Règles d'organisation pour Compute Engine

Le service de règles d'administration offre un contrôle centralisé et automatisé sur les ressources de votre organisation. Vous pouvez utiliser des règles d'administration pour appliquer des contraintes sur la configuration des ressources Compute Engine, telles que les instances de machine virtuelle (VM), les disques et les réseaux. Pour en savoir plus sur les règles d'administration, consultez la présentation du service de règles d'administration.

Vous pouvez définir des règles au niveau de l'organisation, du dossier ou du projet. Les ressources descendantes héritent des règles, ce qui vous permet d'appliquer des contrôles généraux au niveau de l'organisation et des contraintes plus spécifiques au niveau du dossier ou du projet.

Ce document explique comment utiliser les règles relatives à l'organisation pour gérer vos ressources Compute Engine.

Cas d'utilisation

Vous pouvez utiliser des règles d'administration pour appliquer la gouvernance à vos ressources Compute Engine. Voici quelques exemples d'objectifs courants :

• Gestion des coûts : contrôlez les dépenses en limitant les types de machines VM ou les tailles de disque persistant pouvant être créés dans un projet donné.
• Posture de sécurité : appliquez les bonnes pratiques de sécurité, par exemple en exigeant OS Login pour tout accès aux instances de VM ou en désactivant la console série interactive.
• Conformité : respectez les exigences réglementaires, par exemple en exigeant que les VM d'un projet spécifique s'exécutent sur des nœuds à locataire unique pour assurer l'isolation du matériel.

Types de contraintes

Lorsque vous utilisez la règle d'administration de l'organisation, vous pouvez appliquer les types de contraintes suivants :

• Contraintes gérées : contraintes prédéfinies fournies par Google, basées sur une plate-forme moderne et identifiables par le préfixe compute.managed.*. Ils sont compatibles avec les outils de déploiement sécurisé, tels que l'exécution à blanc et Policy Simulator, ainsi qu'avec les instructions conditionnelles basées sur des tags, qui vous permettent d'accorder des exemptions précises à des ressources spécifiques.
• Contraintes gérées (ancienne version) : contraintes prédéfinies fournies par Google, identifiables par le préfixe compute.*. Bien qu'elles soient fonctionnelles, elles ne sont généralement pas compatibles avec les outils de déploiement sécurisé modernes, tels que le mode d'essai et le simulateur de règles, et ne prennent pas en charge les instructions conditionnées par des balises. Lorsqu'une alternative équivalente est disponible, nous vous recommandons de migrer vers des contraintes gérées pour profiter de fonctionnalités de gouvernance améliorées et d'un déploiement sécurisé.
• Contraintes personnalisées : contraintes que vous créez pour vos besoins spécifiques à l'aide du langage CEL (Common Expression Language). Les contraintes personnalisées vous permettent d'appliquer des règles à des champs spécifiques qui ne sont pas couverts par les contraintes gérées. Comme les contraintes gérées, les contraintes personnalisées sont compatibles avec les instructions conditionnées par tag et les outils de déploiement sécurisé, tels que le mode de simulation et Policy Simulator. Pour en savoir plus sur la création et la gestion de contraintes personnalisées pour Compute Engine, consultez Contraintes personnalisées.

Une limite de 20 contraintes par ressource Compute Engine s'applique au nombre total de contraintes gérées et personnalisées combinées. Les anciennes contraintes gérées ne sont pas comptabilisées dans cette limite.

Contraintes Compute Engine

Les sections suivantes listent les contraintes Compute Engine compatibles avec les règles d'administration.

Contraintes gérées

Les contraintes gérées pour Compute Engine simplifient la gouvernance pour les scénarios de sécurité courants et s'intègrent aux outils de déploiement sécurisé, tels que le mode simulation et Policy Simulator, qui vous permettent de tester leur impact avant de les appliquer. Pour obtenir la liste des contraintes gérées pour Compute Engine, consultez Contraintes gérées.

Contraintes gérées (ancienne version)

Ces contraintes proviennent de la génération précédente et ne sont pas compatibles avec les outils de déploiement sécurisé. Nous vous recommandons de migrer vers des contraintes gérées lorsqu'un équivalent est disponible.

Anciennes contraintes

Contrainte	Description
compute.allowedDeviceEncryptionKeys	Restreint les clés Cloud Key Management Service pouvant être utilisées pour chiffrer les ressources de l'appareil.
compute.disableAllIpv6	Désactive la création ou la mise à jour des piles de sous-réseaux de type IPV4_IPV6, mais n'affecte pas les sous-réseaux de type IPV4_IPV6 existants. Si cette contrainte est active, tous les sous-réseaux de type de pile IPV4_IPV6 existants continuent de fonctionner. Toutefois, si des sous-réseaux de type de pile IPV4_IPV6 existent dans le projet lorsque cette contrainte est activée, vous devez les supprimer avant de pouvoir créer un sous-réseau de type de pile IPV4_ONLY dans la même région, même si vous utilisez un autre réseau VPC.
compute.disableGuestAttributes	Désactive les attributs d'invité Compute Engine, qui peuvent être utilisés pour publier des noms d'hôte, des adresses IP et d'autres informations liées aux instances à partir d'une instance de machine virtuelle.
compute.disableInstanceDataAccessApis	Désactive l'accès aux API de métadonnées d'instance Compute Engine nécessaires pour accéder aux métadonnées d'instance sensibles, telles que sshKeys, serialPortLogging et startup-/shutdown-scripts.
compute.disableInternetNetworkEndpointGroup	Désactive la création de groupes de points de terminaison du réseau Internet.
compute.disableNestedVirtualization	Si la valeur est définie sur true, la virtualisation imbriquée à accélération matérielle est désactivée pour toutes les VM Compute Engine du projet.
compute.disableSerialPortAccess	Désactive l'accès au port série des VM Compute Engine.
compute.disableSerialPortLogging	Désactive la journalisation du port série sur Google Cloud Observability à partir des VM Compute Engine.
compute.disableVpcExternalIpv6	Si cette contrainte est active, vous ne pouvez pas créer de réseaux VPC avec des plages d'adresses IPv6 internes ULA ni attribuer d'adresses IPv6 externes à des VM dans des réseaux VPC. Cette contrainte n'affecte pas les adresses IPv6 internes dans les réseaux VPC.
compute.enableComplianceMemoryProtection	Active les fonctionnalités de protection de la mémoire sur les machines virtuelles Compute Engine.
compute.requireConfidentialVm	Exige que toutes les nouvelles instances de VM Compute Engine utilisent Confidential VM.
compute.requireGuestAttributes	Nécessite des attributs d'invité Compute Engine, qui peuvent être utilisés pour publier des noms d'hôte, des adresses IP et d'autres informations liées aux instances à partir d'une instance de machine virtuelle.
compute.requireOsLogin	Exige que toutes les nouvelles instances de VM Compute Engine activent OS Login.
compute.requireShieldedVm	Exige que toutes les nouvelles instances de VM soient des VM protégées.
compute.restrictCloudNATUsage	Restreint l'utilisation de Cloud NAT aux réseaux VPC spécifiés uniquement.
compute.restrictDedicatedInterconnectUsage	Restreint l'utilisation de Dedicated Interconnect aux réseaux VPC spécifiés.
compute.restrictLoadBalancerCreationForTypes	Restreint la création d'équilibreurs de charge aux types autorisés uniquement.
compute.restrictPartnerInterconnectUsage	Restreint l'utilisation de Partner Interconnect aux réseaux VPC spécifiés.
compute.restrictProtocolForwardingCreationForTypes	Limite la création de transferts de protocole aux instances cibles internes ou externes.
compute.restrictSharedVpcHostProjects	Restreint l'ensemble des projets hôtes auxquels les projets concernés peuvent s'associer.
compute.restrictSharedVpcSubnetworks	Limite l'ensemble des sous-réseaux VPC partagés que les projets concernés peuvent utiliser.
compute.restrictVpcPeering	Restreint l'appairage de réseaux VPC aux seuls réseaux VPC autorisés.
compute.restrictVpnPeerIPs	Limite les adresses IP d'appairage VPN aux adresses IP autorisées.
compute.setNewProjectDefaultToZonalDnsOnly	Si la valeur est définie sur true, les nouveaux projets utilisent le DNS zonal uniquement par défaut. Les VM créées dans ces projets ont des noms DNS zonaux (.zone.c.project-id.internal). Les projets pour lesquels le DNS global est désactivé ne peuvent pas être rétablis sur le DNS global.
compute.skipDefaultNetworkCreation	Passe la création automatique du réseau VPC default et des ressources associées lors de la création du projet Google Cloud .
compute.storageResourceUseRestrictions	Restreint l'utilisation des ressources de stockage Compute Engine (telles que PD-Standard, PD-SSD, PD-Balanced, SSD local) en fonction de l'emplacement.
compute.trustedImageProjects	Restreint l'accès aux images aux images de confiance des projets spécifiés.
compute.vmCanIpForward	Restreint les instances de VM autorisées à activer le transfert IP.
compute.vmExternalIpAccess	Restreint les instances de VM autorisées à utiliser des adresses IP externes.

Étapes suivantes

• Pour savoir comment appliquer ces contraintes, consultez Créer et gérer des règles d'administration dans la documentation Resource Manager.
• Pour tester l'effet d'une nouvelle règle avant de l'appliquer, consultez Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.
• Pour savoir comment créer des contraintes personnalisées, consultez Contraintes personnalisées.
• Pour obtenir la liste complète de toutes les contraintes disponibles dans Google Cloud, consultez Contraintes liées aux règles d'administration.