Compute Engine の組織のポリシー

組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシーを使用すると、仮想マシン（VM）インスタンス、ディスク、ネットワークなどの Compute Engine リソースの構成方法に制約を適用できます。組織のポリシーの詳細については、組織ポリシー サービスの概要をご覧ください。

ポリシーは、組織レベル、フォルダレベル、プロジェクト レベルで設定できます。子孫リソースはポリシーを継承するため、組織レベルで広範な制御を適用し、フォルダまたはプロジェクト レベルでより具体的な制約を適用できます。

このドキュメントでは、組織のポリシーを使用して Compute Engine リソースを管理する方法の概要について説明します。

ユースケース

組織のポリシーを使用すると、Compute Engine リソース全体にガバナンスを適用できます。一般的な目標は次のとおりです。

• 費用管理: 特定のプロジェクトで作成できる VM マシンタイプまたは Persistent Disk のサイズを制限して、費用を管理します。
• セキュリティ ポスチャー: すべての VM インスタンス アクセスに OS Login を必須にする、インタラクティブ シリアル コンソールを無効にするなど、セキュリティのベスト プラクティスを適用します。
• コンプライアンス: ハードウェアの分離をサポートするために、特定のプロジェクトの VM を単一テナントノードで実行する必要があるなど、規制要件を満たします。

制約の種類

組織のポリシーを使用する場合は、次のタイプの制約を適用できます。

• マネージド制約: 最新のプラットフォーム上に構築された、Google が提供する事前定義済みの制約。compute.managed.* 接頭辞で識別できます。ドライランや Policy Simulator などの安全なロールアウト ツールと、特定のタグを持つリソースにきめ細かい例外を付与できるタグ条件付きステートメントをサポートしています。
• 管理対象制約（以前のバージョン）: compute.* 接頭辞で識別可能な、Google 提供の事前定義された制約。機能はしますが、一般的に、ドライランやポリシー シミュレータなどの最新の安全なロールアウト ツールをサポートしておらず、タグ条件付きステートメントもサポートしていません。同等の代替手段が利用可能な場合は、管理対象制約に移行して、強化されたガバナンスと安全なロールアウト機能を活用することをおすすめします。
• カスタム制約: Common Expression Language（CEL）を使用して特定のニーズに合わせて作成する制約。カスタム制約を使用すると、マネージド制約で対応できない特定のフィールドにポリシーを適用できます。マネージド制約と同様に、カスタム制約はタグ条件付きステートメントと、ドライランや Policy Simulator などの安全なロールアウト ツールをサポートしています。Compute Engine のカスタム制約の作成と管理の詳細については、カスタム制約をご覧ください。

Compute Engine リソースあたりの制約の上限は 20 個で、マネージド制約とカスタム制約の合計数に適用されます。以前のマネージド制約は、この上限にカウントされません。

Compute Engine の制約

以降のセクションでは、組織のポリシーでサポートされている Compute Engine の制約を示します。

マネージド制約

Compute Engine のマネージド制約により、一般的なセキュリティ シナリオのガバナンスが簡素化され、ドライランや Policy Simulator などの安全なロールアウト ツールと統合されます。これにより、適用前に影響をテストできます。Compute Engine のマネージド制約の一覧については、マネージド制約をご覧ください。

マネージド制約（レガシー）

これらの制約は前世代のものであり、安全なロールアウト ツールはサポートされていません。同等の制約が利用可能な場合は、マネージド制約に移行することをおすすめします。

以前の制約

制約	説明
compute.allowedDeviceEncryptionKeys	デバイス リソースの暗号化に使用できる Cloud Key Management Service 鍵を制限します。
compute.disableAllIpv6	タイプ IPV4_IPV6 のサブネット スタックの作成または更新を無効にしますが、既存の IPV4_IPV6 スタックタイプのサブネットには影響しません。この制約が有効になっている場合、既存の IPV4_IPV6 スタック タイプのサブネットワークは引き続き機能します。ただし、この制約が有効になっているときにプロジェクトに IPV4_IPV6 スタック タイプのサブネットワークがある場合は、別の VPC ネットワークを使用している場合でも、同じリージョンに IPV4_ONLY スタック タイプのサブネットワークを作成する前に、それらを削除する必要があります。
compute.disableGuestAttributes	Compute Engine ゲスト属性を無効にします。この属性は、仮想マシン インスタンス内からホスト名、IP アドレス、その他のインスタンス関連情報を公開するために使用できます。
compute.disableInstanceDataAccessApis	sshKeys、serialPortLogging、startup-/shutdown-scripts などの機密性の高いインスタンス メタデータにアクセスするために必要な Compute Engine インスタンス メタデータ API へのアクセスを無効にします。
compute.disableInternetNetworkEndpointGroup	インターネット ネットワーク エンドポイント グループの作成を無効にします。
compute.disableNestedVirtualization	true に設定すると、プロジェクト内のすべての Compute Engine VM でハードウェア アクセラレーションによりネストされた仮想化が無効になります。
compute.disableSerialPortAccess	Compute Engine VM へのシリアルポート アクセスを無効にします。
compute.disableSerialPortLogging	Compute Engine VM から Google Cloud Observability へのシリアルポート ロギングを無効にします。
compute.disableVpcExternalIpv6	この制約が有効になっている場合、ULA 内部 IPv6 範囲を持つ VPC ネットワークを作成したり、VPC ネットワーク内の VM に外部 IPv6 アドレスを割り当てたりすることはできません。この制約は、VPC ネットワーク内の内部 IPv6 アドレスには影響しません。
compute.enableComplianceMemoryProtection	Compute Engine 仮想マシンでメモリ保護機能を有効にします。
compute.requireConfidentialVm	すべての新しい Compute Engine VM インスタンスで Confidential VM を使用する必要があります。
compute.requireGuestAttributes	Compute Engine ゲスト属性が必要です。これは、仮想マシン インスタンス内からホスト名、IP アドレス、その他のインスタンス関連情報を公開するために使用できます。
compute.requireOsLogin	すべての新しい Compute Engine VM インスタンスで OS Login を有効にする必要があります。
compute.requireShieldedVm	すべての新しい VM インスタンスが Shielded VM である必要があります。
compute.restrictCloudNATUsage	Cloud NAT の使用を、指定された VPC ネットワークのみに制限します。
compute.restrictDedicatedInterconnectUsage	Dedicated Interconnect の使用を、指定された VPC ネットワークのみに制限します。
compute.restrictLoadBalancerCreationForTypes	ロードバランサの作成を許可されたタイプのみに制限します。
compute.restrictPartnerInterconnectUsage	Partner Interconnect の使用を、指定された VPC ネットワークのみに制限します。
compute.restrictProtocolForwardingCreationForTypes	プロトコル転送の作成を内部または外部のターゲット インスタンスに制限します。
compute.restrictSharedVpcHostProjects	スコープ内のプロジェクトが接続できるホスト プロジェクトのセットを制限します。
compute.restrictSharedVpcSubnetworks	スコープ内のプロジェクトで使用できる共有 VPC サブネットワークのセットを制限します。
compute.restrictVpcPeering	VPC ネットワーク ピアリングを許可された VPC ネットワークのみに制限します。
compute.restrictVpnPeerIPs	VPN ピア IP を許可された IP のみに制限します。
compute.setNewProjectDefaultToZonalDnsOnly	true に設定すると、新しいプロジェクトはデフォルトでゾーン DNS のみになります。これらのプロジェクトで作成された VM にはゾーン DNS 名（.zone.c.project-id.internal）が割り当てられます。グローバル DNS が無効になっているプロジェクトは、グローバル DNS に戻すことはできません。
compute.skipDefaultNetworkCreation	Google Cloud プロジェクトの作成時に、default VPC ネットワークと関連リソースの自動作成をスキップします。
compute.storageResourceUseRestrictions	ロケーションに基づいて、Compute Engine ストレージ リソース（PD-Standard、PD-SSD、PD-Balanced、Local-SSD など）の使用を制限します。
compute.trustedImageProjects	イメージへのアクセスを、指定されたプロジェクトの信頼できるイメージのみに制限します。
compute.vmCanIpForward	IP 転送を有効にできる VM インスタンスを制限します。
compute.vmExternalIpAccess	外部 IP アドレスの使用が許可されている VM インスタンスを制限します。

次のステップ

• これらの制約を適用する方法については、Resource Manager ドキュメントの組織のポリシーの作成と管理をご覧ください。
• 新しいポリシーの効果を適用前にテストするには、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
• カスタム制約の作成については、カスタム制約をご覧ください。
• Google Cloudで使用可能なすべての制約の一覧については、組織のポリシーの制約をご覧ください。