Batasan kebijakan organisasi untuk Cloud Load Balancing

Layanan Kebijakan Organisasi memberi Anda kontrol terpusat dan terprogram atas resource organisasi Anda. Sebagai administrator kebijakan organisasi, Anda dapat menentukan kebijakan organisasi, yang merupakan serangkaian batasan yang disebut batasan yang berlaku untukGoogle Cloud resource dan turunan dari resource tersebut dalam hierarki resourceGoogle Cloud .

Halaman ini memberikan informasi tambahan tentang batasan kebijakan organisasi yang berlaku untuk Cloud Load Balancing. Anda menggunakan batasan kebijakan organisasi untuk menerapkan setelan di seluruh project, folder, atau organisasi.

Kebijakan organisasi hanya berlaku untuk resource baru. Batasan tidak diterapkan secara surut. Jika memiliki resource load balancing yang sudah ada sebelumnya dan melanggar kebijakan organisasi baru, Anda harus mengatasi pelanggaran tersebut secara manual.

Untuk daftar lengkap batasan yang tersedia, lihat Batasan kebijakan organisasi.

Membatasi jenis load balancer

Gunakan kebijakan organisasi untuk membatasi jenis Cloud Load Balancing yang dapat dibuat di organisasi Anda. Tetapkan batasan kebijakan organisasi berikut:

  • Nama: Membatasi Pembuatan Load Balancer Berdasarkan Jenis Load Balancer
  • ID: constraints/compute.restrictLoadBalancerCreationForTypes

Saat menetapkan batasan compute.restrictLoadBalancerCreationForTypes, Anda menentukan daftar yang diizinkan atau daftar yang ditolak dari jenis Cloud Load Balancing. Daftar nilai yang diizinkan atau ditolak hanya dapat menyertakan nilai dari daftar berikut:

  • Load Balancer Aplikasi

    • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS untuk Load Balancer Aplikasi eksternal global
    • EXTERNAL_HTTP_HTTPS untuk Load Balancer Aplikasi klasik
    • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS untuk Load Balancer Aplikasi internal lintas region
    • EXTERNAL_MANAGED_HTTP_HTTPS untuk Load Balancer Aplikasi eksternal regional
    • INTERNAL_HTTP_HTTPS untuk Load Balancer Aplikasi internal regional

  • Load Balancer Jaringan proxy

    • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY untuk Load Balancer Jaringan proxy eksternal global dengan proxy TCP
    • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY untuk Load Balancer Jaringan proxy eksternal global dengan proxy SSL
    • EXTERNAL_TCP_PROXY untuk Load Balancer Jaringan proxy klasik dengan proxy TCP
    • EXTERNAL_SSL_PROXY untuk Load Balancer Jaringan proxy klasik dengan proxy SSL
    • GLOBAL_INTERNAL_MANAGED_TCP_PROXY untuk Load Balancer Jaringan proxy internal lintas region dengan proxy TCP
    • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY untuk Load Balancer Jaringan proxy eksternal regional dengan proxy TCP
    • REGIONAL_INTERNAL_MANAGED_TCP_PROXY untuk Load Balancer Jaringan proxy internal regional dengan proxy TCP

  • Load Balancer Jaringan passthrough

    • EXTERNAL_NETWORK_TCP_UDP untuk Load Balancer Jaringan passthrough eksternal
    • INTERNAL_TCP_UDP untuk Load Balancer Jaringan passthrough internal

Untuk menyertakan semua jenis load balancer internal atau eksternal, gunakan awalan in: diikuti dengan INTERNAL atau EXTERNAL. Misalnya, mengizinkan in:INTERNAL akan mengizinkan semua load balancer internal dari daftar sebelumnya.

Untuk contoh petunjuk tentang cara menggunakan batasan ini, lihat Menyiapkan batasan daftar dengan kebijakan organisasi.

Setelah Anda menetapkan kebijakan, kebijakan tersebut akan diterapkan saat menambahkan aturan penerusanGoogle Cloud yang sesuai. Batasan tidak diterapkan pada konfigurasi Cloud Load Balancing yang ada.

Jika Anda mencoba membuat load balancer dengan jenis yang melanggar batasan, upaya tersebut akan gagal dan pesan error akan muncul. Pesan error memiliki format berikut:

Constraint constraints/compute.restrictLoadBalancerCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Jika Anda menetapkan beberapa batasan restrictLoadBalancerCreationForTypes pada level resource yang berbeda, batasan tersebut akan diterapkan secara hierarkis. Oleh karena itu, sebaiknya tetapkan kolom inheritFromParent ke true, yang memastikan bahwa kebijakan di lapisan yang lebih tinggi juga dipertimbangkan.

Pesan error GKE

Jika Anda menggunakan Google Kubernetes Engine (GKE), dan seseorang di organisasi Anda telah membuat kebijakan organisasi yang membatasi jenis load balancer yang dapat dibuat, Anda akan melihat pesan error yang mirip dengan berikut ini:

Warning  Sync    28s   loadbalancer-controller  Error during sync: error running
load balancer syncing routine: loadbalancer FORWARDING_RULE_NAME
does not exist: googleapi: Error 412:
Constraint constraints/compute.restrictLoadBalancerCreationForTypes violated for
projects/PROJECT_ID. Forwarding Rule
projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
of type LOAD_BALANCER_TYPE is not allowed, conditionNotMet

Bergantung pada kebijakan, hal ini dapat membatasi kemampuan Anda untuk membuat resource load balancer baru seperti Services, Ingress, atau Gateway. Hubungi administrator kebijakan organisasi Anda untuk membantu Anda memahami pembatasan yang diterapkan.

Anda dapat melihat pesan error GKE dengan menjalankan perintah berikut:

kubectl get events -w

kubectl describe RESOURCE_KIND NAME

Ganti kode berikut:

  • RESOURCE_KIND: jenis load balancer, ingress atau service
  • NAME: nama load balancer

Menonaktifkan load balancing global

Batasan terkelola lama ini menonaktifkan pembuatan produk load balancing global. Jika diterapkan, hanya produk load balancing regional tanpa dependensi global yang dapat dibuat.

  • Nama: Nonaktifkan Load Balancing Global
  • ID: constraints/compute.disableGlobalLoadBalancing

Secara default, pengguna diizinkan untuk membuat produk load balancing global.

Untuk contoh petunjuk tentang cara menggunakan batasan ini, lihat Menyiapkan batasan boolean dengan kebijakan organisasi.

Membatasi jenis deployment penerusan protokol

Gunakan kebijakan organisasi untuk membatasi jenis deployment penerusan protokol (internal atau eksternal) yang dapat dibuat di organisasi Anda. Tetapkan batasan kebijakan organisasi berikut:

  • Nama: Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP
  • ID: constraints/compute.managed.restrictProtocolForwardingCreationForTypes

Untuk mengonfigurasi batasan compute.managed.restrictProtocolForwardingCreationForTypes, Anda menentukan daftar yang diizinkan atau daftar yang ditolak dari jenis deployment penerusan protokol yang akan diizinkan atau ditolak. Daftar nilai yang diizinkan atau ditolak hanya dapat menyertakan nilai berikut:

  • INTERNAL
  • EXTERNAL

Secara default, organisasi yang baru dibuat memiliki kebijakan ini yang dikonfigurasi untuk mengizinkan penerusan protokol INTERNAL saja. Artinya, semua aturan penerusan yang terkait dengan instance target dibatasi untuk hanya menggunakan alamat IP internal. Jika Anda ingin menggunakan penerusan protokol dengan alamat IP eksternal, atau, jika Anda ingin melarang pengguna menggunakan penerusan protokol dengan alamat IP internal, maka Anda harus memperbarui kebijakan organisasi ini.

Setelah Anda memperbarui kebijakan, perubahan akan diterapkan saat Anda membuat aturan penerusan baru yang terkait dengan instance target. Batasan tidak diterapkan secara retroaktif pada konfigurasi penerusan protokol yang ada.

Untuk contoh petunjuk tentang cara menggunakan batasan ini, lihat Menyiapkan batasan daftar dengan kebijakan organisasi.

Jika Anda mencoba membuat deployment penerusan protokol dari jenis yang melanggar batasan, upaya tersebut akan gagal dan pesan error akan ditampilkan. Pesan error memiliki format berikut:

Constraint constraints/compute.managed.restrictProtocolForwardingCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule
projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Jika Anda menetapkan beberapa batasan compute.managed.restrictProtocolForwardingCreationForTypes di berbagai tingkat resource, dan jika Anda menetapkan kolom inheritFromParent ke true, maka batasan akan diterapkan secara hierarkis.

Menerapkan batasan VPC Bersama

Gunakan kebijakan organisasi berikut untuk membatasi cara pengguna diizinkan menyiapkan deployment VPC Bersama.

Membatasi project host VPC Bersama

Batasan terkelola lama ini memungkinkan Anda membatasi project host VPC Bersama yang dapat dilampiri resource.

  • Nama: Batasi project host VPC Bersama
  • ID: constraints/compute.restrictSharedVpcHostProjects

Secara default, sebuah project dapat terhubung ke project host mana pun dalam organisasi yang sama, sehingga menjadi project layanan. Saat menetapkan batasan compute.restrictSharedVpcHostProjects, Anda menentukan daftar yang diizinkan atau daftar yang tidak diizinkan untuk project host dengan cara berikut:

  • Tentukan project dalam format berikut:
    • projects/PROJECT_ID
  • Tentukan project, folder, atau organisasi. Batasan ini berlaku untuk semua project dalam resource yang ditentukan dalam hierarki resource. Gunakan format berikut:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID

Untuk contoh petunjuk tentang cara menggunakan batasan ini, lihat Menyiapkan batasan daftar dengan kebijakan organisasi.

Membatasi subnetwork VPC Bersama

Batasan terkelola lama ini menentukan kumpulan subnet VPC Bersama yang dapat digunakan oleh resource yang memenuhi syarat. Batasan ini tidak berlaku untuk resource dalam project yang sama.

  • Nama: Batasi subnetwork VPC Bersama
  • ID: constraints/compute.restrictSharedVpcSubnetworks

Secara default, resource yang memenuhi syarat dapat menggunakan subnet VPC Bersama mana pun. Saat menetapkan batasan compute.restrictSharedVpcSubnetworks, Anda menentukan daftar subnet terbatas dengan cara berikut:

  • Tentukan subnet dalam format berikut:
    • projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
  • Tentukan project, folder, atau organisasi. Batasan berlaku untuk semua subnet di resource yang ditentukan dalam hierarki resource. Gunakan format berikut:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Untuk contoh petunjuk tentang cara menggunakan batasan ini, lihat Menyiapkan batasan daftar dengan kebijakan organisasi.

Membatasi bucket backend dan layanan backend lintas project

Anda dapat menggunakan batasan ini untuk membatasi layanan backend dan bucket backend yang dapat dirujuk oleh peta URL. Batasan ini tidak berlaku untuk layanan backend dan bucket backend dalam project yang sama dengan peta URL.

  • Nama: Membatasi layanan backend dan bucket backend lintas project
  • ID: constraints/compute.restrictCrossProjectServices

Secara default, peta URL dalam satu project dapat mereferensikan layanan backend dan bucket backend yang kompatibel dari project lain dalam organisasi yang sama selama pengguna yang melakukan tindakan memiliki izin compute.backendServices.use, compute.regionBackendServices.use, atau compute.backendBuckets.use.

Untuk mengonfigurasi batasan restrictCrossProjectServices, Anda dapat menentukan daftar yang diizinkan atau daftar yang tidak diizinkan untuk layanan backend atau bucket backend dengan cara berikut:

  • Tentukan layanan backend dalam format berikut:
    • projects/PROJECT_ID/regions/REGION/backendservices/BACKEND_SERVICE_NAME
    • projects/PROJECT_ID/global/backendservices/BACKEND_SERVICE_NAME

  • Tentukan bucket backend dalam format berikut:

    • projects/PROJECT_ID/regions/REGION/backendbuckets/BACKEND_BUCKET_NAME
    • projects/PROJECT_ID/global/backendbuckets/BACKEND_BUCKET_NAME

  • Tentukan project, folder, atau organisasi. Batasan ini berlaku untuk semua layanan backend dan bucket backend di resource yang ditentukan dalam hierarki resource. Gunakan format berikut:

    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Setelah Anda menyiapkan kebijakan organisasi dengan batasan ini, batasan tersebut akan berlaku saat Anda menggunakan perintah gcloud compute url-maps untuk melampirkan layanan backend atau bucket backend ke peta URL. Batasan ini tidak memengaruhi secara retroaktif referensi yang ada ke layanan backend lintas project atau bucket backend.

Batasan ini berlaku untuk semua jenis deployment, termasuk VPC Bersama. Untuk menghindari konflik, sebaiknya jangan gunakan batasan ini dan batasan compute.restrictSharedVpcBackendServices yang dijelaskan di bagian berikutnya.

Untuk contoh petunjuk tentang cara menggunakan batasan ini, lihat Menyiapkan batasan daftar dengan kebijakan organisasi.

Membatasi layanan backend VPC Bersama

Anda dapat menggunakan batasan ini untuk membatasi layanan backend yang dapat dirujuk oleh peta URL dalam deployment VPC Bersama yang menggunakan referensi layanan lintas project. Batasan ini tidak berlaku untuk layanan backend dalam project yang sama dengan peta URL.

  • Name: Membatasi layanan backend VPC Bersama
  • ID: constraints/compute.restrictSharedVpcBackendServices

Sebaiknya gunakan batasan compute.restrictCrossProjectServices yang didokumentasikan di bagian sebelumnya. Batasan compute.restrictCrossProjectServices berlaku untuk semua jenis deployment, baik VPC Bersama maupun lainnya, dan berlaku untuk bucket backend dan layanan backend.

Membatasi penghapusan lien project VPC Bersama

Batasan terkelola lama ini membatasi kumpulan pengguna yang dapat menghapus lien project host VPC Bersama tanpa izin tingkat organisasi jika batasan ini sudah ditetapkan ke True.

  • Nama: Membatasi penghapusan lien project VPC Bersama
  • ID: constraints/compute.restrictXpnProjectLienRemoval

Secara default, setiap pengguna dengan izin untuk memperbarui lien dapat menghapus lien project host VPC Bersama. Untuk menerapkan batasan ini, izin harus diberikan di tingkat organisasi.

Untuk contoh petunjuk tentang cara menggunakan batasan ini, lihat Menyiapkan batasan boolean dengan kebijakan organisasi.

Membatasi kemampuan TLS dengan batasan kustom

Untuk memenuhi persyaratan kepatuhan dan membatasi kemampuan Transport Layer Security (TLS) tertentu, Anda dapat membuat batasan kebijakan organisasi berikut dan menggunakannya bersama batasan kustom untuk resource kebijakan SSL:

  • Nama: Kebijakan Require SSL
  • ID: constraints/compute.requireSslPolicy

Dengan menggunakan batasan compute.requireSslPolicy bersama dengan batasan kustom untuk kolom kebijakan SSL, Anda dapat membuat batasan yang disesuaikan dengan deployment Anda. Misalnya, Anda dapat melakukan hal berikut:

  • Tingkatkan keamanan dan penuhi persyaratan kepatuhan dengan membatasi penggunaan versi TLS yang lebih lama (seperti 1.0 dan 1.1) dan cipher suite.
  • Meningkatkan performa dengan mengurangi jumlah handshake yang diperlukan dan dengan meningkatkan kompatibilitas load balancer dengan klien.
  • Menerapkan batasan pada node resource tertentu dan turunannya. Misalnya, jika Anda menolak TLS versi 1.0 untuk organisasi, TLS versi 1.0 juga akan ditolak untuk semua folder dan project (turunan) yang berasal dari organisasi tersebut.

Untuk menerapkan kebijakan SSL bagi Load Balancer Aplikasi atau Load Balancer Jaringan proxy, Anda harus melampirkannya ke proxy HTTPS target atau proxy SSL target load balancer.

Untuk memperbarui kebijakan SSL yang ada, lihat Mengelola kebijakan SSL.

Menggunakan aturan boolean dalam kebijakan organisasi

Konsol

Untuk menetapkan kebijakan organisasi dari konsol, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Organization policies.

    Buka Organization policies

  2. Di kolom Filter, telusuri batasan berdasarkan Nama atau ID.
  3. Klik nama batasan.
  4. Klik Edit untuk mengedit batasan.
  5. Pada halaman Edit, pilih Customize.
  6. Di bagian Penerapan, pilih opsi penerapan:
    • Untuk mengaktifkan penerapan batasan ini, pilih On.
    • Untuk menonaktifkan penerapan batasan ini, pilih Off.
  7. Setelah membuat perubahan, klik Simpan untuk menerapkan setelan batasan.

Untuk mengetahui petunjuk mendetail tentang cara menyesuaikan kebijakan organisasi menggunakan konsol Google Cloud , lihat Menyesuaikan kebijakan untuk batasan boolean.

gcloud

Untuk mengaktifkan penerapan batasan yang menggunakan aturan boolean, gunakan perintah gcloud resource-manager org-policies enable-enforce sebagai berikut.

Untuk mengaktifkan pembatasan penghapusan lien project VPC Bersama:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.restrictXpnProjectLienRemoval

Untuk menonaktifkan load balancing global:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.disableGlobalLoadBalancing

Untuk mengetahui petunjuk mendetail tentang cara menggunakan aturan boolean di gcloud, lihat Menggunakan aturan boolean dalam kebijakan organisasi.

Menyiapkan aturan daftar dalam kebijakan organisasi

Konsol

Untuk menetapkan kebijakan organisasi dari konsol, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Organization policies.

    Buka Organization policies

  2. Di kolom Filter, telusuri batasan berdasarkan Nama atau ID. Misalnya, untuk membatasi project host VPC Bersama, Anda menelusuri ID: constraints/compute.restrictSharedVpcHostProjects.
  3. Klik nama batasan.
  4. Klik Edit untuk mengedit batasan.
  5. Untuk membuat kebijakan kustom, pilih Sesuaikan dan tentukan daftar yang diizinkan atau daftar yang ditolak untuk resource. Untuk petunjuk yang lebih mendetail tentang cara menyesuaikan kebijakan organisasi menggunakan Google Cloud konsol, lihat Menyesuaikan kebijakan untuk batasan daftar.
  6. Setelah membuat perubahan, klik Simpan untuk menerapkan setelan batasan.

gcloud

Bagian ini memberikan beberapa contoh konfigurasi untuk menunjukkan cara membuat dan menetapkan kebijakan organisasi dengan batasan terkelola lama menggunakan aturan daftar. Untuk petunjuk yang lebih mendetail tentang cara menggunakan aturan daftar dan kebijakan organisasi di gcloud, lihat Menggunakan aturan daftar dalam kebijakan organisasi.

  1. Buat file kebijakan. Gunakan contoh konfigurasi JSON berikut untuk membuat file kebijakan Anda sendiri berdasarkan persyaratan Anda.

    • Membatasi jenis load balancer

      • Hanya mengizinkan sebagian load balancer

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "allowedValues": [
    "INTERNAL_TCP_UDP",
    "EXTERNAL_NETWORK_TCP_UDP"
  ]
}
}

      • Menolak semua load balancer eksternal

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "deniedValues": [
    "in:EXTERNAL"
  ]
}
}

      • Tolak semua load balancer

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "allValues": "DENY"
}
}

    • Membatasi jenis penerusan protokol

      • Menolak semua penerusan protokol

        {
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes",
"spec": {
  "rules": [
    {
      "enforce": ["true"],
      "parameters": {
        "denyAll": "true"
      }
    }
  ]
}
}

      • Hanya mengizinkan penerusan protokol internal

        {
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes",
"spec": {
  "rules": [
    {
      "enforce": ["true"],
      "parameters": {
        "allowedSchemes": "EXTERNAL"
      }
    }
  ]
}
}

    • Membatasi konfigurasi VPC Bersama

      • Membatasi project host VPC Bersama

        {
"constraint": "constraints/compute.restrictSharedVpcHostProjects",
"listPolicy": {
  "allowedValues": [
    "under:folders/FOLDER_ID",
    "under:projects/PROJECT_ID"
  ]
}
}

      • Membatasi subnetwork VPC Bersama

        {
"constraint": "constraints/compute.restrictSharedVpcSubnetworks",
"listPolicy": {
  "deniedValues": [
    "under:organizations/ORGANIZATION_ID",
    "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}
}

      • Membatasi layanan backend VPC Bersama

        {
"constraint": "constraints/compute.restrictCrossProjectServices",
"listPolicy": {
  "allowedValues": [
    "under:folders/FOLDER_ID",
    "under:projects/PROJECT_ID",
    "projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME"
  ]
}
}

  2. Terapkan batasan ke resource: organisasi, folder, atau project.

    Untuk organisasi, jalankan perintah berikut:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --organization=ORGANIZATION_ID

    Untuk folder, jalankan perintah berikut:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --folder=FOLDER_ID

    Untuk project, jalankan perintah berikut:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --project=PROJECT_ID

    Ganti kode berikut:

    • POLICY_FILE: Jalur lengkap ke file YAML kebijakan organisasi Anda.
    • ORGANIZATION_ID: ID organisasi Anda.
    • FOLDER_ID: ID folder Anda.
    • PROJECT_ID: Project ID Anda.

Menyiapkan kebijakan organisasi untuk menerapkan kebijakan SSL ke proxy HTTPS target dan proxy SSL target

Konsol

Untuk menetapkan kebijakan organisasi dari konsol, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Organization policies.

    Buka Organization policies

  2. Di kolom Filter, telusuri batasan berdasarkan Nama atau ID.

  3. Klik nama batasan.

  4. Klik Edit untuk mengedit batasan.

  5. Untuk membuat kebijakan kustom, pilih Sesuaikan dan tentukan daftar yang diizinkan atau daftar yang ditolak untuk resource.

  6. Setelah membuat perubahan, klik Simpan untuk menerapkan setelan batasan.

gcloud

Bagian ini memberikan beberapa contoh konfigurasi yang menunjukkan cara membuat dan menyetel file kebijakan organisasi dengan batasan compute.requireSslPolicy.

  • Buat file kebijakan untuk melarang penggunaan kebijakan SSL.

    {
  "constraint": "constraints/compute.requireSslPolicy",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  • Buat file kebijakan untuk menerapkan kebijakan SSL ke semua proxy SSL dan HTTPS target di resource yang ditentukan dalam hierarki resource:

    {
  "constraint": "constraints/compute.requireSslPolicy",
  "listPolicy": {
    "allowedValues": [
      "under:folders/FOLDER_ID",
      "under:projects/PROJECT_ID"
    ]
  }
}

  • Terapkan batasan ke proxy HTTPS dan SSL target: organisasi, folder, atau project.

    Untuk organisasi, jalankan perintah berikut:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --organization=ORGANIZATION_ID

    Untuk folder, jalankan perintah berikut:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --folder=FOLDER_ID

    Untuk project, jalankan perintah berikut:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --project=PROJECT_ID

    Ganti kode berikut:

  • Untuk mendapatkan kebijakan efektif guna memverifikasi perilaku default resource (organisasi, folder, atau project), jalankan perintah berikut:

    Untuk organisasi:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --organization=ORGANIZATION_ID

    Untuk folder:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --folder=FOLDER_ID

    Untuk project:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --project=PROJECT_ID

  • Untuk menghapus kebijakan dari resource (organisasi, folder, atau project), jalankan perintah berikut:

    Untuk organisasi:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --organization=ORGANIZATION_ID

    Untuk folder:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --folder=FOLDER_ID

    Untuk project:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --project=PROJECT_ID

Untuk menyiapkan batasan kustom, lihat Menggunakan batasan kustom untuk membatasi kemampuan TLS.

Langkah berikutnya