Compute Engine 適用的機構政策

機構政策服務可透過程式輔助，集中控管機構的資源。您可以使用機構政策，對虛擬機器 (VM) 執行個體、磁碟和網路等 Compute Engine 資源的設定方式強制執行限制。如要進一步瞭解機構政策，請參閱「機構政策服務簡介」。

您可以在機構、資料夾或專案層級設定政策。子項資源會繼承政策，因此您可以在組織層級強制執行廣泛的控制項，並在資料夾或專案層級套用更具體的限制。

本文概要說明如何使用機構政策管理 Compute Engine 資源。

用途

您可以使用機構政策，在 Compute Engine 資源中強制執行控管措施。常見目標包括：

• 成本管理：限制可在特定專案中建立的 VM 機型或永久磁碟大小，藉此控管支出。
• 安全防護：強制執行安全最佳做法，例如要求所有 VM 執行個體存取權都必須使用 OS 登入，或是停用互動式序列主控台。
• 法規遵循：符合法規要求，例如要求特定專案中的 VM 在單一用戶群節點上執行，以支援硬體隔離。

限制類型

使用機構政策時，您可以套用下列類型的限制：

• 受管理限制：Google 提供的預先定義限制，建構於新式平台，並以 compute.managed.* 前置字串識別。這些工具支援安全推出機制，例如模擬執行和 Policy Simulator，以及標記條件式陳述式，可讓您針對特定資源授予精細的豁免。
• 受管理限制 (舊版)：Google 提供的預先定義限制，可透過 compute.* 前置字元識別。雖然這些規則仍可運作，但通常不支援現代安全推出工具，例如「試執行」和「政策模擬器」，也不支援以代碼為條件的陳述式。如果已有同等替代方案，建議您遷移至受管理限制，充分運用強化管理和安全推出功能。
• 自訂限制：使用一般運算語言 (CEL) 建立的限制，可滿足特定需求。自訂限制條件可讓您針對受管理限制條件未處理的特定欄位，強制執行政策。與代管式限制一樣，自訂限制支援標記條件式陳述式和安全推出工具，例如模擬測試和政策模擬器。如要進一步瞭解如何建立及管理 Compute Engine 的自訂限制，請參閱「自訂限制」。

每個 Compute Engine 資源最多可有 20 項限制，包括受管理限制和自訂限制的總數。舊版代管限制不會計入這項限制。

Compute Engine 限制

以下各節列出組織政策支援的 Compute Engine 限制。

代管限制

Compute Engine 的受管理限制可簡化常見安全情境的控管作業，並與安全推出工具 (例如試執行和政策模擬器) 整合，讓您在強制執行前測試影響。如要查看 Compute Engine 的受管理限制清單，請參閱「受管理限制」。

代管限制 (舊版)

這些限制來自前一代，不支援安全推出工具。如果可以，建議您遷移至受管理限制。

舊版限制

限制	說明
compute.allowedDeviceEncryptionKeys	限制可用於加密裝置資源的 Cloud Key Management Service 金鑰。
compute.disableAllIpv6	禁止建立或更新 IPV4_IPV6 類型的子網路堆疊，但不會影響現有的 IPV4_IPV6 堆疊類型子網路。如果這項限制有效，任何現有的 IPV4_IPV6 堆疊類型子網路都會繼續運作。不過，如果啟用這項限制時，專案中有 IPV4_IPV6 堆疊類型子網路，您必須先刪除這些子網路，才能在相同區域中建立 IPV4_ONLY 堆疊類型子網路，即使您使用不同的虛擬私有雲網路也一樣。
compute.disableGuestAttributes	停用 Compute Engine 訪客屬性，這項屬性可用於發布主機名稱、IP 位址，以及虛擬機器執行個體內的其他執行個體相關資訊。
compute.disableInstanceDataAccessApis	停用存取 Compute Engine 執行個體中繼資料 API 的權限，防止存取機密執行個體中繼資料，例如 sshKeys、serialPortLogging 和 startup-/shutdown-scripts。
compute.disableInternetNetworkEndpointGroup	禁止建立網際網路網路端點群組。
compute.disableNestedVirtualization	設為 true 時，會停用專案中所有 Compute Engine VM 的硬體加速式巢狀虛擬化功能。
compute.disableSerialPortAccess	停用 Compute Engine VM 的序列埠存取權。
compute.disableSerialPortLogging	停用從 Compute Engine VM 記錄到 Google Cloud Observability 的序列埠記錄。
compute.disableVpcExternalIpv6	如果這項限制處於啟用狀態，您就無法建立具有 ULA 內部 IPv6 範圍的虛擬私有雲網路，也無法將外部 IPv6 位址指派給虛擬私有雲網路中的 VM。這項限制不會影響虛擬私有雲網路中的內部 IPv6 位址。
compute.enableComplianceMemoryProtection	在 Compute Engine 虛擬機器上啟用記憶體保護功能。
compute.requireConfidentialVm	要求所有新的 Compute Engine VM 執行個體都使用機密 VM。
compute.requireGuestAttributes	需要 Compute Engine 訪客屬性，可用於從虛擬機器執行個體內發布主機名稱、IP 位址和其他執行個體相關資訊。
compute.requireOsLogin	要求所有新的 Compute Engine VM 執行個體啟用 OS 登入。
compute.requireShieldedVm	要求所有新 VM 執行個體都必須是受防護 VM。
compute.restrictCloudNATUsage	限制 Cloud NAT 用量，僅限指定虛擬私有雲網路。
compute.restrictDedicatedInterconnectUsage	限制專屬互連網路只能用於指定的虛擬私有雲網路。
compute.restrictLoadBalancerCreationForTypes	限制負載平衡器建立作業，僅允許特定類型。
compute.restrictPartnerInterconnectUsage	限制合作夥伴互連網路只能用於指定的虛擬私有雲網路。
compute.restrictProtocolForwardingCreationForTypes	限制通訊協定轉送只能轉送至內部或外部目標執行個體。
compute.restrictSharedVpcHostProjects	限制範圍內專案可連結的主專案組合。
compute.restrictSharedVpcSubnetworks	限制範圍內專案可使用的共用虛擬私有雲子網路組合。
compute.restrictVpcPeering	將虛擬私有雲網路對等互連限制為僅允許的虛擬私有雲網路。
compute.restrictVpnPeerIPs	將 VPN 對等互連 IP 限制為僅允許的 IP。
compute.setNewProjectDefaultToZonalDnsOnly	如果設為 true，新專案預設只會使用區域 DNS；在這些專案中建立的 VM 會使用區域 DNS 名稱 (.zone.c.project-id.internal)。如果專案停用全域 DNS，就無法還原為全域 DNS。
compute.skipDefaultNetworkCreation	在建立 Google Cloud 專案時，略過自動建立 default 虛擬私有雲網路和相關資源的作業。
compute.storageResourceUseRestrictions	根據位置限制使用 Compute Engine 儲存空間資源 (例如 PD-Standard、PD-SSD、PD-Balanced、Local-SSD)。
compute.trustedImageProjects	限制映像檔存取權，只允許存取指定專案中的可信映像檔。
compute.vmCanIpForward	限制哪些 VM 執行個體可以啟用 IP 轉送功能。
compute.vmExternalIpAccess	限制可使用外部 IP 位址的 VM 執行個體。

後續步驟

• 如要瞭解如何套用這些限制，請參閱資源管理員說明文件中的「建立及管理機構政策」。
• 如要在強制執行新政策前測試其影響，請參閱「使用 Policy Simulator 測試組織政策變更」。
• 如要瞭解如何建立自訂限制，請參閱自訂限制。
• 如要查看 Google Cloud的所有可用限制條件完整清單，請參閱「組織政策限制」。