Vincoli dei criteri dell'organizzazione

Questo vincolo di elenco definisce le impostazioni di crittografia consentite per i nuovi collegamenti VLAN.
Per impostazione predefinita, i collegamenti VLAN possono utilizzare qualsiasi tipo di crittografia.
Imposta IPSEC come valore consentito per forzare la creazione di collegamenti VLAN solo criptati.

Questo vincolo garantisce che le funzionalità di anteprima siano bloccate, a meno che non sia esplicitamente consentito. Una volta impostata l'opzione Consenti, puoi controllare quali funzionalità di anteprima possono essere attivate o disattivate singolarmente per il tuo progetto. Nel progetto è possibile accedere solo alle funzionalità di anteprima attivate. La disattivazione successiva del criterio non modifica lo stato delle singole funzionalità di anteprima già impostate, che possono essere disattivate singolarmente. Questo vincolo si applica solo alle funzionalità dell'API Compute Alpha.

[Anteprima pubblica] Questo vincolo booleano disattiva la virtualizzazione nidificata con accelerazione hardware per tutte le VM Compute Engine appartenenti all'organizzazione, al progetto o alla cartella per cui questo vincolo è impostato su True.
Per impostazione predefinita, la virtualizzazione nidificata con accelerazione hardware è consentita per tutte le VM Compute Engine in esecuzione su piattaforme CPU Intel Haswell o successive.

Anteprima: questo vincolo impedisce che la chiave dei metadati serial-port-enable venga impostata su true per le VM di Compute Engine all'interno dell'organizzazione, del progetto o della cartella in cui è applicato il vincolo. Per impostazione predefinita, l'accesso alla porta seriale può essere abilitato per singola VM, singola zona o singolo progetto utilizzando questa chiave di metadati. Per consentire l'accesso alla porta seriale per VM specifiche, puoi esentarle da questa policy utilizzando tag e regole condizionali.
Importante: l'applicazione di questo vincolo non influisce sulle VM esistenti in cui serial-port-enable è già impostato su true. Queste VM manterranno l'accesso a meno che i relativi metadati non vengano aggiornati.

[Anteprima pubblica] Questo vincolo, se applicato, disattiva il logging delle porte seriali in Stackdriver dalle VM di Compute Engine.
Per impostazione predefinita, il logging delle porte seriali per le VM di Compute Engine è disattivato e può essere attivato selettivamente sulle singole VM o sui singoli progetti utilizzando gli attributi dei metadati. La disattivazione del logging delle porte seriali può causare il malfunzionamento di determinati servizi che lo utilizzano, ad esempio i cluster di Google Kubernetes Engine. Prima di applicare questo vincolo, verifica che i prodotti nel tuo progetto non utilizzino il logging delle porte seriali. Puoi consentire a istanze VM specifiche di utilizzare il logging della porta seriale. Applica prima i tag per contrassegnare le istanze, poi utilizza le regole condizionali basate sui valori dei tag per escludere correttamente queste istanze dall'applicazione.

[Anteprima pubblica] Se applicato, questo vincolo limita l'utilizzo di gDNS. Questa limitazione disattiva la creazione di VM gDNS e l'aggiornamento delle VM per utilizzare gDNS. Il ripristino di un progetto zDNS in gDNS non verrà bloccato, ma comporterà l'applicazione della violazione delle norme durante le successive chiamate all'API Instance.

[Anteprima pubblica] Quando applicato, questo vincolo richiede l'attivazione di VM Manager (OS Config) su tutti i nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano VM Manager a livello di progetto, di zona del progetto o di istanza. Puoi consentire a istanze VM specifiche di disabilitare VM Manager. Applica prima i tag per contrassegnare le istanze, poi utilizza le regole condizionali basate sui valori dei tag per escludere correttamente queste istanze dall'applicazione.

[Anteprima pubblica] Se applicato, questo vincolo richiede l'abilitazione di OS Login in tutti i nuovi progetti creati. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano OS Login a livello di progetto, di zona del progetto o di istanza. Puoi consentire a istanze VM specifiche di disattivare OS Login. Applica prima i tag per contrassegnare le istanze, poi utilizza le regole condizionali basate sui valori dei tag per escludere correttamente queste istanze dall'applicazione.

Questo vincolo consente di limitare i tipi di deployment di forwarding di protocollo (interno o esterno) che possono essere creati nella tua organizzazione. Per configurare il vincolo, specifica una lista consentita del tipo di deployment di forwarding di protocollo da consentire. La lista consentita può includere solo i seguenti valori:

• INTERNAL
• EXTERNAL

[Anteprima pubblica] Questo vincolo definisce se le istanze VM di Compute Engine possono abilitare l'inoltro IP. Per impostazione predefinita, se non viene specificato alcun criterio, qualsiasi VM può abilitare l'inoltro IP in qualsiasi rete virtuale. Se applicato, questo vincolo negherà la creazione o l'aggiornamento di istanze VM con il forwarding IP abilitato. Puoi consentire a istanze VM specifiche di abilitare l'IP forwarding. Applica prima i tag per contrassegnare le istanze, poi utilizza le regole condizionali basate sui valori dei tag per escludere correttamente queste istanze dall'applicazione.

[Anteprima pubblica] Questo vincolo definisce se le istanze VM di Compute Engine possono utilizzare indirizzi IP esterni IPv4. Per impostazione predefinita, tutte le istanze VM possono utilizzare indirizzi IP esterni. Se applicato, questo vincolo negherà la creazione o l'aggiornamento di istanze VM con indirizzi IP esterni IPv4. Questo vincolo non limiterà l'utilizzo di indirizzi IP esterni IPv6. Puoi consentire a istanze VM specifiche di utilizzare indirizzi IP IPv4 esterni. Applica prima i tag per contrassegnare le istanze, poi utilizza le regole condizionali basate sui valori dei tag per escludere correttamente queste istanze dall'applicazione.

Richiedi che il controller di ammissione DenyServiceExternalIPs rimanga abilitato nei cluster GKE. Per i dettagli, consulta la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs

Rifiuta le richieste di attivazione del controllo dell'accesso basato su attributi (ABAC) sui cluster GKE. ABAC è un metodo di autenticazione legacy disabilitato per impostazione predefinita in tutti i nuovi cluster. Per i dettagli, consulta la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled

Richiedi che la porta di sola lettura kubelet non sicura (10255) rimanga disattivata. Per i dettagli, consulta la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port

Non attivare manualmente il metodo precedente di autenticazione dei certificati client. Per i dettagli, consulta la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate

Disattiva le associazioni ClusterRoleBinding e RoleBinding non predefinite che fanno riferimento alle identità di sistema system:anonymous, system:authenticated o system:unauthenticated durante la creazione o l'aggiornamento dei cluster GKE. Per i dettagli, consulta https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage

Non utilizzare il account di servizio Compute Engine predefinito come account di servizio del cluster o del pool di nodi. Utilizza un account di servizio IAM con privilegi minimi. Per i dettagli, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa

Abilita Autorizzazione binaria durante la creazione o l'aggiornamento dei cluster GKE. Per i dettagli, consulta https://cloud.google.com/binary-authorization/docs/setting-up.

Richiedi che tutti i cluster GKE utilizzino almeno la configurazione Cloud Logging predefinita. Per i dettagli, vedi https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging

Abilita l'endpoint basato su DNS per l'accesso al control plane GKE e disabilita gli endpoint basati su IP durante la creazione o l'aggiornamento dei cluster. Per i dettagli, consulta la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint.

Abilita Google Gruppi per RBAC durante la creazione o l'aggiornamento dei cluster GKE. Per i dettagli, visita la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac.

Abilita l'utilizzo di NetworkPolicy di Kubernetes attivando l'applicazione dei criteri di rete o GKE Dataplane V2. Per i dettagli, visita la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy o https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2.

Abilita i nodi privati quando crei o aggiorni i cluster GKE e i node pool. Per i dettagli, vedi https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking.

Abilita la crittografia dei secret con chiavi autogestite quando crei o aggiorni i cluster GKE. Per i dettagli, consulta la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets.

Abilita le notifiche del bollettino sulla sicurezza durante la creazione o l'aggiornamento dei cluster GKE. Per maggiori dettagli, visita la pagina https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin

Richiedi che i nodi schermati rimangano abilitati. I nodi GKE schermati forniscono un'identità e un'integrità del nodo verificabili e affidabili per aumentare la sicurezza dei nodi GKE. Per maggiori dettagli, visita la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes

Abilita la federazione delle identità per i carichi di lavoro per GKE durante la creazione o l'aggiornamento dei cluster. Per maggiori dettagli, consulta la pagina https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity.

Disattiva l'accesso alle VM worker Dataflow tramite le chiavi SSH a livello di progetto.

Disattiva l'utilizzo di IP pubblici sulle VM worker Dataflow.

Questo vincolo definisce l'insieme di domini consentiti che gli indirizzi email aggiunti ai Contatti necessari possono avere.
Per impostazione predefinita, gli indirizzi email con qualsiasi dominio possono essere aggiunti ai Contatti necessari.
L'elenco allowedDomains deve specificare uno o più domini nel formato @example.com. Se questo vincolo viene applicato, solo gli indirizzi email con un suffisso corrispondente a una delle voci dell'elenco dei domini consentiti possono essere aggiunti ai Contatti necessari.
Questo vincolo non influisce sull'aggiornamento o sulla rimozione dei contatti esistenti.

Quando viene applicata, garantisce che solo i servizi inclusi nella lista consentita possano avere gli endpoint mcp abilitati. Per impostazione predefinita, questo vincolo viene applicato e l'elenco dei servizi consentiti è vuoto, impedendo l'attivazione di qualsiasi endpoint mcp.

Questo vincolo definisce gli insiemi di entità dell'organizzazione a cui possono essere concessi ruoli IAM nella tua organizzazione.
La specifica di un insieme di entità dell'organizzazione consente di concedere ruoli nella tua organizzazione a tutte le identità associate a questa organizzazione (inclusi account Workspace, gruppi Workspace, service account, identità del pool di forza lavoro, identità del pool di workload e service agent). Il set di entità dell'organizzazione non è consentito automaticamente e deve essere incluso come set di entità consentito.
Puoi specificare singoli membri utilizzando il prefisso del tipo di entità (ad esempio, `user:` o `serviceAccount:`) per concedere a loro e agli alias associati ruoli nella tua organizzazione.
L'applicazione di questo vincolo può bloccare la creazione di risorse della cartella a causa della concessione automatica dei ruoli Amministratore cartelle e Editor cartella e può bloccare la creazione di risorse del progetto a causa della concessione automatica del ruolo Proprietario.

Se applicato, disattiva la creazione di chiavi API associate ai service account.

Per saperne di più, consulta Attivare il binding delle chiavi ai service account.

Questo vincolo booleano, se impostato su True, disattiva la creazione di service account.
Per impostazione predefinita, i service account possono essere creati dagli utenti in base ai propri ruoli e autorizzazioni Cloud IAM.

Quando applicato, questo vincolo blocca la creazione di chiavi del account di servizio.

Questo vincolo booleano, se impostato su "True", disattiva la funzionalità che consente di caricare chiavi pubbliche sui service account.
Per impostazione predefinita, gli utenti possono caricare le chiavi pubbliche sui service account in base ai propri ruoli e autorizzazioni Cloud IAM.

Quando questo vincolo viene applicato, impedisce a chiunque di concedere in qualsiasi momento il ruolo Editor (roles/editor) o Proprietario (roles/owner) agli account di servizio predefiniti Compute Engine e App Engine. Per scoprire di più sui service account predefiniti, consulta la pagina https://cloud.google.com/iam/help/service-accounts/default. L'applicazione di questo vincolo impedisce che ai service account predefiniti venga concesso automaticamente il ruolo Editor (roles/editor). Ciò potrebbe causare problemi di autorizzazione per i servizi che utilizzano questi service account. Per scoprire quali ruoli concedere a ogni account di servizio, consulta la pagina https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Elenco di ID account AWS che possono essere configurati per la federazione delle identità per i workload in Cloud IAM.

Provider di identità che possono essere configurati per l'autenticazione del workload in Cloud IAM, specificato da URI/URL. Questo vincolo è gestito da Google.

Quando questo vincolo booleano viene applicato, la creazione e l'aggiornamento dei cluster Kafka Connect vengono disabilitati.

Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando questo vincolo booleano viene applicato, le sottoscrizioni Pub/Sub non possono impostare Single Message Transform (SMT).

Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando questo vincolo booleano viene applicato, gli argomenti Pub/Sub non possono impostare Single Message Transform (SMT).

Se applicato, questo vincolo richiede l'attivazione del controllo del chiamante IAM sui servizi Cloud Run.
Se questo vincolo non viene applicato, puoi impostare il campo service.invoker_iam_disabled (v2) o l'annotazione run.googleapis.com/invoker-iam-disabled (v1) sui servizi Cloud Run su True. È anche possibile ottenere un risultato simile concedendo l'autorizzazione run.routes.invoke a allUsers. Per saperne di più, visita le pagine https://cloud.google.com/run/docs/securing/managing-access#make-service-public e https://cloud.google.com/run/docs/securing/security.

La versione che stai tentando di utilizzare non è consentita dalla policy della tua organizzazione. Esamina le norme e seleziona una versione consentita.

Questo vincolo dell'elenco definisce le modalità di accesso consentite a blocchi note e istanze di Vertex AI Workbench, se applicate. La lista consentita o bloccata può specificare più utenti con la modalità service-account o l'accesso di un singolo utente con la modalità single-user. La modalità di accesso da consentire o bloccare deve essere elencata in modo esplicito.

Prefisso supportato: is:

constraints/ainotebooks.accessMode

Quando applicato, questo vincolo booleano impedisce di creare istanze di Vertex AI Workbench con l'opzione Download file abilitata. Per impostazione predefinita, l'opzione Download file può essere attivata su qualsiasi istanza di Vertex AI Workbench.

constraints/ainotebooks.disableFileDownloads

Quando applicato, questo vincolo booleano impedisce alle istanze e ai blocchi note gestiti dall'utente di Vertex AI Workbench appena creati di abilitare l'accesso root. Per impostazione predefinita, le istanze e i blocchi note gestiti dall'utente di Vertex AI Workbench possono avere l'accesso root abilitato.

constraints/ainotebooks.disableRootAccess

Se applicato, questo vincolo booleano impedisce la creazione di istanze di Vertex AI Workbench in cui sia abilitato il terminale. Per impostazione predefinita, il terminale può essere abilitato nelle istanze di Vertex AI Workbench.

constraints/ainotebooks.disableTerminal

Questo vincolo dell'elenco definisce le opzioni per le immagini VM e container che l'utente può selezionare quando crea nuovi notebook gestiti dall'utente di Vertex AI Workbench. Le opzioni da consentire o negare devono essere elencate esplicitamente.
Il formato previsto per le istanze VM è ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Sostituisci IMAGE_TYPE con image-family o image-name. Esempi: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
Il formato previsto per le immagini container sarà ainotebooks-container/CONTAINER_REPOSITORY:TAG. Esempi: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.

Prefisso supportato: is:

constraints/ainotebooks.environmentOptions

Se applicato, questo vincolo booleano richiede che nelle nuove istanze e nei nuovi blocchi note gestiti dall'utente di Vertex AI Workbench sia impostata una pianificazione automatica degli upgrade. Per definirla, usa il flag di metadati notebook-upgrade-schedule per specificare una pianificazione cron per gli upgrade automatici. Ad esempio: --metadata=notebook-upgrade-schedule="00 19 * * MON".

constraints/ainotebooks.requireAutoUpgradeSchedule

Se applicato, questo vincolo booleano restringe l'accesso degli IP pubblici a istanze e blocchi note di Vertex AI Workbench appena creati. Per impostazione predefinita, gli IP pubblici possono accedere alle istanze e ai blocchi note di Vertex AI Workbench.

constraints/ainotebooks.restrictPublicIp

Questo vincolo dell'elenco definisce le reti VPC che l'utente può selezionare quando crea nuove istanze Vertex AI Workbench in cui questo vincolo è applicato. Per impostazione predefinita, un'istanza Vertex AI Workbench può essere creata con qualsiasi rete VPC. L'elenco di reti consentite o bloccate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefissi supportati: is:, under:

constraints/ainotebooks.restrictVpcNetworks

Questo vincolo dell'elenco definisce il set di modelli e funzionalità di AI generativa che è possibile utilizzare nelle API Vertex AI. I valori della lista consentita devono seguire il formato model_id:feature_family. Ad esempio, publishers/google/models/text-bison:predict. Questo vincolo dell'elenco limita l'accesso solo ai modelli di AI generativa proprietari di Google e non influisce sui modelli proprietari di terze parti o su quelli open source. Il vincolo vertexai.allowedModels può essere utilizzato per definire l'accesso a un set più ampio di modelli, inclusi i modelli proprietari di Google, quelli proprietari di terze parti e i modelli open source. Per impostazione predefinita, tutti i modelli possono essere utilizzati nelle API Vertex AI.

Prefisso supportato: is:

constraints/vertexai.allowedGenAIModels

Questo vincolo dell'elenco definisce il set di modelli e funzionalità che è possibile utilizzare nelle API Vertex AI. I valori della lista consentita devono seguire il formato "model_id:feature_family", ad esempio "publishers/google/models/gemini-1.0-pro:predict". Per impostazione predefinita, tutti i modelli possono essere utilizzati nelle API Vertex AI.

Prefisso supportato: is:

Per saperne di più, consulta Controllare l'accesso ai modelli di Model Garden.

constraints/vertexai.allowedModels

Questo vincolo dell'elenco definisce il set di funzionalità avanzate del modello del partner gestito che è possibile utilizzare nelle API Vertex AI. I valori della lista consentita devono seguire il formato "publishers/publisher_id/models[/model_id:feature_family]", ad esempio "publishers/anthropic/models/claude-sonnet-4:web_search" o "publishers/anthropic/models/claude-sonnet-4" o "publishers/anthropic". Per impostazione predefinita, tutte le funzionalità avanzate dei modelli dei partner gestiti sono bloccate nelle API Vertex AI.

Prefisso supportato: is:

constraints/vertexai.allowedPartnerModelFeatures

Quando applicato, questo vincolo booleano disabilita la funzionalità Grounding con la Ricerca Google nelle API di AI generativa. Per impostazione predefinita, la funzionalità è abilitata.

constraints/vertexai.disableGenAIGoogleSearchGrounding

Questo vincolo dell'elenco definisce l'insieme di origini di grounding consentite o negate per l'utilizzo con le API Vertex AI Generative.
Per impostazione predefinita, sono consentite tutte le origini di grounding.
I valori validi sono: GoogleMaps, VertexAiSearch, VertexRagStore, EnterpriseWebSearch, ExternalApiSimpleSearch, ExternalApiElasticSearch e UrlContext.

Prefisso supportato: is:

constraints/vertexai.genAIGroundingSources

Disabilita i download del codice sorgente precedentemente caricati su App Engine.

constraints/appengine.disableCodeDownload

Questo vincolo dell'elenco definisce l'insieme dei runtime legacy di App Engine Standard (Python 2.7, PHP 5.5 e Java 8) consentiti per i deployment dopo la fine del supporto. Il supporto dei runtime legacy di App Engine Standard terminerà il 30 gennaio 2024. Di norma, i tentativi di deployment delle applicazioni che utilizzano runtime legacy dopo questa data verranno bloccati. Consulta il programma di supporto del runtime di App Engine Standard. L'impostazione di questo vincolo su "Consenti" sblocca i deployment dei runtime legacy specificati di App Engine Standard fino alla data di ritiro. L'impostazione di questo vincolo su "Consenti tutti" sblocca i deployment di tutti i runtime legacy di App Engine Standard fino alla data di ritiro. I runtime che hanno raggiunto la fine del supporto non ricevono le patch di routine per manutenzione e sicurezza. Ti consigliamo vivamente di aggiornare le applicazioni in modo da utilizzare una versione di runtime in disponibilità generale.

Prefisso supportato: is:

constraints/appengine.runtimeDeploymentExemption

Se applicato, questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Amazon web Services a cui è applicato il vincolo.

constraints/bigquery.disableBQOmniAWS

Se applicato, questo vincolo booleano impedisce agli utenti di utilizzare BigQuery Omni per elaborare i dati su Microsoft Azure a cui è applicato il vincolo.

constraints/bigquery.disableBQOmniAzure

Questo vincolo dell'elenco definisce le integrazioni di Cloud Build consentite per l'esecuzione delle build tramite la ricezione di webhook da servizi esterni a Google Cloud. Quando questo vincolo viene applicato, vengono elaborati solo i webhook per i servizi il cui host corrisponde a uno dei valori consentiti.
Per impostazione predefinita, Cloud Build elabora tutti i webhook per i progetti che hanno almeno un trigger ATTIVO.

Prefisso supportato: is:

Per saperne di più, consulta Gate builds on organization policy.

constraints/cloudbuild.allowedIntegrations

Quando applicato, questo vincolo booleano impedisce di creare un service account Cloud Build legacy.

constraints/cloudbuild.disableCreateDefaultServiceAccount

Quando applicato, questo vincolo booleano consente di usare per impostazione predefinita il service account Cloud Build legacy.

constraints/cloudbuild.useBuildServiceAccount

Quando applicato, questo vincolo booleano consente di usare per impostazione predefinita il service account Compute Engine.

constraints/cloudbuild.useComputeServiceAccount

Quando applicato, questo vincolo booleano impedisce a Cloud Deploy di aggiungere etichette di identificazione Cloud Deploy agli oggetti di cui è stato eseguito il deployment.
Per impostazione predefinita, le etichette che identificano le risorse Cloud Deploy vengono aggiunte agli oggetti di cui è stato eseguito il deployment durante la creazione della release.

constraints/clouddeploy.disableServiceLabelGeneration

Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le impostazioni di traffico in entrata delle funzioni devono corrispondere a uno dei valori consentiti.
Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in entrata. Le impostazioni di traffico in entrata
devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione IngressSettings. Il valore predefinito dell'enum è INGRESS_SETTINGS_UNSPECIFIED. L'enum deve essere impostato su un altro valore prima di poterlo utilizzare in una policy dell'organizzazione.
Per Cloud Functions (2nd gen), utilizza il vincolo constraints/run.allowedIngress.

Prefisso supportato: is:

Per saperne di più, consulta Configurare le policy dell'organizzazione.

constraints/cloudfunctions.allowedIngressSettings

Questo vincolo dell'elenco definisce le impostazioni di traffico in uscita consentite del Connettore VPC per il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le impostazioni di traffico in uscita del Connettore VPC delle funzioni devono corrispondere a uno dei valori consentiti.
Per impostazione predefinita, Cloud Functions può utilizzare qualsiasi impostazione di traffico in uscita del connettore VPC.
Le impostazioni di traffico in uscita del Connettore VPC devono essere specificate nell'elenco consentito utilizzando i valori dell'enumerazione VpcConnectorEgressSettings. Il valore predefinito dell'enum, VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED, non è supportato e se lo includi in una policy si verifica un errore.
Per Cloud Functions (2nd gen), utilizza il vincolo constraints/run.allowedVPCEgress.

Prefisso supportato: is:

Per saperne di più, consulta Configurare le policy dell'organizzazione.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings

Questo vincolo booleano richiede l'impostazione di un Connettore VPC durante il deployment di una funzione Cloud Functions (1ª gen.). Quando questo vincolo viene applicato, le funzioni devono specificare un Connettore VPC.
Per impostazione predefinita, non è necessario specificare un Connettore VPC per eseguire il deployment di una funzione Cloud Functions.

Per saperne di più, consulta Configurare le policy dell'organizzazione.

constraints/cloudfunctions.requireVPCConnector

Questo vincolo di elenco definisce l'insieme di generazioni consentite di funzioni Cloud Functions per creare nuove risorse delle funzioni. I valori validi sono: 1stGen, 2ndGen.

Prefisso supportato: is:

constraints/cloudfunctions.restrictAllowedGenerations

Questo vincolo dell'elenco definisce i tipi di chiavi Cloud KMS che possono essere creati in un determinato nodo della gerarchia. Quando questo vincolo viene applicato, solo i tipi di chiavi KMS specificati in questo criterio dell'organizzazione possono essere creati all'interno del nodo della gerarchia associata. La configurazione di questo criterio dell'organizzazione influirà anche sul livello di protezione dei job di importazione e delle versioni delle chiavi. Per impostazione predefinita sono consentiti tutti i tipi di chiavi. I valori validi sono: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. I criteri di rifiuto non sono consentiti.

Prefisso supportato: is:

constraints/cloudkms.allowedProtectionLevels

Quando applicato, questo vincolo booleano consente di eliminare solo le versioni delle chiavi in stato disattivato. Per impostazione predefinita, è possibile eliminare sia le versioni delle chiavi in stato attivato che quelle in stato disattivato. Quando applicato, questo vincolo è valido sia per le versioni nuove che per quelle esistenti della chiave.

constraints/cloudkms.disableBeforeDestroy

Questo vincolo di elenco definisce la durata pianificata minima dell'eliminazione in giorni che l'utente può specificare quando crea una nuova chiave. Dopo l'applicazione del vincolo, non sarà possibile creare chiavi con una durata pianificata dell'eliminazione inferiore a questo valore. Per impostazione predefinita, la durata pianificata minima dell'eliminazione per tutte le chiavi è di 1 giorno, tranne che per le chiavi di sola importazione, per le quali la durata minima è pari a 0 giorni.
Può essere specificato un solo valore consentito nel formato in:1d, in:7d, in:15d, in:30d, in:60d, in:90d o in:120d. Ad esempio, se constraints/cloudkms.minimumDestroyScheduledDuration è impostato su in:15d, gli utenti possono creare chiavi con una durata pianificata dell'eliminazione che sia superiore a 15 giorni, ad esempio 16 giorni o 31 giorni. Non possono, però, creare chiavi con una durata pianificata dell'eliminazione inferiore a 15 giorni, ad esempio 14 giorni. Per ogni risorsa nella gerarchia, la durata pianificata minima dell'eliminazione può ereditare, sostituire o essere unita con il criterio dell'elemento padre. In questo caso, il valore effettivo della durata pianificata minima dell'eliminazione della risorsa è il più basso tra il valore specificato nel criterio della risorsa e la durata pianificata minima dell'eliminazione effettiva dell'elemento padre. Ad esempio, se un'organizzazione ha una durata pianificata minima dell'eliminazione di 7 giorni e in un progetto secondario il criterio è impostato su "Unisci con risorsa padre" con un valore di in:15d, la durata pianificata minima effettiva dell'eliminazione del progetto sarà di 7 giorni.

Prefissi supportati: is:, in:

constraints/cloudkms.minimumDestroyScheduledDuration

Questo vincolo di elenco definisce l'elenco dei tipi di destinazione, come HTTP App Engine, HTTP o Pub/Sub, consentiti per i job di Cloud Scheduler.
Per impostazione predefinita, sono consentite tutte le destinazioni dei job.
I valori validi sono: APPENGINE, HTTP, PUBSUB.

Prefisso supportato: is:

constraints/cloudscheduler.allowedTargetTypes

Questo vincolo booleano limita l'aggiunta di reti autorizzate per l'accesso dei database senza proxy alle istanze di Cloud SQL in cui viene applicato questo vincolo. Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente connesse a reti autorizzate continueranno a funzionare anche dopo l'applicazione di questo vincolo.
Per impostazione predefinita, è consentito aggiungere reti autorizzate alle istanze di Cloud SQL.

constraints/sql.restrictAuthorizedNetworks

Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Se viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e verranno disabilitati tutti i percorsi di accesso per la diagnostica e altri casi d'uso legati all'assistenza clienti che non soddisfano i requisiti avanzati di sovranità per Assured Workloads.

constraints/sql.restrictNoncompliantDiagnosticDataAccess

Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e le risorse sottoposte a provisioning seguiranno rigorosamente i requisiti di sovranità avanzata per Assured Workloads. Questo criterio è retroattivo e si applica ai progetti esistenti, ma non influisce sulle risorse già sottoposte a provisioning; ad esempio, le modifiche al criterio si rifletteranno solo sulle risorse create dopo che il criterio è stato modificato.

constraints/sql.restrictNoncompliantResourceCreation

Questo vincolo booleano limita la configurazione dell'indirizzo IP pubblico nelle istanze di Cloud SQL in cui tale vincolo è applicato. Poiché il vincolo non è retroattivo, le istanze di Cloud SQL attualmente dotate di accesso IP pubblico continueranno a funzionare anche dopo l'applicazione di questo vincolo.
Per impostazione predefinita, alle istanze Cloud SQL è consentito l'accesso IP pubblico.

constraints/sql.restrictPublicIp

Quando applicato, questo vincolo booleano disattiva Google Cloud Marketplace per tutti gli utenti nell'organizzazione. Per impostazione predefinita, l'accesso al marketplace pubblico è attivato per l'organizzazione. Questo criterio funziona solo quando Private Marketplace è abilitato (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace).
Importante: per un'esperienza ottimale, ti consigliamo vivamente di utilizzare la funzionalità di limitazione dell'accesso degli utenti al marketplace, come descritto in https://cloud.google.com/marketplace/docs/governance/strict-user-access, per impedire l'utilizzo non autorizzato del marketplace nella tua organizzazione, anziché farlo tramite questo criterio dell'organizzazione.

constraints/commerceorggovernance.disablePublicMarketplace

Questo vincolo dell'elenco definisce l'insieme di servizi consentiti per le organizzazioni del marketplace e può includere solo i valori dell'elenco seguente:

• PRIVATE_MARKETPLACE
• IAAS_PROCUREMENT

Prefisso supportato: is:

constraints/commerceorggovernance.marketplaceServices

Questo vincolo di elenco definisce le impostazioni di crittografia consentite per i nuovi collegamenti VLAN.
Per impostazione predefinita, i collegamenti VLAN possono utilizzare qualsiasi tipo di crittografia.
Imposta IPSEC come valore consentito per forzare la creazione di collegamenti VLAN solo criptati.

Prefisso supportato: is:

constraints/compute.allowedVlanAttachmentEncryption

Quando applicato, questo vincolo booleano disattiva la creazione o l'aggiornamento di qualunque risorsa Google Compute Engine coinvolta nell'utilizzo di IPv6.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse Google Compute Engine utilizzando IPv6 in qualsiasi progetto, cartella e organizzazione.
Se impostato, questo vincolo ha una priorità superiore a quella degli altri vincoli dell'organizzazione IPv6, inclusi disableVpcInternalIpv6, disableVpcExternalIpv6 e disableHybridCloudIpv6.

constraints/compute.disableAllIpv6

Quando applicato, questo vincolo booleano disabilita la creazione di nuove policy di sicurezza globali di Cloud Armor e l'aggiunta o l'aggiornamento di regole alle policy di sicurezza globali di Cloud Armor esistenti. Questo vincolo non limita la rimozione di regole o la rimozione, la descrizione o l'elenco delle policy di sicurezza globali di Cloud Armor. Questo vincolo non influisce sulle policy di sicurezza regionali di Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
Per impostazione predefinita, puoi creare o aggiornare le policy di sicurezza di Cloud Armor in qualsiasi organizzazione, cartella o progetto.

constraints/compute.disableGlobalCloudArmorPolicy

Questo vincolo booleano disabilita la creazione di prodotti di bilanciamento del carico globale. Quando applicato, è possibile creare solo prodotti di bilanciamento del carico a livello di area geografica senza dipendenze globali. Per impostazione predefinita, è consentita la creazione del bilanciamento del carico globale.

constraints/compute.disableGlobalLoadBalancing

Quando applicato, questo vincolo booleano disabilita la creazione di certificati SSL autogestiti globali. La creazione di certificati gestiti da Google o autogestiti a livello di regione non è disabilitata da questo vincolo.
Per impostazione predefinita, puoi creare certificati SSL autogestiti globali in qualsiasi organizzazione, cartella o progetto.

constraints/compute.disableGlobalSelfManagedSslCertificate

Questo vincolo booleano disabilita l'accesso alle porte seriali delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è applicato. Per impostazione predefinita, i clienti possono abilitare l'accesso alle porte seriali su una singola VM o un singolo progetto di Compute Engine utilizzando gli attributi dei metadati. Se applichi questo vincolo, l'accesso alle porte seriali per le VM di Compute Engine viene disabilito, a prescindere dagli attributi dei metadati. L'accesso alle porte seriali regionali non è influenzato da questo vincolo. Per disabilitare l'accesso a tutte le porte seriali, utilizza invece il vincolo compute.disableSerialPortAccess.

constraints/compute.disableGlobalSerialPortAccess

Questo vincolo booleano impedisce all'API Compute Engine di accedere agli attributi guest delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella per cui è applicato il vincolo.
Per impostazione predefinita, l'API Compute Engine può essere utilizzata per accedere agli attributi guest delle VM Compute Engine.

constraints/compute.disableGuestAttributesAccess

Quando applicato, questo vincolo booleano disabilita la creazione o l'aggiornamento alle risorse cloud ibrido, inclusi collegamenti di interconnessione e gateway Cloud VPN con stack_type di IPV4_IPV6 o IPV6_ONLY o gatewayIpVersion di IPv6.
Se applicato su una risorsa router Cloud, viene disabilitata la possibilità di creare sessioni Border Gateway Protocol (BGP) IPv6 e di abilitare lo scambio di route IPv6 nelle sessioni BGP IPv4.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le risorse cloud ibrido con stack_type di IPV4_IPV6 in progetti, cartelle e organizzazioni.

constraints/compute.disableHybridCloudIpv6

Non configurare o modificare questa policy. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando applicato, questo vincolo booleano disabilita le API GetSerialPortOutput e GetScreenshot che accedono all'output della porta seriale delle VM e acquisiscono screenshot dalle UI delle VM.

constraints/compute.disableInstanceDataAccessApis

Questo vincolo booleano determina se un utente può creare gruppi di endpoint di rete (NEG) internet con un type di INTERNET_FQDN_PORT e INTERNET_IP_PORT.
Per impostazione predefinita, qualunque utente con le autorizzazioni IAM appropriate può creare NEG internet in qualsiasi progetto.

constraints/compute.disableInternetNetworkEndpointGroup

Questo vincolo booleano disattiva la virtualizzazione nidificata con accelerazione hardware per tutte le VM Compute Engine appartenenti all'organizzazione, al progetto o alla cartella per cui questo vincolo è impostato su True.
Per impostazione predefinita, la virtualizzazione nidificata con accelerazione hardware è consentita per tutte le VM Compute Engine in esecuzione su piattaforme CPU Intel Haswell o successive.

constraints/compute.disableNestedVirtualization

Se applicato, questo vincolo booleano disabilita la creazione di tipi di istanze VM non conformi ai requisiti FIPS.

constraints/compute.disableNonFIPSMachineTypes

Questo vincolo dell'elenco definisce l'insieme di tipi di endpoint di Private Service Connect per cui gli utenti non possono creare regole di forwarding. Quando questo vincolo viene applicato, gli utenti non possono creare regole di forwarding per il tipo di endpoint Private Service Connect. Questo vincolo non viene applicato retroattivamente.
Per impostazione predefinita, è possibile creare regole di forwarding per qualsiasi tipo di endpoint di Private Service Connect.
L'elenco di endpoint di Private Service Connect consentiti/non consentiti deve provenire dall'elenco seguente:

• GOOGLE_APIS
• SERVICE_PRODUCERS

Prefisso supportato: is:

constraints/compute.disablePrivateServiceConnectCreationForConsumers

Questo vincolo booleano disabilita l'accesso alle porte seriali delle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui questo vincolo è applicato.
Per impostazione predefinita, i clienti possono abilitare l'accesso alle porte seriali su una singola VM o un singolo progetto di Compute Engine utilizzando gli attributi dei metadati. Se applichi questo vincolo, l'accesso alle porte seriali per le VM di Compute Engine viene disabilitato, a prescindere dagli attributi dei metadati.

constraints/compute.disableSerialPortAccess

Questo vincolo booleano disabilita il logging della porta seriale in Stackdriver dalle VM di Compute Engine appartenenti all'organizzazione, al progetto o alla cartella in cui è applicato il vincolo.
Per impostazione predefinita, il logging delle porte seriali per le VM di Compute Engine è disattivato e può essere attivato selettivamente sulle singole VM o sui singoli progetti utilizzando gli attributi dei metadati. Quando applicato, questo vincolo disattiva il logging delle porte seriali per le nuove VM di Compute Engine ogni volta che ne viene creata una. Inoltre, impedisce agli utenti di impostare su True l'attributo dei metadati di qualsiasi VM (esistenti o nuove). La disattivazione del logging delle porte seriali può causare il malfunzionamento di determinati servizi che lo utilizzano, ad esempio i cluster di Google Kubernetes Engine. Prima di applicare questo vincolo, verifica che i prodotti nel tuo progetto non utilizzino il logging delle porte seriali.

constraints/compute.disableSerialPortLogging

Questo vincolo booleano disabilita lo strumento SSH nel browser nella console Cloud per le VM che utilizzano OS Login e le VM dell'ambiente flessibile di App Engine. Quando è applicato, lo strumento SSH nel browser viene disabilitato. Lo strumento SSH nel browser è consentito per impostazione predefinita.

constraints/compute.disableSshInBrowser

Se applicato, questo vincolo booleano disattiva la creazione o l'aggiornamento delle subnet con stack_type di IPV4_IPV6 e ipv6_access_type di EXTERNAL.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione.

constraints/compute.disableVpcExternalIpv6

Se applicato, questo vincolo booleano disattiva la creazione o l'aggiornamento delle subnet con stack_type di IPV4_IPV6 e ipv6_access_type di INTERNAL.
Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può creare o aggiornare le subnet con stack_type di IPV4_IPV6 in qualsiasi progetto, cartella e organizzazione.

constraints/compute.disableVpcInternalIpv6

Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Questo vincolo controlla le impostazioni necessarie per eliminare i potenziali percorsi di accesso alla memoria principale delle VM. Se applicato, limita la possibilità di accedere alla memoria principale delle VM mediante la disabilitazione dei percorsi di accesso, oltre a limitare la raccolta dei dati interni quando si verifica un errore.

constraints/compute.enableComplianceMemoryProtection

Se applicato, questo vincolo booleano disabilita il comportamento Fail Open in caso di errori sul lato server per i metodi regions.list, regions.get e projects.get. Di conseguenza, se le informazioni relative alla quota non sono disponibili e questo vincolo è abilitato, i suddetti metodi generano errore. Per impostazione predefinita, questi metodi vengono eseguiti correttamente in caso di errori sul lato server e visualizzano un messaggio di avviso quando le informazioni relative alla quota non sono disponibili.

constraints/compute.requireBasicQuotaInResponse

Quando applicato, questo vincolo booleano abilita VM Manager (OS Config) su tutti i nuovi progetti. VM Manager sarà abilitato in tutte le istanze VM create nei nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano VM Manager a livello di progetto o di istanza.
Per impostazione predefinita, VM Manager è disabilitato nei progetti Compute Engine.

Per saperne di più, consulta Attiva la policy dell'organizzazione OS Config.

constraints/compute.requireOsConfig

Se applicato, questo vincolo booleano abilita OS Login in tutti i nuovi progetti creati. OS Login sarà abilitato in tutte le istanze VM create nei nuovi progetti. Nei progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano OS Login a livello di progetto o di istanza.
Per impostazione predefinita, la funzionalità OS Login è disabilitata nei progetti Compute Engine.

constraints/compute.requireOsLogin

Questo vincolo booleano, se applicato, richiede che tutte le nuove istanze VM di Compute Engine utilizzino immagini disco schermate in cui siano abilitate le opzioni di avvio protetto, monitoraggio dell'integrità e vTPM. Se vuoi, puoi disabilitare l'avvio protetto dopo la creazione. Le istanze esistenti in esecuzione continueranno a funzionare come al solito.
Per impostazione predefinita, le funzionalità di Shielded VM non devono essere abilitate per poter creare istanze VM di Compute Engine. Le funzionalità delle VM schermate aggiungono l'integrità verificabile e la resistenza all'esfiltrazione alle VM.

constraints/compute.requireShieldedVm

Questo vincolo di elenco definisce l'insieme di proxy target SSL e HTTPS che possono usare il criterio SSL predefinito. Per impostazione predefinita, tutti i proxy target SSL e HTTPS possono usare il criterio SSL predefinito. Quando viene applicato questo vincolo, i nuovi proxy target SSL e HTTPS dovranno specificare obbligatoriamente un criterio SSL predefinito. L'applicazione di questo vincolo non è retroattiva. I proxy target esistenti che usano il criterio SSL predefinito non sono interessati. L'elenco di proxy target SSL e HTTPS consentiti o negati deve essere identificato nel formato:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/global/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/regions/REGION_NAME/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/global/targetSslProxies/TARGET_PROXY_NAME

Prefissi supportati: is:, under:

constraints/compute.requireSslPolicy

Questo vincolo dell'elenco definisce l'insieme di criteri predefiniti che possono essere applicati ai log di flusso VPC.
Per impostazione predefinita, i log di flusso VPC possono essere configurati con qualsiasi impostazione in ciascuna subnet.
Questo vincolo impone l'abilitazione dei log di flusso per tutte le subnet in ambito con una frequenza di campionamento minima richiesta.
Specifica uno o più dei seguenti valori validi:

• ESSENTIAL (consente valori >= 0,1 e < 0,5)
• LIGHT (consente valori >= 0,5 e < 1,0)
• COMPREHENSIVE (consente valori == 1.0)

Prefisso supportato: is:

Per saperne di più, consulta Configura i vincoli delle policy dell'organizzazione per i log di flusso VPC.

constraints/compute.requireVpcFlowLogs

Questo vincolo di elenco definisce l'insieme di subnet che possono utilizzare Cloud NAT. Per impostazione predefinita, tutte le subnet possono utilizzare Cloud NAT. L'elenco consentito/negato di subnet deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.

Prefissi supportati: is:, under:

Per saperne di più, consulta Vincoli delle policy dell'organizzazione.

constraints/compute.restrictCloudNATUsage

Questo vincolo dell'elenco limita le risorse bucket di backend e del servizio di backend a cui è possibile aggiungere una risorsa urlMap. Il vincolo non si applica alle risorse bucket di backend e ai servizi di backend all'interno dello stesso progetto della risorsa urlMap. Per impostazione predefinita, una risorsa urlMap in un progetto può fare riferimento a risorse bucket di backend e ai servizi di backend compatibili di altri progetti nella stessa organizzazione, purché l'utente abbia l'autorizzazione compute.backendService.use, compute.regionBackendServices.use o compute.backendBuckets.use. Consigliamo di non usare questo vincolo insieme al vincolo compute.restrictSharedVpcBackendServices per evitare conflitti. Progetti, cartelle e risorse dell'organizzazione nell'elenco di elementi consentiti o negati influiscono su tutte le risorse bucket di backend e servizi di backend sottostanti nella gerarchia delle risorse. Nell'elenco di elementi consentiti o negati possono essere inclusi solo progetti, cartelle e risorse dell'organizzazione, che devono essere specificati nel seguente formato:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/regions/REGION/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/global/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME
• projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME

Prefissi supportati: is:, under:

constraints/compute.restrictCrossProjectServices

Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'interconnessione dedicata. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle reti consentite/negate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefissi supportati: is:, under:

Per saperne di più, consulta Limitare l'utilizzo di Cloud Interconnect.

constraints/compute.restrictDedicatedInterconnectUsage

Questo vincolo dell'elenco definisce l'insieme dei tipi di bilanciatore del carico che è possibile creare per un'organizzazione, una cartella o un progetto. Ogni tipo di bilanciatore del carico da consentire o non consentire deve essere elencato in modo esplicito. Per impostazione predefinita, è consentita la creazione di tutti i tipi di bilanciatore del carico.
L'elenco dei valori consentiti o negati deve essere identificato come il nome stringa di un bilanciatore del carico e può includere solo valori compresi nell'elenco seguente:

• INTERNAL_TCP_UDP
• INTERNAL_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_TCP_PROXY
• REGIONAL_INTERNAL_MANAGED_TCP_PROXY
• EXTERNAL_NETWORK_TCP_UDP
• EXTERNAL_TCP_PROXY
• EXTERNAL_SSL_PROXY
• EXTERNAL_HTTP_HTTPS
• EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
• GLOBAL_EXTERNAL_MANAGED_SSL_PROXY

Prefissi supportati: is:, in:

Per saperne di più, consulta Vincoli delle policy dell'organizzazione per Cloud Load Balancing.

constraints/compute.restrictLoadBalancerCreationForTypes

L'elenco degli elementi bloccati di questo vincolo dell'elenco definisce l'insieme di servizi per i quali tutte le nuove risorse devono essere create con Confidential Computing. Per impostazione predefinita, non è obbligatorio che le nuove risorse utilizzino Confidential Computing. Se viene applicato questo vincolo di elenco, Confidential Computing non può essere disabilitato durante il ciclo di vita della risorsa. Le risorse esistenti continueranno a funzionare normalmente. L'elenco di servizi negati deve essere identificato dal nome di stringa di un'API e può includere solo valori esplicitamente negati presenti nell'elenco riportato di seguito. L'autorizzazione esplicita delle API non è attualmente supportata. Verrà restituito un errore se vengono vietate in modo esplicito API non comprese in questo elenco. Elenco delle API supportate: [compute.googleapis.com, container.googleapis.com]

Prefisso supportato: is:

constraints/compute.restrictNonConfidentialComputing

Questo vincolo dell'elenco definisce l'insieme di reti Compute Engine autorizzate a utilizzare l'interconnessione partner. Per impostazione predefinita, le reti sono autorizzate a utilizzare qualsiasi tipo di interconnessione. L'elenco delle reti consentite/negate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefissi supportati: is:, under:

Per saperne di più, consulta Limitare l'utilizzo di Cloud Interconnect.

constraints/compute.restrictPartnerInterconnectUsage

Questo vincolo dell'elenco definisce quali organizzazioni, cartelle e progetti possono connettersi ai collegamenti di servizi all'interno dell'organizzazione o del progetto di un producer. Gli elenchi di elementi consentiti o negati devono essere identificati nel seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. Per impostazione predefinita sono consentite tutte le connessioni.

Prefissi supportati: is:, under:

Per saperne di più, consulta Gestire la sicurezza per i consumer Private Service Connect.

constraints/compute.restrictPrivateServiceConnectConsumer

Questo vincolo di elenco definisce a quali collegamenti di servizio possono collegarsi i consumatori di Private Service Connect. Il vincolo blocca la distribuzione di endpoint o backend di Private Service Connect in base all'organizzazione, alla cartella o alla risorsa di progetto del collegamento di servizio a cui fanno riferimento gli endpoint o i backend. Gli elenchi di elementi consentiti o negati devono essere identificati nel seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. Per impostazione predefinita sono consentite tutte le connessioni.

Prefissi supportati: is:, under:

Per saperne di più, consulta Gestire la sicurezza per i consumer Private Service Connect.

constraints/compute.restrictPrivateServiceConnectProducer

Questo vincolo dell'elenco definisce il tipo di oggetti regola di forwarding di protocollo con istanza di destinazione che possono essere creati da un utente. Quando questo vincolo viene applicato, i nuovi oggetti regola di forwarding con istanza di destinazione sono limitati a indirizzi IP interni e/o esterni, in base ai tipi specificati. I tipi da consentire o negare devono essere elencati in modo esplicito. Per impostazione predefinita, è consentita la creazione di oggetti regola di forwarding di protocollo con istanza di destinazione sia interni che esterni.
L'elenco dei valori consentiti o negati può includere solo valori compresi nell'elenco seguente:

• INTERNAL
• EXTERNAL

Questo vincolo viene sottoposto automaticamente a provisioning nell'ambito della Google Cloud baseline di sicurezza.

Prefisso supportato: is:

Per saperne di più, consulta Panoramica del forwarding del protocollo.

constraints/compute.restrictProtocolForwardingCreationForTypes

Questo vincolo di elenco definisce l'insieme di servizi di backend del VPC condiviso che le risorse idonee possono utilizzare. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi servizio di backend del VPC condiviso. L'elenco consentito/negato dei servizi di backend deve essere specificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME o projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Questo vincolo non è retroattivo.

Prefissi supportati: is:, under:

constraints/compute.restrictSharedVpcBackendServices

Questo vincolo dell'elenco definisce l'insieme di progetti host con VPC condivise ai quali è possibile associare i progetti allo stesso livello o a un livello inferiore rispetto alla risorsa. Per impostazione predefinita, un progetto può essere associato a qualsiasi progetto host nella stessa organizzazione, diventando quindi un progetto di servizio. I progetti, le cartelle e le organizzazioni nell'elenco degli elementi consentiti/negati influiscono su tutti gli oggetti sottostanti nella gerarchia delle risorse e devono essere specificati in uno dei formati seguenti: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

Prefissi supportati: is:, under:

constraints/compute.restrictSharedVpcHostProjects

Questo vincolo dell'elenco definisce l'insieme di subnet VPC condivise utilizzabili dalle risorse idonee. Il vincolo non si applica alle risorse all'interno dello stesso progetto. Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi subnet VPC condivisa. L'elenco di subnet consentite o negate deve essere specificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.

Prefissi supportati: is:, under:

constraints/compute.restrictSharedVpcSubnetworks

Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a questo progetto, cartella o organizzazione. Ogni estremità del peering deve avere l'autorizzazione per il peering. Per impostazione predefinita, un Amministratore di rete di una rete può eseguire il peering con qualsiasi altra rete. L'elenco delle reti consentite/negate deve essere identificato nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefissi supportati: is:, under:

constraints/compute.restrictVpcPeering

Questo vincolo dell'elenco definisce l'insieme di indirizzi IP validi che possono essere configurati come IP peer VPN. Per impostazione predefinita, qualsiasi IP può essere un IP peer VPN per una rete VPC. L'elenco di indirizzi IP consentiti o negati deve essere specificato come indirizzi IP validi nel formato: IP_V4_ADDRESS o IP_V6_ADDRESS.

Prefisso supportato: is:

Per saperne di più, consulta Limitare gli indirizzi IP peer tramite un tunnel Cloud VPN.

constraints/compute.restrictVpnPeerIPs

Se applicato, i nuovi progetti creati utilizzeranno il DNS di zona come predefinito. Per impostazione predefinita, questo vincolo è impostato su False e i nuovi progetti creati utilizzeranno il tipo DNS predefinito.

Questo vincolo viene sottoposto automaticamente a provisioning nell'ambito della Google Cloud baseline di sicurezza.

constraints/compute.setNewProjectDefaultToZonalDNSOnly

Questo vincolo dell'elenco definisce l'insieme di progetti autorizzati a creare e possedere prenotazioni condivise nell'organizzazione. Una prenotazione condivisa è simile a una prenotazione locale con la differenza che, anziché essere sfruttata solo dai progetti del proprietario, può essere utilizzata da altri progetti Compute Engine nella gerarchia delle risorse. L'elenco dei progetti autorizzati ad accedere alla prenotazione condivisa deve essere nel seguente formato: projects/PROJECT_NUMBER o under:projects/PROJECT_NUMBER.

Prefissi supportati: is:, under:

constraints/compute.sharedReservationsOwnerProjects

Questo vincolo booleano ignora la creazione della rete predefinita e delle risorse correlate durante la creazione delle risorse dei progetti Google Cloud Platform per cui viene applicato il vincolo. Per impostazione predefinita, quando si crea una risorsa del progetto vengono automaticamente create una rete predefinita e le risorse di supporto.

constraints/compute.skipDefaultNetworkCreation

Questo vincolo dell'elenco definisce un insieme di progetti a cui è consentito utilizzare le risorse di archiviazione di Compute Engine. Per impostazione predefinita, chiunque disponga delle autorizzazioni Cloud IAM appropriate può accedere alle risorse di Compute Engine. Utilizzando questo vincolo, gli utenti devono disporre di autorizzazioni Cloud IAM e non devono essere limitati dal vincolo per accedere alla risorsa.
I progetti, le cartelle e le organizzazioni specificati negli elenchi consentiti o rifiutati devono essere nel seguente formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

Prefissi supportati: is:, under:

constraints/compute.storageResourceUseRestrictions

Questo vincolo dell'elenco definisce l'insieme di progetti che possono essere utilizzati per l'archiviazione delle immagini e l'istanza del disco per Compute Engine.
Per impostazione predefinita, le istanze possono essere create da immagini in qualsiasi progetto che condivide immagini pubblicamente o esplicitamente con l'utente.
L'elenco dei progetti publisher consentiti o negati deve essere costituito da stringhe nel formato projects/PROJECT_ID. Se questo vincolo è attivo, solo le immagini provenienti da progetti attendibili saranno consentite come origine per i dischi di avvio per le nuove istanze.

Prefisso supportato: is:

Per saperne di più, consulta Imposta limitazioni di accesso alle immagini.

constraints/compute.trustedImageProjects

Questo vincolo dell'elenco definisce l'insieme di istanze VM che possono abilitare il forwarding IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Le istanze VM devono essere specificate nel formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Questo vincolo non è retroattivo.

Prefissi supportati: is:, under:

constraints/compute.vmCanIpForward

Questo vincolo dell'elenco definisce l'insieme di istanze VM di Compute Engine che possono utilizzare indirizzi IPv4 esterni. Questo vincolo non limita l'utilizzo di indirizzi IPv6.
Per impostazione predefinita, tutte le istanze VM possono utilizzare indirizzi IPv4 e IPv6 esterni.
L'elenco delle istanze VM consentite o negate deve essere identificato dal nome dell'istanza VM, nel formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

Prefisso supportato: is:

Per saperne di più, consulta Limita l'accesso IP esterno a istanze specifiche.

constraints/compute.vmExternalIpAccess

Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse globali. L'abilitazione di IAP nelle risorse di regione non è limitata da questo vincolo.
Per impostazione predefinita, è consentito abilitare IAP sulle risorse globali.

constraints/iap.requireGlobalIapWebDisabled

Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, tutti i percorsi di accesso per la diagnostica e altri casi d'uso dell'assistenza clienti non conformi ai requisiti di Assured Workloads saranno disattivati.

constraints/container.restrictNoncompliantDiagnosticDataAccess

Questo vincolo di elenco definisce un insieme di repository Git remoti con cui possono comunicare i repository nel progetto Dataform. Per bloccare le comunicazioni con tutti i repository Git remoti, imposta il valore su Deny all. Questo vincolo è retroattivo e blocca le comunicazioni per i repository esistenti che lo violano. Le voci devono essere link a repository Git remoti affidabili, nello stesso formato fornito da Dataform.
Per impostazione predefinita, i repository nei progetti Dataform possono comunicare con qualsiasi repository Git remoto.

Prefisso supportato: is:

Per saperne di più, vedi Limitare i repository remoti.

constraints/dataform.restrictGitRemotes

Per impostazione predefinita, i profili di connessione di Datastream possono essere creati con metodi di connettività pubblica o privata. Se il vincolo booleano per questo criterio dell'organizzazione viene applicato, è possibile utilizzare solo i metodi di connettività privata (ad esempio peering VPC) per creare profili di connessione.

constraints/datastream.disablePublicConnectivity

Questo vincolo dell'elenco definisce l'insieme di domini che gli indirizzi email aggiunti ai Contatti necessari possono avere.
Per impostazione predefinita, gli indirizzi email con qualsiasi dominio possono essere aggiunti ai Contatti necessari.
L'elenco delle identità consentite/negate deve specificare uno o più domini nel formato @example.com. Se questo vincolo è attivo e configurato con valori consentiti, solo gli indirizzi email con un suffisso corrispondente a una delle voci dell'elenco dei domini consentiti possono essere aggiunti ai Contatti essenziali.
Questo vincolo non ha alcun effetto sull'aggiornamento o sulla rimozione dei contatti esistenti.

Questo vincolo viene sottoposto automaticamente a provisioning nell'ambito della Google Cloud baseline di sicurezza.

Prefisso supportato: is:

constraints/essentialcontacts.allowedContactDomains

Quando applicato, questo vincolo booleano consente agli amministratori dei criteri dell'organizzazione di garantire che solo i contatti assegnati a livello di organizzazione o di cartella possano ricevere notifiche di sicurezza. In particolare, l'applicazione di questo vincolo impedisce ai proprietari dei progetti e agli amministratori dei contatti di creare o aggiornare un contatto essenziale con un campo notification_category_subscriptions che contiene la categoria SECURITY o ALL, se il contatto ha anche una risorsa di progetto come padre.

constraints/essentialcontacts.disableProjectSecurityContacts

Quando applicato, questo vincolo booleano richiede che le importazioni e le esportazioni di Firestore utilizzino l'agente di servizio Firestore.
Per impostazione predefinita, le importazioni ed esportazioni di Firestore possono utilizzare l'account di servizio App Engine.
In futuro, Firestore smetterà di utilizzare l'account di servizio App Engine per le importazioni e le esportazioni e tutti gli account dovranno eseguire la migrazione all'agente di servizio Firestore. Dopo di ciò, questo vincolo non sarà più necessario.

constraints/firestore.requireP4SAforImportExport

Quando applicato, questo vincolo booleano disabilita Cloud Logging per l'API Cloud Healthcare.
Gli audit log non sono interessati da questo vincolo.
I log di Cloud generati per l'API Cloud Healthcare prima dell'applicazione del vincolo non vengono eliminati e sono comunque accessibili.

Per saperne di più, consulta Disabilita Cloud Logging per l'API Cloud Healthcare.

constraints/gcp.disableCloudLogging

Questo vincolo dell'elenco definisce l'insieme di account di servizio a cui possono essere concessi token di accesso OAuth 2.0 con una durata massima di 12 ore. Per impostazione predefinita, la durata massima di questi token di accesso è di 1 ora.
L'elenco degli account di servizio consentiti/negati deve specificare uno o più indirizzi email di service account.

Prefisso supportato: is:

Per saperne di più, consulta Estendere la durata dei token di accesso OAuth 2.0.

constraints/iam.allowServiceAccountCredentialLifetimeExtension

Questo vincolo dell'elenco definisce gli insiemi di entità dell'organizzazione e gli ID cliente di Google Workspace le cui entità possono essere aggiunte alle policy IAM.
Per impostazione predefinita, è consentito aggiungere tutte le identità utente alle policy IAM. In questo vincolo possono essere definiti solo i valori consentiti. I valori negati non sono supportati.
Tutti i domini associati a un account Google Workspace o all'insieme di entità elencate in allowed_values saranno consentiti dalla policy dell'organizzazione. Tutti gli altri domini verranno bloccati dalla policy dell'organizzazione.
Non è necessario aggiungere l'ID cliente google.com a questo elenco per interagire con i servizi Google. L'aggiunta di google.com consente la condivisione con i dipendenti e i sistemi non di produzione di Google e deve essere utilizzato solo per condividere i dati con i dipendenti di Google.

Questo vincolo viene sottoposto automaticamente a provisioning nell'ambito della Google Cloud baseline di sicurezza.

Prefisso supportato: is:

Per ulteriori informazioni, vedi Limitazione delle identità per dominio.

constraints/iam.allowedPolicyMemberDomains

Quando applicato, questo vincolo booleano impedisce di escludere entità aggiuntive dall'audit logging. Questo vincolo non influisce sulle esenzioni dall'audit logging che esistevano prima dell'applicazione del vincolo.

constraints/iam.disableAuditLoggingExemption

Una volta applicato, il deployment dei service account è possibile solo (utilizzando il ruolo ServiceAccountUser) nei job (VM, funzioni e così via) in esecuzione nello stesso progetto del service account.

Per saperne di più, consulta Configurare per una risorsa in un progetto diverso.

constraints/iam.disableCrossProjectServiceAccountUsage

Questo vincolo booleano disattiva la creazione di service account in cui viene applicato.
Per impostazione predefinita, i service account possono essere creati dagli utenti in base ai propri ruoli e autorizzazioni Cloud IAM.

Per saperne di più, consulta Disattivare account di servizio account.

constraints/iam.disableServiceAccountCreation

Quando applicato, questo vincolo booleano disabilita la creazione di chiavi esterne dei service account e chiavi HMAC di Cloud Storage.
Per impostazione predefinita, le chiavi esterne dei account di servizio possono essere create dagli utenti in base ai propri ruoli e autorizzazioni Cloud IAM.

Questo vincolo viene sottoposto automaticamente a provisioning nell'ambito della Google Cloud baseline di sicurezza.

Per saperne di più, consulta Disattivare la creazione di account di servizio account.

constraints/iam.disableServiceAccountKeyCreation

Se applicato, questo vincolo booleano disabilita la funzionalità che consente di caricare chiavi pubbliche su un service account.
Per impostazione predefinita, gli utenti possono caricare le chiavi pubbliche nei service account in base ai propri ruoli e autorizzazioni Cloud IAM.

Questo vincolo viene sottoposto automaticamente a provisioning nell'ambito della Google Cloud baseline di sicurezza.

Per saperne di più, consulta Disattivare il caricamento account di servizio account.

constraints/iam.disableServiceAccountKeyUpload

Se applicato, questo vincolo booleano richiede che in tutti i nuovi cluster GKE sia disabilitato Workload Identity al momento della creazione. I cluster GKE esistenti in cui Workload Identity è già abilitato continueranno a funzionare come al solito. Per impostazione predefinita, Workload Identity può essere abilitato per qualsiasi cluster GKE.

Per maggiori informazioni, vedi Disabilitare la creazione di cluster con identità del workload.

constraints/iam.disableWorkloadIdentityClusterCreation

Questo vincolo dell'elenco definisce la durata massima consentita prima che scada la chiave dell'account di servizio. Per impostazione predefinita, le chiavi create non scadono mai.
La durata consentita è specificata in ore e deve essere compresa nell'elenco seguente. Puoi specificare un solo valore consentito. I valori negati non sono supportati. Se viene specificata una durata non compresa in questo elenco, verrà generato un errore.

• 1h
• 8h
• 24h
• 168h
• 336h
• 720h
• 1440h
• 2160h

Prefisso supportato: is:

constraints/iam.serviceAccountKeyExpiryHours

Questo vincolo di elenco definisce la risposta adottata se Google rileva che la chiave collegata di un service account è esposta pubblicamente. Le chiavi monitorate includono le chiavi dei service account di lunga durata e le chiavi API associate a un service account. Se non viene configurato, il valore predefinito corrisponde al comportamento descritto per DISABLE_KEY.
I valori consentiti sono DISABLE_KEY e WAIT_FOR_ABUSE. Non è possibile utilizzare valori che non fanno esplicitamente parte di questo elenco. Puoi specificare un solo valore consentito. I valori negati non sono supportati.
Se consenti il valore DISABLE_KEY, viene automaticamente disabilitata qualsiasi chiave del account di servizio esposta pubblicamente e viene creata una voce nell'audit log.
Se consenti il valore WAIT_FOR_ABUSE, questa protezione viene disattivata e le chiavi dell'account di servizio esposte non vengono disabilitate automaticamente. Tuttavia, Google Cloud potrebbe disabilitare le chiavi del account di servizio esposte se vengono utilizzate in modi che influiscono negativamente sulla piattaforma, ma non promette di farlo.
Per applicare questo vincolo, impostalo in modo da sostituire il criterio padre nella Google Cloud Console oppure imposta inheritFromParent=false nel file dei criteri se utilizzi gcloud CLI. Questo vincolo non può essere unito a un criterio padre.

Prefisso supportato: is:

constraints/iam.serviceAccountKeyExposureResponse

Elenco di ID account AWS che possono essere configurati per la federazione delle identità per i workload in Cloud IAM.

Prefisso supportato: is:

constraints/iam.workloadIdentityPoolAwsAccounts

Provider di identità che possono essere configurati per l'autenticazione del workload in Cloud IAM, specificato da URI/URL.

Prefisso supportato: is:

constraints/iam.workloadIdentityPoolProviders

Questo vincolo determina quali modalità di Controlli di servizio VPC possono essere impostate durante il provisioning di un nuovo piano di controllo gestito da Anthos Service Mesh. I valori validi sono "NONE" e "COMPATIBLE".

Prefisso supportato: is:

constraints/meshconfig.allowedVpcscModes

Se impostato su "True", questo vincolo booleano impone la conformità ai requisiti di Assured Workloads limitando la creazione o la modifica di risorse VM Manager che utilizzano script in linea o file di output binari. Nello specifico, i campi "script" e "output_file_path" all'interno delle risorse OSPolicyAssignment e PolicyOrchestrator devono rimanere vuoti.

constraints/osconfig.restrictInlineScriptAndOutputFileUsage

Se applicato, questo vincolo booleano imposta MessageStoragePolicy::enforce_in_transit su true per tutti i nuovi argomenti Pub/Sub al momento della creazione. Ciò garantisce che i dati dei clienti transitino solo all'interno delle regioni consentite che sono specificate nel criterio di archiviazione dei messaggi per l'argomento.

constraints/pubsub.enforceInTransitRegions

Questo vincolo booleano limita l'insieme di utenti che possono rimuovere un blocco del progetto host con VPC condiviso senza autorizzazione a livello di organizzazione in cui viene applicato questo vincolo.
Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco del progetto host VPC condiviso. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione.

constraints/compute.restrictXpnProjectLienRemoval

Questo vincolo booleano, quando corrisponde a ENFORCED, impedisce agli utenti di rimuovere un blocco degli account di servizio tra progetti senza autorizzazione a livello di organizzazione. Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco degli account di servizio tra progetti. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione.

Per saperne di più, consulta Configurare per una risorsa in un progetto diverso.

constraints/iam.restrictCrossProjectServiceAccountLienRemoval

Quando applicato a una risorsa dell'organizzazione, questo vincolo dell'elenco definisce l'insieme di risorse Google Cloud che vengono restituite nei metodi di elencazione e ricerca per gli utenti nel dominio dell'organizzazione a cui il vincolo è applicato. Consente di limitare le risorse visibili in varie parti di Cloud Console, tra cui il selettore risorse, la funzionalità di ricerca e la pagina Gestisci risorse. Tieni presente che questo vincolo viene valutato sempre e solo a livello di organizzazione. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID.

Prefissi supportati: is:, under:

Per saperne di più, vedi Limitare la visibilità dei progetti per gli utenti.

constraints/resourcemanager.accessBoundaries

Questo vincolo dell'elenco funge da controllo per verificare se un progetto con un servizio abilitato può essere spostato tra le organizzazioni. Questo vincolo deve essere applicato in una risorsa in cui è abilitato un servizio supportato, che a sua volta deve essere incluso nei valori consentiti per poter essere spostato tra le organizzazioni. L'elenco attuale di valori consentiti per i servizi supportati che è possibile utilizzare è:

• SHARED_VPC

Prefisso supportato: is:

constraints/resourcemanager.allowEnabledServicesForExport

Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne in cui è possibile spostare le risorse e nega gli spostamenti in tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, questa può essere spostata solo nelle organizzazioni consentite esplicitamente dal vincolo. Gli spostamenti all'interno di un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID.

Prefissi supportati: is:, under:

constraints/resourcemanager.allowedExportDestinations

Questo vincolo dell'elenco definisce l'insieme di organizzazioni esterne da cui è possibile importare le risorse e nega gli spostamenti da tutte le altre organizzazioni. Per impostazione predefinita, le risorse non possono essere spostate da un'organizzazione all'altra. Se questo vincolo viene applicato a una risorsa, quelle importate direttamente sotto questa risorsa devono essere consentite in modo esplicito da questo vincolo. Gli spostamenti all'interno di un'organizzazione o dall'esterno verso un'organizzazione non sono regolati da questo vincolo. L'operazione di spostamento richiede comunque le stesse autorizzazioni IAM dei normali spostamenti delle risorse. I valori specificati negli elenchi degli elementi consentiti o non consentiti devono essere nel seguente formato: under:organizations/ORGANIZATION_ID.

Prefissi supportati: is:, under:

constraints/resourcemanager.allowedImportSources

Questo vincolo dell'elenco definisce l'insieme dei nomi dei criteri di autorizzazione binaria che è possibile specificare in una risorsa Cloud Run. Per consentire/negare un criterio predefinito, utilizza il valore default. Per consentire/negare una o più policy personalizzate della piattaforma, l'ID risorsa di ciascuna policy deve essere aggiunto separatamente.

Prefisso supportato: is:

constraints/run.allowedBinaryAuthorizationPolicies

Questo vincolo dell'elenco definisce le impostazioni di traffico in entrata consentite per i servizi Cloud Run. Quando questo vincolo viene applicato, le impostazioni del traffico in entrata dei servizi devono corrispondere a uno dei valori consentiti. I servizi Cloud Run esistenti con impostazioni di traffico in entrata che violano questo vincolo possono continuare a essere aggiornati finché tali impostazioni non vengono modificate per rispettare il vincolo. Quando un servizio rispetta questo vincolo, può utilizzare solo le relative impostazioni di traffico in entrata consentite.
Per impostazione predefinita, i servizi Cloud Run possono utilizzare qualsiasi impostazione di traffico in entrata.
L'elenco degli attributi consentiti deve contenere i valori supportati per le impostazioni di traffico in entrata: all, internal e internal-and-cloud-load-balancing.

Prefisso supportato: is:

Per saperne di più, vedi Limitare le impostazioni di traffico in entrata consentite.

constraints/run.allowedIngress

Questo vincolo dell'elenco definisce le impostazioni di traffico VPC in uscita consentite da specificare su una risorsa Cloud Run. Quando viene applicato questo vincolo, è necessario eseguire il deployment delle risorse Cloud Run con un connettore di accesso VPC serverless o con il traffico VPC diretto in uscita abilitato; le impostazioni di traffico devono corrispondere a uno dei valori consentiti.
Per impostazione predefinita, le risorse Cloud Run possono configurare le impostazioni di traffico VPC in uscita su qualsiasi valore supportato.
L'elenco degli attributi consentiti deve contenere i valori delle impostazioni di traffico VPC in uscita supportati, ovvero private-ranges-only e all-traffic.

Per i servizi Cloud Run esistenti, tutte le nuove revisioni devono rispettare questo vincolo. I servizi esistenti con revisioni che gestiscono traffico e violano questo vincolo possono continuare a eseguire la migrazione del traffico a tali revisioni. Quando tutto il traffico per un servizio viene gestito da revisioni conformi a questo vincolo, tutte le migrazioni di traffico successive devono eseguire la migrazione del traffico solo verso queste revisioni.

Prefisso supportato: is:

Per saperne di più, consulta Limitare le impostazioni di traffico in uscita VPC consentite.

constraints/run.allowedVPCEgress

Quando applicato, questo vincolo booleano impedisce di concedere automaticamente qualsiasi ruolo IAM sul progetto durante la creazione degli account di servizio App Engine e Compute Engine predefiniti nei progetti.
Per impostazione predefinita, questi service account ricevono automaticamente il ruolo Editor alla creazione. Per scoprire di più sui service account predefiniti, consulta la pagina https://cloud.google.com/iam/help/service-accounts/default.
Per scoprire quali ruoli concedere al posto di quello di editor, consulta la pagina https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Questo vincolo viene sottoposto automaticamente a provisioning nell'ambito della Google Cloud baseline di sicurezza.

constraints/iam.automaticIamGrantsForDefaultServiceAccounts

Questo vincolo dell'elenco definisce l'insieme di pool di worker di Cloud Build consentiti per l'esecuzione delle build utilizzando Cloud Build. Quando questo vincolo viene applicato, sarà necessario creare le build in un pool di worker che corrisponda a uno dei valori consentiti.
Per impostazione predefinita, Cloud Build può utilizzare qualsiasi pool di worker.
L'elenco dei pool di worker deve essere nel formato:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID

Prefissi supportati: is:, under:

constraints/cloudbuild.allowedWorkerPools

Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare risorse Google Cloud basate sulla località. Importante: le informazioni in questa pagina non descrivono gli impegni di Google Cloud in merito alla posizione dei dati dei clienti (come definiti nel contratto in base al quale Google ha accettato di fornire ai propri clienti i servizi Google Cloud e come descritto nel riepilogo dei servizi Google Cloud all'indirizzo https://cloud.google.com/terms/services). Per visualizzare l'elenco dei servizi Google Cloud per i quali i clienti possono selezionare la località dei dati dei clienti, consulta la pagina dedicata ai servizi Google Cloud con residenza dei dati all'indirizzo https://cloud.google.com/terms/data-residency.
Per impostazione predefinita, le risorse possono essere create in qualsiasi località. Per un elenco completo dei servizi supportati, visita la pagina all'indirizzo https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services.
Con i criteri di questo vincolo è possibile specificare come località consentite o non consentite località con più regioni, ad esempio asia e europe, e località a singola regione come us-east1 o europe-west1. Autorizzare o meno aree geografiche multiple non significa che bisogna autorizzare o meno anche tutte le località secondarie. Ad esempio, se il criterio non autorizza la multi-regione us (che fa riferimento a risorse multi-regionali, come alcuni servizi di archiviazione), è comunque possibile creare risorse nella località regionale us-east1. D'altra parte, il gruppo in:us-locations contiene tutte le località all'interno della regione us e può essere utilizzato per bloccare tutte le regioni.
Ti consigliamo di utilizzare gruppi di valori per definire il criterio.
Puoi specificare gruppi di valori, cioè raccolte di località curate da Google per definire con facilità le località delle tue risorse. Per utilizzare i gruppi di valori nei criteri dell'organizzazione, aggiungi il prefisso in: alle voci, seguito dal gruppo di valori.
Ad esempio, per creare risorse che saranno situate fisicamente solo all'interno degli Stati Uniti, imposta in:us-locations nell'elenco dei valori consentiti.
Se il campo suggested_value è utilizzato in un criterio di località, questo deve essere un'area geografica. Se il valore specificato è un'area geografica, una UI di una risorsa di zona può pre-popolare qualsiasi zona dell'area geografica.

Prefissi supportati: is:, in:

Per saperne di più, consulta Limitazione delle località delle risorse.

constraints/gcp.resourceLocations

Questo vincolo dell'elenco definisce i progetti che possono essere utilizzati per fornire chiavi di crittografia gestite dal cliente (CMEK) durante la creazione delle risorse. L'impostazione di questo vincolo su Allow (ad esempio, per consentire solo le chiavi CMEK di questi progetti) garantisce che le chiavi CMEK di altri progetti non possano essere utilizzate per proteggere le risorse create di recente. I valori di questo vincolo devono essere specificati nel formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. I servizi supportati che applicano questo vincolo sono:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• workstations.googleapis.com

Prefissi supportati: is:, under:

Per saperne di più, consulta Policy dell'organizzazione per le chiavi CMEK.

constraints/gcp.restrictCmekCryptoKeyProjects

Questo vincolo dell'elenco definisce l'insieme di endpoint API Google Cloud che possono essere utilizzati per accedere alle risorse in un'organizzazione, una cartella o un progetto.
Questo vincolo può essere utilizzato per bloccare l'accesso alle risorse Google Cloud tramite endpoint API globali, applicando in modo forzato l'utilizzo di endpoint locali o regionali. Ad esempio, se specifichi bigquery.googleapis.com nella lista bloccata di questa policy, le richieste a bigquery.googleapis.com/... non andranno a buon fine, a differenza delle richieste a {location}-bigquery.googleapis.com/....
Per impostazione predefinita, è consentito l'accesso a tutti gli endpoint API Google Cloud.
L'elenco degli endpoint negati deve provenire dall'elenco riportato di seguito. Il tentativo di salvare la lista bloccata non andrà a buon fine.
Per ulteriori informazioni, anche sull'elenco di valori di vincolo validi, consulta la guida dell'utente Limita utilizzo endpoint.

Questo vincolo può essere utilizzato in modalità dry run.

Prefissi supportati: is:, in:

Per saperne di più, consulta Limitazione dell'utilizzo degli endpoint.

constraints/gcp.restrictEndpointUsage

Questo vincolo dell'elenco definisce i servizi che richiedono chiavi di crittografia gestite dal cliente (CMEK). L'impostazione di questo vincolo su Deny (ad esempio, per negare la creazione di risorse senza CMEK) richiede che le risorse create di recente siano protette da una chiave CMEK per i servizi specificati. I servizi supportati che possono essere impostati in questo vincolo sono:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• storagetransfer.googleapis.com
• workstations.googleapis.com

Prefisso supportato: is:

Per saperne di più, consulta Policy dell'organizzazione per le chiavi CMEK.

constraints/gcp.restrictNonCmekServices

Questo vincolo definisce l'insieme dei servizi di risorse di Google Cloud che possono essere utilizzati all'interno di un'organizzazione, una cartella o un progetto, ad esempio compute.googleapis.com e storage.googleapis.com.
Per impostazione predefinita, sono consentiti tutti i servizi di risorse Google Cloud.
Per ulteriori informazioni, visita la pagina https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

Questo vincolo può essere utilizzato in modalità dry run.

Prefisso supportato: is:

Per saperne di più, consulta Limitazione dell'utilizzo delle risorse.

constraints/gcp.restrictServiceUsage

Questo vincolo dell'elenco definisce l'insieme di suite di crittografia TLS che possono essere utilizzate per accedere alle risorse in un'organizzazione, una cartella o un progetto in cui viene applicato questo vincolo.
Per impostazione predefinita, sono consentite tutte le suite di crittografia TLS. Le suite di crittografia TLS possono essere specificate come lista consentita o bloccata e devono essere identificate utilizzando i loro nomi. Ad esempio, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256.Puoi anche specificare gruppi di valori, cioè raccolte di suite di crittografia curate da Google per fornire un modo semplice per definire il vincolo. Per utilizzare i gruppi di valori nei criteri dell'organizzazione, aggiungi il prefisso in: alle voci, seguito dal gruppo di valori. Ad esempio, in:CNSA-2.0-recommended-ciphers.
Questo vincolo si applica solo alle richieste che utilizzano TLS. Non verrà utilizzato per limitare le richieste non criptate.
Per ulteriori informazioni, consulta la guida dell'utente Limita le suite di crittografia TLS.

Questo vincolo può essere utilizzato in modalità dry run.

Prefissi supportati: is:, in:

constraints/gcp.restrictTLSCipherSuites

Questo vincolo definisce l'insieme di versioni TLS che non possono essere utilizzate nell'organizzazione, nella cartella o nel progetto in cui viene applicato il vincolo né in nessun elemento figlio della risorsa nella rispettiva gerarchia.
Per impostazione predefinita, sono consentite tutte le versioni TLS. Le versioni TLS possono essere specificate solo nell'elenco degli elementi negati e devono essere identificate nel formato TLS_VERSION_1 o TLS_VERSION_1_1.
Questo vincolo si applica solo alle richieste che utilizzano TLS. Non verrà utilizzato per limitare le richieste non criptate.
Per ulteriori informazioni, consulta https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.

Questo vincolo può essere utilizzato in modalità dry run.

Prefisso supportato: is:

Per saperne di più, consulta Limitare le versioni TLS.

constraints/gcp.restrictTLSVersion

Quando applicato, questo vincolo booleano disabilita l'attivazione di Identity-Aware Proxy nelle risorse di regione. L'abilitazione di IAP nelle risorse globali non è limitata da questo vincolo.
Per impostazione predefinita, è consentito abilitare IAP sulle risorse di regione.

constraints/iap.requireRegionalIapWebDisabled

Questo vincolo dell'elenco limita l'insieme di servizi e relative API che è possibile abilitare su questa risorsa. Per impostazione predefinita, sono consentiti tutti i servizi.
L'elenco dei servizi negati deve essere creato a partire dall'elenco seguente. Attualmente l'abilitazione esplicita delle API tramite questo vincolo non è supportata. Se viene specificata un'API non compresa in questo elenco verrà restituito un errore.

• compute.googleapis.com
• deploymentmanager.googleapis.com
• dns.googleapis.com

Prefisso supportato: is:

constraints/serviceuser.services

Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando viene applicato questo vincolo booleano, alcuni aspetti della supportabilità saranno compromessi e le risorse sottoposte a provisioning seguiranno rigorosamente i requisiti di sovranità avanzata per Assured Workloads. Questo criterio si applica ai progetti esistenti, ma non influisce sulle risorse già sottoposte a provisioning; ad esempio, le modifiche al criterio si rifletteranno solo sulle risorse create dopo che il criterio è stato modificato.

constraints/spanner.assuredWorkloadsAdvancedServiceControls

Non configurare o modificare questo criterio. Questo vincolo viene configurato automaticamente durante l'onboarding di Assured Workloads ed è destinato solo al controllo normativo avanzato di Assured Workloads. Quando applicato, questo vincolo booleano impedisce di creare istanze Spanner utilizzando la configurazione di istanze multiregionali, a meno che non sia selezionata una località. Cloud Spanner non supporta ancora la selezione della località, quindi tutte le istanze multiregionali non sono consentite. In futuro, Spanner offrirà agli utenti la possibilità di selezionare una località per più regioni. L'applicazione di questo vincolo non è retroattiva. Le istanze Spanner già create non saranno interessate.

constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected

Quando è applicata la modalità di audit logging dettagliata, sia la richiesta che la risposta vengono incluse in Cloud Audit Logs. L'applicazione delle modifiche a questa funzionalità può richiedere fino a 10 minuti. Questa policy dell'organizzazione è vivamente consigliata in coordinamento con il blocco dei bucket per la conformità a standard quali regola SEC 17a-4(f), regola CFTC 1.31(c)-(d) e regola FINRA 4511(c). Questa policy è attualmente supportata solo in Cloud Storage.

Per maggiori informazioni, consulta Vincoli delle policy dell'organizzazione per Cloud Storage.

constraints/gcp.detailedAuditLoggingMode

Impedisci che i dati di Cloud Storage vengano esposti pubblicamente mediante l'attivazione della prevenzione dell'accesso pubblico. Questo criterio di governance impedisce l'accesso alle risorse esistenti e future tramite la rete internet pubblica disattivando e bloccando gli ACL e le autorizzazioni IAM che concedono l'accesso a allUsers e allAuthenticatedUsers. Applica questo criterio all'intera organizzazione (consigliato), a progetti specifici o a cartelle specifiche, per impedire che i dati vengano esposti al pubblico.
Questo criterio ha la precedenza sulle autorizzazioni pubbliche esistenti. Dopo l'attivazione di questo criterio, l'accesso pubblico viene revocato per i bucket e gli oggetti esistenti. Per ulteriori dettagli sugli effetti della modifica dell'applicazione di questo vincolo sulle risorse, visita la pagina https://cloud.google.com/storage/docs/public-access-prevention.

Per maggiori informazioni, consulta Vincoli delle policy dell'organizzazione per Cloud Storage.

constraints/storage.publicAccessPrevention

Il vincolo definisce l'insieme di tipi di autenticazione a cui verrebbe impedito l'accesso alle risorse di archiviazione nell'organizzazione in Cloud Storage. I valori supportati sono USER_ACCOUNT_HMAC_SIGNED_REQUESTS, SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS e RSA_SIGNED_REQUESTS. Utilizza in:ALL_HMAC_SIGNED_REQUESTS per includere le richieste firmate HMAC dell'account utente e del account di servizio. Utilizza in:ALL_SIGNED_REQUESTS per includere le richieste firmate con HMAC e RSA.

Prefissi supportati: is:, in:

constraints/storage.restrictAuthTypes

Questo vincolo dell'elenco definisce l'insieme di durate per le norme di conservazione che possono essere impostate sui bucket Cloud Storage.
Per impostazione predefinita, se non viene specificato nessun criterio dell'organizzazione, un bucket Cloud Storage può avere un criterio di conservazione di qualsiasi durata.
L'elenco delle durate consentite deve essere specificato come valore intero positivo maggiore di zero, che rappresenta la policy di conservazione in secondi.
Qualsiasi operazione di inserimento, aggiornamento o patch su un bucket nella risorsa Organizzazione deve avere una durata del criterio di conservazione corrispondente al vincolo.
L'applicazione di questo vincolo non è retroattiva. Quando viene applicato un nuovo criterio dell'organizzazione, il criterio di conservazione dei bucket esistenti rimane valido e invariato.

Prefisso supportato: is:

Per maggiori informazioni, consulta Vincoli delle policy dell'organizzazione per Cloud Storage.

constraints/storage.retentionPolicySeconds

Quando applicato, questo vincolo booleano nega esplicitamente l'accesso HTTP (non criptato) a tutte le risorse di archiviazione. Per impostazione predefinita, l'API XML di Cloud Storage consente l'accesso HTTP non criptato. Tieni presente che l'API JSON di Cloud Storage, gRPC e la console Cloud consentono solo l'accesso HTTP criptato alle risorse di Cloud Storage.

constraints/storage.secureHttpTransport

Questo vincolo definisce le durate di conservazione consentite per i criteri di eliminazione temporanea impostati sui bucket Cloud Storage in cui viene applicato il vincolo. Qualsiasi operazione di inserimento, aggiornamento o patch su un bucket in cui viene applicato questo vincolo deve avere una durata del criterio di eliminazione temporanea corrispondente al vincolo. Quando viene applicato un nuovo criterio dell'organizzazione, il criterio di eliminazione temporanea dei bucket esistenti rimane valido e invariato. Per impostazione predefinita, se non viene specificato nessun criterio dell'organizzazione, un bucket Cloud Storage può avere un criterio di eliminazione temporanea di qualsiasi durata.

Prefisso supportato: is:

constraints/storage.softDeletePolicySeconds

Dove impostato su True, questo vincolo booleano richiede che i bucket utilizzino un accesso uniforme a livello di bucket. L'accesso uniforme a livello di bucket deve essere abilitato per tutti i nuovi bucket nella risorsa Organizzazione e tale opzione non può essere disabilitata in alcun bucket esistente nella risorsa Organizzazione.
L'applicazione di questo vincolo non è retroattiva: per i bucket esistenti con accesso uniforme a livello di bucket disabilitato, l'opzione resta disabilitata. Il valore predefinito per questo vincolo è False.
L'accesso uniforme a livello di bucket disabilita la valutazione degli ACL assegnati agli oggetti Cloud Storage nel bucket. Di conseguenza, solo i criteri IAM consentono l'accesso agli oggetti in questi bucket.

Questo vincolo viene sottoposto automaticamente a provisioning nell'ambito della Google Cloud baseline di sicurezza.

Per maggiori informazioni, consulta Vincoli delle policy dell'organizzazione per Cloud Storage.

constraints/storage.uniformBucketLevelAccess