Contraintes liées aux règles d'administration

Cette page fournit des informations sur les contraintes liées aux règles d'administration que vous pouvez configurer pour Cloud NAT.

Les administrateurs réseau peuvent créer des configurations Cloud NAT et spécifier les sous-réseaux qui sont autorisés à utiliser la passerelle. Par défaut, aucune limite ne s'applique aux sous-réseaux créés par l'administrateur ni à ceux qui peuvent utiliser une configuration Cloud NAT.

Un administrateur des règles d'administration (roles/orgpolicy.policyAdmin) peut utiliser la contrainte constraints/compute.restrictCloudNATUsage pour limiter les sous-réseaux autorisés à utiliser Cloud NAT.

Vous pouvez créer et appliquer des contraintes organisationnelles dans une règle d'administration.

Prérequis

Autorisations IAM

• La personne qui crée les contraintes doit disposer du rôle roles/orgpolicy.policyAdmin.
• Si vous utilisez un VPC partagé, le rôle utilisateur doit faire partie du projet hôte.

Contexte des règles d'administration

Si vous n'avez jamais utilisé de contraintes de règle d'administration auparavant, consultez d'abord la documentation suivante :

• Comprendre les contraintes
• Comprendre le processus d'évaluation hiérarchique

Planifier vos contraintes

Vous pouvez créer des contraintes allow ou deny aux niveaux suivants de la hiérarchie des ressources :

• Organisation
• Dossier
• Projet
• Sous-réseau

Par défaut, lorsqu'une contrainte est créée sur un nœud, tous ses nœuds enfants héritent de cette contrainte. Toutefois, un administrateur des règles d'administration en charge d'un dossier particulier peut décider si un sous-dossier hérite de ses parents ou non. L'héritage n'est donc pas automatique. Pour en savoir plus, consultez Héritage sur la page Comprendre le processus d'évaluation hiérarchique.

Les contraintes ne s'appliquent pas rétroactivement. Les configurations existantes continuent de fonctionner même si elles enfreignent les contraintes.

Les contraintes se composent de paramètres allow (autoriser) et deny (refuser).

Interaction entre des valeurs autorisées et refusées

• Si une contrainte restrictCloudNatUsage est configurée, mais qu'aucune valeur n'est spécifiée pour l'option allowedValues ou deniedValues, toutes les valeurs sont autorisées.
• Si allowedValues est configuré, mais que deniedValues n'est pas configuré, tous les éléments non spécifiés dans allowedValues sont refusés.
• Si deniedValues est configuré, mais que allowedValues n'est pas configuré, tous les éléments spécifiés dans deniedValues sont autorisés.
• Si les options allowedValues et deniedValues sont configurées, tous les éléments non spécifiés dans allowedValues sont refusés.
• En cas de conflit entre deux valeurs, deniedValues est prioritaire.

Interaction entre les sous-réseaux et les passerelles

Les contraintes n'empêchent pas les sous-réseaux d'utiliser une passerelle NAT. En revanche, elles empêchent toute configuration susceptible d'enfreindre la contrainte en empêchant la création d'une passerelle ou d'un sous-réseau.

Exemple 1 : Tenter de créer un sous-réseau qui enfreint une règle deny

1. Une passerelle existe dans une région.
2. La passerelle est configurée pour autoriser tous les sous-réseaux d'une région à l'utiliser.
3. Un seul sous-réseau (subnet-1) existe dans la région.
4. Une contrainte est créée de sorte que seul subnet-1 puisse utiliser la passerelle.
5. Les administrateurs ne sont pas autorisés à créer d'autres sous-réseaux au sein de ce réseau dans cette région. La contrainte empêche la création de sous-réseaux qui seraient en mesure d'utiliser la passerelle. Si de nouveaux sous-réseaux deviennent nécessaires, l'administrateur des règles d'administration peut en ajouter à la liste des sous-réseaux autorisés.

Exemple 2 : Tenter de créer une passerelle qui enfreint une règle deny

1. Il existe deux sous-réseaux (subnet-1 et subnet-2) dans une région.
2. Une contrainte autorise le seul sous-réseau subnet-1 à utiliser une passerelle.
3. Les administrateurs ne sont pas autorisés à créer une passerelle ouverte à tous les sous-réseaux de la région. Soit ceux-ci doivent créer une passerelle qui ne dessert que le réseau subnet-1, soit l'administrateur des règles d'administration doit ajouter subnet-2 à la liste des sous-réseaux autorisés.

Créer vos contraintes

Pour créer une règle d'administration avec une contrainte particulière, consultez Utiliser des contraintes.

Étapes suivantes

• Découvrez comment utiliser les règles d'administration personnalisées.
• Configurez une passerelle Public NAT.
• Configurez une passerelle Private NAT.