機構政策限制

本頁說明可為 Cloud NAT 設定的機構政策限制。

網路管理員可以建立 Cloud NAT 設定，並指定哪些子網路可以使用閘道。根據預設，管理員建立的子網路或可使用 Cloud NAT 設定的子網路，都沒有任何限制。

機構政策管理員 (roles/orgpolicy.policyAdmin) 可以使用 constraints/compute.restrictCloudNATUsage 限制，限制哪些子網路可以使用 Cloud NAT。

您可以在機構政策中建立及強制執行機構限制。

必要條件

IAM 權限

• 建立限制的人員必須具備 roles/orgpolicy.policyAdmin 角色。
• 如果使用 Shared VPC，使用者角色必須位於主專案中。

機構政策背景

如果您不曾使用機構政策限制，請先參閱下列說明文件：

• 瞭解限制
• 瞭解階層評估

規劃限制

您可以在資源階層的下列層級建立 allow 或 deny 限制：

• 機構
• 資料夾
• 專案
• 子網路

根據預設，在節點建立的限制會由所有子節點沿用。不過，特定資料夾的機構政策管理員可以決定該資料夾是否要沿用父項政策，因此不會自動沿用。詳情請參閱「瞭解階層評估」中的「繼承」。

限制不會溯及既往。即使現有設定違反限制，仍會繼續運作。

限制由 allow 和 deny 設定組成。

允許和拒絕的值之間的互動

• 如果已設定 restrictCloudNatUsage 限制條件，但未指定 allowedValues 或 deniedValues，則系統會允許所有項目。
• 如果已設定 allowedValues，但未設定 deniedValues，系統會拒絕所有未在 allowedValues 中指定的項目。
• 如果已設定 deniedValues，但未設定 allowedValues，則允許所有未在 deniedValues 中指定的項目。
• 如果同時設定 allowedValues 和 deniedValues，系統會拒絕 allowedValues 中未指定的所有項目。
• 如果兩個值相互衝突，系統會優先採用 deniedValues。

子網路和閘道之間的互動

限制不會阻止子網路使用 NAT 閘道。而是限制條件會防止違反限制條件的設定，藉此避免建立閘道或子網路。

範例 1：嘗試建立違反 deny 規則的子網路

1. 閘道位於某個區域。
2. 閘道已設定為允許區域中的所有子網路使用。
3. 該區域中存在單一子網路 (subnet-1)。
4. 系統會建立限制，確保只有 subnet-1 可以使用閘道。
5. 管理員無法在該區域的網路中建立更多子網路。這項限制會禁止建立可使用閘道的子網路。如果應該存在新的子網路，則機構組織策略管理員可以將這些子網路新增至允許的子網路清單。

範例 2：嘗試建立違反 deny 規則的閘道

1. 一個區域中有兩個子網路 (subnet-1 和 subnet-2)。
2. 存在限制，只允許 subnet-1 使用閘道。
3. 管理員無法建立開放區域內所有子網路的閘道。他們必須建立只提供 subnet-1 的閘道，或者機構政策管理員必須將 subnet-2 新增至允許的子網路清單。

建立限制

如要建立具有特定限制的組織政策，請參閱使用限制。

後續步驟

• 瞭解如何使用自訂組織政策
• 使用 Public NAT 設定及管理網路位址轉譯
• 使用 Private NAT 設定及管理網路位址轉譯