan CFTC 1.31(c)-(d), dan Aturan FINRA 4511(c). Kebijakan ini saat ini hanya didukung di Cloud Storage.

Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi untuk Cloud Storage.

constraints/gcp.detailedAuditLoggingMode

Amankan data Cloud Storage Anda dari eksposur publik dengan menerapkan pencegahan akses publik. Kebijakan tata kelola ini mencegah resource yang sudah ada dan yang akan datang diakses melalui internet publik dengan menonaktifkan dan memblokir ACL dan izin IAM yang memberikan akses ke allUsers dan allAuthenticatedUsers. Terapkan kebijakan ini di seluruh organisasi (direkomendasikan), project tertentu, atau folder tertentu untuk memastikan tidak ada data yang diekspos secara publik.
Kebijakan ini menggantikan izin publik yang ada. Akses publik akan dicabut untuk bucket dan objek yang ada setelah kebijakan ini diaktifkan. Untuk mengetahui detail selengkapnya tentang efek perubahan penerapan batasan ini pada resource, lihat: https://cloud.google.com/storage/docs/public-access-prevention.

Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi untuk Cloud Storage.

constraints/storage.publicAccessPrevention

Batasan ini menentukan serangkaian jenis autentikasi yang akan dibatasi aksesnya ke resource penyimpanan apa pun di organisasi dalam Cloud Storage. Nilai yang didukung adalah USER_ACCOUNT_HMAC_SIGNED_REQUESTS, SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS, dan RSA_SIGNED_REQUESTS. Gunakan in:ALL_HMAC_SIGNED_REQUESTS untuk menyertakan permintaan yang ditandatangani HMAC akun pengguna dan akun layanan. Gunakan in:ALL_SIGNED_REQUESTS untuk menyertakan permintaan bertanda tangan HMAC dan RSA.

Awalan yang didukung: is:, in:

constraints/storage.restrictAuthTypes

Batasan daftar ini menentukan rangkaian durasi untuk kebijakan retensi yang dapat ditetapkan pada bucket Cloud Storage.
Secara default, jika tidak ada kebijakan organisasi yang ditentukan, bucket Cloud Storage dapat memiliki kebijakan retensi dengan durasi berapa pun.
Daftar durasi yang diizinkan harus ditentukan sebagai nilai bilangan bulat positif yang lebih besar daripada nol, yang menunjukkan kebijakan retensi dalam detik.
Semua operasi penyisipan, update, atau patch pada bucket di resource organisasi harus memiliki durasi kebijakan retensi yang cocok dengan batasan tersebut.
Penerapan batasan ini tidak berlaku surut. Jika kebijakan organisasi baru diterapkan, kebijakan retensi dari bucket yang ada tetap valid dan tidak berubah.

Awalan yang didukung: is:

Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi untuk Cloud Storage.

constraints/storage.retentionPolicySeconds

Jika diterapkan, batasan boolean ini secara eksplisit menolak akses HTTP (tidak dienkripsi) ke semua resource penyimpanan. Secara default, Cloud Storage XML API mengizinkan akses HTTP yang tidak dienkripsi. Perhatikan bahwa Cloud Storage JSON API, gRPC, dan Konsol Cloud hanya mengizinkan akses HTTP terenkripsi ke resource Cloud Storage.

constraints/storage.secureHttpTransport

Batasan ini menentukan durasi retensi yang diizinkan untuk kebijakan penghapusan sementara yang ditetapkan pada bucket Cloud Storage tempat batasan ini diterapkan. Semua operasi penyisipan, update, atau patch pada bucket yang menerapkan batasan ini harus memiliki durasi kebijakan penghapusan sementara yang cocok dengan batasan tersebut. Jika kebijakan organisasi baru diterapkan, kebijakan penghapusan sementara dari bucket yang ada tetap valid dan tidak berubah. Secara default, jika tidak ada kebijakan organisasi yang ditentukan, bucket Cloud Storage dapat memiliki kebijakan penghapusan sementara dengan durasi berapa pun.

Awalan yang didukung: is:

constraints/storage.softDeletePolicySeconds

Batasan boolean ini mengharuskan bucket menggunakan akses level bucket seragam jika batasan ini ditetapkan ke True. Semua bucket baru dalam resource Organisasi harus mengaktifkan akses level bucket seragam, dan bucket yang ada dalam resource organisasi tidak dapat menonaktifkan akses level bucket seragam.
Penerapan batasan ini tidak berlaku surut: bucket yang ada dengan akses level bucket seragam nonaktif akan tetap nonaktif. Nilai default untuk batasan ini adalah False.
Akses level bucket seragam menonaktifkan evaluasi ACL yang ditetapkan ke objek Cloud Storage pada bucket. Akibatnya, hanya kebijakan IAM yang memberikan akses ke objek dalam bucket tersebut.

Batasan ini otomatis disediakan sebagai bagian dari dasar keamananGoogle Cloud .

Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi untuk Cloud Storage.

constraints/storage.uniformBucketLevelAccess