Policy dell'organizzazione per Compute Engine

Il servizio Policy dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. Puoi utilizzare le policy dell'organizzazione per applicare vincoli alla configurazione delle risorse Compute Engine, come istanze di macchine virtuali (VM), dischi e reti. Per saperne di più sulle policy dell'organizzazione, consulta la pagina Introduzione al servizio Policy dell'organizzazione.

Puoi impostare i criteri a livello di organizzazione, cartella o progetto. Le risorse discendenti ereditano le policy, il che ti consente di applicare controlli generali a livello di organizzazione e vincoli più specifici a livello di cartella o progetto.

Questo documento fornisce una panoramica di come utilizzare Organization Policy per gestire le risorse Compute Engine.

Casi d'uso

Puoi utilizzare le policy dell'organizzazione per applicare la governance alle risorse Compute Engine. Gli obiettivi comuni includono:

Gestione dei costi: controlla la spesa limitando i tipi di macchine VM o le dimensioni Persistent Disk che possono essere creati in un determinato progetto.
Postura di sicurezza: applica le best practice per la sicurezza, ad esempio richiedendo OS Login per l'accesso a tutte le istanze VM o disattivando la console seriale interattiva.
Conformità: soddisfa i requisiti normativi, ad esempio richiedendo che le VM in un progetto specifico vengano eseguite su nodi single-tenant per supportare l'isolamento hardware.

Tipi di vincoli

Quando utilizzi il criterio dell'organizzazione, puoi applicare i seguenti tipi di vincoli:

Vincoli gestiti: vincoli predefiniti forniti da Google e basati su una piattaforma moderna, identificabili dal prefisso compute.managed.*. Supportano strumenti di implementazione sicuri, come l'esecuzione di prova e Policy Simulator, nonché istruzioni condizionate dai tag, che consentono di concedere esenzioni granulari a risorse specifiche.
Vincoli gestiti (legacy): vincoli predefiniti forniti da Google identificabili dal prefisso compute.*. Sebbene funzionali, in genere non supportano strumenti di implementazione sicuri moderni, come Dry Run e Policy Simulator, e non supportano le istruzioni condizionate dai tag. Quando è disponibile un'alternativa equivalente, ti consigliamo di eseguire la migrazione ai vincoli gestiti per usufruire di funzionalità di governance avanzate e implementazione sicura.
Vincoli personalizzati: vincoli che crei per le tue esigenze specifiche utilizzando il Common Expression Language (CEL). I vincoli personalizzati ti consentono di applicare criteri a campi specifici non gestiti dai vincoli gestiti. Come i vincoli gestiti, i vincoli personalizzati supportano istruzioni condizionate dai tag e strumenti di implementazione sicuri, come dry run e Policy Simulator. Per scoprire di più sulla creazione e la gestione di vincoli personalizzati per Compute Engine, consulta Vincoli personalizzati.

Un limite di 20 vincoli per risorsa Compute Engine si applica al numero totale di vincoli gestiti e vincoli personalizzati combinati. I vincoli gestiti legacy non vengono conteggiati ai fini di questo limite.

Vincoli di Compute Engine

Le sezioni seguenti elencano i vincoli di Compute Engine supportati da Policy dell'organizzazione.

Vincoli gestiti

I vincoli gestiti per Compute Engine semplificano la governance per scenari di sicurezza comuni e si integrano con strumenti di implementazione sicuri, come la prova generale e Policy Simulator, che ti consentono di testare il loro impatto prima dell'applicazione. Per un elenco dei vincoli gestiti per Compute Engine, consulta Vincoli gestiti.

Vincoli gestiti (legacy)

Questi vincoli provengono dalla generazione precedente e non supportano strumenti di implementazione sicuri. Ti consigliamo di eseguire la migrazione ai vincoli gestiti quando è disponibile un equivalente.

Vincoli legacy

Vincolo	Descrizione
`compute.allowedDeviceEncryptionKeys`	Limita le chiavi Cloud Key Management Service che possono essere utilizzate per criptare le risorse del dispositivo.
`compute.disableAllIpv6`	Disabilita la creazione o l'aggiornamento degli stack di subnet di tipo `IPV4_IPV6`, ma non influisce sulle subnet di tipo `IPV4_IPV6` esistenti. Se questo vincolo è attivo, tutte le subnet esistenti di tipo stack `IPV4_IPV6` continuano a funzionare. Tuttavia, se nel progetto sono presenti subnet di tipo stack `IPV4_IPV6` quando questo vincolo viene attivato, devi eliminarle prima di poter creare una subnet di tipo stack `IPV4_ONLY` nella stessa regione, anche se utilizzi una rete VPC diversa.
`compute.disableGuestAttributes`	Disattiva gli attributi guest di Compute Engine, che possono essere utilizzati per pubblicare nomi host, indirizzi IP e altre informazioni relative all'istanza dall'interno di un'istanza di macchina virtuale.
`compute.disableInstanceDataAccessApis`	Disattiva l'accesso alle API di metadati delle istanze di Compute Engine necessarie per accedere a metadati sensibili delle istanze, come sshKeys, serialPortLogging e startup-/shutdown-scripts.
`compute.disableInternetNetworkEndpointGroup`	Disabilita la creazione di gruppi di endpoint di rete internet.
`compute.disableNestedVirtualization`	Se impostato su `true`, disabilita la virtualizzazione nidificata con accelerazione hardware per tutte le VM Compute Engine nel progetto.
`compute.disableSerialPortAccess`	Disabilita l'accesso alla porta seriale per le VM di Compute Engine.
`compute.disableSerialPortLogging`	Disattiva il logging delle porte seriali in Google Cloud Observability dalle VM di Compute Engine.
`compute.disableVpcExternalIpv6`	Se questo vincolo è attivo, non puoi creare reti VPC con intervalli IPv6 interni ULA o assegnare indirizzi IPv6 esterni alle VM nelle reti VPC. Questo vincolo non influisce sugli indirizzi IPv6 interni nelle reti VPC.
`compute.enableComplianceMemoryProtection`	Attiva le funzionalità di protezione della memoria sulle macchine virtuali Compute Engine.
`compute.requireConfidentialVm`	Richiede che tutte le nuove istanze VM di Compute Engine utilizzino Confidential VM.
`compute.requireGuestAttributes`	Richiede gli attributi guest di Compute Engine, che possono essere utilizzati per pubblicare nomi host, indirizzi IP e altre informazioni relative all'istanza da all'interno di un'istanza di macchina virtuale.
`compute.requireOsLogin`	Richiede che tutte le nuove istanze VM di Compute Engine abilitino OS Login.
`compute.requireShieldedVm`	Richiede che tutte le nuove istanze VM siano Shielded VM.
`compute.restrictCloudNATUsage`	Limita l'utilizzo di Cloud NAT solo alle reti VPC specificate.
`compute.restrictDedicatedInterconnectUsage`	Limita l'utilizzo di Dedicated Interconnect solo alle reti VPC specificate.
`compute.restrictLoadBalancerCreationForTypes`	Limita la creazione di bilanciatori del carico solo ai tipi consentiti.
`compute.restrictPartnerInterconnectUsage`	Limita l'utilizzo di Partner Interconnect solo alle reti VPC specificate.
`compute.restrictProtocolForwardingCreationForTypes`	Limita la creazione del forwarding di protocollo a istanze di destinazione interne o esterne.
`compute.restrictSharedVpcHostProjects`	Limita l'insieme di progetti host ai quali possono essere associati i progetti nell'ambito.
`compute.restrictSharedVpcSubnetworks`	Limita l'insieme di subnet VPC condiviso che possono essere utilizzate dai progetti nell'ambito.
`compute.restrictVpcPeering`	Limita il peering di rete VPC solo alle reti VPC consentite.
`compute.restrictVpnPeerIPs`	Limita gli IP peer VPN solo agli IP consentiti.
`compute.setNewProjectDefaultToZonalDnsOnly`	Se impostato su `true`, i nuovi progetti utilizzano per impostazione predefinita solo il DNS di zona; le VM create in questi progetti hanno nomi DNS di zona (`.zone.c.project-id.internal`). I progetti per i quali il DNS globale è disabilitato non possono essere ripristinati al DNS globale.
`compute.skipDefaultNetworkCreation`	Ignora la creazione automatica della rete VPC `default` e delle risorse correlate durante la creazione del progetto Google Cloud .
`compute.storageResourceUseRestrictions`	Limita l'utilizzo delle risorse di archiviazione di Compute Engine (come DP-Standard, DP-SSD, DP-Balanced, SSD locale) in base alla località.
`compute.trustedImageProjects`	Limita l'accesso alle immagini solo alle immagini attendibili dei progetti specificati.
`compute.vmCanIpForward`	Limita le istanze VM che possono abilitare l'inoltro IP.
`compute.vmExternalIpAccess`	Limita le istanze VM autorizzate a utilizzare indirizzi IP esterni.

Passaggi successivi

Per scoprire come applicare questi vincoli, consulta la sezione Creare e gestire le policy dell'organizzazione nella documentazione di Resource Manager.
Per testare l'effetto di una nuova policy prima di applicarla, consulta Testa le modifiche alla policy dell'organizzazione con Policy Simulator.
Per scoprire di più sulla creazione di vincoli personalizzati, consulta Vincoli personalizzati.
Per visualizzare un elenco completo di tutti i vincoli disponibili in Google Cloud, consulta Vincoli delle policy dell'organizzazione.

Policy dell'organizzazione per Compute Engine Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.