Kebijakan organisasi untuk Compute Engine

Layanan Kebijakan Organisasi memberikan kontrol terpusat dan terprogram atas resource organisasi Anda. Anda dapat menggunakan kebijakan organisasi untuk menerapkan batasan pada cara resource Compute Engine, seperti instance virtual machine (VM), disk, dan jaringan, dikonfigurasi. Untuk mengetahui informasi selengkapnya tentang Kebijakan Organisasi, lihat Pengantar Layanan Kebijakan Organisasi.

Anda dapat menetapkan kebijakan di tingkat organisasi, folder, atau project. Resource turunan mewarisi kebijakan, yang memungkinkan Anda menerapkan kontrol luas di tingkat organisasi dan menerapkan batasan yang lebih spesifik di tingkat folder atau project.

Dokumen ini memberikan ringkasan tentang cara menggunakan Kebijakan Organisasi untuk mengelola resource Compute Engine Anda.

Kasus penggunaan

Anda dapat menggunakan kebijakan organisasi untuk menerapkan tata kelola di seluruh resource Compute Engine Anda. Sasaran umum meliputi:

• Pengelolaan biaya: Kontrol pembelanjaan dengan membatasi jenis mesin VM atau ukuran Disk Persisten yang dapat dibuat dalam project tertentu.
• Postur keamanan: Terapkan praktik terbaik keamanan, seperti mewajibkan Login OS untuk semua akses instance VM, atau menonaktifkan konsol serial interaktif.
• Kepatuhan: Memenuhi persyaratan peraturan seperti mewajibkan VM dalam project tertentu untuk berjalan di node tenant tunggal guna mendukung isolasi hardware.

Jenis batasan

Saat menggunakan Kebijakan Organisasi, Anda dapat menerapkan jenis batasan berikut:

• Batasan terkelola: Batasan bawaan yang telah ditentukan sebelumnya dan disediakan oleh Google, yang dibangun di platform modern, dapat diidentifikasi dengan awalan compute.managed.*. Kebijakan ini mendukung alat peluncuran yang aman, seperti uji coba dan Policy Simulator, serta pernyataan bersyarat tag, yang memungkinkan Anda memberikan pengecualian terperinci untuk resource tertentu.
• Batasan terkelola (lama): Batasan bawaan yang disediakan Google dan telah ditentukan sebelumnya yang dapat diidentifikasi dengan awalan compute.*. Meskipun berfungsi, umumnya tidak mendukung alat peluncuran aman modern, seperti Uji Coba dan Simulator Kebijakan, serta tidak mendukung pernyataan yang dikondisikan tag. Jika alternatif yang setara tersedia, sebaiknya migrasikan ke batasan terkelola untuk memanfaatkan kemampuan tata kelola yang ditingkatkan dan peluncuran yang aman.
• Batasan kustom: Batasan yang Anda buat untuk kebutuhan spesifik menggunakan Common Expression Language (CEL). Batasan kustom memungkinkan Anda menerapkan kebijakan pada kolom tertentu yang tidak ditangani oleh batasan terkelola. Seperti batasan terkelola, batasan kustom mendukung pernyataan yang dikondisikan tag dan alat peluncuran yang aman, seperti Uji Coba dan Simulator Kebijakan. Untuk mempelajari lebih lanjut cara membuat dan mengelola batasan kustom untuk Compute Engine, lihat Batasan kustom.

Batas 20 batasan per resource Compute Engine berlaku untuk total jumlah gabungan batasan terkelola dan batasan kustom. Batasan yang dikelola lama tidak dihitung dalam batas ini.

Batasan Compute Engine

Bagian berikut mencantumkan batasan Compute Engine yang didukung Kebijakan Organisasi.

Batasan terkelola

Batasan terkelola untuk Compute Engine menyederhanakan tata kelola untuk skenario keamanan umum dan terintegrasi dengan alat peluncuran yang aman, seperti uji coba dan Simulator Kebijakan, yang memungkinkan Anda menguji dampaknya sebelum diterapkan. Untuk daftar batasan terkelola untuk Compute Engine, lihat Batasan terkelola.

Batasan terkelola (lama)

Batasan ini berasal dari generasi sebelumnya dan tidak mendukung alat peluncuran yang aman. Sebaiknya migrasikan ke batasan terkelola jika tersedia yang setara.

Batasan lama

Batasan	Deskripsi
compute.allowedDeviceEncryptionKeys	Membatasi kunci Cloud Key Management Service yang dapat digunakan untuk mengenkripsi resource perangkat.
compute.disableAllIpv6	Menonaktifkan pembuatan atau update ke stack subnet jenis IPV4_IPV6, tetapi tidak memengaruhi subnet jenis stack IPV4_IPV6 yang ada. Jika batasan ini aktif, subnetwork jenis stack IPV4_IPV6 yang ada akan terus berfungsi. Namun, jika ada subnetwork jenis stack IPV4_IPV6 di project saat batasan ini diaktifkan, Anda harus menghapusnya sebelum dapat membuat subnetwork jenis stack IPV4_ONLY di region yang sama, meskipun Anda menggunakan jaringan VPC yang berbeda.
compute.disableGuestAttributes	Menonaktifkan atribut tamu Compute Engine, yang dapat digunakan untuk memublikasikan nama host, alamat IP, dan informasi terkait instance lainnya dari dalam instance virtual machine.
compute.disableInstanceDataAccessApis	Menonaktifkan akses ke API metadata instance Compute Engine yang diperlukan untuk mengakses metadata instance sensitif, seperti sshKeys, serialPortLogging, dan skrip startup/shutdown.
compute.disableInternetNetworkEndpointGroup	Menonaktifkan pembuatan Grup Endpoint Jaringan Internet.
compute.disableNestedVirtualization	Jika disetel ke true, akan menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk semua VM Compute Engine dalam project.
compute.disableSerialPortAccess	Menonaktifkan akses port serial ke VM Compute Engine.
compute.disableSerialPortLogging	Menonaktifkan logging port serial ke Google Cloud Observability dari VM Compute Engine.
compute.disableVpcExternalIpv6	Jika batasan ini aktif, Anda tidak dapat membuat jaringan VPC dengan rentang IPv6 internal ULA, atau menetapkan alamat IPv6 eksternal ke VM di jaringan VPC. Batasan ini tidak memengaruhi alamat IPv6 internal di jaringan VPC.
compute.enableComplianceMemoryProtection	Mengaktifkan fitur perlindungan memori di virtual machine Compute Engine.
compute.requireConfidentialVm	Mewajibkan semua instance VM Compute Engine yang baru menggunakan Confidential VM.
compute.requireGuestAttributes	Memerlukan atribut tamu Compute Engine, yang dapat digunakan untuk memublikasikan nama host, alamat IP, dan informasi terkait instance lainnya dari dalam instance virtual machine.
compute.requireOsLogin	Mewajibkan semua instance VM Compute Engine baru untuk mengaktifkan Login OS.
compute.requireShieldedVm	Mewajibkan semua instance VM baru adalah VM Shielded.
compute.restrictCloudNATUsage	Membatasi penggunaan Cloud NAT hanya untuk jaringan VPC tertentu.
compute.restrictDedicatedInterconnectUsage	Membatasi penggunaan Dedicated Interconnect hanya ke jaringan VPC tertentu.
compute.restrictLoadBalancerCreationForTypes	Membatasi pembuatan load balancer hanya untuk jenis yang diizinkan.
compute.restrictPartnerInterconnectUsage	Membatasi penggunaan Partner Interconnect hanya untuk jaringan VPC tertentu.
compute.restrictProtocolForwardingCreationForTypes	Membatasi pembuatan penerusan protokol ke instance target internal atau eksternal.
compute.restrictSharedVpcHostProjects	Membatasi kumpulan project host yang dapat dilampirkan oleh project dalam cakupan.
compute.restrictSharedVpcSubnetworks	Membatasi kumpulan subnetwork VPC Bersama yang dapat digunakan oleh project dalam cakupan.
compute.restrictVpcPeering	Membatasi Peering Jaringan VPC hanya ke jaringan VPC yang diizinkan.
compute.restrictVpnPeerIPs	Membatasi IP peer VPN hanya ke IP yang diizinkan.
compute.setNewProjectDefaultToZonalDnsOnly	Jika disetel ke true, project baru secara default hanya menggunakan DNS Zona; VM yang dibuat di project ini memiliki nama DNS zona (.zone.c.project-id.internal). Project yang DNS Globalnya dinonaktifkan tidak dapat dikembalikan ke DNS Global.
compute.skipDefaultNetworkCreation	Melewati pembuatan otomatis jaringan VPC default dan resource terkait selama pembuatan Project Google Cloud .
compute.storageResourceUseRestrictions	Membatasi penggunaan resource penyimpanan Compute Engine (seperti PD-Standard, PD-SSD, PD-Balanced, Local-SSD) berdasarkan lokasi.
compute.trustedImageProjects	Membatasi akses image hanya ke image tepercaya dari project yang ditentukan.
compute.vmCanIpForward	Membatasi instance VM yang dapat mengaktifkan penerusan IP.
compute.vmExternalIpAccess	Membatasi instance VM yang diizinkan untuk menggunakan alamat IP eksternal.

Langkah berikutnya

• Untuk mempelajari cara menerapkan batasan ini, lihat Membuat dan mengelola kebijakan organisasi dalam dokumentasi Resource Manager.
• Untuk menguji efek kebijakan baru sebelum menerapkannya, lihat Menguji perubahan kebijakan organisasi dengan Policy Simulator.
• Untuk mempelajari cara membuat batasan kustom, lihat Batasan kustom.
• Untuk melihat daftar lengkap semua batasan yang tersedia di seluruh Google Cloud, lihat Batasan kebijakan organisasi.