Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Batasan kebijakan organisasi

Halaman ini memberikan informasi tentang batasan kebijakan organisasi yang dapat Anda konfigurasi untuk Cloud NAT.

Administrator jaringan dapat membuat konfigurasi Cloud NAT dan menentukan subnetwork (subnet) mana yang dapat menggunakan gateway. Secara default, tidak ada batasan untuk subnet yang dibuat administrator atau subnet mana yang dapat menggunakan konfigurasi Cloud NAT.

Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) dapat menggunakan batasan constraints/compute.restrictCloudNATUsage untuk membatasi subnet mana yang dapat menggunakan Cloud NAT.

Anda membuat dan menerapkan batasan organisasi dalam kebijakan organisasi.

Prasyarat

Izin IAM

Orang yang membuat batasan harus memiliki peran roles/orgpolicy.policyAdmin.
Jika menggunakan VPC Bersama, peran pengguna harus berada di project host.

Latar belakang kebijakan organisasi

Jika Anda belum pernah menangani batasan kebijakan organisasi, tinjau terlebih dahulu dokumentasi berikut:

Merencanakan batasan

Anda dapat membuat batasan allow atau deny pada level hierarki resource berikut:

Organisasi
Folder
Project
Subnetwork

Secara default, batasan yang dibuat pada node diwarisi oleh semua node turunan. Namun, Administrator Kebijakan Organisasi untuk folder tertentu dapat memutuskan bahwa folder tertentu diwarisi dari induknya, sehingga pewarisan tidak bersifat otomatis. Untuk mengetahui informasi selengkapnya, lihat Pewarisan di Memahami evaluasi hierarki.

Batasan tidak diterapkan secara surut. Konfigurasi yang ada akan terus berfungsi meskipun melanggar batasan.

Batasan terdiri dari setelan allow dan deny.

Interaksi antara nilai yang diizinkan dan ditolak

Jika batasan restrictCloudNatUsage dikonfigurasi, tetapi allowedValues maupun deniedValues tidak ditentukan, semuanya akan diizinkan.
Jika allowedValues dikonfigurasi dan deniedValues tidak dikonfigurasi, semua yang tidak ditentukan dalam allowedValues akan ditolak.
Jika deniedValues dikonfigurasi dan allowedValues tidak dikonfigurasi, semua yang tidak ditentukan dalam deniedValues akan diizinkan.
Jika allowedValues dan deniedValues dikonfigurasi, semua yang tidak ditentukan dalam allowedValues akan ditolak.
Jika dua nilai bertentangan, deniedValues akan diprioritaskan.

Interaksi antara subnet dan gateway

Batasan tidak mencegah subnet menggunakan gateway NAT. Sebagai gantinya, batasan mencegah konfigurasi yang akan melanggar batasan dengan mencegah pembuatan gateway atau subnet.

Contoh 1: Mencoba membuat subnet yang melanggar aturan `deny`

Gateway ada di region.
Gateway dikonfigurasi untuk mengizinkan semua subnet di region menggunakan gateway.
Satu subnet (subnet-1) ada di region.
Batasan dibuat sehingga hanya subnet-1 yang dapat menggunakan gateway.
Administrator tidak dapat membuat lebih banyak subnet di jaringan tersebut di region tersebut. Batasan mencegah pembuatan subnet yang dapat menggunakan gateway. Jika subnet baru harus ada, Administrator Kebijakan Organisasi dapat menambahkan subnet ini ke daftar subnet yang diizinkan.

Contoh 2: Mencoba membuat gateway yang melanggar aturan `deny`

Dua subnet (subnet-1 dan subnet-2) ada di region.
Ada batasan yang hanya mengizinkan subnet-1 menggunakan gateway.
Administrator tidak dapat membuat gateway yang terbuka untuk semua subnet di region. Sebagai gantinya, mereka harus membuat gateway yang hanya melayani subnet-1, atau Administrator Kebijakan Organisasi harus menambahkan subnet-2 ke daftar subnet yang diizinkan.

Membuat batasan

Untuk membuat kebijakan organisasi dengan batasan tertentu, lihat Menggunakan batasan.