受管理限制是預先定義的機構政策,以現代化平台為基礎建構而成,可讓您透過程式集中控管 Compute Engine 資源。包括內建支援安全發布工具,例如政策模擬器和模擬測試。
受管理限制會以 compute.managed.* 前置字元標示,可直接取代舊版 compute.* 限制。
優點
- 安全推出及監控:使用完整工具實作政策、加快變更控管速度,並運用模擬和試執行功能逐步部署。
- 記錄一致性:強制執行記錄和錯誤訊息的統一性,簡化集中式監控並簡化稽核。
政策繼承
您在資源上設定的機構政策,會由該資源在資源階層中的子系繼承。舉例來說,如果您對資料夾強制執行政策, Google Cloud 會對該資料夾中的所有專案強制執行政策。
定價
組織政策服務 (包括預先定義 (舊版)、代管和自訂組織政策) 免費提供。
事前準備
-
如果尚未設定驗證,請先完成設定。
驗證可確認您的身分,以便存取 Google Cloud 服務和 API。如要從本機開發環境執行程式碼或範例,可以選取下列任一選項,向 Compute Engine 進行驗證:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
安裝 Google Cloud CLI。 完成後,執行下列指令來初始化 Google Cloud CLI:
gcloud init若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI。
- Set a default region and zone.
REST
如要在本機開發環境中使用本頁的 REST API 範例,請使用您提供給 gcloud CLI 的憑證。
安裝 Google Cloud CLI。 完成後,執行下列指令來初始化 Google Cloud CLI:
gcloud init若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI。
詳情請參閱 Google Cloud 驗證說明文件中的「使用 REST 進行驗證」。
- 請確認您知道組織 ID。
- 如果尚未安裝 gcloud CLI,請安裝並執行
gcloud init初始化。 - 為測試設定預設專案。
必要的角色
如要取得管理具有代管限制的組織政策所需的權限,請要求管理員授予下列 IAM 角色:
-
機構資源的機構政策管理員 (
roles/orgpolicy.policyAdmin) -
如要測試限制:
在專案中,Compute 執行個體管理員 (v1) (
roles/compute.instanceAdmin.v1)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這些預先定義的角色具備管理組織政策和受管理限制所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
如要透過代管限制管理組織政策,必須具備下列權限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set -
如要測試限制條件:
- 專案的
compute.instances.create權限 - 如要使用自訂映像檔建立 VM,請按一下映像檔上的
compute.images.useReadOnly - 如要使用快照建立 VM,請按一下快照上的
compute.snapshots.useReadOnly - 如要使用執行個體範本建立 VM,請按一下執行個體範本上的
compute.instanceTemplates.useReadOnly - 如要將舊版網路指派給 VM,請在專案中按一下
compute.networks.use - 如要為 VM 指定靜態 IP 位址,請在專案中啟用
compute.addresses.use - 使用舊版網路時,將外部 IP 位址指派給 VM:專案的
compute.networks.useExternalIp權限 - 為 VM 指定子網路:專案或所選子網路的
compute.subnetworks.use - 使用虛擬私有雲網路時,如要將外部 IP 位址指派給 VM,請在專案或所選子網路上擁有
compute.subnetworks.useExternalIp權限 - 如要為專案中的 VM 設定 VM 執行個體中繼資料,請按一下 VM
compute.instances.setMetadata - 如要為 VM 設定標記,請在 VM 上執行
compute.instances.setTags: - 如要為 VM 設定標籤,請在 VM 上執行下列步驟:
compute.instances.setLabels - 如要設定 VM 使用的服務帳戶,請在 VM 上執行
compute.instances.setServiceAccount - 如要為 VM 建立新磁碟,請對專案擁有
compute.disks.create權限 - 如要以唯讀或讀寫模式連結現有磁碟:磁碟的
compute.disks.use權限 - 如要以唯讀模式連接現有磁碟,請對磁碟擁有
compute.disks.useReadOnly權限
- 專案的
可用的代管限制
下列代管組織政策限制適用於 Compute Engine:
限制 說明 允許 VLAN 連結加密設定 這項清單限制定義了新 VLAN 連結允許的加密設定。
VLAN 連結預設能使用任何加密設定。
將 IPSEC 設定為允許的值,可強制只建立已加密的 VLAN 連結。constraints/compute.managed.allowedVlanAttachmentEncryption封鎖 Compute Engine 預先發布版功能 這項限制可確保預先發布版功能遭到封鎖,除非明確允許。設為允許後,您就能控管專案中要啟用或停用哪些預先發布功能。專案中只能存取已啟用的預先發布版功能。隨後停用政策不會變更已設定的個別預先發布功能狀態,但可以個別停用。這項限制僅適用於 Compute Alpha 版 API 功能。
constraints/compute.managed.blockPreviewFeatures停用 VM 巢狀虛擬化功能 [公開測試版] 針對將這項布林限制設為
True的機構、專案或資料夾,停用其中所有 Compute Engine VM 的硬體加速式巢狀虛擬化功能。
根據預設,在 Intel Haswell 或更新 CPU 平台上執行的所有 Compute Engine VM 都允許使用硬體加速式巢狀虛擬化功能。constraints/compute.managed.disableNestedVirtualization限制啟用 VM 序列埠存取權中繼資料 預覽版:如果機構、專案或資料夾強制執行這項限制,系統就不會將其中的 Compute Engine VM 序列埠啟用中繼資料鍵設為 true。根據預設,您可以使用這個中繼資料金鑰,對個別 VM、區域或專案啟用序列埠存取權。如要允許特定 VM 存取序列埠,可以使用標記和條件規則,將這些 VM 排除在這項政策之外。
重要事項:強制執行這項限制不會影響序列埠啟用狀態已設為 true 的現有 VM;除非更新中繼資料,否則這些 VM 會保留存取權。constraints/compute.managed.disableSerialPortAccess停用 Stackdriver 的 VM 序列埠記錄功能 [公開搶先版] 強制執行這項限制後,系統就不會將 Compute Engine VM 的序列埠記錄到 Stackdriver。
根據預設,Compute Engine VM 序列埠記錄功能為停用狀態,您可以使用中繼資料屬性對個別 VM 或個別專案啟用這項功能。如果停用序列埠記錄功能,使用此功能的部分服務 (如 Google Kubernetes Engine 叢集) 可能會無法正常運作。強制執行這項限制前,請先確認專案中的產品不需使用序列埠記錄功能。您可以允許特定 VM 執行個體使用序列埠記錄功能。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。constraints/compute.managed.disableSerialPortLogging針對 DNS 設定為「僅限區域性」的專案,限制使用全域內部 DNS (gDNS)。 [公開預先發布版] 強制執行這項限制時,會限制 gDNS 的使用。這項限制會停用 gDNS VM 建立作業,並禁止更新 VM 以使用 gDNS。將 zDNS 專案還原為 gDNS 不會遭到封鎖,但後續呼叫 Instance API 時,系統會強制執行政策違規處置。
constraints/compute.managed.disallowGlobalDns須完成 OS 設定 [公開預覽版] 如果強制執行這項限制,所有新專案都必須啟用 VM 管理員 (OS 設定)。如果在新專案和現有專案中設定這項限制,就無法進行會在專案、專案區域或執行個體層級停用 VM 管理員的中繼資料更新作業。您可以允許特定 VM 執行個體停用 VM 管理員。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。
constraints/compute.managed.requireOsConfig需要 OS 登入 [公開預覽版] 如果強制執行這項限制,所有新建立的專案都必須啟用 OS 登入,如果在新專案和現有專案中設定這項限制,就無法進行會在專案、專案區域或執行個體層級停用 OS 登入的中繼資料更新作業。您可以允許特定 VM 執行個體停用 OS 登入功能。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。
constraints/compute.managed.requireOsLogin限制使用通訊協定轉送 這項限制可讓您限制機構中可建立的通訊協定轉送部署作業類型 (內部或外部)。如要設定限制,請指定允許的通訊協定轉送部署類型允許清單。允許清單只能包含下列值:
- INTERNAL
- EXTERNAL
constraints/compute.managed.restrictProtocolForwardingCreationForTypes限制 VM IP 轉送 [公開搶先版] 這項限制會定義 Compute Engine VM 執行個體是否可啟用 IP 轉送功能。根據預設,如未指定政策,任何 VM 都可在任何虛擬網路中啟用 IP 轉送功能。如果強制執行這項限制,系統就會拒絕建立或更新已啟用 IP 轉送功能的 VM 執行個體。您可以允許特定 VM 執行個體啟用 IP 轉送功能。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。
constraints/compute.managed.vmCanIpForward限制 VM 執行個體的外部 IP [公開預覽版] 這項限制會定義 Compute Engine VM 執行個體是否可使用 IPv4 外部 IP 位址。根據預設,所有 VM 執行個體皆可使用外部 IP 位址。如果強制執行這項限制,系統會拒絕建立或更新具有 IPv4 外部 IP 位址的 VM 執行個體。但不會限制使用 IPv6 外部 IP 位址。您可以允許特定 VM 執行個體使用外部 IPv4 IP 位址。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。
constraints/compute.managed.vmExternalIpAccess階層式中繼資料評估
依據預先定義中繼資料鍵 (例如 OS 登入或序列埠存取權) 的代管限制,支援階層式評估。Compute Engine 評估這些限制時,會檢查在 VM 執行個體、專案或可用區層級設定的中繼資料值。
在專案或可用區層級設定中繼資料值,可大規模管理 VM 執行個體。不過,系統只會在 VM 執行個體建立或更新 API 呼叫期間強制執行限制。因此,只有在建立或更新 VM 執行個體時,專案或區域中繼資料的變更才會影響該執行個體的限制合規性。
以中繼資料為準的限制和層級
限制 中繼資料鍵 中繼資料階層層級 compute.managed.disableSerialPortAccessserial-port-enable專案、可用區、執行個體 compute.managed.requireOsLoginenable-oslogin專案、可用區、執行個體 compute.managed.disableGuestAttributesAccessenable-guest-attributes專案、可用區、執行個體 compute.managed.requireOsConfigenable-osconfig專案、可用區、執行個體 compute.managed.disallowGlobalDnsVmDnsSetting專案、執行個體 安全地推出異動內容:政策生命週期
為避免逐步導入新限制時服務中斷,Google 建議按照下列步驟導入受管理限制:
使用 Policy Simulator 進行分析
強制執行政策前,請先使用政策模擬器,查看哪些現有資源違反政策。步驟如下:
前往 Google Cloud 控制台的「Organization Policies」(機構政策) 頁面。
在篩選列中搜尋限制,然後按一下限制名稱,前往「政策詳細資料」頁面。
按一下「測試變更」,即可產生模擬報表。
階層式中繼資料變更可能需要幾小時,才會反映在 VM 中繼資料設定限制的模擬報表中。
查看報告,重新設定不符規定的資源或申請豁免。
使用模擬測試驗證
模擬測試模式會將違規事項記錄到 Cloud Logging,但不會強制執行限制。
如要測試限制,請使用
gcloud org-policies set-policy指令,如下所示:建立政策 YAML 檔案 (例如
dry-run-policy.yaml),並使用以下內容:dryRunSpec:name: projects/PROJECT_ID/policies/compute.managed.requireOsLogin dryRunSpec: rules: - enforce: true將
PROJECT_ID替換為專案 ID。套用政策:
gcloud org-policies set-policy dry-run-policy.yaml
全面強制執行
模擬及測試政策後,即可對資源強制執行政策。政策變更最多可能需要 15 分鐘,才會在所有系統中生效。Google Cloud
測試限制調控
設定政策後,您可以使用 gcloud CLI 驗證強制執行情況。舉例來說,如要測試
compute.managed.requireOsLogin限制,請按照下列步驟操作:列出現有政策,確認設定:
gcloud org-policies list --project=PROJECT_ID使用 YAML 檔案套用強制執行政策:
gcloud org-policies set-policy enforce_managed_constraint.yaml呼叫變動 API,確認強制執行狀態。嘗試建立中繼資料不符規定的 VM 執行個體時,應該會失敗:
gcloud compute instances create VM_NAME \ --machine-type=MACHINE_TYPE \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata=enable-oslogin=false更改下列內容:
VM_NAME:新 VM 執行個體的名稱。MACHINE_TYPE:有效機型,例如e2-micro。IMAGE_FAMILY:有效的映像檔系列,例如debian-11。IMAGE_PROJECT:映像檔系列的專案,例如debian-cloud。
請查看錯誤訊息。您應該會看到拒絕訊息,指出違反的特定限制:
ERROR: (gcloud.compute.instances.create) Could not fetch resource: - Operation denied by org policy: [constraints/compute.managed.requireOsLogin]
使用標記設定條件式豁免
您可以根據業務需求,使用標記為特定資源授予例外狀況。在本範例中,我們使用名為
osLoginOptional的標記,識別免除 OS Login 要求的資源。將這個標記繫結至資源,並將值設為true時,即使政策仍嚴格套用至環境中的其他資源,機構政策也會允許該特定資源存在,且不必啟用 OS Login。如要使用標記授予例外狀況,請按照下列步驟操作:
建立標記:使用 gcloud CLI 建立標記鍵和標記值。
建立標記鍵:
gcloud resource-manager tags keys create osLoginOptional \ --parent=organizations/ORGANIZATION_ID建立標記值:
gcloud resource-manager tags values create true \ --parent=organizations/ORGANIZATION_ID/tagKeys/osLoginOptional
請將
ORGANIZATION_ID替換成組織 ID。將標記繫結至資源。如要免除專案的
compute.managed.requireOsLogin限制,請使用gcloud resource-manager tags bindings create指令將osLoginOptional=true標記繫結至專案:gcloud resource-manager tags bindings create \ --tag-value=ORGANIZATION_ID/osLoginOptional/true \ --parent=//cloudresourcemanager.googleapis.com/projects/PROJECT_ID \ --location=global將
ORGANIZATION_ID替換為機構 ID,並將PROJECT_ID替換為要豁免的專案 ID。如要瞭解如何將標記繫結至其他資源,請參閱「將標記繫結至資源」。
更新政策:建立或更新政策 YAML 檔案 (例如
policy.yaml),加入條件規則。name: projects/PROJECT_ID/policies/compute.managed.requireOsLogin spec: rules: - condition: expression: "resource.matchTag('ORGANIZATION_ID/osLoginOptional', 'true')" enforce: false - enforce: true更改下列內容:
PROJECT_ID:您的專案 ID。ORGANIZATION_ID:您的機構 ID。
套用政策:使用下列 gcloud CLI 指令啟用設定:
gcloud org-policies set-policy policy.yaml
從舊版限制遷移
遷移時請注意,代管限制會改善舊版政策的行為,但不會完全複製。代管限制只會在建立或修改資源的 API 要求期間檢查違規情形,因此可提供更高的預測性。如果要求違反限制,API 呼叫就會失敗,並傳回明確的錯誤。這與舊版政策不同,舊版政策可在作業的各個階段強制執行,或做為資源屬性,因此強制執行行為較難預測。
從舊版
compute.*限制條件改用現代化compute.managed.*等效限制條件時,請按照下列步驟操作,避免無意間加嚴限制:- 探索:找出新的代管限制替代方案。
- 分析及驗證:如前文所述,使用政策模擬器和模擬測試。
- 強制執行受管理限制:同時套用新舊受管理限制。
- 刪除舊版政策:
- 前往 Google Cloud 控制台中的資產清單,然後依
orgpolicy.Policy和舊版限制名稱篩選,找出使用舊版限制的所有政策。 - 刪除所有使用舊版限制的政策。刪除政策會將該政策重設為 Google 代管的預設行為,以符合該限制條件。
- 前往 Google Cloud 控制台中的資產清單,然後依
後續步驟
- 如要進一步瞭解這項服務的基本概念和優點,請參閱「組織政策服務簡介」。
- 如需建立及管理政策的詳細操作說明,請參閱 Resource Manager 說明文件。
- 查看完整限制清單,瞭解所有 Google Cloud 服務適用的限制。
- 瞭解如何使用政策模擬工具,進一步分析機構政策的影響。
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2026-03-04 (世界標準時間)。
-