Políticas da organização para o Compute Engine

O Organization Policy Service oferece controle centralizado e programático sobre os recursos da sua organização. É possível usar políticas da organização para aplicar restrições sobre como os recursos do Compute Engine, como instâncias de máquina virtual (VM), discos e redes, são configurados. Para mais informações sobre a política da organização, consulte Introdução ao serviço de políticas da organização.

É possível definir políticas no nível da organização, da pasta ou do projeto. Os recursos descendentes herdam políticas, o que permite aplicar controles amplos no nível da organização e restrições mais específicas no nível da pasta ou do projeto.

Este documento oferece uma visão geral de como usar a política da organização para gerenciar seus recursos do Compute Engine.

Casos de uso

É possível usar políticas da organização para aplicar a governança em todos os recursos do Compute Engine. Algumas metas comuns são:

• Gerenciamento de custos: controle os gastos restringindo quais tipos de máquinas de VM ou tamanhos Persistent Disk podem ser criados em um determinado projeto.
• Postura de segurança: aplique práticas recomendadas de segurança, como exigir o Login do SO para todo o acesso à instância de VM ou desativar o console serial interativo.
• Conformidade: atenda a requisitos regulamentares, como exigir que as VMs em um projeto específico sejam executadas em nós de locatário individual para oferecer suporte ao isolamento de hardware.

Tipos de restrições

Ao usar a política da organização, é possível aplicar os seguintes tipos de restrições:

• Restrições gerenciadas: restrições predefinidas fornecidas pelo Google que são criadas em uma plataforma moderna, identificáveis pelo prefixo compute.managed.*. Elas oferecem suporte a ferramentas de implantação segura, como simulação e Simulador de política, além de instruções condicionadas por tags, que permitem conceder isenções granulares a recursos específicos.
• Restrições gerenciadas (legado): restrições predefinidas fornecidas pelo Google identificáveis pelo prefixo compute.*. Embora sejam funcionais, geralmente não oferecem suporte a ferramentas modernas de lançamento seguro, como simulação e Policy Simulator, e não aceitam instruções condicionadas por tag. Quando uma alternativa equivalente está disponível, recomendamos migrar para restrições gerenciadas para aproveitar os recursos aprimorados de governança e lançamento seguro.
• Restrições personalizadas: restrições criadas para suas necessidades específicas usando a Common Expression Language (CEL). Com as restrições personalizadas, é possível aplicar políticas em campos específicos que não são abordados pelas restrições gerenciadas. Assim como as restrições gerenciadas, as restrições personalizadas oferecem suporte a instruções condicionadas por tag e ferramentas de lançamento seguro, como simulação e Simulador de política. Para saber mais sobre como criar e gerenciar restrições personalizadas para o Compute Engine, consulte Restrições personalizadas.

Um limite de 20 restrições por recurso do Compute Engine se aplica ao número total de restrições gerenciadas e personalizadas combinadas. As restrições gerenciadas legadas não contam para esse limite.

Restrições do Compute Engine

As seções a seguir listam as restrições do Compute Engine compatíveis com a política da organização.

Restrições gerenciadas

As restrições gerenciadas do Compute Engine simplificam a governança em cenários comuns de segurança e se integram a ferramentas de lançamento seguro, como simulação e Simulador de política, que permitem testar o impacto antes da aplicação. Para conferir uma lista de restrições gerenciadas do Compute Engine, consulte Restrições gerenciadas.

Restrições gerenciadas (legado)

Essas restrições são da geração anterior e não oferecem suporte a ferramentas de implantação segura. Recomendamos migrar para restrições gerenciadas quando um equivalente estiver disponível.

Restrições legadas

Restrição	Descrição
compute.allowedDeviceEncryptionKeys	Restringe as chaves do Cloud Key Management Service que podem ser usadas para criptografar recursos do dispositivo.
compute.disableAllIpv6	Desativa a criação ou atualização para pilhas de sub-rede do tipo IPV4_IPV6, mas não afeta as sub-redes do tipo IPV4_IPV6 atuais. Se essa restrição estiver ativa, todas as sub-redes do tipo de pilha IPV4_IPV6 vão continuar funcionando. No entanto, se houver sub-redes do tipo de pilha IPV4_IPV6 no projeto quando essa restrição for ativada, será necessário excluí-las antes de criar uma sub-rede do tipo de pilha IPV4_ONLY na mesma região, mesmo que você esteja usando uma rede VPC diferente.
compute.disableGuestAttributes	Desativa os atributos de convidado do Compute Engine, que podem ser usados para publicar nomes de host, endereços IP e outras informações relacionadas à instância de uma instância de máquina virtual.
compute.disableInstanceDataAccessApis	Desativa o acesso às APIs de metadados da instância do Compute Engine necessárias para acessar metadados sensíveis da instância, como sshKeys, serialPortLogging e scripts de inicialização/encerramento.
compute.disableInternetNetworkEndpointGroup	Desativa a criação de grupos de endpoints de rede da Internet.
compute.disableNestedVirtualization	Quando definido como true, desativa a virtualização aninhada acelerada por hardware para todas as VMs do Compute Engine no projeto.
compute.disableSerialPortAccess	Desativa o acesso à porta serial para VMs do Compute Engine.
compute.disableSerialPortLogging	Desativa a geração de registros de porta serial no Google Cloud Observability em VMs do Compute Engine.
compute.disableVpcExternalIpv6	Se essa restrição estiver ativa, não será possível criar redes VPC com intervalos de IPv6 internos ULA nem atribuir endereços IPv6 externos a VMs em redes VPC. Essa restrição não afeta endereços IPv6 internos em redes VPC.
compute.enableComplianceMemoryProtection	Ativa recursos de proteção de memória em máquinas virtuais do Compute Engine.
compute.requireConfidentialVm	Exige que todas as novas instâncias de VM do Compute Engine usem a VM confidencial.
compute.requireGuestAttributes	Requer atributos de convidado do Compute Engine, que podem ser usados para publicar nomes de host, endereços IP e outras informações relacionadas à instância de uma instância de máquina virtual.
compute.requireOsLogin	Exige que todas as novas instâncias de VM do Compute Engine ativem o login do SO.
compute.requireShieldedVm	Exige que todas as novas instâncias de VM sejam VMs protegidas.
compute.restrictCloudNATUsage	Restringe o uso do Cloud NAT apenas às redes VPC especificadas.
compute.restrictDedicatedInterconnectUsage	Restringe o uso da Interconexão dedicada apenas às redes VPC especificadas.
compute.restrictLoadBalancerCreationForTypes	Restringe a criação de balanceadores de carga apenas aos tipos permitidos.
compute.restrictPartnerInterconnectUsage	Restringe o uso da Interconexão por parceiro apenas às redes VPC especificadas.
compute.restrictProtocolForwardingCreationForTypes	Restringe a criação de encaminhamento de protocolo a instâncias de destino internas ou externas.
compute.restrictSharedVpcHostProjects	Restringe o conjunto de projetos host aos quais os projetos no escopo podem ser anexados.
compute.restrictSharedVpcSubnetworks	Restringe o conjunto de sub-redes VPC compartilhada que os projetos no escopo podem usar.
compute.restrictVpcPeering	Restringe o peering de rede VPC apenas às redes VPC permitidas.
compute.restrictVpnPeerIPs	Restringe os IPs de peering de VPN apenas aos IPs permitidos.
compute.setNewProjectDefaultToZonalDnsOnly	Quando definido como true, os novos projetos usam o DNS zonal por padrão. As VMs criadas nesses projetos têm nomes DNS zonais (.zone.c.project-id.internal). Não é possível reverter para o DNS global os projetos em que ele está desativado.
compute.skipDefaultNetworkCreation	Não gera automaticamente a rede VPC default e os recursos relacionados durante a criação do projeto Google Cloud .
compute.storageResourceUseRestrictions	Restringe o uso de recursos de armazenamento do Compute Engine (como DP-Standard, DP-SSD, DP-Balanced, Local-SSD) com base na localização.
compute.trustedImageProjects	Restringe o acesso a imagens apenas às imagens confiáveis dos projetos especificados.
compute.vmCanIpForward	Restringe quais instâncias de VM podem ativar o encaminhamento de IP.
compute.vmExternalIpAccess	Restringe as instâncias de VM que podem usar endereços IP externo.

A seguir

• Para saber como aplicar essas restrições, consulte Como criar e gerenciar políticas da organização na documentação do Resource Manager.
• Para testar o efeito de uma nova política antes de aplicá-la, consulte Testar mudanças na política da organização com o Simulador de política.
• Para saber como criar restrições personalizadas, consulte Restrições personalizadas.
• Para ver uma lista completa de todas as restrições disponíveis no Google Cloud, consulte Restrições da política da organização.