Verwaltete Einschränkungen

Verwaltete Einschränkungen sind vordefinierte Organisationsrichtlinien, die auf einer modernen Plattform basieren und eine zentrale, programmatische Steuerung Ihrer Compute Engine-Ressourcen ermöglichen. Sie bieten integrierte Unterstützung für Tools für die sichere Einführung wie den Policy Simulator und den Probelauf.

Verwaltete Einschränkungen sind am Präfix compute.managed.* zu erkennen und dienen als direkter Ersatz für die alten compute.*-Einschränkungen.

Vorteile

  • Sichere Einführung und Überwachung: Implementieren Sie Richtlinien mit vollständigen Tools, schnellerer Änderungskontrolle und schrittweiser Bereitstellung mithilfe von Simulations- und Probelauffunktionen.
  • Einheitliches Logging: Erzwingt Einheitlichkeit bei Logging und Fehlermeldungen, was die zentrale Überwachung vereinfacht und Audits optimiert.

Übernahme von Richtlinien

Organisationsrichtlinien, die Sie für eine Ressource festlegen, werden von den untergeordneten Elementen dieser Ressource in der Ressourcenhierarchie übernommen. Wenn Sie beispielsweise eine Richtlinie für einen Ordner erzwingen, erzwingt Google Cloud die Richtlinie für alle Projekte in diesem Ordner.

Preise

Der Organisationsrichtliniendienst, einschließlich vordefinierter (Legacy-), verwalteter und benutzerdefinierter Organisationsrichtlinien, wird kostenlos angeboten.

Hinweise

  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud Dienste und APIs überprüft. Zum Ausführen von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei der Compute Engine authentifizieren:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

      gcloud init

      Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    2. Set a default region and zone.

    REST

    Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, verwenden Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.

      Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

      gcloud init

      Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.

  • Sie müssen Ihre Organisations-ID kennen.
  • Installieren Sie die gcloud CLI, falls noch nicht geschehen, und initialisieren Sie sie mit dem Befehl gcloud init.
  • Legen Sie ein Standardprojekt für Ihre Tests fest.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien mit verwalteten Einschränkungen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Organisationsrichtlinien mit verwalteten Einschränkungen erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Organisationsrichtlinien mit verwalteten Einschränkungen zu verwalten:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set
  • Zum Testen der Einschränkungen benötigen Sie folgende Rollen:
    • compute.instances.create für das Projekt
    • Zum Erstellen der VM mit einem benutzerdefinierten Image: compute.images.useReadOnly für das Image
    • Zum Erstellen der VM mit einem Snapshot: compute.snapshots.useReadOnly für den Snapshot
    • Zum Erstellen der VM mit einer Instanzvorlage: compute.instanceTemplates.useReadOnly für die Instanzvorlage
    • Zum Zuweisen eines Legacy-Netzwerks zur VM: compute.networks.use für das Projekt
    • Zum Festlegen einer statische IP-Adresse für die VM: compute.addresses.use für das Projekt
    • Zum Zuweisen einer externen IP-Adresse zur VM bei Verwendung eines Legacy-Netzwerks: compute.networks.useExternalIp für das Projekt
    • Zum Angeben eines Subnetzes für die VM: compute.subnetworks.use für das Projekt oder für das ausgewählte Subnetz
    • Zum Zuweisen einer externen IP-Adresse zur VM, wenn Sie ein VPC-Netzwerk verwenden: compute.subnetworks.useExternalIp für das Projekt oder für das ausgewählte Subnetz
    • Zum Festlegen von Metadaten der VM-Instanz für die VM: compute.instances.setMetadata für das Projekt
    • Zum Festlegen von Tags für die VM: compute.instances.setTags für die VM
    • Zum Festlegen von Labels für die VM: compute.instances.setLabels für die VM
    • Zum Festlegen eines Dienstkontos, das die VM verwenden soll: compute.instances.setServiceAccount für die VM
    • Zum Erstellen eines neuen Laufwerks für die VM: compute.disks.create für das Projekt
    • Zum Anhängen eines vorhandenen Laufwerks im Lese- oder Lese-/Schreibmodus: compute.disks.use für das Laufwerk
    • Um ein vorhandenes Laufwerk im Lesemodus anzuhängen: compute.disks.useReadOnly für das Laufwerk

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Verfügbare verwaltete Einschränkungen

Die folgenden verwalteten Einschränkungen für Organisationsrichtlinien sind für Compute Engine verfügbar:

Einschränkung Beschreibung
Zulässige Verschlüsselungseinstellungen für VLAN-Anhänge

Mit dieser Listeneinschränkung werden die zulässigen Verschlüsselungseinstellungen für neue VLAN-Anhänge definiert.
Standardmäßig dürfen VLAN-Anhänge alle Verschlüsselungseinstellungen verwenden.
 Legen Sie IPSEC als zulässigen Wert fest, um zu erzwingen, dass nur verschlüsselte VLAN-Anhänge erstellt werden.

constraints/compute.managed.allowedVlanAttachmentEncryption
Compute Engine-Vorabfunktionen blockieren

Diese Einschränkung sorgt dafür, dass Vorschaufunktionen blockiert werden, sofern sie nicht explizit zugelassen werden. Wenn die Einstellung auf „Zulassen“ festgelegt ist, können Sie steuern, welche Vorschaufunktionen für Ihr Projekt einzeln aktiviert oder deaktiviert werden können. Im Projekt kann nur auf aktivierte Vorschaufunktionen zugegriffen werden. Wenn Sie die Richtlinie später deaktivieren, ändert sich der Status der einzelnen Vorschaufunktionen nicht. Sie können einzeln deaktiviert werden. Diese Einschränkung gilt nur für Compute Alpha API-Funktionen.

constraints/compute.managed.blockPreviewFeatures
Verschachtelte Virtualisierung für VM deaktivieren

[Öffentliche Vorschau] Mit dieser booleschen Einschränkung wird die hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf True gesetzt ist.
In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden.

constraints/compute.managed.disableNestedVirtualization
Aktivierung von Metadaten für den Zugriff auf serielle VM-Ports einschränken

Vorschau: Diese Einschränkung verhindert, dass der Metadatenschlüssel „serial-port-enable“ für Compute Engine-VMs in der Organisation, dem Projekt oder dem Ordner, in dem diese Einschränkung erzwungen wird, auf „true“ gesetzt wird. Standardmäßig kann der Zugriff auf serielle Ports mit diesem Metadatenschlüssel für einzelne VMs, Zonen oder Projekte aktiviert werden. Wenn Sie den Zugriff auf den seriellen Port für bestimmte VMs zulassen möchten, können Sie sie mithilfe von Tags und bedingten Regeln von dieser Richtlinie ausnehmen.
Wichtig: Die Erzwingung dieser Einschränkung wirkt sich nicht auf vorhandene VMs aus, bei denen „serial-port-enable“ bereits auf „true“ gesetzt ist. Sie behalten den Zugriff bei, sofern ihre Metadaten nicht aktualisiert werden.

constraints/compute.managed.disableSerialPortAccess
Logging des seriellen VM-Ports in Stackdriver deaktivieren

[Öffentliche Vorschau] Wenn diese Einschränkung erzwungen wird, wird das Logging serieller Ports in Stackdriver von Compute Engine-VMs deaktiviert.
Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Das Deaktivieren der Protokollierung serieller Ports kann dazu führen, dass bestimmte Dienste wie Google Kubernetes Engine-Cluster, die darauf beruhen, nicht mehr korrekt funktionieren. Bestätigen Sie vor dem Erzwingen dieser Einschränkung, dass die Produkte in Ihrem Projekt nicht auf das Logging serieller Ports angewiesen sind. Sie können bestimmten VM-Instanzen die Verwendung des seriellen Port-Loggings erlauben. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

constraints/compute.managed.disableSerialPortLogging
Beschränkt die Verwendung von globalem internen DNS (gDNS) für Projekte mit der DNS-Einstellung „Nur zonal“.

[Öffentliche Vorschau] Wenn diese Einschränkung erzwungen wird, wird die Verwendung von gDNS eingeschränkt. Diese Einschränkung deaktiviert das Erstellen von gDNS-VMs und das Aktualisieren von VMs für die Verwendung von gDNS. Das Zurücksetzen eines zDNS-Projekts auf gDNS wird nicht blockiert, führt aber bei nachfolgenden Instance API-Aufrufen zur Durchsetzung von Richtlinienverstößen.

constraints/compute.managed.disallowGlobalDns
OS Config verlangen

[Öffentliche Vorschau] Wenn diese Einschränkung erzwungen wird, muss VM Manager (OS Config) für alle neuen Projekte aktiviert werden. Diese Einschränkung verhindert bei neuen und vorhandenen Projekten Metadaten-Aktualisierungen, die VM Manager auf Projekt-, Projektzonen- oder Instanzebene deaktivieren. Sie können bestimmten VM-Instanzen erlauben, VM Manager zu deaktivieren. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

constraints/compute.managed.requireOsConfig
OS-Anmeldung erforderlich

[Öffentliche Vorschau] Wenn diese Einschränkung erzwungen wird, muss OS Login für alle neu erstellten Projekte aktiviert werden. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login für Projekte, zonale Projekte oder Instanzen deaktivieren. Sie können bestimmten VM-Instanzen erlauben, OS Login zu deaktivieren. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

constraints/compute.managed.requireOsLogin
Schränkt die Verwendung der Protokollweiterleitung ein

Mit dieser Einschränkung können Sie die Arten von Protokollweiterleitungs-Deployments (intern oder extern) einschränken, die in Ihrer Organisation erstellt werden können. Wenn Sie die Einschränkung konfigurieren möchten, geben Sie eine Zulassungsliste für den Typ der Protokollweiterleitungsbereitstellung an, die zulässig sein soll. Die Zulassungsliste darf nur die folgenden Werte enthalten:

  • INTERN
  • EXTERN
. Wenn die Zulassungsliste beispielsweise auf „INTERNAL“ festgelegt ist, können Ihre Nutzer nur die interne Protokollweiterleitung einrichten. Das bedeutet, dass alle Weiterleitungsregeln, die mit Zielinstanzen verknüpft sind, auf das Load-Balancing-Schema INTERNAL beschränkt sind und nur interne IP-Adressen verwenden dürfen.

constraints/compute.managed.restrictProtocolForwardingCreationForTypes
VM-IP-Weiterleitung einschränken

[Öffentliche Vorschau] Mit dieser Einschränkung wird definiert, ob Compute Engine-VM-Instanzen die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren, wenn keine Richtlinie angegeben ist. Wenn diese Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von VM-Instanzen mit aktivierter IP-Weiterleitung abgelehnt. Sie können die IP-Weiterleitung für bestimmte VM-Instanzen zulassen. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

constraints/compute.managed.vmCanIpForward
Externe IPs für VM-Instanzen einschränken

[Public Preview] Mit dieser Einschränkung wird definiert, ob Compute Engine-VM-Instanzen externe IPv4-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Wenn diese Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von VM-Instanzen mit externen IPv4-Adressen verweigert. Die Verwendung externer IPv6-Adressen wird durch diese Einschränkung nicht eingeschränkt. Sie können bestimmten VM-Instanzen die Verwendung externer IPv4-IP-Adressen erlauben. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen.

constraints/compute.managed.vmExternalIpAccess

Hierarchische Metadatenauswertung

Verwaltete Einschränkungen, die auf vordefinierten Metadatenschlüsseln wie OS Login oder Serial Port Access basieren, unterstützen die hierarchische Auswertung. Wenn Compute Engine diese Einschränkungen auswertet, werden Metadatenwerte geprüft, die auf VM-Instanz-, Projekt- oder Zonenebene festgelegt sind.

Wenn Sie Metadatenwerte auf Projekt- oder Zonenebene festlegen, können Sie VM-Instanzen im großen Maßstab verwalten. Die Erzwingung von Einschränkungen erfolgt jedoch nur bei API-Aufrufen zum Erstellen oder Aktualisieren von VM-Instanzen. Änderungen an Projekt- oder zonenbezogenen Metadaten wirken sich daher nur dann auf die Einhaltung von Einschränkungen einer VM-Instanz aus, wenn diese Instanz erstellt oder aktualisiert wird.

Metadatenbasierte Einschränkungen und Ebenen

Einschränkung Metadatenschlüssel Ebenen der Metadatenhierarchie
compute.managed.disableSerialPortAccess serial-port-enable Projekt, zonal, Instanz
compute.managed.requireOsLogin enable-oslogin Projekt, zonal, Instanz
compute.managed.disableGuestAttributesAccess enable-guest-attributes Projekt, zonal, Instanz
compute.managed.requireOsConfig enable-osconfig Projekt, zonal, Instanz
compute.managed.disallowGlobalDns VmDnsSetting Projekt, Instanz

Sichere Einführung: Der Richtlinienlebenszyklus

Um Dienstunterbrechungen zu vermeiden, wenn Sie nach und nach neue Einschränkungen implementieren, empfiehlt Google, verwaltete Einschränkungen so zu implementieren:

Analyse mit dem Policy Simulator

Bevor Sie eine Richtlinie erzwingen, können Sie mit dem Policy Simulator sehen, welche vorhandenen Ressourcen gegen die Richtlinie verstoßen. Gehen Sie so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Suchen Sie in der Filterleiste nach der Einschränkung und klicken Sie dann auf den Namen der Einschränkung, um die Seite Richtliniendetails aufzurufen.

  3. Klicken Sie auf Änderungen testen, um einen Simulationsbericht zu erstellen.

  4. Es kann einige Stunden dauern, bis Änderungen an hierarchischen Metadaten im Simulationsbericht für Einschränkungen bei VM-Metadateneinstellungen angezeigt werden.

  5. Prüfen Sie den Bericht, um nicht konforme Ressourcen neu zu konfigurieren oder Ausnahmen zu beantragen.

Mit Probelauf validieren

Im Probelaufmodus werden Verstöße in Cloud Logging protokolliert, Einschränkungen werden aber nicht erzwungen.

Verwenden Sie den Befehl gcloud org-policies set-policy, um eine Einschränkung zu testen:

  1. Erstellen Sie eine YAML-Datei für die Richtlinie (z. B. dry-run-policy.yaml) mit einem dryRunSpec:

    name: projects/PROJECT_ID/policies/compute.managed.requireOsLogin
dryRunSpec:
  rules:
  - enforce: true

    Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

  2. Wenden Sie die Richtlinie an:

    gcloud org-policies set-policy dry-run-policy.yaml

Vollständige Durchsetzung

Nachdem Sie Ihre Richtlinie simuliert und getestet haben, können Sie sie für eine Ressource erzwingen. Es kann bis zu 15 Minuten dauern, bis Richtlinienänderungen in allenGoogle Cloud -Systemen wirksam werden.

Erzwingung von Einschränkungen testen

Nachdem Sie eine Richtlinie festgelegt haben, können Sie die Durchsetzung mit der gcloud CLI prüfen. So testen Sie beispielsweise die Einschränkung compute.managed.requireOsLogin:

  1. Vorhandene Richtlinien auflisten, um die Konfiguration zu bestätigen:

    gcloud org-policies list --project=PROJECT_ID

  2. Erzwingungsrichtlinie mit einer YAML-Datei anwenden:

    gcloud org-policies set-policy enforce_managed_constraint.yaml

  3. Prüfen Sie die Erzwingung durch Aufrufen einer Mutations-API. Der Versuch, eine VM-Instanz mit nicht konformen Metadaten zu erstellen, sollte fehlschlagen:

    gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --image-family=IMAGE_FAMILY \
    --image-project=IMAGE_PROJECT \
    --metadata=enable-oslogin=false

    Ersetzen Sie Folgendes:

    • VM_NAME ist der Name für die neue VM-Instanz.
    • MACHINE_TYPE: Ein gültiger Maschinentyp, z. B. e2-micro.
    • IMAGE_FAMILY: Eine gültige Image-Familie, z. B. debian-11.
    • IMAGE_PROJECT: Das Projekt der Image-Familie, z. B. debian-cloud.

  4. Lesen Sie die Fehlermeldung. Sie sollten eine Ablehnung mit der spezifischen Einschränkung sehen, die verletzt wurde: ERROR: (gcloud.compute.instances.create) Could not fetch resource: - Operation denied by org policy: [constraints/compute.managed.requireOsLogin]

Bedingte Ausnahmen mit Tags

Mit Tags können Sie Ausnahmen für bestimmte Ressourcen basierend auf geschäftlichen Anforderungen gewähren. In diesem Beispiel verwenden wir ein Tag namens osLoginOptional, um Ressourcen zu identifizieren, die von der OS Login-Anforderung ausgenommen sind. Wenn Sie dieses Tag mit dem Wert true an eine Ressource binden, erlaubt die Organisationsrichtlinie, dass diese bestimmte Ressource ohne aktiviertes OS Login vorhanden ist, auch wenn die Richtlinie für den Rest Ihrer Umgebung weiterhin streng durchgesetzt wird.

So gewähren Sie eine Ausnahme mithilfe von Tags:

  1. Tag erstellen: Verwenden Sie die gcloud CLI, um einen Tag-Schlüssel und einen Tag-Wert zu erstellen.

    1. Erstellen Sie den Tag-Schlüssel:

      gcloud resource-manager tags keys create osLoginOptional \
    --parent=organizations/ORGANIZATION_ID

    2. Erstellen Sie den Tag-Wert:

      gcloud resource-manager tags values create true \
    --parent=organizations/ORGANIZATION_ID/tagKeys/osLoginOptional

    Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

  2. Binden Sie das Tag an eine Ressource. Wenn Sie ein Projekt von der Einschränkung compute.managed.requireOsLogin ausnehmen möchten, binden Sie das Tag osLoginOptional=true mit dem gcloud resource-manager tags bindings create-Befehl an das Projekt:

    gcloud resource-manager tags bindings create \
    --tag-value=ORGANIZATION_ID/osLoginOptional/true \
    --parent=//cloudresourcemanager.googleapis.com/projects/PROJECT_ID \
    --location=global

    Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID und PROJECT_ID durch die ID des Projekts, das Sie ausnehmen möchten.

    Informationen zum Binden von Tags an andere Ressourcen finden Sie unter Tag an eine Ressource binden.

  3. Richtlinie aktualisieren: Erstellen oder aktualisieren Sie die YAML-Datei für Ihre Richtlinie (z. B. policy.yaml), um die bedingte Regel einzufügen.

    name: projects/PROJECT_ID/policies/compute.managed.requireOsLogin
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORGANIZATION_ID/osLoginOptional', 'true')"
    enforce: false
  - enforce: true

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projekt-ID.
    • ORGANIZATION_ID: Ihre Organisations-ID.

  4. Richtlinie anwenden: Verwenden Sie den folgenden gcloud CLI-Befehl, um die Konfiguration zu aktivieren:

    gcloud org-policies set-policy policy.yaml

Migration von alten Einschränkungen

Beachten Sie bei der Migration, dass verwaltete Einschränkungen das Verhalten von Legacy-Richtlinien verbessern, aber nicht genau replizieren. Verwaltete Einschränkungen bieten eine höhere Vorhersagbarkeit, da Verstöße nur bei API-Anfragen geprüft werden, mit denen Ressourcen erstellt oder geändert werden. Wenn eine Anfrage gegen eine Einschränkung verstößt, schlägt der API-Aufruf mit einem eindeutigen Fehler fehl. Das unterscheidet sich von den alten Richtlinien, die in verschiedenen Phasen eines Vorgangs erzwungen oder als Ressourcenattribute verwendet werden konnten, was das Erzwingungsverhalten weniger vorhersehbar machte.

Wenn Sie von einer alten compute.*-Einschränkung zu einer modernen compute.managed.*-Einschränkung wechseln, gehen Sie so vor, um eine unbeabsichtigte Verschärfung der Einschränkungen zu vermeiden:

  1. Entdecken: Identifizieren Sie die neue Alternative für die verwaltete Beschränkung.
  2. Analysieren und validieren: Verwenden Sie den Richtliniensimulator und den Probelauf wie oben beschrieben.
  3. Verwaltete Einschränkung erzwingen: Wenden Sie die neue verwaltete Einschränkung zusammen mit der alten an.
  4. So löschen Sie Legacy-Richtlinien:
    • Rufen Sie in der Google Cloud -Konsole das Asset-Inventar auf und filtern Sie nach orgpolicy.Policy und dem Namen der alten Einschränkung, um alle Richtlinien zu ermitteln, in denen die alte Einschränkung verwendet wird.
    • Löschen Sie alle Richtlinien, in denen die alte Einschränkung verwendet wird. Wenn Sie eine Richtlinie löschen, wird sie für die entsprechende Einschränkung auf das von Google verwaltete Standardverhalten zurückgesetzt.

Nächste Schritte