基础设施控制

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME。
此限制条件不具有追溯性。

除非需要，否则请阻止创建具有公共 IP 地址的 Compute Engine 实例。compute.vmExternalIpAccess 列表限制条件定义了一组可以具有外部 IP 地址的 Compute Engine 虚拟机实例。

防止 Compute Engine 实例拥有外部 IP 地址，以大幅减少其在互联网上的曝光度。任何具有外部 IP 地址的实例都会立即被发现，并成为自动化扫描、暴力攻击和漏洞利用尝试的直接目标。请改为要求实例使用专用 IP 地址，并通过受控、经过身份验证且已记录的途径（例如 Identity-Aware Proxy (IAP) 隧道或堡垒主机）管理访问权限。

采用这种默认拒绝的姿态是一项基础的安全最佳实践，有助于最大限度地减少攻击面，并对您的网络强制实施零信任方法。此限制条件不具有追溯性。

借助 compute.vmExternalIpAccess 列表限制条件，您可以通过不分配外部 IP 地址来限制对虚拟机的外部访问。配置此列表限制条件，以拒绝所有虚拟机的外部 IP 地址。

cloudfunctions.requireVPCConnector 布尔值限制条件要求管理员在部署 Cloud Run 函数时指定无服务器 VPC 访问通道连接器。如果强制执行此限制条件，函数必须指定连接器。

• 使用资源位置限制 (gcp.resourceLocations) 组织政策限制条件设置消息存储政策。
• 在创建主题时配置消息存储政策。例如：

  gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2

关闭外部 IP 地址，以执行与 Dataflow 作业相关的管理和监控任务。请改用 SSH 配置对 Dataflow 工作器虚拟机的访问权限。

启用专用 Google 访问通道，并在 Dataflow 作业中指定以下选项之一：

• --usePublicIps=false和--network=NETWORK-NAME之间
• --subnetwork=SUBNETWORK-NAME

其中：

• NETWORK-NAME：您的 Compute Engine 网络的名称。
• SUBNETWORK-NAME：您的 Compute Engine 子网的名称。

网络标记是附加到 Compute Engine 虚拟机（例如 Dataflow 工作器虚拟机）的文本属性。借助网络标记，您可以将 VPC 网络防火墙规则和某些自定义静态路由应用于特定虚拟机实例。Dataflow 支持将网络标记添加到运行特定 Dataflow 作业的所有工作器虚拟机。