Gerenciar recursos de função usando restrições personalizadas

Nesta página, você encontra informações complementares sobre como definir restrições personalizadas em funções criadas usando a API Cloud Functions v2, como os comandos gcloud functions.

Limitações

As limitações a seguir se aplicam ao uso de políticas personalizadas da organização para funções da API Cloud Functions v2:

Disponível apenas na API Cloud Functions v2.
Elas não serão aplicadas às funções do Cloud Run (1ª geração).
Protege apenas funções ao usar a API Cloud Functions v2. O Cloud Run functions também pode ser modificado na API Cloud Run. Para mais proteção, talvez seja necessário aplicar restrições personalizadas no Cloud Run.

Exemplos comuns de políticas da organização

A tabela a seguir mostra a sintaxe de algumas políticas da organização personalizadas que podem ser úteis:

Descrição	Sintaxe de restrição
Impedir a criação de funções com um idioma específico	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.cloudFunctionRuntimeBlock resource_types: cloudfunctions.googleapis.com/Function method_types: - CREATE - UPDATE condition: resource.buildConfig.runtime == "python312" action_type: DENY display_name: Deny functions using Python 3.12 description: Functions cannot be created with Python 3.12 as the language runtime
Exigir que as funções usem um pool de workers específico	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.cloudFunctionsWorkerPool resource_types: cloudfunctions.googleapis.com/Function method_types: - CREATE - UPDATE condition: resource.buildConfig.workerPool == "`WORKER_POOL`" action_type: DENY display_name: Require worker pool description: Functions must use a worker pool Substitua `WORKER_POOL` pelo nome do pool de workers do Cloud Build.
Exigir que as funções armazenem todas as imagens do contêiner em um repositório de imagens específico	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.cloudFunctionsRepository resource_types: cloudfunctions.googleapis.com/Function method_types: - CREATE - UPDATE condition: resource.buildConfig.dockerRepository.startsWith("`REPO_PATH`") action_type: DENY display_name: Image repository constraint description: Functions must push images to a central image repository under `REPO_PATH` Substitua `REPO_PATH` pelo URI do repositório de imagens em que você quer que todas as funções armazenem as imagens do contêiner.

Descrição

Sintaxe de restrição

Impedir a criação de funções com um idioma específico

    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionRuntimeBlock
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.runtime == "python312"
    action_type: DENY
    display_name: Deny functions using Python 3.12
    description: Functions cannot be created with Python 3.12 as the language runtime

Exigir que as funções usem um pool de workers específico

    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionsWorkerPool
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.workerPool == "WORKER_POOL"
    action_type: DENY
    display_name: Require worker pool
    description: Functions must use a worker pool

Substitua WORKER_POOL pelo nome do pool de workers do Cloud Build.

Exigir que as funções armazenem todas as imagens do contêiner em um repositório de imagens específico

    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionsRepository
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.dockerRepository.startsWith("REPO_PATH")
    action_type: DENY
    display_name: Image repository constraint
    description: Functions must push images to a central image repository under REPO_PATH

Substitua REPO_PATH pelo URI do repositório de imagens em que você quer que todas as funções armazenem as imagens do contêiner.

A seguir

Consulte Introdução ao serviço de políticas da organização para saber mais sobre essas políticas.
Saiba mais sobre como criar e gerenciar políticas da organização.
Veja a lista completa de restrições da política da organização predefinidas.