Vincoli dei criteri dell'organizzazione per Cloud Load Balancing

Il servizio Policy dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore delle policy dell'organizzazione, puoi definire una policy dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorseGoogle Cloud e ai discendenti di queste risorse nella gerarchia delle risorseGoogle Cloud .

Questa pagina fornisce informazioni supplementari sui vincoli dei criteri dell'organizzazione che si applicano a Cloud Load Balancing. Utilizzi i vincoli dei criteri dell'organizzazione per applicare le impostazioni a un intero progetto, cartella o organizzazione.

I criteri dell'organizzazione si applicano solo alle nuove risorse. I vincoli non vengono applicati retroattivamente. Se hai risorse di bilanciamento del carico preesistenti che sono in violazione di una nuova policy dell'organizzazione, dovrai risolvere manualmente queste violazioni.

Per un elenco completo dei vincoli disponibili, consulta Vincoli delle policy dell'organizzazione.

Limita i tipi di bilanciatore del carico

Utilizza una policy dell'organizzazione per limitare i tipi di Cloud Load Balancing che possono essere creati nella tua organizzazione. Imposta il seguente vincolo per la policy dell'organizzazione:

  • Nome:Limita la creazione del bilanciatore del carico in base ai tipi di bilanciatore del carico
  • ID: constraints/compute.restrictLoadBalancerCreationForTypes

Quando imposti il vincolo compute.restrictLoadBalancerCreationForTypes, specifichi un elenco consentito o negato dei tipi di Cloud Load Balancing. L'elenco dei valori consentiti o negati può includere solo valori compresi nell'elenco seguente:

  • Bilanciatori del carico delle applicazioni

    • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS per il bilanciatore del carico delle applicazioni esterno globale
    • EXTERNAL_HTTP_HTTPS per il bilanciatore del carico delle applicazioni classico
    • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS per il bilanciatore del carico delle applicazioni interno tra regioni
    • EXTERNAL_MANAGED_HTTP_HTTPS per il bilanciatore del carico delle applicazioni esterno regionale
    • INTERNAL_HTTP_HTTPS per il bilanciatore del carico delle applicazioni interno regionale

  • Bilanciatori del carico di rete proxy

    • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY per il bilanciatore del carico di rete proxy esterno globale con un proxy TCP
    • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY per il bilanciatore del carico di rete proxy esterno globale con un proxy SSL
    • EXTERNAL_TCP_PROXY per il bilanciatore del carico di rete proxy classico con un proxy TCP
    • EXTERNAL_SSL_PROXY per il bilanciatore del carico di rete proxy classico con un proxy SSL
    • GLOBAL_INTERNAL_MANAGED_TCP_PROXY per il bilanciatore del carico di rete proxy interno tra regioni con un proxy TCP
    • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY per il bilanciatore del carico di rete proxy esterno regionale con un proxy TCP
    • REGIONAL_INTERNAL_MANAGED_TCP_PROXY per il bilanciatore del carico di rete proxy interno regionale con un proxy TCP

  • Bilanciatori del carico di rete passthrough

    • EXTERNAL_NETWORK_TCP_UDP per il bilanciatore del carico di rete passthrough esterno
    • INTERNAL_TCP_UDP per il bilanciatore del carico di rete passthrough interno

Per includere tutti i tipi di bilanciatore del carico interni o esterni, utilizza il prefisso in: seguito da INTERNAL o EXTERNAL. Ad esempio, se autorizzi in:INTERNAL autorizzerai tutti i bilanciatori del carico interni dell'elenco precedente.

Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli di elenco con le policy dell'organizzazione.

Dopo aver impostato il criterio, questo viene applicato quando vengono aggiunte le rispettive Google Cloud regole di inoltro. Il vincolo non viene applicato alle configurazioni Cloud Load Balancing esistenti.

Se tenti di creare un bilanciatore del carico di un tipo che viola il vincolo, il tentativo non va a buon fine e viene generato un messaggio di errore. Il messaggio di errore ha il seguente formato:

Constraint constraints/compute.restrictLoadBalancerCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Se imposti più vincoli restrictLoadBalancerCreationForTypes a livelli di risorse diversi, questi vengono applicati in modo gerarchico. Per questo motivo, ti consigliamo di impostare il campo inheritFromParent su true, in modo da garantire che vengano prese in considerazione anche le norme dei livelli superiori.

Messaggi di errore di GKE

Se utilizzi Google Kubernetes Engine (GKE) e qualcuno della tua organizzazione ha creato un criterio dell'organizzazione che limita i tipi di bilanciatori del carico che possono essere creati, visualizzerai un messaggio di errore simile al seguente:

Warning  Sync    28s   loadbalancer-controller  Error during sync: error running
load balancer syncing routine: loadbalancer FORWARDING_RULE_NAME
does not exist: googleapi: Error 412:
Constraint constraints/compute.restrictLoadBalancerCreationForTypes violated for
projects/PROJECT_ID. Forwarding Rule
projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
of type LOAD_BALANCER_TYPE is not allowed, conditionNotMet

A seconda della policy, questo potrebbe limitare la tua capacità di creare nuove risorse di bilanciamento del carico come Servizi, Ingress o Gateway. Contatta gli amministratori dei criteri della tua organizzazione per capire quali restrizioni sono in vigore.

Puoi visualizzare i messaggi di errore di GKE eseguendo i seguenti comandi:

kubectl get events -w

kubectl describe RESOURCE_KIND NAME

Sostituisci quanto segue:

  • RESOURCE_KIND: il tipo di bilanciatore del carico, ingress o service
  • NAME: il nome del bilanciatore del carico

Disabilita il bilanciamento del carico globale

Questo vincolo gestito legacy disabilita la creazione di prodotti di bilanciamento del carico globale. Quando applicato, è possibile creare solo prodotti di bilanciamento del carico a livello di regione senza dipendenze globali.

  • Nome: Disabilita bilanciamento del carico globale
  • ID: constraints/compute.disableGlobalLoadBalancing

Per impostazione predefinita, gli utenti possono creare prodotti di bilanciamento del carico globale.

Per istruzioni di esempio su come utilizzare questo vincolo, vedi Configurare i vincoli booleani con le policy dell'organizzazione.

Limitare i tipi di deployment di forwarding di protocollo

Utilizza una policy dell'organizzazione per limitare i tipi di deployment di inoltro del protocollo (interno o esterno) che possono essere creati nella tua organizzazione. Imposta il seguente vincolo dei criteri dell'organizzazione:

  • Nome:Limita forwarding di protocollo in base al tipo di indirizzo IP
  • ID: constraints/compute.managed.restrictProtocolForwardingCreationForTypes

Per configurare il vincolo compute.managed.restrictProtocolForwardingCreationForTypes, specifica una lista consentita o una lista bloccata del tipo di deployment di inoltro del protocollo da consentire o negare. L'elenco dei valori consentiti o negati può includere solo i seguenti valori:

  • INTERNAL
  • EXTERNAL

Per impostazione predefinita, le organizzazioni appena create hanno questa policy configurata per consentire solo l'inoltro del protocollo INTERNAL. ovvero, tutte le regole di forwarding associate alle istanze di destinazione sono limitate all'utilizzo solo di indirizzi IP interni. Se vuoi utilizzare il forwarding del protocollo con indirizzi IP esterni o se vuoi impedire agli utenti di utilizzare il forwarding del protocollo con indirizzi IP interni, devi aggiornare questo criterio dell'organizzazione.

Dopo aver aggiornato il criterio, le modifiche vengono applicate quando crei nuove regole di forwarding associate alle istanze di destinazione. Il vincolo non viene applicato retroattivamente alle configurazioni di inoltro del protocollo esistenti.

Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli di elenco con le policy dell'organizzazione.

Se tenti di creare un deployment di inoltro del protocollo di un tipo che viola il vincolo, il tentativo non va a buon fine e viene generato un messaggio di errore. Il messaggio di errore ha il seguente formato:

Constraint constraints/compute.managed.restrictProtocolForwardingCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule
projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Se imposti più vincoli compute.managed.restrictProtocolForwardingCreationForTypes a diversi livelli di risorse e se imposti il campo inheritFromParent su true, i vincoli vengono applicati in modo gerarchico.

Applica le limitazioni del VPC condiviso

Utilizza le seguenti policy dell'organizzazione per limitare il modo in cui gli utenti possono configurare i deployment VPC condiviso.

Limita progetti host con VPC condivise

Questo vincolo gestito legacy consente di limitare i progetti host con VPC condiviso a cui una risorsa può essere collegata.

  • Nome:limita progetti host con VPC condivise
  • ID: constraints/compute.restrictSharedVpcHostProjects

Per impostazione predefinita, un progetto può essere associato a qualsiasi progetto host nella stessa organizzazione, diventando quindi un progetto di servizio. Quando imposti il vincolo compute.restrictSharedVpcHostProjects, specifichi una lista consentita o una lista bloccata di progetti host nei seguenti modi:

  • Specifica un progetto nel seguente formato:
    • projects/PROJECT_ID
  • Specifica un progetto, una cartella o un'organizzazione. Il vincolo si applica a tutti i progetti nella risorsa specificata nella gerarchia delle risorse. Utilizza il seguente formato:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID

Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli di elenco con le policy dell'organizzazione.

Limita subnet VPC condivise

Questo vincolo gestito legacy definisce l'insieme di subnet VPC condiviso che le risorse idonee possono utilizzare. Questo vincolo non si applica alle risorse all'interno dello stesso progetto.

  • Nome:limita le subnet VPC condivise
  • ID: constraints/compute.restrictSharedVpcSubnetworks

Per impostazione predefinita, le risorse idonee possono utilizzare qualsiasi subnet VPC condiviso. Quando imposti il vincolo compute.restrictSharedVpcSubnetworks, specifichi un elenco limitato di subnet nei seguenti modi:

  • Specifica una subnet nel seguente formato:
    • projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
  • Specifica un progetto, una cartella o un'organizzazione. Il vincolo si applica a tutte le subnet nella risorsa specificata nella gerarchia delle risorse. Utilizza il seguente formato:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli di elenco con le policy dell'organizzazione.

Limita i bucket di backend e i servizi di backend tra progetti

Puoi utilizzare questo vincolo per limitare i servizi di backend e i bucket di backend a cui può fare riferimento una mappa URL. Questo vincolo non si applica ai servizi di backend e ai bucket di backend all'interno dello stesso progetto della mappa URL.

  • Nome: Limita i bucket di backend e i servizi di backend tra progetti
  • ID: constraints/compute.restrictCrossProjectServices

Per impostazione predefinita, una mappa URL in un progetto può fare riferimento a servizi di backend e bucket di backend compatibili di altri progetti nella stessa organizzazione, purché l'utente che esegue l'azione disponga dell'autorizzazione compute.backendServices.use, compute.regionBackendServices.use o compute.backendBuckets.use.

Per configurare il vincolo restrictCrossProjectServices, puoi specificare un elenco consentito o un elenco negato di servizi di backend o bucket di backend nei seguenti modi:

  • Specifica i servizi di backend nel seguente formato:
    • projects/PROJECT_ID/regions/REGION/backendservices/BACKEND_SERVICE_NAME
    • projects/PROJECT_ID/global/backendservices/BACKEND_SERVICE_NAME

  • Specifica i bucket di backend nel seguente formato:

    • projects/PROJECT_ID/regions/REGION/backendbuckets/BACKEND_BUCKET_NAME
    • projects/PROJECT_ID/global/backendbuckets/BACKEND_BUCKET_NAME

  • Specifica un progetto, una cartella o un'organizzazione. Il vincolo si applica a tutti i servizi di backend e bucket di backend nella risorsa specificata nella gerarchia delle risorse. Utilizza il formato seguente:

    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Dopo aver configurato una policy dell'organizzazione con questo vincolo, quest'ultimo diventa effettivo la volta successiva che utilizzi il comando gcloud compute url-maps per collegare un servizio di backend o un bucket di backend a una mappa URL. Il vincolo non influisce retroattivamente sui riferimenti esistenti a servizi di backend o bucket di backend tra progetti.

Questo vincolo si applica a tutti i tipi di deployment, inclusa VPC condiviso. Per evitare conflitti, ti consigliamo di non utilizzare sia questo vincolo sia il vincolo compute.restrictSharedVpcBackendServices descritto nella sezione successiva.

Per istruzioni di esempio su come utilizzare questo vincolo, consulta Configurare i vincoli di elenco con le policy dell'organizzazione.

Limita servizi di backend del VPC condiviso

Puoi utilizzare questo vincolo per limitare i servizi di backend a cui una mappa URL può fare riferimento nelle implementazioni VPC condiviso che utilizzano il riferimento ai servizi tra progetti. Questo vincolo non si applica ai servizi di backend all'interno dello stesso progetto della mappa URL.

  • Nome:Limita servizi di backend del VPC condiviso
  • ID: constraints/compute.restrictSharedVpcBackendServices

Ti consigliamo di utilizzare invece il vincolo compute.restrictCrossProjectServices documentato nella sezione precedente. Il vincolo compute.restrictCrossProjectServices si applica a tutti i tipi di deployment, VPC condiviso o meno, e sia ai bucket di backend che ai servizi di backend.

Limita la rimozione dei blocchi sul progetto del VPC condiviso

Questo vincolo gestito legacy limita l'insieme di utenti che possono rimuovere un blocco del progetto hostVPC condivisoa senza autorizzazione a livello di organizzazione in cui questo vincolo è già impostato su True.

  • Nome: Limita la rimozione dei blocchi sul progetto del VPC condiviso
  • ID: constraints/compute.restrictXpnProjectLienRemoval

Per impostazione predefinita, qualsiasi utente con l'autorizzazione all'aggiornamento dei blocchi può rimuovere un blocco del progetto host VPC condiviso. L'applicazione di questo vincolo richiede che l'autorizzazione sia concessa a livello di organizzazione.

Per istruzioni di esempio su come utilizzare questo vincolo, vedi Configurare i vincoli booleani con le policy dell'organizzazione.

Limitare le funzionalità TLS con vincoli personalizzati

Per soddisfare i requisiti di conformità e limitare determinate funzionalità di Transport Layer Security (TLS), puoi creare il seguente vincolo di policy dell'organizzazione e utilizzarlo insieme ai vincoli personalizzati per le risorse delle policy SSL:

  • Nome: Richiedi policy SSL
  • ID: constraints/compute.requireSslPolicy

Utilizzando il vincolo compute.requireSslPolicy insieme ai tuoi vincoli personalizzati per i campi dei criteri SSL, puoi creare restrizioni personalizzate per le tue implementazioni. Ad esempio, puoi fare quanto segue:

  • Migliora la sicurezza e soddisfa i requisiti di conformità limitando l'utilizzo di versioni TLS precedenti (come 1.0 e 1.1) e suite di crittografia.
  • Migliora le prestazioni riducendo il numero di handshake richiesti e migliorando la compatibilità del bilanciatore del carico con i client.
  • Applica una limitazione a un nodo di risorse specifico e ai relativi figli. Ad esempio, se neghi la versione TLS 1.0 per un'organizzazione, viene negata anche per tutte le cartelle e i progetti (elementi secondari) che derivano da quell'organizzazione.

Per applicare un criterio SSL a un bilanciatore del carico delle applicazioni o a un bilanciatore del carico di rete proxy, devi collegarlo al proxy HTTPS di destinazione o al proxy SSL di destinazione del bilanciatore del carico.

Per aggiornare le policy SSL esistenti, consulta Gestire le policy SSL.

Utilizzare regole booleane nei criteri dell'organizzazione

Console

Per impostare una policy dell'organizzazione dalla console, completa i seguenti passaggi:

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel campo Filtro, cerca il vincolo per Nome o per ID.
  3. Fai clic sul nome del vincolo.
  4. Fai clic su Modifica per modificare il vincolo.
  5. Nella pagina Modifica, seleziona Personalizza.
  6. In Applicazione forzata, seleziona un'opzione di applicazione:
    • Per attivare l'applicazione di questo vincolo, seleziona On.
    • Per disattivare l'applicazione di questo vincolo, seleziona Off.
  7. Dopo aver apportato le modifiche, fai clic su Salva per applicare le impostazioni del vincolo.

Per istruzioni dettagliate sulla personalizzazione delle policy dell'organizzazione utilizzando la console Google Cloud , consulta Personalizzazione delle policy per i vincoli booleani.

gcloud

Per abilitare l'applicazione di un vincolo che utilizza regole booleane, utilizza il comando gcloud resource-manager org-policies enable-enforce come segue.

Per attivare la limitazione della rimozione dei blocchi sul progetto del VPC condiviso:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.restrictXpnProjectLienRemoval

Per disabilitare il bilanciamento del carico globale:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.disableGlobalLoadBalancing

Per istruzioni dettagliate sull'utilizzo delle regole booleane in gcloud, vedi Utilizzare le regole booleane nella policy dell'organizzazione.

Configurare le regole degli elenchi nei criteri dell'organizzazione

Console

Per impostare una policy dell'organizzazione dalla console, completa i seguenti passaggi:

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel campo Filtro, cerca il vincolo per Nome o per ID. Ad esempio, per limitare i progetti host con VPC condiviso, cerca l'ID: constraints/compute.restrictSharedVpcHostProjects.
  3. Fai clic sul nome del vincolo.
  4. Fai clic su Modifica per modificare il vincolo.
  5. Per creare una policy personalizzata, seleziona Personalizza e specifica la lista consentita o la lista bloccata di risorse. Per istruzioni più dettagliate sulla personalizzazione delle policy dell'organizzazione utilizzando la console Google Cloud , consulta Personalizzazione delle policy per i vincoli di elenco.
  6. Dopo aver apportato le modifiche, fai clic su Salva per applicare le impostazioni del vincolo.

gcloud

Questa sezione fornisce alcuni esempi di configurazione per mostrare come creare e impostare una policy dell'organizzazione con un vincolo gestito legacy utilizzando regole di elenco. Per istruzioni più dettagliate su come utilizzare le regole degli elenchi e le policy dell'organizzazione in gcloud, consulta Utilizzare le regole degli elenchi nella policy dell'organizzazione.

  1. Crea il file di policy. Utilizza i seguenti esempi di configurazione JSON per creare il tuo file di criteri in base ai tuoi requisiti.

    • Limita i tipi di bilanciatori del carico

      • Consenti solo un sottoinsieme di bilanciatori del carico

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "allowedValues": [
    "INTERNAL_TCP_UDP",
    "EXTERNAL_NETWORK_TCP_UDP"
  ]
}
}

      • Nega tutti i bilanciatori del carico esterni

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "deniedValues": [
    "in:EXTERNAL"
  ]
}
}

      • Nega tutti i bilanciatori del carico

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "allValues": "DENY"
}
}

    • Limita i tipi di forwarding di protocollo

      • Nega tutto il forwarding del protocollo

        {
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes",
"spec": {
  "rules": [
    {
      "enforce": ["true"],
      "parameters": {
        "denyAll": "true"
      }
    }
  ]
}
}

      • Consenti solo il forwarding del protocollo interno

        {
"name": "RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes",
"spec": {
  "rules": [
    {
      "enforce": ["true"],
      "parameters": {
        "allowedSchemes": "EXTERNAL"
      }
    }
  ]
}
}

    • Limitare le configurazioni del VPC condiviso

      • Limita progetti host con VPC condivise

        {
"constraint": "constraints/compute.restrictSharedVpcHostProjects",
"listPolicy": {
  "allowedValues": [
    "under:folders/FOLDER_ID",
    "under:projects/PROJECT_ID"
  ]
}
}

      • Limita subnet VPC condivise

        {
"constraint": "constraints/compute.restrictSharedVpcSubnetworks",
"listPolicy": {
  "deniedValues": [
    "under:organizations/ORGANIZATION_ID",
    "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}
}

      • Limita i servizi di backend del VPC condiviso

        {
"constraint": "constraints/compute.restrictCrossProjectServices",
"listPolicy": {
  "allowedValues": [
    "under:folders/FOLDER_ID",
    "under:projects/PROJECT_ID",
    "projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME"
  ]
}
}

  2. Applica il vincolo a una risorsa: un'organizzazione, una cartella o un progetto.

    Per le organizzazioni, esegui questo comando:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --organization=ORGANIZATION_ID

    Per le cartelle, esegui questo comando:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --folder=FOLDER_ID

    Per i progetti, esegui questo comando:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --project=PROJECT_ID

    Sostituisci quanto segue:

Configurare un criterio dell'organizzazione per applicare un criterio SSL ai proxy target HTTPS e target SSL

Console

Per impostare una policy dell'organizzazione dalla console, completa i seguenti passaggi:

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel campo Filtro, cerca il vincolo per Nome o per ID.

  3. Fai clic sul nome del vincolo.

  4. Fai clic su Modifica per modificare il vincolo.

  5. Per creare una policy personalizzata, seleziona Personalizza e specifica la lista consentita o la lista bloccata di risorse.

  6. Dopo aver apportato le modifiche, fai clic su Salva per applicare le impostazioni del vincolo.

gcloud

Questa sezione fornisce alcuni esempi di configurazione che mostrano come creare e impostare un file di policy dell'organizzazione con il vincolo compute.requireSslPolicy.

  • Crea un file di criteri per impedire l'utilizzo della policy SSL.

    {
  "constraint": "constraints/compute.requireSslPolicy",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  • Crea un file di criteri per applicare un criterio SSL a tutti i proxy SSL e HTTPS di destinazione nella risorsa specificata nella gerarchia delle risorse:

    {
  "constraint": "constraints/compute.requireSslPolicy",
  "listPolicy": {
    "allowedValues": [
      "under:folders/FOLDER_ID",
      "under:projects/PROJECT_ID"
    ]
  }
}

  • Applica il vincolo ai proxy SSL e HTTPS di destinazione: un'organizzazione, una cartella o un progetto.

    Per le organizzazioni, esegui questo comando:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --organization=ORGANIZATION_ID

    Per le cartelle, esegui questo comando:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --folder=FOLDER_ID

    Per i progetti, esegui questo comando:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --project=PROJECT_ID

    Sostituisci quanto segue:

  • Per ottenere la policy effettiva per verificare il comportamento predefinito della risorsa (organizzazione, cartella o progetto), esegui i seguenti comandi:

    Per le organizzazioni:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --organization=ORGANIZATION_ID

    Per le cartelle:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --folder=FOLDER_ID

    Per i progetti:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --project=PROJECT_ID

  • Per eliminare la policy dalla risorsa (organizzazione, cartella o progetto), esegui i seguenti comandi:

    Per le organizzazioni:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --organization=ORGANIZATION_ID

    Per le cartelle:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --folder=FOLDER_ID

    Per i progetti:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --project=PROJECT_ID

Per configurare vincoli personalizzati, consulta Utilizzare vincoli personalizzati per limitare le funzionalità TLS.

Passaggi successivi