Organisationsrichtlinien für Compute Engine

Mit dem Organisationsrichtliniendienst können Sie die Ressourcen Ihrer Organisation zentral und programmatisch steuern. Sie können Organisationsrichtlinien verwenden, um Einschränkungen für die Konfiguration von Compute Engine-Ressourcen wie VM-Instanzen, Laufwerken und Netzwerken zu erzwingen. Weitere Informationen zu Organisationsrichtlinien finden Sie unter Einführung in den Organisationsrichtliniendienst.

Sie können Richtlinien auf Organisations-, Ordner- oder Projektebene festlegen. Untergeordnete Ressourcen erben Richtlinien. So können Sie allgemeine Kontrollen auf Organisationsebene erzwingen und spezifischere Einschränkungen auf Ordner- oder Projektebene anwenden.

In diesem Dokument finden Sie einen Überblick darüber, wie Sie mit Organisationsrichtlinien Ihre Compute Engine-Ressourcen verwalten können.

Anwendungsfälle

Mit Organisationsrichtlinien können Sie die Governance für Ihre Compute Engine-Ressourcen erzwingen. Häufige Ziele:

• Kostenverwaltung: Sie können die Ausgaben kontrollieren, indem Sie einschränken, welche VM-Maschinentypen oder Persistent Disk-Größen in einem bestimmten Projekt erstellt werden können.
• Sicherheitsstatus: Erzwingen Sie Best Practices für die Sicherheit, z. B. die Anforderung von OS Login für den Zugriff auf alle VM-Instanzen oder die Deaktivierung der interaktiven seriellen Konsole.
• Compliance: Erfüllen Sie behördliche Anforderungen, z. B. die Anforderung, dass VMs in einem bestimmten Projekt auf Knoten für einzelne Mandanten ausgeführt werden müssen, um die Hardware-Isolation zu unterstützen.

Einschränkungstypen

Wenn Sie die Organisationsrichtlinie verwenden, können Sie die folgenden Arten von Einschränkungen anwenden:

• Verwaltete Einschränkungen: Von Google bereitgestellte, vordefinierte Einschränkungen, die auf einer modernen Plattform basieren und durch das Präfix compute.managed.* gekennzeichnet sind. Sie unterstützen Tools für die sichere Einführung, z. B. den Probelauf und den Policy Simulator, sowie tagbedingte Anweisungen, mit denen Sie bestimmten Ressourcen detaillierte Ausnahmen gewähren können.
• Verwaltete Einschränkungen (Legacy): Von Google bereitgestellte, vordefinierte Einschränkungen, die am Präfix compute.* erkennbar sind. Sie sind zwar funktionsfähig, unterstützen aber in der Regel keine modernen Tools für die sichere Einführung, z. B. Dry Run und Policy Simulator, und keine tag-bedingten Anweisungen. Wenn eine gleichwertige Alternative verfügbar ist, empfehlen wir, zu verwalteten Einschränkungen zu migrieren, um von den erweiterten Governance- und sicheren Rollout-Funktionen zu profitieren.
• Benutzerdefinierte Einschränkungen: Einschränkungen, die Sie für Ihre spezifischen Anforderungen mit der Common Expression Language (CEL) erstellen. Mit benutzerdefinierten Einschränkungen können Sie Richtlinien für bestimmte Felder erzwingen, die nicht von verwalteten Einschränkungen abgedeckt werden. Wie verwaltete Einschränkungen unterstützen benutzerdefinierte Einschränkungen tag-bedingte Anweisungen und Tools für die sichere Einführung, z. B. Probelauf und Policy Simulator. Weitere Informationen zum Erstellen und Verwalten benutzerdefinierter Einschränkungen für Compute Engine finden Sie unter Benutzerdefinierte Einschränkungen.

Für die Gesamtzahl der verwalteten und benutzerdefinierten Einschränkungen gilt ein Limit von 20 Einschränkungen pro Compute Engine-Ressource. Legacy-Verwaltungseinschränkungen werden nicht auf dieses Limit angerechnet.

Compute Engine-Einschränkungen

In den folgenden Abschnitten werden die Compute Engine-Einschränkungen aufgeführt, die von Organisationsrichtlinien unterstützt werden.

Verwaltete Einschränkungen

Verwaltete Einschränkungen für Compute Engine vereinfachen die Verwaltung für gängige Sicherheitsszenarien und lassen sich in Tools für sichere Rollouts wie Probelauf und Policy Simulator einbinden. So können Sie die Auswirkungen vor der Erzwingung testen. Eine Liste der verwalteten Einschränkungen für Compute Engine finden Sie unter Verwaltete Einschränkungen.

Verwaltete Beschränkungen (Legacy)

Diese Einschränkungen stammen aus der vorherigen Generation und unterstützen keine Tools für sichere Rollouts. Wir empfehlen, zu verwalteten Einschränkungen zu migrieren, wenn eine entsprechende Einschränkung verfügbar ist.

Legacy-Einschränkungen

Einschränkung	Beschreibung
compute.allowedDeviceEncryptionKeys	Schränkt die Cloud Key Management Service-Schlüssel ein, die zum Verschlüsseln von Geräteressourcen verwendet werden können.
compute.disableAllIpv6	Deaktiviert das Erstellen oder Aktualisieren von Subnetz-Stacks vom Typ IPV4_IPV6, wirkt sich aber nicht auf vorhandene Subnetze vom Stacktyp IPV4_IPV6 aus. Wenn diese Einschränkung aktiv ist, funktionieren alle vorhandenen Subnetzwerke vom Typ IPV4_IPV6 weiterhin. Wenn jedoch Subnetzwerke vom Typ IPV4_IPV6 im Projekt vorhanden sind, wenn diese Einschränkung aktiviert wird, müssen Sie sie löschen, bevor Sie ein Subnetzwerk vom Typ IPV4_ONLY in derselben Region erstellen können, auch wenn Sie ein anderes VPC-Netzwerk verwenden.
compute.disableGuestAttributes	Deaktiviert Compute Engine-Gastattribute, mit denen Hostnamen, IP-Adressen und andere instanzbezogene Informationen aus einer VM-Instanz veröffentlicht werden können.
compute.disableInstanceDataAccessApis	Deaktiviert den Zugriff auf Compute Engine-Instanzmetadaten-APIs, die für den Zugriff auf vertrauliche Instanzmetadaten wie „sshKeys“, „serialPortLogging“ und „startup-/shutdown-scripts“ erforderlich sind.
compute.disableInternetNetworkEndpointGroup	Deaktiviert das Erstellen von Internetnetzwerk-Endpunktgruppen.
compute.disableNestedVirtualization	Wenn der Wert auf true gesetzt ist, wird die hardwarebeschleunigte verschachtelte Virtualisierung für alle Compute Engine-VMs im Projekt deaktiviert.
compute.disableSerialPortAccess	Deaktiviert den Zugriff des seriellen Ports auf Compute Engine-VMs.
compute.disableSerialPortLogging	Deaktiviert das Logging serieller Ports von Compute Engine-VMs an Google Cloud Observability.
compute.disableVpcExternalIpv6	Wenn diese Einschränkung aktiv ist, können Sie keine VPC-Netzwerke mit internen ULA-IPv6-Bereichen erstellen oder VMs in VPC-Netzwerken externe IPv6-Adressen zuweisen. Diese Einschränkung wirkt sich nicht auf interne IPv6-Adressen in VPC-Netzwerken aus.
compute.enableComplianceMemoryProtection	Aktiviert Speicherschutzfunktionen auf Compute Engine-VMs.
compute.requireConfidentialVm	Erfordert, dass alle neuen Compute Engine-VM-Instanzen Confidential VMs verwenden.
compute.requireGuestAttributes	Erfordert Compute Engine-Gastattribute, mit denen Hostnamen, IP-Adressen und andere instanzbezogene Informationen aus einer VM-Instanz veröffentlicht werden können.
compute.requireOsLogin	Erfordert, dass bei allen neuen Compute Engine-VM-Instanzen OS Login aktiviert wird.
compute.requireShieldedVm	Erfordert, dass alle neuen VM-Instanzen Shielded VMs sind.
compute.restrictCloudNATUsage	Beschränkt die Cloud NAT-Nutzung auf die angegebenen VPC-Netzwerke.
compute.restrictDedicatedInterconnectUsage	Beschränkt die Nutzung von Dedicated Interconnect auf die angegebenen VPC-Netzwerke.
compute.restrictLoadBalancerCreationForTypes	Schränkt die Erstellung von Load Balancern auf nur zulässige Typen ein.
compute.restrictPartnerInterconnectUsage	Beschränkt die Nutzung von Partner Interconnect auf bestimmte VPC-Netzwerke.
compute.restrictProtocolForwardingCreationForTypes	Schränkt die Erstellung von Protokollweiterleitungen auf interne oder externe Zielinstanzen ein.
compute.restrictSharedVpcHostProjects	Beschränkt die Anzahl der Hostprojekte, an die Projekte im Bereich angehängt werden können.
compute.restrictSharedVpcSubnetworks	Beschränkt die Gruppe von freigegebene VPC-Subnetzwerken, die von Projekten im Bereich verwendet werden können.
compute.restrictVpcPeering	Beschränkt das VPC-Netzwerk-Peering auf zulässige VPC-Netzwerke.
compute.restrictVpnPeerIPs	Beschränkt VPN-Peer-IPs auf nur zulässige IPs.
compute.setNewProjectDefaultToZonalDnsOnly	Wenn diese Einstellung auf true festgelegt ist, wird für neue Projekte standardmäßig nur zonales DNS verwendet. VMs, die in diesen Projekten erstellt werden, haben zonale DNS-Namen (.zone.c.project-id.internal). Projekte, für die globales DNS deaktiviert ist, können nicht auf globales DNS zurückgesetzt werden.
compute.skipDefaultNetworkCreation	Überspringt die automatische Erstellung des default-VPC-Netzwerk und zugehöriger Ressourcen während der Google Cloud Projekterstellung.
compute.storageResourceUseRestrictions	Beschränkt die Verwendung von Compute Engine-Speicherressourcen (z. B. PD-Standard, PD-SSD, PD-Balanced, Local-SSD) basierend auf dem Standort.
compute.trustedImageProjects	Beschränkt den Image-Zugriff auf vertrauenswürdige Images aus den angegebenen Projekten.
compute.vmCanIpForward	Beschränkt, welche VM-Instanzen die IP-Weiterleitung aktivieren können.
compute.vmExternalIpAccess	Beschränkt die VM-Instanzen, die externe IP-Adressen verwenden dürfen.

Nächste Schritte

• Informationen zum Anwenden dieser Einschränkungen finden Sie in der Resource Manager-Dokumentation unter Organisationsrichtlinien erstellen und verwalten.
• Informationen zum Testen der Auswirkungen einer neuen Richtlinie vor dem Erzwingen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.
• Weitere Informationen zum Erstellen benutzerdefinierter Einschränkungen finden Sie unter Benutzerdefinierte Einschränkungen.
• Eine vollständige Liste aller in Google Cloudverfügbaren Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien.