Verwaltete Einschränkungen

Verwaltete Einschränkungen sind vordefinierte Organisationsrichtlinien, die auf einer modernen Plattform basieren und eine zentrale, programmatische Steuerung Ihrer Compute Engine-Ressourcen ermöglichen. Sie bieten integrierte Unterstützung für Tools für die sichere Einführung wie den Policy Simulator und den Probelauf.

Verwaltete Einschränkungen sind am Präfix compute.managed.* zu erkennen und dienen als direkter Ersatz für die alten compute.*-Einschränkungen.

Vorteile

Sichere Einführung und Überwachung: Implementieren Sie Richtlinien mit vollständigen Tools, schnellerer Änderungskontrolle und schrittweiser Bereitstellung mithilfe von Simulations- und Probelauffunktionen.
Einheitliches Logging: Erzwingt Einheitlichkeit bei Logging und Fehlermeldungen, was das zentrale Monitoring vereinfacht und Audits optimiert.

Übernahme von Richtlinien

Organisationsrichtlinien, die Sie für eine Ressource festlegen, werden von den untergeordneten Elementen dieser Ressource in der Ressourcenhierarchie übernommen. Wenn Sie beispielsweise eine Richtlinie für einen Ordner erzwingen, erzwingt Google Cloud die Richtlinie für alle Projekte in diesem Ordner.

Preise

Der Organisationsrichtliniendienst, einschließlich vordefinierter (Legacy-), verwalteter und benutzerdefinierter Organisationsrichtlinien, wird kostenlos angeboten.

Hinweis

Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei Compute Engine authentifizieren:
Wählen Sie den Tab aus, der Ihrer geplanten Verwendung der Beispiele auf dieser Seite entspricht:
Console

Wenn Sie über die Google Cloud Console auf Google Cloud Dienste und APIs zugreifen, müssen Sie die Authentifizierung nicht einrichten.
gcloud
1. Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
  gcloud init
  Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
  
  Hinweis: Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die aktuelle Version haben, indem Sie gcloud components update ausführen.
Legen Sie eine Standardregion und -zone fest.

REST

Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, verwenden Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.

Sie müssen Ihre Organisations-ID kennen.
Installieren Sie die gcloud CLI, falls noch nicht geschehen, und initialisieren Sie sie mit dem Befehl gcloud init.
Legen Sie ein Standardprojekt für Ihre Tests fest.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien mit verwalteten Einschränkungen benötigen:

Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisationsressource
So testen Sie die Einschränkungen: Compute Instance Admin (v1) (roles/compute.instanceAdmin.v1) für das Projekt

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Organisationsrichtlinien mit verwalteten Einschränkungen erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien mit verwalteten Einschränkungen erforderlich:

orgpolicy.constraints.list
orgpolicy.policies.create
orgpolicy.policies.delete
orgpolicy.policies.list
orgpolicy.policies.update
orgpolicy.policy.get
orgpolicy.policy.set
Zum Testen der Einschränkungen benötigen Sie folgende Rollen:
- compute.instances.create für das Projekt
- Zum Erstellen der VM mit einem benutzerdefinierten Image: compute.images.useReadOnly für das Image
- Zum Erstellen der VM mit einem Snapshot: compute.snapshots.useReadOnly für den Snapshot
- Zum Erstellen der VM mit einer Instanzvorlage: compute.instanceTemplates.useReadOnly für die Instanzvorlage
- Zum Zuweisen eines Legacy-Netzwerks zur VM: compute.networks.use für das Projekt
- Zum Festlegen einer statische IP-Adresse für die VM: compute.addresses.use für das Projekt
- Zum Zuweisen einer externen IP-Adresse zur VM bei Verwendung eines Legacy-Netzwerks: compute.networks.useExternalIp für das Projekt
- Zum Angeben eines Subnetzes für die VM: compute.subnetworks.use für das Projekt oder für das ausgewählte Subnetz
- Zum Zuweisen einer externen IP-Adresse zur VM, wenn Sie ein VPC-Netzwerk verwenden: compute.subnetworks.useExternalIp für das Projekt oder für das ausgewählte Subnetz
- Zum Festlegen von Metadaten der VM-Instanz für die VM: compute.instances.setMetadata für das Projekt
- Zum Festlegen von Tags für die VM: compute.instances.setTags für die VM
- Zum Festlegen von Labels für die VM: compute.instances.setLabels für die VM
- Zum Festlegen eines Dienstkontos, das die VM verwenden soll: compute.instances.setServiceAccount für die VM
- Zum Erstellen eines neuen Laufwerks für die VM: compute.disks.create für das Projekt
- Zum Anhängen eines vorhandenen Laufwerks im Lese- oder Lese-/Schreibmodus: compute.disks.use für das Laufwerk
- Um ein vorhandenes Laufwerk im Lesemodus anzuhängen: compute.disks.useReadOnly für das Laufwerk

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Verfügbare verwaltete Einschränkungen

Die folgenden verwalteten Einschränkungen für Organisationsrichtlinien sind für Compute Engine verfügbar:

Einschränkung	Beschreibung
Zulässige Verschlüsselungseinstellungen für VLAN-Anhänge	Mit dieser Listeneinschränkung werden die zulässigen Verschlüsselungseinstellungen für neue VLAN-Anhänge definiert. Standardmäßig dürfen VLAN-Anhänge alle Verschlüsselungseinstellungen verwenden. Legen Sie IPSEC als zulässigen Wert fest, um zu erzwingen, dass nur verschlüsselte VLAN-Anhänge erstellt werden. `constraints/compute.managed.allowedVlanAttachmentEncryption`
Compute Engine-Vorabfunktionen blockieren	Diese Einschränkung sorgt dafür, dass Vorschaufunktionen blockiert werden, sofern sie nicht explizit zugelassen werden. Wenn die Einstellung auf „Zulassen“ festgelegt ist, können Sie steuern, welche Vorschaufunktionen für Ihr Projekt einzeln aktiviert oder deaktiviert werden können. Im Projekt kann nur auf aktivierte Vorschaufunktionen zugegriffen werden. Wenn Sie die Richtlinie später deaktivieren, ändert sich der Status der einzelnen bereits festgelegten Vorschaufunktionen nicht. Sie können einzeln deaktiviert werden. Diese Einschränkung gilt nur für Compute Alpha API-Funktionen. `constraints/compute.managed.blockPreviewFeatures`
Projektweite SSH-Schlüssel blockieren	Vorschau: Diese Einschränkung verhindert, dass der Metadatenschlüssel „block-project-ssh-keys“ auf Projekt-, projektzonaler oder Instanzebene für Compute Engine-VMs in der Organisation, dem Projekt oder dem Ordner, in dem diese Einschränkung erzwungen wird, auf „false“ gesetzt wird. Standardmäßig sind projektweite SSH-Schlüssel zulässig. Sie können mit diesem Metadatenschlüssel auf Projekt-, Projektzonen- oder Instanzebene deaktiviert werden. Wenn Sie projektweite SSH-Schlüssel für bestimmte VMs zulassen möchten, können Sie sie mithilfe von Tags und bedingten Regeln von dieser Richtlinie ausnehmen. Wichtig: Die Erzwingung dieser Einschränkung hat keine Auswirkungen auf vorhandene VMs, bei denen „block-project-ssh-keys“ bereits auf „false“ gesetzt ist. Sie behalten den Zugriff bei, sofern ihre Metadaten nicht aktualisiert werden. `constraints/compute.managed.blockProjectSshKeys`
Gastattribute von Compute Engine-Metadaten deaktivieren	Vorschau: Wenn diese Einschränkung erzwungen wird, wird der Compute Engine API-Zugriff auf die Gastattribute von Compute Engine-VMs deaktiviert. Standardmäßig kann die Compute Engine API für den Zugriff auf Compute Engine-VM-Gastattribute verwendet werden. Sie können bestimmten VM-Instanzen die Verwendung von Gastattributen erlauben. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen. `constraints/compute.managed.disableGuestAttributesAccess`
Verschachtelte Virtualisierung für VM deaktivieren	Mit dieser booleschen Einschränkung wird die hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, die zu der Organisation, dem Projekt oder dem Ordner gehören, in der bzw. dem diese Einschränkung auf `True` gesetzt ist. In der Standardeinstellung ist hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs zulässig, die auf Intel Haswell oder neueren CPU-Plattformen ausgeführt werden. `constraints/compute.managed.disableNestedVirtualization`
Nicht FIPS-konforme Maschinentypen deaktivieren	Vorschau: Wenn diese Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von VM-Instanzen mit Maschinentypen verhindert, die nicht FIPS-konform sind. Standardmäßig sind alle Maschinentypen zulässig. Sie können bestimmte VMs mithilfe von Tags und bedingten Regeln ausnehmen. `constraints/compute.managed.disableNonFIPSMachineTypes`
Aktivierung von Metadaten für den Zugriff auf serielle VM-Ports einschränken	Diese Einschränkung verhindert, dass der Metadatenschlüssel „serial-port-enable“ für Compute Engine-VMs in der Organisation, dem Projekt oder dem Ordner, in dem diese Einschränkung erzwungen wird, auf „true“ gesetzt wird. Standardmäßig kann der Zugriff auf serielle Ports mit diesem Metadatenschlüssel für einzelne VMs, Zonen oder Projekte aktiviert werden. Wenn Sie den Zugriff auf den seriellen Port für bestimmte VMs zulassen möchten, können Sie sie mithilfe von Tags und bedingten Regeln von dieser Richtlinie ausnehmen. Wichtig: Die Erzwingung dieser Einschränkung wirkt sich nicht auf vorhandene VMs aus, bei denen „serial-port-enable“ bereits auf „true“ gesetzt ist. Sie behalten den Zugriff bei, sofern ihre Metadaten nicht aktualisiert werden. `constraints/compute.managed.disableSerialPortAccess`
Logging des seriellen VM-Ports in Stackdriver deaktivieren	Wenn diese Einschränkung erzwungen wird, wird das Logging serieller Ports in Stackdriver von Compute Engine-VMs deaktiviert. Das Logging serieller Ports ist für Compute Engine-VMs standardmäßig deaktiviert. Es kann mithilfe von Metadatenattributen nach Bedarf für einzelne VMs oder Projekte aktiviert werden. Das Deaktivieren der Protokollierung serieller Ports kann dazu führen, dass bestimmte Dienste wie Google Kubernetes Engine-Cluster, die darauf beruhen, nicht mehr korrekt funktionieren. Bestätigen Sie vor dem Erzwingen dieser Einschränkung, dass die Produkte in Ihrem Projekt nicht auf das Logging serieller Ports angewiesen sind. Sie können bestimmten VM-Instanzen die Verwendung des seriellen Port-Loggings erlauben. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen. `constraints/compute.managed.disableSerialPortLogging`
Deaktivieren Sie das Erstellen von Compute Engine-Instanzen, die den eingestellten Container-Start-Agent (konlet) verwenden.	Vorabversion: Diese boolesche Einschränkung verhindert das Erstellen von Compute Engine-Instanzen, die konlet verwenden, den eingestellten Container-Start-Agent. Wenn diese Option aktiviert ist, können Sie keine Compute-Instanzen mit dem Metadatenschlüssel `gce-container-declaration` erstellen. Diese Einschränkung verhindert auch das Erstellen von Compute-Instanzen aus Instanzvorlagen, die den Metadatenschlüssel `gce-container-declaration` enthalten. Dies wirkt sich auf verwaltete Instanzgruppen (MIGs) aus, die solche Instanzvorlagen verwenden. `constraints/compute.managed.disableVmsWithContainerStartupAgent`
Beschränkt die Verwendung von globalem internen DNS (gDNS) für Projekte mit der DNS-Einstellung „Nur zonal“.	Wenn diese Einschränkung erzwungen wird, wird die Verwendung von gDNS eingeschränkt. Diese Einschränkung deaktiviert das Erstellen von gDNS-VMs und das Aktualisieren von VMs zur Verwendung von gDNS. Das Zurücksetzen eines zDNS-Projekts auf gDNS wird nicht blockiert, führt aber bei nachfolgenden Instance API-Aufrufen zur Durchsetzung von Richtlinienverstößen. `constraints/compute.managed.disallowGlobalDns`
OS Config verlangen	Wenn diese Einschränkung erzwungen wird, muss VM Manager (OS Config) für alle neuen Projekte aktiviert werden. Diese Einschränkung verhindert bei neuen und vorhandenen Projekten Metadaten-Aktualisierungen, die VM Manager auf Projekt-, Projektzonen- oder Instanzebene deaktivieren. Sie können bestimmten VM-Instanzen erlauben, VM Manager zu deaktivieren. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen. `constraints/compute.managed.requireOsConfig`
OS-Anmeldung erforderlich	Wenn diese Einschränkung erzwungen wird, muss OS Login für alle neu erstellten Projekte aktiviert werden. Bei neuen und bestehenden Projekten verhindert diese Einschränkung Metadaten-Aktualisierungen, die OS Login auf Projekt-, projektzonaler oder Instanzebene deaktivieren. Sie können bestimmten VM-Instanzen erlauben, OS Login zu deaktivieren. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen. `constraints/compute.managed.requireOsLogin`
Non-Confidential Computing einschränken	Vorschau: Erfordert, dass alle neuen VMs mit aktiviertem Confidential Computing erstellt werden. Standardmäßig ist für neue VMs die Verwendung von Confidential Computing nicht erforderlich. Sie können diese Einschränkung anwenden oder davon ausnehmen, indem Sie VM-Instanzen mit Tags markieren und die Einschränkung dann mit bedingten Regeln basierend auf den angewendeten Tags erzwingen. `constraints/compute.managed.restrictNonConfidentialComputing`
Schränkt die Verwendung der Protokollweiterleitung ein	Mit dieser Einschränkung können Sie die Arten von Protokollweiterleitungsbereitstellungen (intern oder extern) einschränken, die in Ihrer Organisation erstellt werden können. Um die Einschränkung zu konfigurieren, geben Sie eine Zulassungsliste der zulässigen Protokollweiterleitungsbereitstellungen an. Die Zulassungsliste darf nur die folgenden Werte enthalten: INTERN EXTERN . Wenn die Zulassungsliste beispielsweise auf „INTERNAL“ festgelegt ist, können Ihre Nutzer nur die interne Protokollweiterleitung einrichten. Das bedeutet, dass alle Weiterleitungsregeln, die mit Zielinstanzen verknüpft sind, auf das Load-Balancing-Schema INTERNAL beschränkt sind und nur interne IP-Adressen verwenden dürfen. `constraints/compute.managed.restrictProtocolForwardingCreationForTypes`
VM-IP-Weiterleitung einschränken	Mit dieser Einschränkung wird definiert, ob Compute Engine-VM-Instanzen die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren, wenn keine Richtlinie angegeben ist. Wenn diese Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von VM-Instanzen mit aktivierter IP-Weiterleitung abgelehnt. Sie können die IP-Weiterleitung für bestimmte VM-Instanzen zulassen. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen. `constraints/compute.managed.vmCanIpForward`
Externe IP-Adressen für VM-Instanzen einschränken	Diese Einschränkung definiert, ob Compute Engine-VM-Instanzen externe IPv4-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Wenn diese Einschränkung erzwungen wird, wird das Erstellen oder Aktualisieren von VM-Instanzen mit externen IPv4-Adressen verweigert. Die Verwendung externer IPv6-Adressen wird durch diese Einschränkung nicht eingeschränkt. Sie können bestimmten VM-Instanzen die Verwendung externer IPv4-IP-Adressen erlauben. Wenden Sie zuerst Tags an, um die Instanzen zu markieren. Verwenden Sie dann bedingte Regeln basierend auf Tag-Werten, um diese Instanzen ordnungsgemäß aus der Durchsetzung auszuschließen. `constraints/compute.managed.vmExternalIpAccess`

Hierarchische Metadatenauswertung

Verwaltete Einschränkungen, die auf vordefinierten Metadatenschlüsseln wie OS Login oder Serial Port Access basieren, unterstützen die hierarchische Auswertung. Wenn Compute Engine diese Einschränkungen auswertet, werden Metadatenwerte geprüft, die auf VM-Instanz-, Projekt- oder Zonenebene festgelegt sind.

Wenn Sie Metadatenwerte auf Projekt- oder Zonenebene festlegen, können Sie VM-Instanzen im großen Maßstab verwalten. Die Erzwingung von Einschränkungen erfolgt jedoch nur bei API-Aufrufen zum Erstellen oder Aktualisieren von VM-Instanzen. Änderungen an Projekt- oder zonenbezogenen Metadaten wirken sich daher nur dann auf die Einhaltung von Einschränkungen einer VM-Instanz aus, wenn diese Instanz erstellt oder aktualisiert wird.

Metadatenbasierte Einschränkungen und Ebenen

Einschränkung	Metadatenschlüssel	Hierarchieebenen für Metadaten
`compute.managed.disableSerialPortAccess`	`serial-port-enable`	Projekt, zonal, Instanz
`compute.managed.requireOsLogin`	`enable-oslogin`	Projekt, zonal, Instanz
`compute.managed.disableGuestAttributesAccess`	`enable-guest-attributes`	Projekt, zonal, Instanz
`compute.managed.requireOsConfig`	`enable-osconfig`	Projekt, zonal, Instanz
`compute.managed.disallowGlobalDns`	`VmDnsSetting`	Projekt, Instanz

Sichere Einführung: Der Richtlinienlebenszyklus

Um Dienstunterbrechungen zu vermeiden, wenn Sie nach und nach neue Einschränkungen implementieren, empfiehlt Google, verwaltete Einschränkungen so zu implementieren:

Analyse mit Policy Simulator

Bevor Sie eine Richtlinie erzwingen, können Sie mit dem Policy Simulator sehen, welche vorhandenen Ressourcen gegen die Richtlinie verstoßen. Gehen Sie so vor:

Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.

Zu den Organisationsrichtlinien
Suchen Sie in der Filterleiste nach der Einschränkung und klicken Sie dann auf den Namen der Einschränkung, um die Seite Richtliniendetails aufzurufen.
Klicken Sie auf Änderungen testen, um einen Simulationsbericht zu erstellen.
Es kann einige Stunden dauern, bis Änderungen an hierarchischen Metadaten im Simulationsbericht für Einschränkungen bei VM-Metadateneinstellungen angezeigt werden.
Sehen Sie sich den Bericht an, um nicht konforme Ressourcen neu zu konfigurieren oder Ausnahmen zu beantragen.

Mit Probelauf validieren

Im Probelaufmodus werden Verstöße in Cloud Logging protokolliert, Einschränkungen werden jedoch nicht erzwungen.

Verwenden Sie den Befehl gcloud org-policies set-policy, um eine Einschränkung zu testen:

Erstellen Sie eine YAML-Datei für die Richtlinie (z. B. dry-run-policy.yaml) mit einem dryRunSpec:
```
name: projects/PROJECT_ID/policies/compute.managed.requireOsLogin
dryRunSpec:
  rules:
  - enforce: true
```
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

Wenden Sie die Richtlinie an:

gcloud org-policies set-policy dry-run-policy.yaml

Vollständige Durchsetzung

Nachdem Sie Ihre Richtlinie simuliert und getestet haben, können Sie sie für eine Ressource erzwingen. Es kann bis zu 15 Minuten dauern, bis Richtlinienänderungen in allenGoogle Cloud -Systemen wirksam werden.

Erzwingung von Einschränkungen testen

Nachdem Sie eine Richtlinie festgelegt haben, können Sie die Durchsetzung mit der gcloud CLI prüfen. So testen Sie beispielsweise die Einschränkung compute.managed.requireOsLogin:

Vorhandene Richtlinien auflisten, um die Konfiguration zu bestätigen:
```
gcloud org-policies list --project=PROJECT_ID
```

Erzwingungsrichtlinie mit einer YAML-Datei anwenden:

gcloud org-policies set-policy enforce_managed_constraint.yaml

Prüfen Sie die Erzwingung durch Aufrufen einer Mutations-API. Der Versuch, eine VM-Instanz mit nicht konformen Metadaten zu erstellen, sollte fehlschlagen:
```
gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --image-family=IMAGE_FAMILY \
    --image-project=IMAGE_PROJECT \
    --metadata=enable-oslogin=false
```
Ersetzen Sie Folgendes:
- VM_NAME ist der Name für die neue VM-Instanz.
- MACHINE_TYPE: Ein gültiger Maschinentyp, z. B. e2-micro.
- IMAGE_FAMILY: Eine gültige Image-Familie, z. B. debian-11.
- IMAGE_PROJECT: Das Projekt der Image-Familie, z. B. debian-cloud.
Lesen Sie die Fehlermeldung. Sie sollten eine Ablehnung mit der Angabe der verletzten Einschränkung sehen: ERROR: (gcloud.compute.instances.create) Could not fetch resource: - Operation denied by org policy: [constraints/compute.managed.requireOsLogin]

Bedingte Ausnahmen mit Tags

Mit Tags können Sie Ausnahmen für bestimmte Ressourcen basierend auf geschäftlichen Anforderungen gewähren. In diesem Beispiel verwenden wir ein Tag namens osLoginOptional, um Ressourcen zu identifizieren, die von der OS Login-Anforderung ausgenommen sind. Wenn Sie dieses Tag mit dem Wert true an eine Ressource binden, erlaubt die Organisationsrichtlinie, dass diese bestimmte Ressource ohne aktiviertes OS Login vorhanden ist, auch wenn die Richtlinie für den Rest Ihrer Umgebung weiterhin streng durchgesetzt wird.

So gewähren Sie eine Ausnahme mithilfe von Tags:

Tag erstellen: Verwenden Sie die gcloud CLI, um einen Tag-Schlüssel und einen Tag-Wert zu erstellen.

Erstellen Sie den Tag-Schlüssel:

gcloud resource-manager tags keys create osLoginOptional \
    --parent=organizations/ORGANIZATION_ID

Erstellen Sie den Tag-Wert:

gcloud resource-manager tags values create true \
    --parent=organizations/ORGANIZATION_ID/tagKeys/osLoginOptional

Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Binden Sie das Tag an eine Ressource. Wenn Sie ein Projekt von der Einschränkung compute.managed.requireOsLogin ausnehmen möchten, binden Sie das Tag osLoginOptional=true mit dem gcloud resource-manager tags bindings create-Befehl an das Projekt:
```
gcloud resource-manager tags bindings create \
    --tag-value=ORGANIZATION_ID/osLoginOptional/true \
    --parent=//cloudresourcemanager.googleapis.com/projects/PROJECT_ID \
    --location=global
```
Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID und PROJECT_ID durch die ID des Projekts, das Sie ausnehmen möchten.

Informationen zum Binden von Tags an andere Ressourcen finden Sie unter Tag an eine Ressource binden.

Richtlinie aktualisieren: Erstellen oder aktualisieren Sie die YAML-Datei für Ihre Richtlinie (z. B. policy.yaml), um die bedingte Regel einzufügen.

name: projects/PROJECT_ID/policies/compute.managed.requireOsLogin
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORGANIZATION_ID/osLoginOptional', 'true')"
    enforce: false
  - enforce: true

Ersetzen Sie Folgendes:

PROJECT_ID: Ihre Projekt-ID.
ORGANIZATION_ID: Ihre Organisations-ID.

Richtlinie anwenden: Verwenden Sie den folgenden gcloud CLI-Befehl, um die Konfiguration zu aktivieren:
```
gcloud org-policies set-policy policy.yaml
```

Migration von alten Einschränkungen

Beachten Sie, dass verwaltete Einschränkungen das Verhalten von Legacy-Richtlinien verbessern, aber nicht genau replizieren. Verwaltete Einschränkungen bieten eine höhere Vorhersagbarkeit, da nur bei API-Anfragen, mit denen Ressourcen erstellt oder geändert werden, nach Verstößen gesucht wird. Wenn eine Anfrage gegen eine Einschränkung verstößt, schlägt der API-Aufruf mit einem eindeutigen Fehler fehl. Das unterscheidet sich von den alten Richtlinien, die in verschiedenen Phasen eines Vorgangs erzwungen oder als Ressourcenattribute verwendet werden konnten, was das Erzwingungsverhalten weniger vorhersehbar machte.

Wenn Sie von einer alten compute.*-Einschränkung zu einer modernen compute.managed.*-Einschränkung wechseln, gehen Sie so vor, um eine unbeabsichtigte Verschärfung der Einschränkungen zu vermeiden:

Entdecken: Identifizieren Sie die neue Alternative für verwaltete Einschränkungen.
Analysieren und validieren: Verwenden Sie den Richtliniensimulator und den Probelauf wie oben beschrieben.
Verwaltete Einschränkung erzwingen: Wenden Sie die neue verwaltete Einschränkung zusammen mit der alten an.
So löschen Sie Legacy-Richtlinien:
- Rufen Sie in der Google Cloud -Konsole das Asset-Inventar auf und filtern Sie nach orgpolicy.Policy und dem alten Einschränkungsnamen, um alle Richtlinien zu ermitteln, in denen die alte Einschränkung verwendet wird.
- Löschen Sie alle Richtlinien, in denen die alte Einschränkung verwendet wird. Wenn Sie eine Richtlinie löschen, wird sie für diese Einschränkung auf das von Google verwaltete Standardverhalten zurückgesetzt.

Nächste Schritte

Weitere Informationen zu den grundlegenden Konzepten und Vorteilen des Dienstes finden Sie unter Einführung in den Organisationsrichtliniendienst.
Eine detaillierte Anleitung zum Erstellen und Verwalten von Richtlinien finden Sie in der Resource Manager-Dokumentation.
Vollständige Liste der Einschränkungen, die für alle Google Cloud Dienste verfügbar sind
Informationen zur Verwendung des Richtliniensimulators für die erweiterte Wirkungsanalyse Ihrer Organisationsrichtlinien