Einschränkungen für Organisationsrichtlinien zu Cloud Load Balancing

Mit dem Organisationsrichtliniendienst können Sie die Ressourcen Ihrer Organisation zentral und programmatisch steuern. Als Administrator für Organisationsrichtlinien können Sie eine Organisationsrichtlinie definieren, also eine Reihe von Einschränkungen, die fürGoogle Cloud Ressourcen und untergeordnete Elemente dieser Ressourcen in der Google Cloud Ressourcenhierarchie gelten.

Diese Seite enthält zusätzliche Informationen zu Einschränkungen für Organisationsrichtlinien zu Cloud Load Balancing. Mit Einschränkungen für Organisationsrichtlinien können Sie Einstellungen für ein ganzes Projekt, einen ganzen Ordner oder eine ganze Organisation umsetzen.

Organisationsrichtlinien gelten nur für neue Ressourcen. Einschränkungen werden nicht rückwirkend erzwungen. Wenn Sie bereits Load-Balancing-Ressourcen haben, die gegen die Richtlinien einer neuen Organisationsrichtlinie verstoßen, müssen Sie diese Verstöße manuell beheben.

Eine vollständige Liste der verfügbaren Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien.

Load-Balancer-Typen einschränken

Verwenden Sie eine Organisationsrichtlinie, um die Cloud Load Balancing-Typen einzuschränken, die in Ihrer Organisation erstellt werden können. Legen Sie die folgende Einschränkung für die Organisationsrichtlinie fest:

  • Name: Load-Balancer-Erstellung basierend auf Load-Balancer-Typen einschränken
  • ID: constraints/compute.restrictLoadBalancerCreationForTypes

Wenn Sie die Einschränkung compute.restrictLoadBalancerCreationForTypes festlegen, geben Sie eine Zulassungsliste oder Sperrliste für die Cloud Load Balancing-Typen an. Die Liste der zulässigen oder abgelehnten Werte darf nur Werte aus der folgenden Liste enthalten:

  • Application Load Balancer

    • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS für den globalen externen Application Load Balancer
    • EXTERNAL_HTTP_HTTPS für den klassischen Application Load Balancer
    • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS für den regionenübergreifenden internen Application Load Balancer
    • EXTERNAL_MANAGED_HTTP_HTTPS für den regionalen externen Application Load Balancer
    • INTERNAL_HTTP_HTTPS für den regionalen internen Application Load Balancer

  • Proxy-Network-Load-Balancer

    • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY für den globalen externen Proxy-Network-Load-Balancer mit einem TCP-Proxy
    • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY für den globalen externen Proxy-Network-Load-Balancer mit einem SSL-Proxy
    • EXTERNAL_TCP_PROXY für den klassischen Proxy-Network-Load-Balancer mit einem TCP-Proxy
    • EXTERNAL_SSL_PROXY für den klassischen Proxy-Network-Load-Balancer mit einem SSL-Proxy
    • GLOBAL_INTERNAL_MANAGED_TCP_PROXY für den regionenübergreifenden internen Proxy-Netzwerk-Load Balancer mit einem TCP-Proxy
    • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY für den regionalen externen Proxy-Network-Load-Balancer mit einem TCP-Proxy
    • REGIONAL_INTERNAL_MANAGED_TCP_PROXY für den regionalen internen Proxy-Network-Load-Balancer mit einem TCP-Proxy

  • Passthrough-Network-Load-Balancer

    • EXTERNAL_NETWORK_TCP_UDP für den externen Passthrough-Network-Load-Balancer
    • INTERNAL_TCP_UDP für den internen Passthrough-Network-Load-Balancer

Verwenden Sie das Präfix in: gefolgt von INTERNAL oder EXTERNAL, um alle internen und externen Load-Balancer-Typen einzubinden. Wenn Sie beispielsweise in:INTERNAL zulassen, können alle internen Load-Balancer aus der vorherigen Liste zugelassen werden.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Nachdem Sie die Richtlinie festgelegt haben, wird die Richtlinie erzwungen, wenn Sie die entsprechendenGoogle Cloud Weiterleitungsregeln hinzufügen. Die Einschränkung wird für vorhandene Cloud Load Balancing-Konfigurationen nicht durchgesetzt.

Wenn Sie versuchen, Load-Balancer eines Typs zu erstellen, der gegen die Einschränkung verstößt, schlägt der Versuch fehl und es wird eine Fehlermeldung generiert. Die Fehlermeldung hat folgendes Format:

Constraint constraints/compute.restrictLoadBalancerCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Wenn Sie mehrere restrictLoadBalancerCreationForTypes-Einschränkungen auf verschiedenen Ressourcenebenen festlegen, werden diese hierarchisch durchgesetzt. Aus diesem Grund empfiehlt es sich, das Feld inheritFromParent auf true zu setzen. So sorgen Sie dafür, dass auch Richtlinien auf höheren Ebenen berücksichtigt werden.

GKE-Fehlermeldungen

Wenn Sie Google Kubernetes Engine (GKE) verwenden und jemand in Ihrer Organisation eine Organisationsrichtlinie erstellt hat, die einschränkt, welche Arten von Load-Balancern erstellt werden können, wird eine Fehlermeldung ähnlich der folgenden angezeigt:

Warning  Sync    28s   loadbalancer-controller  Error during sync: error running
load balancer syncing routine: loadbalancer FORWARDING_RULE_NAME
does not exist: googleapi: Error 412:
Constraint constraints/compute.restrictLoadBalancerCreationForTypes violated for
projects/PROJECT_ID. Forwarding Rule
projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
of type LOAD_BALANCER_TYPE is not allowed, conditionNotMet

Je nach Richtlinie kann dies Ihre Möglichkeiten zum Erstellen neuer Load-Balancer-Ressourcen wie Dienste, Ingress-Ressourcen oder Gateways einschränken. Wenden Sie sich an die Administratoren für Organisationsrichtlinien, um herauszufinden, welche Einschränkungen gelten.

Führen Sie die folgenden Befehle aus, um die GKE-Fehlermeldungen aufzurufen:

kubectl get events -w

kubectl describe RESOURCE_KIND NAME

Ersetzen Sie Folgendes:

  • RESOURCE_KIND: die Art des Load-Balancers, ingress oder service
  • NAME: der Name des Load-Balancers

Globales Load-Balancing deaktivieren

Diese alte verwaltete Einschränkung deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Wenn sie erzwungen wird, können nur regionale Load-Balancing-Produkte ohne globale Abhängigkeiten erstellt werden.

  • Name: Globales Load-Balancing deaktivieren
  • ID: constraints/compute.disableGlobalLoadBalancing

Standardmäßig können Nutzer globale Load-Balancing-Produkte erstellen.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Boolesche Einschränkungen mit Organisationsrichtlinien einrichten.

Typen von Protokollweiterleitungs-Deployments einschränken

Verwenden Sie eine Organisationsrichtlinie, um die Arten von Protokollweiterleitungsbereitstellungen (intern oder extern) einzuschränken, die in Ihrer Organisation erstellt werden können. Legen Sie die folgende Einschränkung für die Organisationsrichtlinie fest:

  • Name: Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken
  • ID: constraints/compute.managed.restrictProtocolForwardingCreationForTypes

Wenn Sie die Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes konfigurieren, geben Sie eine Zulassungsliste oder eine Sperrliste für den Typ der Protokollweiterleitungsbereitstellung an, die zugelassen oder abgelehnt werden soll. Die Liste der zulässigen oder abgelehnten Werte darf nur die folgenden Werte enthalten:

  • INTERNAL
  • EXTERNAL

Standardmäßig ist diese Richtlinie für neu erstellte Organisationen so konfiguriert, dass nur die INTERNAL-Protokollweiterleitung zulässig ist. Das bedeutet, dass alle Weiterleitungsregeln, die Zielinstanzen zugeordnet sind, nur interne IP-Adressen verwenden dürfen. Wenn Sie die Protokollweiterleitung mit externen IP-Adressen verwenden möchten oder Nutzer daran hindern möchten, die Protokollweiterleitung mit internen IP-Adressen zu verwenden, müssen Sie diese Organisationsrichtlinie aktualisieren.

Nachdem Sie die Richtlinie aktualisiert haben, werden die Änderungen erzwungen, wenn Sie neue Weiterleitungsregeln erstellen, die mit Zielinstanzen verknüpft sind. Die Einschränkung wird bei bestehenden Konfigurationen der Protokollweiterleitung nicht rückwirkend erzwungen.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Wenn Sie versuchen, eine Bereitstellung einer Protokollweiterleitung eines Typs zu erstellen, der gegen die Einschränkung verstößt, schlägt der Versuch fehl und eine Fehlermeldung wird erzeugt. Die Fehlermeldung hat folgendes Format:

Constraint constraints/compute.managed.restrictProtocolForwardingCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule
projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Wenn Sie mehrere compute.managed.restrictProtocolForwardingCreationForTypes-Einschränkungen auf verschiedenen Ressourcenebenen festlegen und das Feld inheritFromParent auf true setzen, werden die Einschränkungen hierarchisch durchgesetzt.

Einschränkungen für freigegebene VPC erzwingen

Mit den folgenden Organisationsrichtlinien können Sie einschränken, wie Nutzer freigegebene VPC-Bereitstellungen einrichten dürfen.

Freigegebene VPC-Hostprojekte einschränken

Mit dieser alten verwalteten Einschränkung können Sie die freigegebene VPC-Hostprojekte einschränken, an die eine Ressource angehängt werden kann.

  • Name: Freigegebene VPC-Hostprojekte einschränken
  • ID: constraints/compute.restrictSharedVpcHostProjects

Ein Projekt kann standardmäßig einem beliebigen Hostprojekt in derselben Organisation zugeordnet werden, wodurch es zu einem Dienstprojekt wird. Wenn Sie die Einschränkung compute.restrictSharedVpcHostProjects festlegen, geben Sie so eine Zulassungsliste oder eine Sperrliste für Hostprojekte an:

  • Geben Sie ein Projekt im folgenden Format an:
    • projects/PROJECT_ID
  • Geben Sie ein Projekt, einen Ordner oder eine Organisation an. Die Einschränkung gilt für alle Projekte unter der angegebenen Ressource in der Ressourcenhierarchie. Verwenden Sie das folgende Format:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Freigegebene VPC-Subnetzwerke einschränken

Mit dieser alten verwalteten Einschränkung wird die Gruppe freigegebene VPC-Subnetze definiert, die von zulässigen Ressourcen verwendet werden können. Diese Einschränkung gilt nicht für Ressourcen innerhalb desselben Projekts.

  • Name: Freigegebene VPC-Subnetzwerke einschränken
  • ID: constraints/compute.restrictSharedVpcSubnetworks

Standardmäßig können zulässige Ressourcen jedes freigegebene VPC-Subnetzwerk verwenden. Wenn Sie die Einschränkung compute.restrictSharedVpcSubnetworks festlegen, geben Sie so eine eingeschränkte Liste von Subnetzen an:

  • Geben Sie ein Subnetz im folgenden Format an:
    • projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
  • Geben Sie ein Projekt, einen Ordner oder eine Organisation an. Die Einschränkung gilt für alle Subnetze unter der angegebenen Ressource in der Ressourcenhierarchie. Verwenden Sie das folgende Format:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Projektübergreifende Backend-Buckets und Backend-Dienste einschränken

Mit dieser Einschränkung können Sie die Backend-Dienste und Backend-Buckets beschränken, auf die eine URL-Zuordnung verweisen kann. Diese Einschränkung gilt nicht für Backend-Dienste und Backend-Buckets im selben Projekt wie die URL-Zuordnung.

  • Name: Projektübergreifende Backend-Buckets und Backend-Dienste einschränken
  • ID: constraints/compute.restrictCrossProjectServices

Standardmäßig kann eine URL-Zuordnung in einem Projekt auf kompatible Backend-Dienste und Backend-Buckets aus anderen Projekten in derselben Organisation verweisen, solange der Nutzer, der die Aktion ausführt, die Berechtigung compute.backendServices.use, compute.regionBackendServices.use oder compute.backendBuckets.use hat.

Wenn Sie die Einschränkung restrictCrossProjectServices konfigurieren möchten, können Sie eine Zulassungsliste oder eine Sperrliste für Backend-Dienste oder Backend-Buckets auf folgende Weise angeben:

  • Specify backend services in the following format:
    • projects/PROJECT_ID/regions/REGION/backendservices/BACKEND_SERVICE_NAME
    • projects/PROJECT_ID/global/backendservices/BACKEND_SERVICE_NAME

  • Geben Sie Backend-Buckets im folgenden Format an:

    • projects/PROJECT_ID/regions/REGION/backendbuckets/BACKEND_BUCKET_NAME
    • projects/PROJECT_ID/global/backendbuckets/BACKEND_BUCKET_NAME

  • Geben Sie ein Projekt, einen Ordner oder eine Organisation an. Die Einschränkung gilt für alle Backend-Dienste und Backend-Buckets unter der angegebenen Ressource in der Ressourcenhierarchie. Verwenden Sie das folgende Format:

    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Nachdem Sie eine Organisationsrichtlinie mit dieser Einschränkung eingerichtet haben, wird die Einschränkung wirksam, wenn Sie das nächste Mal mit dem Befehl gcloud compute url-maps einen Backend-Dienst oder einen Backend-Bucket an eine URL-Zuordnung anhängen. Die Einschränkung wirkt sich nicht rückwirkend auf vorhandene Verweise auf projektübergreifende Backend-Dienste oder Backend-Buckets aus.

Diese Einschränkung gilt für alle Bereitstellungstypen, einschließlich freigegebene VPC. Um Konflikte zu vermeiden, empfehlen wir, nicht sowohl diese Einschränkung als auch die im nächsten Abschnitt beschriebene Einschränkung compute.restrictSharedVpcBackendServices zu verwenden.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Listeneinschränkungen mit Organisationsrichtlinien einrichten.

Backend-Dienste freigegebener VPCs einschränken

Mit dieser Einschränkung können Sie die Backend-Dienste beschränken, auf die eine URL-Zuordnung in freigegebene VPC-Bereitstellungen verweisen kann, die projektübergreifende Dienstreferenzen verwenden. Diese Einschränkung gilt nicht für Backend-Dienste innerhalb desselben Projekts wie die URL-Zuordnung.

  • Name: Backend-Dienste freigegebener VPCs einschränken
  • ID: constraints/compute.restrictSharedVpcBackendServices

Wir empfehlen stattdessen die Verwendung der im vorherigen Abschnitt beschriebenen compute.restrictCrossProjectServices-Einschränkung. Die Einschränkung compute.restrictCrossProjectServices gilt für alle Bereitstellungstypen, auch für freigegebene VPC, und sowohl für Backend-Buckets als auch für Backend-Dienste.

Entfernen von Sperren gemeinsam genutzter VPC-Projekte einschränken

Diese alte verwaltete Einschränkung schränkt die Gruppe der Nutzer ein, die eine Sperre für ein freigegebene VPC-Hostprojekt entfernen können, ohne eine Berechtigung auf Organisationsebene zu haben, wenn diese Einschränkung bereits auf True gesetzt ist.

  • Name: Entfernen von Sperren gemeinsam genutzter VPC-Projekte einschränken
  • ID: constraints/compute.restrictXpnProjectLienRemoval

Standardmäßig kann jeder Nutzer mit der Berechtigung zur Aktualisierung von Sperren eine Sperre eines freigegebenen VPC-Host-Projekts entfernen. Für die Erzwingung dieser Einschränkung muss die Berechtigung auf Organisationsebene vorhanden sein.

Eine Beispielanleitung zur Verwendung dieser Einschränkung finden Sie unter Boolesche Einschränkungen mit Organisationsrichtlinien einrichten.

TLS-Funktionen mit benutzerdefinierten Einschränkungen beschränken

Um Ihre Compliance-Anforderungen zu erfüllen und bestimmte TLS-Funktionen (Transport Layer Security) einzuschränken, können Sie die folgende Organisationsrichtlinienbeschränkung erstellen und zusammen mit benutzerdefinierten Einschränkungen für SSL-Richtlinienressourcen verwenden:

  • Name: Require SSL policy
  • ID: constraints/compute.requireSslPolicy

Mit der Einschränkung compute.requireSslPolicy können Sie zusammen mit Ihren eigenen benutzerdefinierten Einschränkungen für SSL-Richtlinienfelder Einschränkungen erstellen, die auf Ihre Bereitstellungen zugeschnitten sind. Sie können beispielsweise Folgendes tun:

  • Die Sicherheit steigern und Compliance-Anforderungen erfüllen; dazu schränken Sie die Verwendung früherer TLS-Versionen (z. B. 1.0 und 1.1) und Chiffresammlungen ein.
  • Die Leistung verbessern, wozu Sie die Anzahl der erforderlichen Handshakes reduzieren und die Kompatibilität des Load-Balancers mit Clients verbessern.
  • Eine Einschränkung auf einen bestimmten Ressourcenknoten und seine untergeordneten Elemente anwenden Wenn Sie beispielsweise die TLS-Version 1.0 für eine Organisation ablehnen, wird diese auch für alle Ordner und Projekte (untergeordnete Elemente) abgelehnt, die von dieser Organisation abstammen.

Wenn Sie eine SSL-Richtlinie für einen Application Load Balancer oder einen Proxy-Network Load Balancer erzwingen möchten, müssen Sie sie an den HTTPS-Zielproxy oder den SSL-Zielproxy des Load Balancers anhängen.

Informationen zum Aktualisieren vorhandener SSL-Richtlinien finden Sie unter SSL-Richtlinien verwalten.

Boolesche Regeln in Organisationsrichtlinien verwenden

Console

Führen Sie die folgenden Schritte aus, um über die Console eine Organisationsrichtlinie festzulegen:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Suchen Sie im Feld Filter nach der Einschränkung entweder nach Name oder nach ID.
  3. Klicken Sie auf den Namen der Einschränkung.
  4. Klicken Sie auf Bearbeiten, um die Einschränkung zu bearbeiten.
  5. Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
  6. Wählen Sie unter Erzwingung eine Erzwingungsoption aus:
    • Wählen Sie An, um die Erzwingung dieser Einschränkung zu aktivieren.
    • Wählen Sie Aus, um die Erzwingung dieser Einschränkung zu deaktivieren.
  7. Nachdem Sie Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Einstellungen für die Einschränkung zu übernehmen.

Eine ausführliche Anleitung zum Anpassen von Organisationsrichtlinien mithilfe der Google Cloud Console finden Sie unter Richtlinien für boolesche Einschränkungen anpassen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager org-policies enable-enforce so, um die Erzwingung einer Einschränkung zu aktivieren, für die boolesche Regeln verwendet werden.

So aktivieren Sie die Einschränkung für die Sperre eines freigegebenen VPC-Projekts:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.restrictXpnProjectLienRemoval

So deaktivieren Sie das globale Load-Balancing:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.disableGlobalLoadBalancing

Eine ausführliche Anleitung zur Arbeit mit booleschen Regeln in gcloud finden Sie unter Boolesche Regeln in Organisationsrichtlinien verwenden.

Listenregeln in Organisationsrichtlinien einrichten

Console

Führen Sie die folgenden Schritte aus, um über die Console eine Organisationsrichtlinie festzulegen:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Suchen Sie im Feld Filter nach der Einschränkung entweder nach Name oder nach ID. Wenn Sie beispielsweise Hostprojekte von freigegebenen VPCs einschränken möchten, suchen Sie nach der ID: constraints/compute.restrictSharedVpcHostProjects.
  3. Klicken Sie auf den Namen der Einschränkung.
  4. Klicken Sie auf Bearbeiten, um die Einschränkung zu bearbeiten.
  5. Zum Erstellen einer benutzerdefinierten Richtlinie wählen Sie Anpassen aus und geben die Zulassungsliste oder Sperrliste für Ressourcen an. Eine ausführlichere Anleitung zum Anpassen von Organisationsrichtlinien mithilfe der Google Cloud Console finden Sie unter Richtlinien für Listeneinschränkungen anpassen.
  6. Nachdem Sie Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Einstellungen für die Einschränkung zu übernehmen.

gcloud

Dieser Abschnitt enthält einige Konfigurationsbeispiele, die Ihnen zeigen, wie Sie eine Organisationsrichtlinie mit einer Legacy-Einschränkung für verwaltete Geräte mithilfe von Listenregeln erstellen und festlegen. Eine ausführlichere Anleitung zum Arbeiten mit Listenregeln und Organisationsrichtlinien in gcloud finden Sie unter Listenregeln in Organisationsrichtlinien verwenden.

  1. Erstellen Sie die Richtliniendatei. Verwenden Sie die folgenden JSON-Konfigurationsbeispiele, um eine eigene Richtliniendatei anhand Ihrer Anforderungen zu erstellen.

    • Load-Balancer-Typen einschränken

      • Nur einen Teil der Load-Balancer zulassen

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "allowedValues": [
    "INTERNAL_TCP_UDP",
    "EXTERNAL_NETWORK_TCP_UDP"
  ]
}
}

      • Alle externen Load-Balancer ablehnen

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "deniedValues": [
    "in:EXTERNAL"
  ]
}
}

      • Alle Load-Balancer ablehnen

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "allValues": "DENY"
}
}

    • Protokollweiterleitungstypen einschränken

      • Alle Protokollweiterleitungen ablehnen

        {
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes",
"spec": {
  "rules": [
    {
      "enforce": ["true"],
      "parameters": {
        "denyAll": "true"
      }
    }
  ]
}
}

      • Nur interne Protokollweiterleitung zulassen

        {
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes",
"spec": {
  "rules": [
    {
      "enforce": ["true"],
      "parameters": {
        "allowedSchemes": "EXTERNAL"
      }
    }
  ]
}
}

    • Freigegebene VPC-Konfigurationen einschränken

      • Freigegebene VPC-Hostprojekte einschränken

        {
"constraint": "constraints/compute.restrictSharedVpcHostProjects",
"listPolicy": {
  "allowedValues": [
    "under:folders/FOLDER_ID",
    "under:projects/PROJECT_ID"
  ]
}
}

      • Freigegebene VPC-Subnetzwerke einschränken

        {
"constraint": "constraints/compute.restrictSharedVpcSubnetworks",
"listPolicy": {
  "deniedValues": [
    "under:organizations/ORGANIZATION_ID",
    "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}
}

      • Backend-Dienste von freigegebenen VPCs einschränken

        {
"constraint": "constraints/compute.restrictCrossProjectServices",
"listPolicy": {
  "allowedValues": [
    "under:folders/FOLDER_ID",
    "under:projects/PROJECT_ID",
    "projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME"
  ]
}
}

  2. Die Einschränkung auf eine Ressource anwenden: entweder eine Organisation, einen Ordner oder ein Projekt.

    Führen Sie für Organisationen den folgenden Befehl aus:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --organization=ORGANIZATION_ID

    Führen Sie den folgenden Befehl aus, um einen Ordner zu erstellen:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --folder=FOLDER_ID

    Führen Sie für Projekte den folgenden Befehl aus, um ein Projekt zu erstellen:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • POLICY_FILE: Der vollständige Pfad zur YAML-Datei für die Organisationsrichtlinie.
    • ORGANIZATION_ID: Ihre Organisations-ID.
    • FOLDER_ID: Ihre Ordner-ID.
    • PROJECT_ID: Ihre Projekt-ID.

Organisationsrichtlinie einrichten, um eine SSL-Richtlinie auf Ziel-HTTPS-Proxys und Ziel-SSL-Proxys anzuwenden

Console

Führen Sie die folgenden Schritte aus, um über die Console eine Organisationsrichtlinie festzulegen:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Suchen Sie im Feld Filter nach der Einschränkung entweder nach Name oder nach ID.

  3. Klicken Sie auf den Namen der Einschränkung.

  4. Klicken Sie auf Bearbeiten, um die Einschränkung zu bearbeiten.

  5. Zum Erstellen einer benutzerdefinierten Richtlinie wählen Sie Anpassen aus und geben die Zulassungsliste oder Sperrliste für Ressourcen an.

  6. Nachdem Sie Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Einstellungen für die Einschränkung zu übernehmen.

gcloud

Dieser Abschnitt enthält einige Konfigurationsbeispiele, die zeigen, wie Sie eine Organisationsrichtliniendatei mit der Einschränkung compute.requireSslPolicy erstellen und festlegen.

  • Erstellen Sie eine Richtliniendatei, um die Verwendung von SSL-Richtlinien zu untersagen.

    {
  "constraint": "constraints/compute.requireSslPolicy",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  • Erstellen Sie eine Richtliniendatei, um eine SSL-Richtlinie auf alle Ziel-HTTPS- und ‑SSL-Proxys unter der angegebenen Ressource in der Ressourcenhierarchie anzuwenden:

    {
  "constraint": "constraints/compute.requireSslPolicy",
  "listPolicy": {
    "allowedValues": [
      "under:folders/FOLDER_ID",
      "under:projects/PROJECT_ID"
    ]
  }
}

  • Wenden Sie die Einschränkung auf HTTPS- und SSL-Zielproxys an: auf eine Organisation, einen Ordner oder ein Projekt.

    Führen Sie für Organisationen den folgenden Befehl aus:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --organization=ORGANIZATION_ID

    Führen Sie den folgenden Befehl aus, um einen Ordner zu erstellen:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --folder=FOLDER_ID

    Führen Sie für Projekte den folgenden Befehl aus, um ein Projekt zu erstellen:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --project=PROJECT_ID

    Ersetzen Sie Folgendes:

  • Führen Sie die folgenden Befehle aus, um die geltende Richtlinie zum Prüfen des Standardverhaltens der Ressource (Organisation, Ordner oder Projekt) abzurufen:

    Für Unternehmen:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --organization=ORGANIZATION_ID

    Für Ordner:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --folder=FOLDER_ID

    Für Projekte:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --project=PROJECT_ID

  • Führen Sie die folgenden Befehle aus, um die Richtlinie aus der Ressource (Organisation, Ordner oder Projekt) zu löschen:

    Für Unternehmen:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --organization=ORGANIZATION_ID

    Für Ordner:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --folder=FOLDER_ID

    Für Projekte:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --project=PROJECT_ID

Informationen zum Einrichten benutzerdefinierter Einschränkungen finden Sie unter Mit benutzerdefinierten Einschränkungen TLS-Funktionen beschränken.

Nächste Schritte