Restricciones de las políticas de la organización

Esta restricción de lista define la configuración de encriptación permitida para los nuevos adjuntos de VLAN.
De forma predeterminada, los adjuntos de VLAN pueden usar cualquier configuración de encriptación.
Establece IPSEC como valor permitido para admitir que solo se creen adjuntos de VLAN encriptados.

Esta restricción garantiza que las funciones de versión preliminar se bloqueen, a menos que se permita explícitamente esta restricción. Una vez que se establezca en permitir, podrás controlar qué funciones de vista previa se pueden habilitar o inhabilitar individualmente para tu proyecto. Solo se puede acceder a las funciones de versión preliminar habilitadas en el proyecto. Si se inhabilita la política posteriormente, no se cambiará el estado de las funciones en versión preliminar individuales ya establecidas, y estas se podrán inhabilitar de forma individual. Esta restricción solo se aplica a las funciones de la API de Compute en versión alfa.

[Versión preliminar pública] Esta restricción booleana inhabilita la virtualización anidada acelerada por hardware para todas las VMs de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, se permite la virtualización anidada por aceleración de hardware para todas las VMs de Compute Engine que se ejecutan en Intel Haswell o en plataformas de CPU más recientes.

Versión preliminar: Esta restricción impide que la clave de metadatos serial-port-enable se establezca como verdadera para las VMs de Compute Engine dentro de la organización, el proyecto o la carpeta en los que se aplica esta restricción. De forma predeterminada, el acceso al puerto en serie se puede habilitar por VM, por zona o por proyecto con esta clave de metadatos. Para permitir el acceso al puerto en serie de VMs específicas, puedes eximirlas de esta política con etiquetas y reglas condicionales.
Importante: El cumplimiento de esta restricción no afecta a las VMs existentes en las que serial-port-enable ya está establecido como verdadero. Estas conservarán el acceso, a menos que se actualicen sus metadatos.

[Versión preliminar pública] Cuando se aplica esta restricción, se inhabilita el registro de puerto en serie en Stackdriver desde las VMs de Compute Engine.
De forma predeterminada, el registro de puerto en serie de las VMs de Compute Engine está inhabilitado, pero puede habilitarse selectivamente por VM o por proyecto con los atributos de metadatos. Si inhabilitas el registro de puertos en serie, ciertos servicios que dependen de él, como los clústeres de Google Kubernetes Engine, no funcionarán correctamente. Antes de aplicar esta restricción, verifica que los productos de tu proyecto no dependan del registro de puertos en serie. Puedes permitir que instancias de VM específicas usen el registro de puerto en serie. Primero, aplica etiquetas para marcar las instancias y, luego, usa reglas condicionales basadas en los valores de las etiquetas para definir correctamente el alcance de esas instancias fuera de la aplicación.

[Versión preliminar pública] Cuando se aplica esta restricción, se limita el uso de gDNS. Esta restricción inhabilita la creación de VM de gDNS y la actualización de VMs para usar gDNS. No se bloqueará la reversión de un proyecto de zDNS a gDNS, pero se aplicará la política durante las invocaciones posteriores de la API de Instance.

[Versión preliminar pública] Cuando se aplica esta restricción, se requiere que se habilite VM Manager (Configuración del SO) en todos los proyectos nuevos. En los proyectos nuevos y existentes, esta restricción impide las actualizaciones de metadatos que inhabilitan VM Manager a nivel del proyecto, de la zona del proyecto o de la instancia. Puedes permitir que instancias de VM específicas inhabiliten VM Manager. Primero, aplica etiquetas para marcar las instancias y, luego, usa reglas condicionales basadas en los valores de las etiquetas para definir correctamente el alcance de esas instancias fuera de la aplicación.

[Versión preliminar pública] Cuando se aplica esta restricción, se requiere que se habilite el Acceso al SO en todos los proyectos recién creados. En los proyectos nuevos y existentes, esta restricción impide las actualizaciones de metadatos que inhabilitan el Acceso al SO a nivel del proyecto, de la zona del proyecto o de la instancia. Puedes permitir que instancias de VM específicas inhabiliten el Acceso al SO. Primero, aplica etiquetas para marcar las instancias y, luego, usa reglas condicionales basadas en los valores de las etiquetas para definir correctamente el alcance de esas instancias fuera de la aplicación.

Esta restricción te permite restringir los tipos de implementaciones de reenvío de protocolos (internas o externas) que se pueden crear en tu organización. Para configurar la restricción, debes especificar una lista de entidades permitidas del tipo de implementación de reenvío de protocolos que se permitirá. La lista de entidades permitidas solo puede incluir los siguientes valores:

• INTERNAL
• EXTERNAL

[Versión preliminar pública] Esta restricción define si las instancias de VM de Compute Engine pueden habilitar el reenvío de IP. De forma predeterminada, si no se especifica ninguna política, cualquier VM puede habilitar el reenvío de IP en cualquier red virtual. Si se aplica, esta restricción rechazará la creación o actualización de instancias de VM con el reenvío de IP habilitado. Puedes permitir que instancias de VM específicas habiliten el reenvío de IP. Primero, aplica etiquetas para marcar las instancias y, luego, usa reglas condicionales basadas en los valores de las etiquetas para definir correctamente el alcance de esas instancias fuera de la aplicación.

[Versión preliminar pública] Esta restricción define si las instancias de VM de Compute Engine pueden usar direcciones IP externas IPv4. De forma predeterminada, todas las instancias de VM pueden usar direcciones IP externas. Si se aplica, esta restricción rechazará la creación o actualización de instancias de VM con direcciones IP externas IPv4. Esta restricción no limitará el uso de direcciones IP externas IPv6. Puedes permitir que instancias de VM específicas usen direcciones IP externas IPv4. Primero, aplica etiquetas para marcar las instancias y, luego, usa reglas condicionales basadas en los valores de las etiquetas para definir correctamente el alcance de esas instancias fuera de la aplicación.

Exige que el controlador de admisión DenyServiceExternalIPs permanezca habilitado en los clústeres de GKE. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs

Rechaza las solicitudes para habilitar el control de acceso basado en atributos (ABAC) en los clústeres de GKE. El ABAC es un método de autenticación heredado que está inhabilitado de forma predeterminada en todos los clústeres nuevos. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled

Exige que el puerto de solo lectura no seguro de kubelet (10255) permanezca inhabilitado. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port

No habilites manualmente el método heredado de autenticación con certificado de cliente. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate

Inhabilita los objetos ClusterRoleBinding y RoleBinding no predeterminados que hacen referencia a las identidades del sistema system:anonymous, system:authenticated o system:unauthenticated cuando crees o actualices clústeres de GKE. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage

No uses la cuenta de servicio predeterminada de Compute Engine como la cuenta de servicio del clúster o del grupo de nodos. En su lugar, usa una cuenta de servicio de IAM con privilegios mínimos. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa

Habilita la Autorización Binaria cuando crees o actualices clústeres de GKE. Para obtener más detalles, consulta https://cloud.google.com/binary-authorization/docs/setting-up.

Exige que todos los clústeres de GKE usen, al menos, la configuración predeterminada de Cloud Logging. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging

Habilita el extremo basado en DNS para el acceso al plano de control de GKE y, luego, inhabilita los extremos basados en IP cuando crees o actualices clústeres. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint.

Habilita Grupos de Google para RBAC cuando crees o actualices clústeres de GKE. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac.

Habilita el uso de NetworkPolicies de Kubernetes habilitando la aplicación de la política de red o GKE Dataplane V2. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy o https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2.

Habilita los nodos privados cuando crees o actualices clústeres y grupos de nodos de GKE. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking.

Habilita la encriptación de Secrets con claves autoadministradas cuando crees o actualices clústeres de GKE. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets.

Habilita las notificaciones del boletín de seguridad cuando crees o actualices clústeres de GKE. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin

Exige que los nodos protegidos permanezcan habilitados. Los nodos de GKE protegidos proporcionan una identidad y una integridad de nodo sólidas y verificables para aumentar la seguridad de los nodos de GKE. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes

Habilita Workload Identity Federation for GKE cuando crees o actualices clústeres. Para obtener más detalles, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity.

Inhabilita el acceso a las VMs de trabajador de Dataflow con claves SSH de nivel del proyecto.

Inhabilita el uso de IPs públicas en las VMs de trabajador de Dataflow.

Esta restricción define el conjunto de dominios permitidos que pueden tener las direcciones de correo electrónico agregadas a los contactos esenciales.
De forma predeterminada, las direcciones de correo electrónico con cualquier dominio pueden agregarse a los contactos esenciales.
La lista allowedDomains debe especificar uno o más dominios con el formato @example.com. Si se aplica esta restricción, solo se podrán agregar a los contactos esenciales las direcciones de correo electrónico con un sufijo que coincida con una de las entradas de la lista de dominios permitidos.
Esta restricción no afecta la actualización ni la eliminación de contactos existentes.

Cuando se aplica, garantiza que solo los servicios incluidos en la lista de entidades permitidas puedan tener habilitados sus extremos de mcp. De forma predeterminada, esta restricción se aplica y la lista de servicios permitidos está vacía, lo que impide que se habilite cualquier extremo de MCP.

Esta restricción define los conjuntos de principales de la organización a los que se les pueden otorgar roles de IAM en tu organización.
Especificar un conjunto de principales de la organización permite que todas las identidades asociadas con esa organización (incluidas las cuentas de Workspace, los grupos de Workspace, las cuentas de servicio, las identidades del grupo de trabajadores, las identidades del grupo de cargas de trabajo y los agentes de servicio) tengan roles otorgados en tu organización. El conjunto de principales de tu organización no se permite automáticamente y debe incluirse como un conjunto de principales permitidos.
Puedes especificar miembros individuales con el prefijo del tipo de principal (por ejemplo, `user:` o `serviceAccount:`) para otorgarles roles a ellos y a los alias asociados en tu organización.
Aplicar esta restricción puede bloquear la creación de recursos de carpetas debido a las concesiones automáticas de los roles de administrador de carpetas y editor de carpetas, y puede bloquear la creación de recursos de proyectos debido a las concesiones automáticas del rol de propietario.

Cuando se aplica, inhabilita la creación de claves de API vinculadas a cuentas de servicio.

Para obtener más información, consulta Habilita la vinculación de claves a cuentas de servicio.

Cuando esta restricción booleana está establecida en "True", se inhabilita la creación de cuentas de servicio.
De forma predeterminada, los usuarios pueden crear cuentas de servicio según sus roles y permisos de Cloud IAM.

Cuando se aplica esta restricción, se bloquea la creación de claves de cuentas de servicio.

Cuando esta restricción booleana se establece en “Verdadero”, inhabilita la carga de claves públicas a las cuentas de servicio.
De forma predeterminada, los usuarios pueden subir claves públicas a las cuentas de servicio según sus roles y permisos de Cloud IAM.

Cuando se aplica esta restricción, se impide que cualquier persona otorgue el rol de editor (roles/editor) o el rol de propietario (roles/owner) a las cuentas de servicio predeterminadas de Compute Engine y App Engine en cualquier momento. Para obtener más información sobre las cuentas de servicio predeterminadas, consulta https://cloud.google.com/iam/help/service-accounts/default. Aplicar esta restricción evita que las cuentas de servicio predeterminadas reciban automáticamente el rol de Editor (roles/editor), lo que puede causar problemas de permisos para los servicios que usan estas cuentas de servicio. Para obtener información sobre qué roles otorgar a cada cuenta de servicio, consulta https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Lista de ID de cuentas de AWS que se pueden configurar para la Federación de Workload Identity en Cloud IAM.

Son los proveedores de identidad que se pueden configurar para la autenticación de cargas de trabajo dentro de Cloud IAM, especificados por URI o URLs. Google administra esta restricción.

Cuando se aplica esta restricción booleana, se inhabilita la creación y actualización de clústeres de Kafka Connect.

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, las suscripciones a Pub/Sub no pueden establecer transformaciones de mensaje único (SMT).

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, los temas de Pub/Sub no pueden establecer transformaciones de mensaje único (SMT).

Cuando se aplica, esta restricción requiere que se habilite la verificación del invocador de IAM en los servicios de Cloud Run.
Si no se aplica esta restricción, puedes establecer el campo service.invoker_iam_disabled (v2) o la anotación run.googleapis.com/invoker-iam-disabled (v1) en los servicios de Cloud Run como True. También es posible obtener un resultado similar si se otorga el permiso run.routes.invoke a allUsers. Visita https://cloud.google.com/run/docs/securing/managing-access#make-service-public y https://cloud.google.com/run/docs/securing/security para obtener más información.

La edición que intentas usar no está permitida por la política de tu organización. Revisa la política y selecciona una edición permitida.

En esta lista de restricciones, se definen los modos de acceso que se admiten en los notebooks de Vertex AI Workbench y en las instancias en las que se aplica. En la lista de entidades permitidas o bloqueadas, se puede especificar el acceso para varios usuarios con el modo service-account o bien para uno solo con el modo single-user. Se debe especificar de forma explícita el modo de acceso que se admite o prohíbe.

Prefijo admitido: is:

constraints/ainotebooks.accessMode

Cuando se aplica esta restricción booleana, se impide la creación de instancias de Vertex AI Workbench con la opción de descargar el archivo habilitada. De forma predeterminada, la opción de descargar el archivo puede habilitarse en cualquier instancia de Vertex AI Workbench.

constraints/ainotebooks.disableFileDownloads

Cuando se aplica esta restricción booleana, se evita que los notebooks y las instancias de Vertex AI Workbench recién creados habiliten el acceso raíz. De forma predeterminada, los notebooks y las instancias administrados por el usuario de Vertex AI Workbench pueden tener este acceso habilitado.

constraints/ainotebooks.disableRootAccess

Cuando se aplica esta restricción booleana, se impide la creación de instancias de Vertex AI Workbench con la terminal habilitada. De forma predeterminada, la terminal se puede habilitar en las instancias de Vertex AI Workbench.

constraints/ainotebooks.disableTerminal

En esta restricción de lista, se definen las opciones de imágenes de contenedores y VMs que puede seleccionar un usuario cuando crea notebooks nuevos administrados por el usuario de Vertex AI Workbench. Las opciones que se permitan o rechacen se deben indicar explícitamente.
El formato esperado para las instancias de VM es ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Reemplaza IMAGE_TYPE por image-family o image-name. Ejemplos: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
El formato esperado para las imágenes de contenedor será ainotebooks-container/CONTAINER_REPOSITORY:TAG. Ejemplos: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.

Prefijo admitido: is:

constraints/ainotebooks.environmentOptions

Cuando se aplica esta restricción booleana, todas las instancias y notebooks recientemente creados y administrados por usuarios de Vertex AI Workbench deben tener establecido un programa de actualización automática. El programa de actualización automática puede definirse con la marca de metadatos notebook-upgrade-schedule para especificar un programa cron para las actualizaciones automáticas. Por ejemplo: --metadata=notebook-upgrade-schedule="00 19 * * MON".

constraints/ainotebooks.requireAutoUpgradeSchedule

Cuando se aplica esta restricción booleana, se impide que las IP públicas accedan a los notebooks y las instancias de Vertex AI Workbench que se crearon recientemente. De forma predeterminada, las IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench.

constraints/ainotebooks.restrictPublicIp

Esta restricción de lista define las redes de VPC que un usuario puede seleccionar cuando crea nuevas instancias de Vertex AI Workbench en las que se aplica esta restricción. De forma predeterminada, una instancia de Vertex AI Workbench se puede crear con cualquier red de VPC. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefijos admitidos: is:, under:

constraints/ainotebooks.restrictVpcNetworks

En esta restricción de lista, se define el conjunto de modelos y funciones de IA generativa que se pueden usar en las APIs de Vertex AI. Los valores de la lista de entidades permitidas deben seguir el formato model_id:feature_family. Por ejemplo, publishers/google/models/text-bison:predict Esta restricción de lista solo restringe el acceso a los modelos de IA generativa de propiedad de Google y no afecta a los modelos externos ni a los de código abierto. La restricción vertexai.allowedModels se puede usar para definir el acceso a un conjunto más amplio de modelos, incluidos los modelos de propiedad de Google, los externos y los de código abierto. De forma predeterminada, todos los modelos se pueden usar en las APIs de Vertex AI.

Prefijo admitido: is:

constraints/vertexai.allowedGenAIModels

En esta restricción de lista, se define el conjunto de modelos y funciones que se pueden usar en las APIs de Vertex AI. Los valores de la lista de entidades permitidas deben seguir el formato "model_id:feature_family", por ejemplo, "publishers/google/models/gemini-1.0-pro:predict". De forma predeterminada, todos los modelos se pueden usar en las APIs de Vertex AI.

Prefijo admitido: is:

Para obtener más información, consulta Cómo controlar el acceso a los modelos de Model Garden.

constraints/vertexai.allowedModels

En esta restricción de lista, se define el conjunto de funciones avanzadas del modelo de socio administrado que se pueden usar en las APIs de Vertex AI. Los valores de la lista de entidades permitidas deben seguir el formato "publishers/publisher_id/models[/model_id:feature_family]", por ejemplo, "publishers/anthropic/models/claude-sonnet-4:web_search", "publishers/anthropic/models/claude-sonnet-4" o "publishers/anthropic". De forma predeterminada, todas las funciones avanzadas de los modelos de socios administrados están bloqueadas en las APIs de Vertex AI.

Prefijo admitido: is:

constraints/vertexai.allowedPartnerModelFeatures

Cuando se aplica esta restricción booleana, se inhabilita la función de fundamentación con la Búsqueda de Google en las APIs de IA generativa. La función está habilitada de forma predeterminada.

constraints/vertexai.disableGenAIGoogleSearchGrounding

En esta restricción de lista, se define el conjunto de fuentes de fundamentación permitidas o denegadas para su uso con las APIs generativas de Vertex AI.
De forma predeterminada, se permiten todas las fuentes de fundamentación.
Los valores válidos son: GoogleMaps, VertexAiSearch, VertexRagStore, EnterpriseWebSearch, ExternalApiSimpleSearch, ExternalApiElasticSearch y UrlContext.

Prefijo admitido: is:

constraints/vertexai.genAIGroundingSources

Inhabilita la descarga de código fuente subido previamente a App Engine.

constraints/appengine.disableCodeDownload

Esta restricción de lista define el conjunto de entornos de ejecución estándar de App Engine heredados (Python 2.7, PHP 5.5 y Java 8) que se permiten para las implementaciones posteriores al fin de la asistencia. Los entornos de ejecución estándar de App Engine heredados alcanzarán el fin de la asistencia el 30 de enero de 2024. En general, se bloquearán los intentos para implementar aplicaciones usando entornos de ejecución heredados después de esta fecha. Consulta el cronograma de asistencia para entornos de ejecución estándar de App Engine. Configurar esta restricción como “Permitir” desbloquea las implementaciones estándar de App Engine para los entornos de ejecución heredados que especifiques hasta la Fecha de baja del entorno. Configurar esta restricción como “Permitir todas” desbloquea las implementaciones estándar de App Engine para todos los entornos de ejecución heredados hasta la Fecha de baja del entorno. Los entornos de ejecución que alcanzaron el Fin de la asistencia no reciben los parches de seguridad y mantenimiento de rutina. Te recomendamos actualizar tus aplicaciones para usar una versión de entorno de ejecución con disponibilidad general.

Prefijo admitido: is:

constraints/appengine.runtimeDeploymentExemption

Cuando se aplica esta restricción booleana, los usuarios no pueden usar BigQuery Omni para procesar los datos en Amazon Web Services en los que se aplica la restricción.

constraints/bigquery.disableBQOmniAWS

Cuando se aplica esta restricción booleana, los usuarios no pueden usar BigQuery Omni para procesar los datos en Microsoft Azure en los que se aplica la restricción.

constraints/bigquery.disableBQOmniAzure

Esta restricción de lista define las integraciones permitidas de Cloud Build para realizar compilaciones mediante la recepción de webhooks de servicios alojados fuera de Google Cloud. Cuando se aplique esta restricción, solo se procesarán los webhooks de los servicios cuyo host coincida con uno de los valores permitidos.
De forma predeterminada, Cloud Build procesa todos los webhooks para los proyectos que tienen al menos un activador ACTIVO.

Prefijo admitido: is:

Para obtener más información, consulta Cómo bloquear compilaciones según la política de la organización.

constraints/cloudbuild.allowedIntegrations

Cuando se aplica esta restricción booleana, se impide la creación de la cuenta de servicio heredada de Cloud Build.

constraints/cloudbuild.disableCreateDefaultServiceAccount

Cuando se aplica esta restricción booleana, permite que la cuenta de servicio heredada de Cloud Build se use de forma predeterminada.

constraints/cloudbuild.useBuildServiceAccount

Cuando se aplica esta restricción booleana, permite que la cuenta de servicio de Compute Engine se use de forma predeterminada.

constraints/cloudbuild.useComputeServiceAccount

Cuando se aplica esta restricción booleana, se impide que Cloud Deploy agregue sus etiquetas identificadoras a los objetos implementados.
De forma predeterminada, las etiquetas que identifican recursos de Cloud Deploy se agregan a los objetos implementados durante la creación de versiones.

constraints/clouddeploy.disableServiceLabelGeneration

Esta restricción de lista define la configuración de entrada permitida para la implementación de una Cloud Function (1ª gen.). Cuando se aplique esta restricción, se requerirá que la configuración de entrada de las funciones coincida con uno de los valores permitidos.
Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de entrada.
La configuración de entrada debe especificarse en la lista permitida con los valores de la enumeración IngressSettings. La enumeración tiene un valor predeterminado de INGRESS_SETTINGS_UNSPECIFIED. La enumeración debe cambiarse a otro valor para poder usarla en una política de la organización.
En el caso de Cloud Functions (2nd gen), usa la restricción constraints/run.allowedIngress.

Prefijo admitido: is:

Para obtener más información, consulta Configura políticas de la organización.

constraints/cloudfunctions.allowedIngressSettings

Esta restricción de lista define la configuración de salida permitida del conector de VPC para la implementación de una Cloud Function (1ª gen.). Cuando se aplique esta restricción, se requerirá que la configuración de salida del conector de VPC de las funciones coincida con uno de los valores permitidos.
Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de salida del conector de VPC.
La configuración de salida del conector de VPC debe especificarse en la lista permitida con los valores de la enumeración VpcConnectorEgressSettings. No se admite el valor predeterminado de la enumeración, VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED, y, si se incluye en una política, se produce un error.
Para Cloud Functions (2nd gen), usa la restricción constraints/run.allowedVPCEgress.

Prefijo admitido: is:

Para obtener más información, consulta Configura políticas de la organización.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings

Esta restricción booleana aplica de manera forzosa la configuración de un conector de VPC cuando se implementa una Cloud Function (1ª gen.). Cuando se aplique esta restricción, se requerirá que se especifique un conector de VPC para las funciones.
Según la configuración predeterminada, no es necesario especificar un conector de VPC para implementar una Cloud Function.

Para obtener más información, consulta Configura políticas de la organización.

constraints/cloudfunctions.requireVPCConnector

Esta restricción de lista define el conjunto de generaciones permitidas de Cloud Functions que puede usarse para crear nuevos recursos de Functions. Los valores válidos son 1stGen y 2ndGen.

Prefijo admitido: is:

constraints/cloudfunctions.restrictAllowedGenerations

En esta restricción de lista, se definen los tipos de claves de Cloud KMS que se pueden crear en un nodo de jerarquía determinado. Cuando se aplica la restricción, solo se pueden crear dentro del nodo de jerarquía asociado los tipos de claves de KMS especificados en esta política de la organización. La configuración de esta también afectará el nivel de protección de los trabajos de importación y las versiones de claves. De forma predeterminada, se permiten todos los tipos de claves. Los valores válidos son: SOFTWARE, HSM, EXTERNAL y EXTERNAL_VPC. No se permiten las políticas de denegación.

Prefijo admitido: is:

constraints/cloudkms.allowedProtectionLevels

Cuando se aplica esta restricción booleana, solo se permite la destrucción de versiones clave que se encuentran en el estado inhabilitado. De forma predeterminada, se pueden destruir las versiones clave que se encuentran en el estado habilitado y aquellas en el estado inhabilitado. Cuando se aplica esta restricción, se aplica a las versiones clave nuevas y existentes.

constraints/cloudkms.disableBeforeDestroy

Esta restricción de lista define en días la duración mínima de la destrucción programada que el usuario puede especificar cuando cree una clave nueva. Después de que se aplique la restricción, no se podrán crear claves con una duración de la destrucción programada menor que este valor. De forma predeterminada, la duración mínima de la destrucción programada para todas las claves es de 1 día, excepto en el caso de las claves de solo importación, para las que es de 0 días.
Solo se puede especificar un valor permitido en el formato in:1d, in:7d, in:15d, in:30d, in:60d, in:90d o in:120d. Por ejemplo, si constraints/cloudkms.minimumDestroyScheduledDuration se establece en in:15d, los usuarios pueden crear claves con una duración de la destrucción programada establecida en cualquier valor superior a 15 días, como 16 o 31 días. Sin embargo, los usuarios no pueden crear claves con una duración de la destrucción programada inferior a 15 días, por ejemplo, 14. En cada recurso de la jerarquía, la duración mínima de la destrucción programada puede heredar o reemplazar la política del elemento superior, o bien combinarse con ella. Cuando la política del recurso se combina con la política del elemento superior, el valor vigente de la duración mínima de la destrucción programada en el recurso es el más bajo entre el valor especificado en la política del recurso y la duración mínima vigente de la destrucción programada del elemento superior. Por ejemplo, si una organización tiene una duración mínima de la destrucción programada de 7 días, y en un proyecto secundario la política se estableció en “Combinar con elemento superior” con un valor de in:15d, entonces, la duración mínima vigente de la destrucción programada en el proyecto es de 7 días.

Prefijos admitidos: is:, in:

constraints/cloudkms.minimumDestroyScheduledDuration

Esta restricción de lista define la lista de tipos de destinos, como HTTP de App Engine, HTTP o Pub/Sub, permitidos para los trabajos de Cloud Scheduler.
De forma predeterminada, todos los segmentos de trabajos están permitidos.
Los valores válidos son: APPENGINE, HTTP, PUBSUB.

Prefijo admitido: is:

constraints/cloudscheduler.allowedTargetTypes

Mediante esta restricción booleana, se limita la adición de redes autorizadas para el acceso de bases de datos sin proxy a instancias de Cloud SQL en las que se aplica la restricción. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con redes autorizadas existentes aún funcionarán.
De forma predeterminada, las redes autorizadas pueden agregarse a instancias de Cloud SQL.

constraints/sql.restrictAuthorizedNetworks

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y se diseñó solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplique esta restricción booleana, se inhabilitarán algunos aspectos de la compatibilidad, además de todas las rutas de acceso para el diagnóstico y otros casos de uso de asistencia al cliente que no sigan los requisitos avanzados de soberanía de Assured Workloads.

constraints/sql.restrictNoncompliantDiagnosticDataAccess

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplique esta restricción booleana, se inhabilitarán algunos aspectos de la compatibilidad y los recursos aprovisionados seguirán estrictamente los requisitos avanzados de soberanía de Assured Workloads. Esta política es retroactiva en el sentido de que se aplicará a proyectos existentes, pero no afectará los recursos que ya se aprovisionaron, es decir, las modificaciones a la política solo se reflejarán en los recursos creados después esos cambios.

constraints/sql.restrictNoncompliantResourceCreation

Mediante esta restricción booleana, se restringe la configuración de IP pública en las instancias de Cloud SQL en las que se aplica la restricción. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con un acceso de IP pública existente aún funcionarán.
De forma predeterminada, se permite el acceso de IP pública a las instancias de Cloud SQL.

constraints/sql.restrictPublicIp

Cuando se aplica esta restricción booleana, se desactiva Google Cloud Marketplace para todos los usuarios de la organización. De forma predeterminada, el acceso público a Marketplace está activado para la organización. Esta política solo funciona cuando Private Marketplace está habilitado (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace).
Importante: Para obtener la experiencia más óptima, te recomendamos que uses la función de restricciones de acceso de usuarios de Marketplace, como se describe en https://cloud.google.com/marketplace/docs/governance/strict-user-access para evitar el uso no autorizado de Marketplace en tu organización, en lugar de hacerlo a través de esta política de la organización.

constraints/commerceorggovernance.disablePublicMarketplace

Esta restricción de lista define el conjunto de servicios que se admiten en organizaciones de mercado y solo puede incluir valores de esta lista:

• PRIVATE_MARKETPLACE
• IAAS_PROCUREMENT

Prefijo admitido: is:

constraints/commerceorggovernance.marketplaceServices

Esta restricción de lista define la configuración de encriptación permitida para los nuevos adjuntos de VLAN.
De forma predeterminada, los adjuntos de VLAN pueden usar cualquier configuración de encriptación.
Establece IPSEC como valor permitido para admitir que solo se creen adjuntos de VLAN encriptados.

Prefijo admitido: is:

constraints/compute.allowedVlanAttachmentEncryption

Cuando se aplica esta restricción booleana, inhabilita la creación o la actualización de los recursos de Google Compute Engine involucrados en el uso de IPv6.
De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede crear o actualizar recursos de Google Compute Engine con uso de IPv6 en cualquier proyecto, carpeta y organización.
Si se establece, esta restricción tendrá mayor prioridad que otras restricciones de la organización IPv6, incluidas disableVpcInternalIpv6, disableVpcExternalIpv6 y disableHybridCloudIpv6.

constraints/compute.disableAllIpv6

Cuando se aplica esta restricción booleana, se inhabilita la creación de nuevas políticas de seguridad globales de Cloud Armor y la adición o actualización de reglas a las políticas de seguridad existentes de Cloud Armor. Esta restricción no limita la eliminación de reglas ni la eliminación, descripción o publicación de políticas de seguridad globales de Cloud Armor. Las políticas de seguridad de Cloud Armor regionales no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes.
De forma predeterminada, puedes crear o actualizar políticas de seguridad de Cloud Armor en cualquier organización, carpeta o proyecto.

constraints/compute.disableGlobalCloudArmorPolicy

Esta restricción booleana inhabilita la creación de productos de balanceo de cargas global. Cuando se aplica, solo se pueden crear productos de balanceo de cargas regional sin dependencias globales. De forma predeterminada, se permite la creación de balanceo de cargas global.

constraints/compute.disableGlobalLoadBalancing

Cuando se aplica esta restricción booleana, se inhabilita la creación de certificados SSL autoadministrados globales. Esta restricción no inhabilita la creación de certificados autoadministrados regionales o administrados por Google.
De forma predeterminada, puedes crear certificados SSL autoadministrados globales en cualquier organización, carpeta o proyecto.

constraints/compute.disableGlobalSelfManagedSslCertificate

Esta restricción booleana inhabilita el acceso al puerto en serie por parte de las VMs de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que se aplica esta restricción. De forma predeterminada, los clientes pueden habilitar el acceso de las VMs de Compute Engine al puerto en serie por VM o por proyecto con el uso de atributos de metadatos. El cumplimiento de esta restricción permite inhabilitar el acceso de las VMs de Compute Engine al puerto en serie, independientemente de los atributos de metadatos. El acceso al puerto en serie regional no se ve afectado por esta restricción. Para inhabilitar el acceso a todos los puertos en serie, usa la restricción compute.disableSerialPortAccess.

constraints/compute.disableGlobalSerialPortAccess

Esta restricción booleana inhabilita el acceso a la API de Compute Engine a los atributos de invitado de las VMs de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que se aplica esta restricción.
De forma predeterminada, la API de Compute Engine se puede usar para acceder a los atributos de invitado de la VM de Compute Engine.

constraints/compute.disableGuestAttributesAccess

Cuando se aplica esta restricción booleana, inhabilita la creación o actualización de recursos de nube híbrida, lo que incluye adjuntos de interconexión y puertas de enlace de Cloud VPN con un stack_type de IPV4_IPV6 o IPV6_ONLY, o un gatewayIpVersion de IPv6.
Si se aplica en un recurso de Cloud Router, se inhabilitarán la capacidad de crear sesiones de protocolo de puerta de enlace de frontera (BGP) IPv6 y la capacidad de habilitar el intercambio de rutas IPv6 en sesiones de BGP IPv4.
De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede crear o actualizar recursos de nube híbrida con stack_type de IPV4_IPV6 en proyectos, carpetas y organizaciones.

constraints/compute.disableHybridCloudIpv6

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, se inhabilitan las APIs de GetSerialPortOutput y GetScreenshot que acceden a la salida del puerto en serie de las VMs y obtienen capturas de pantalla de sus IU.

constraints/compute.disableInstanceDataAccessApis

Esta restricción booleana limita si un usuario puede crear grupos de extremos de red (NEG) de Internet con un type de INTERNET_FQDN_PORT y INTERNET_IP_PORT.
De forma predeterminada, cualquier usuario con los permisos de IAM adecuados puede crear NEG de Internet en cualquier proyecto.

constraints/compute.disableInternetNetworkEndpointGroup

Mediante esta restricción booleana, se inhabilita la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, se permite la virtualización anidada por aceleración de hardware para todas las VMs de Compute Engine que se ejecutan en Intel Haswell o en plataformas de CPU más recientes.

constraints/compute.disableNestedVirtualization

Cuando se aplica esta restricción booleana, se inhabilita la creación de los tipos de instancias de VMs que no cumplen los requisitos de FIPS.

constraints/compute.disableNonFIPSMachineTypes

Esta restricción de lista define el conjunto de tipos de extremos de Private Service Connect para los que los usuarios no pueden crear reglas de reenvío. Cuando se aplique esta restricción, se impedirá a los usuarios crear reglas de reenvío para el tipo de extremo de Private Service Connect. Esta restricción no se aplica de manera retroactiva.
De forma predeterminada, se pueden crear reglas de reenvío para cualquier tipo de extremo de Private Service Connect.
La lista de extremos de Private Service Connect permitidos o denegados debe provenir de la siguiente lista:

• GOOGLE_APIS
• SERVICE_PRODUCERS

Prefijo admitido: is:

constraints/compute.disablePrivateServiceConnectCreationForConsumers

Mediante esta restricción booleana, se inhabilita el acceso del puerto en serie a las VMs de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que se aplica la restricción.
De forma predeterminada, los clientes pueden habilitar el acceso al puerto en serie para las VMs de Compute Engine por VM o por proyecto con el uso de atributos de metadatos. El cumplimiento de esta restricción permite inhabilitar el acceso al puerto en serie para las VMs de Compute Engine, independientemente de los atributos de metadatos.

constraints/compute.disableSerialPortAccess

Mediante esta restricción booleana, se inhabilitan los registros de puertos en serie de Stackdriver desde las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que se aplica esta restricción.
El registro de puertos en serie de las VM de Compute Engine está inhabilitado de forma predeterminada, pero puede habilitarse selectivamente por VM o por proyecto con los atributos de metadatos. Cuando se aplica esta restricción, se inhabilita el registro del puerto en serie para las nuevas VM de Compute Engine cada vez que se crea una y se evita que los usuarios cambien el atributo de metadatos de cualquier VM (antigua o nueva) a True. Si inhabilitas el registro de puertos en serie, ciertos servicios que dependen de él, como los clústeres de Google Kubernetes Engine, no funcionarán correctamente. Antes de aplicar esta restricción, verifica que los productos de tu proyecto no dependan del registro de puertos en serie.

constraints/compute.disableSerialPortLogging

Esta restricción booleana inhabilita en la consola de Cloud la herramienta SSH en el navegador para VMs que usan el Acceso al SO y VMs del entorno flexible de App Engine. Cuando se aplica, se inhabilita el botón de SSH en el navegador. De forma predeterminada, se permite el uso de la herramienta SSH en el navegador.

constraints/compute.disableSshInBrowser

Cuando se aplica esta restricción booleana, inhabilita la creación o la actualización de subredes con un stack_type de IPV4_IPV6 y un ipv6_access_type de EXTERNAL.
De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede crear o actualizar subredes con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización.

constraints/compute.disableVpcExternalIpv6

Cuando se aplica esta restricción booleana, inhabilita la creación o la actualización de subredes con un stack_type de IPV4_IPV6 y un ipv6_access_type de INTERNAL.
De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede crear o actualizar subredes con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización.

constraints/compute.disableVpcInternalIpv6

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. La restricción controla la configuración necesaria para eliminar posibles rutas de acceso a la memoria principal de la VM. Cuando se aplica la restricción, limita la capacidad de acceder a la memoria principal de la VM inhabilitando el acceso a las rutas; además, restringe la recopilación de datos internos cuando se producen errores.

constraints/compute.enableComplianceMemoryProtection

Cuando se aplica esta restricción booleana, se inhabilita el comportamiento de apertura ante fallas del servidor para los métodos regions.list, regions.get y projects.get. Esto significa que, si la información de cuota no está disponible, los métodos fallarán cuando se aplique la restricción. De forma predeterminada, estos métodos funcionan correctamente en las fallas del servidor y muestran un mensaje de advertencia cuando la información de cuota no está disponible.

constraints/compute.requireBasicQuotaInResponse

Cuando se aplica esta restricción booleana, se habilita VM Manager (Configuración del SO) en todos los proyectos nuevos. Todas las instancias de VM creadas en proyectos nuevos tendrán habilitado VM Manager. En los proyectos nuevos y existentes, esta restricción impide las actualizaciones de metadatos que inhabilitan VM Manager a nivel del proyecto o de la instancia.
De forma predeterminada, VM Manager está inhabilitado en los proyectos de Compute Engine.

Para obtener más información, consulta Habilita la política de la organización de OS Config.

constraints/compute.requireOsConfig

Cuando se aplica esta restricción booleana, se habilita el Acceso al SO en todos los proyectos recién creados. Todas las instancias de VM creadas en proyectos nuevos tendrán el Acceso al SO habilitado. En los proyectos nuevos y existentes, esta limitación impide las actualizaciones de metadatos que inhabilitan el Acceso al SO a nivel del proyecto o de la instancia.
De forma predeterminada, la función de Acceso al SO está inhabilitada en los proyectos de Compute Engine.

constraints/compute.requireOsLogin

Cuando se aplica esta restricción booleana, se requiere que en todas las instancias nuevas de VM de Compute Engine se usen imágenes de disco protegidas con las opciones arranque seguro, vTPM y Supervisión de integridad habilitadas. El arranque seguro se puede inhabilitar después de la creación, si así lo deseas. Las instancias activas existentes seguirán funcionando normalmente.
De forma predeterminada, no es necesario habilitar las características de VM protegida para crear instancias de VM de Compute Engine. Las funciones de VM protegida agregan integridad y resistencia comprobables ante el robo de datos a tus VM.

constraints/compute.requireShieldedVm

Esta restricción de lista define el conjunto de proxies SSL de destino y proxies HTTPS de destino que puede usar la política de SSL predeterminada. De forma predeterminada, todos los proxies SSL de destino y los proxies HTTPS de destino pueden usar la política de SSL predeterminada. Cuando se aplique esta restricción, se necesitarán nuevos proxies SSL de destino y proxies HTTPS de destino para especificar una política de SSL. La restricción no se aplica de forma retroactiva. Los proxies de destino existentes que usan la política de SSL predeterminada no se ven afectados. La lista de proxies SSL de destino y proxies HTTPS de destino permitidos se debe identificar de la siguiente manera:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/global/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/regions/REGION_NAME/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/global/targetSslProxies/TARGET_PROXY_NAME

Prefijos admitidos: is:, under:

constraints/compute.requireSslPolicy

En esta restricción de lista, se define el conjunto de políticas predefinidas que se pueden aplicar a los registros de flujo de VPC.
De forma predeterminada, los registros de flujo de VPC pueden configurarse con cualquier parámetro de configuración en cada subred.
Esta restricción exige que se habiliten los registros de flujo para todas las subredes incluidas en el alcance con una tasa de muestreo mínima obligatoria.
Especifica uno o más de los siguientes valores válidos:

• ESSENTIAL (permite valores >= 0.1 y < 0.5)
• LIGHT (permite valores >= 0.5 y < 1.0)
• COMPREHENSIVE (permite valores == 1.0)

Prefijo admitido: is:

Para obtener más información, consulta Configura las restricciones de las políticas de la organización para los registros de flujo de VPC.

constraints/compute.requireVpcFlowLogs

Esta restricción de lista define el conjunto de subredes que pueden usar Cloud NAT. De forma predeterminada, todas las subredes pueden usar Cloud NAT. La lista de subredes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.

Prefijos admitidos: is:, under:

Para obtener más información, consulta las restricciones de las políticas de la organización.

constraints/compute.restrictCloudNATUsage

Esta restricción de lista limita los recursos de bucket de backend y servicio de backend a los que puede conectarse un recurso urlMap. Esta restricción no se aplica a los buckets de backend ni los servicios de backend que estén en el mismo proyecto que el recurso urlMap. De forma predeterminada, un recurso urlMap de un proyecto puede hacer referencia a los buckets de backend y los servicios de backend compatibles de otros proyectos de la misma organización siempre que el usuario tenga el permiso compute.backendService.use, compute.regionBackendServices.use o compute.backendBuckets.use. Recomendamos no usar esta restricción con la restricción compute.restrictSharedVpcBackendServices para evitar conflictos. Los proyectos, las carpetas y los recursos de la organización de las listas de elementos permitidos o denegados afectan a todos los buckets de backend y servicios de backend que se encuentren por debajo de ellos en la jerarquía de recursos. Solo se pueden incluir proyectos, carpetas y recursos de organización en la lista de entidades permitidas o rechazadas, y deben especificarse de la siguiente manera:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/regions/REGION/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/global/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME
• projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME

Prefijos admitidos: is:, under:

constraints/compute.restrictCrossProjectServices

En esta restricción de lista, se define el conjunto de redes de Compute Engine con el fin de usar la interconexión dedicada. De forma predeterminada, las redes pueden usar cualquier tipo de interconexión. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefijos admitidos: is:, under:

Para obtener más información, consulta Restringe el uso de Cloud Interconnect.

constraints/compute.restrictDedicatedInterconnectUsage

Esta restricción de lista define el conjunto de tipos de balanceadores de cargas que pueden crearse para una organización, carpeta o proyecto. Todos los tipos de balanceadores de cargas que se permitan o se denieguen deben estar detallados de forma explícita. De forma predeterminada, se permite crear todos los tipos de balanceadores de cargas.
La lista de valores permitidos o denegados debe identificarse como el nombre de cadena de un balanceador de cargas y solo puede incluir valores de la siguiente lista:

• INTERNAL_TCP_UDP
• INTERNAL_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_TCP_PROXY
• REGIONAL_INTERNAL_MANAGED_TCP_PROXY
• EXTERNAL_NETWORK_TCP_UDP
• EXTERNAL_TCP_PROXY
• EXTERNAL_SSL_PROXY
• EXTERNAL_HTTP_HTTPS
• EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
• GLOBAL_EXTERNAL_MANAGED_SSL_PROXY

Prefijos admitidos: is:, in:

Para obtener más información, consulta Restricciones de la política de la organización para Cloud Load Balancing.

constraints/compute.restrictLoadBalancerCreationForTypes

En la lista de denegación de esta restricción, se define el conjunto de servicios que requieren que se creen todos los recursos nuevos con Confidential Computing habilitado. De forma predeterminada, no es necesario que los recursos nuevos usen Confidential Computing. Mientras que se aplique esta restricción de lista, no se puede inhabilitar el procesamiento confidencial durante el ciclo de vida del recurso. Los recursos existentes seguirán funcionando como de costumbre. La lista de servicios denegados debe identificarse como el nombre de string de una API y solo puede incluir valores denegados de forma explícita de la lista a continuación. Por el momento, no se admite el permiso explícito de las API. La denegación explícita de las API que no están en esta lista dará como resultado un error. Lista de API compatibles: [compute.googleapis.com, container.googleapis.com]

Prefijo admitido: is:

constraints/compute.restrictNonConfidentialComputing

En esta restricción de lista, se define el conjunto de redes de Compute Engine con las que se puede usar la interconexión de socio. De forma predeterminada, las redes pueden usar cualquier tipo de interconexión. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefijos admitidos: is:, under:

Para obtener más información, consulta Restringe el uso de Cloud Interconnect.

constraints/compute.restrictPartnerInterconnectUsage

Esta restricción de lista define las organizaciones, carpetas y proyectos que pueden conectarse a los adjuntos de servicio dentro de la organización o el proyecto de un productor. Las listas de valores permitidos o denegados deben identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. De forma predeterminada, se permiten todas las conexiones.

Prefijos admitidos: is:, under:

Para obtener más información, consulta Administra la seguridad para los consumidores de Private Service Connect.

constraints/compute.restrictPrivateServiceConnectConsumer

Esta restricción de lista define a qué adjuntos de servicio se pueden conectar los consumidores de Private Service Connect. La restricción bloquea la implementación de extremos o backends de Private Service Connect según la organización, la carpeta o el recurso del proyecto del adjunto de servicio al que consultan los extremos o los backends. Las listas de valores permitidos o denegados deben identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. De forma predeterminada, se permiten todas las conexiones.

Prefijos admitidos: is:, under:

Para obtener más información, consulta Administra la seguridad para los consumidores de Private Service Connect.

constraints/compute.restrictPrivateServiceConnectProducer

En esta restricción de lista, se define el tipo de objetos de regla de reenvío de protocolos con instancia de destino que puede crear un usuario. Cuando se aplica esta restricción, los nuevos objetos de regla de reenvío con instancia de destino se limitan a direcciones IP internas o externas, según los tipos que se especifiquen. Todos los tipos que se permitan o se rechacen deben estar detallados de forma explícita. De forma predeterminada, se permite la creación de objetos de regla de reenvío de protocolos internos y externos con instancia de destino.
La lista de valores permitidos o denegados solo puede incluir los de la siguiente lista:

• INTERNAL
• EXTERNAL

Esta restricción se aprovisiona automáticamente como parte de la Google Cloud seguridad básica.

Prefijo admitido: is:

Para obtener más información, consulta Descripción general del reenvío de protocolos.

constraints/compute.restrictProtocolForwardingCreationForTypes

Esta restricción de lista define el conjunto de servicios de backend de VPC compartida que pueden usar los recursos aptos. Esta restricción no se aplica a los recursos dentro del mismo proyecto. De forma predeterminada, los recursos aptos pueden usar cualquier servicio de backend de VPC compartida. La lista de servicios de backend permitidos o rechazados debe especificarse en los siguientes formatos: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME o projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Esta restricción no es retroactiva.

Prefijos admitidos: is:, under:

constraints/compute.restrictSharedVpcBackendServices

En esta restricción de lista, se define el conjunto de proyectos de host de VPC compartida a los que pueden adjuntarse los proyectos en este recurso o en un recurso secundario. De forma predeterminada, un proyecto puede adjuntarse a cualquier proyecto de host dentro de la misma organización, lo que lo convierte en un proyecto de servicio. Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados afectan a todos los objetos situados debajo de ellos en la jerarquía de recursos y deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

Prefijos admitidos: is:, under:

constraints/compute.restrictSharedVpcHostProjects

En esta restricción de lista, se define el conjunto de subredes de VPC compartidas que pueden usar los recursos aptos. Esta restricción no se aplica a los recursos dentro del mismo proyecto. De forma predeterminada, los recursos aptos pueden usar cualquier subred de VPC compartida. La lista de subredes permitidas o rechazadas debe especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.

Prefijos admitidos: is:, under:

constraints/compute.restrictSharedVpcSubnetworks

Esta restricción de lista define el conjunto de redes de VPC que pueden intercambiar tráfico con las redes de VPC que pertenecen a este proyecto, organización o carpeta. Todo extremo de intercambio de tráfico debe tener el permiso correspondiente. De forma predeterminada, el administrador de red de una red puede intercambiar tráfico con cualquier otra red. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefijos admitidos: is:, under:

constraints/compute.restrictVpcPeering

Esta restricción de lista define el conjunto de direcciones IP válidas que se pueden configurar como IPs de intercambio de tráfico de VPN. De forma predeterminada, cualquier IP puede ser una IP de intercambio de tráfico de VPN en una red de VPC. Las direcciones IP permitidas y rechazadas de la lista deben especificarse como direcciones IP válidas con el siguiente formato: IP_V4_ADDRESS o IP_V6_ADDRESS.

Prefijo admitido: is:

Para obtener más información, consulta Restringe las direcciones IP de intercambio de tráfico a través de un túnel de Cloud VPN.

constraints/compute.restrictVpnPeerIPs

Cuando se aplica, los proyectos recién creados usarán DNS zonal como opción predeterminada. De forma predeterminada, esta restricción se establece como False, y los proyectos recién creados usarán el tipo de DNS predeterminado.

Esta restricción se aprovisiona automáticamente como parte de la Google Cloud seguridad básica.

constraints/compute.setNewProjectDefaultToZonalDNSOnly

Esta restricción de lista define el conjunto de proyectos que pueden crear y poseer reservas compartidas en la organización. Una reserva compartida es similar a una local, salvo que, en lugar de ser solo consumible por proyectos de propietario, la pueden consumir otros proyectos de Compute Engine en la jerarquía de recursos. La lista de proyectos permitidos para acceder a la reserva compartida debe tener el siguiente formato: projects/PROJECT_NUMBER o under:projects/PROJECT_NUMBER.

Prefijos admitidos: is:, under:

constraints/compute.sharedReservationsOwnerProjects

Mediante esta restricción booleana, se omite la creación de la red predeterminada y los recursos relacionados durante la creación de recursos del proyecto de Google Cloud en el que se aplica la restricción. De forma predeterminada, cuando se crea un recurso de proyecto, también se crean automáticamente una red predeterminada y recursos auxiliares.

constraints/compute.skipDefaultNetworkCreation

En esta restricción de lista, se define un conjunto de proyectos con los que se pueden usar los recursos de almacenamiento de Compute Engine. De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede acceder a los recursos de Compute Engine. Cuando se usa esta restricción, los usuarios deben tener permisos de Cloud IAM y no deben estar limitados por la restricción para acceder al recurso.
Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados deben especificarse con el siguiente formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

Prefijos admitidos: is:, under:

constraints/compute.storageResourceUseRestrictions

En esta restricción de lista, se define el conjunto de proyectos que se pueden usar en el almacenamiento de imágenes y la creación de instancias de disco para Compute Engine.
De forma predeterminada, se pueden crear instancias a partir de imágenes en cualquier proyecto que comparta imágenes de manera pública o explícita con el usuario.
La listas de proyectos de publicador permitidos o denegados deben ser strings con el siguiente formato: projects/PROJECT_ID. Si esta restricción está activa, solo se permitirán imágenes de proyectos confiables como fuente de discos de arranque para nuevas instancias.

Prefijo admitido: is:

Para obtener más información, consulta Configura restricciones de acceso a imágenes.

constraints/compute.trustedImageProjects

Esta restricción de lista define el conjunto de instancias de VM que pueden habilitar el reenvío de IP. De forma predeterminada, se puede utilizar cualquier VM para habilitar el desvío de IP en cualquier red virtual. Las instancias de VM deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Esta restricción no es retroactiva.

Prefijos admitidos: is:, under:

constraints/compute.vmCanIpForward

En esta restricción de lista, se define el conjunto de instancias de VM de Compute Engine con el que se pueden usar direcciones IPv4 externas. Esta restricción no limita el uso de direcciones IPv6.
De forma predeterminada, todas las instancias de VM pueden usar direcciones IPv4 y direcciones IPv6 externas.
La lista de instancias de VM permitidas o denegadas debe identificarse por el nombre de la instancia de VM, con el siguiente formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

Prefijo admitido: is:

Para obtener más información, consulta Restringe el acceso a IPs externas a instancias específicas.

constraints/compute.vmExternalIpAccess

Cuando se aplica esta restricción booleana, se inhabilita la activación de Identity-Aware Proxy en los recursos globales. Esta restricción no impide la habilitación de IAP en recursos regionales.
De forma predeterminada, se permite habilitar IAP en recursos globales.

constraints/iap.requireGlobalIapWebDisabled

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y se diseñó solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplica una restricción booleana, se inhabilitan todas las rutas de acceso para diagnósticos y otros casos de uso de asistencia al cliente que no cumplen con los requisitos de Assured Workloads.

constraints/container.restrictNoncompliantDiagnosticDataAccess

En esta restricción de lista, se define un conjunto de repositorios remotos con los que se pueden comunicar los repositorios del proyecto de Dataform. Para bloquear la comunicación con todos los repositorios remotos, establece el valor en Deny all. La restricción es retroactiva, por lo que bloquea la comunicación de los repositorios existentes que no cumplen con ella. Las entradas deben ser vínculos a repositorios remotos de confianza en el mismo formato que se proporcionó en Dataform.
De forma predeterminada, los repositorios de proyectos de Dataform pueden comunicarse con cualquier repositorio remoto.

Prefijo admitido: is:

Para obtener más información, consulta Cómo restringir repositorios remotos.

constraints/dataform.restrictGitRemotes

De forma predeterminada, se pueden crear perfiles de conexión de Datastream con métodos de conectividad públicos o privados. Si se aplica la restricción booleana para esta política de la organización, solo se pueden usar métodos de conectividad privada (por ejemplo, intercambio de tráfico de VPC) a fin de crear perfiles de conexión.

constraints/datastream.disablePublicConnectivity

En esta restricción de lista, se define el conjunto de dominios que pueden tener las direcciones de correo electrónico agregadas a los contactos esenciales.
De forma predeterminada, las direcciones de correo electrónico con cualquier dominio pueden agregarse a los contactos esenciales.
La lista de usuarios permitidos o rechazados debe especificar uno o más dominios con el formato @example.com. Si esta restricción está activa y configurada con valores permitidos, solo se podrán agregar a los contactos esenciales las direcciones de correo electrónico con un sufijo que coincida con una de las entradas de la lista de dominios permitidos.
Esta restricción no tiene efecto en la actualización ni en la eliminación de contactos existentes.

Esta restricción se aprovisiona automáticamente como parte de la Google Cloud seguridad básica.

Prefijo admitido: is:

constraints/essentialcontacts.allowedContactDomains

Aplicar esta restricción booleana permite que los administradores de la política de la organización garanticen que solo los contactos asignados a nivel de la organización o la carpeta puedan recibir notificaciones de seguridad. Específicamente, cuando se aplica esta restricción, se bloquea a los propietarios de proyectos y administradores de contactos para que no creen ni actualicen un Contacto esencial con un campo notification_category_subscriptions que contenga la categoría SECURITY o ALL si ese contacto también tiene un recurso de proyecto como elemento superior.

constraints/essentialcontacts.disableProjectSecurityContacts

Cuando se aplica esta restricción booleana, las importaciones y exportaciones de Firestore deben usar el agente de servicio de Firestore.
Según la configuración predeterminada, las importaciones y exportaciones de Firestore pueden usar la cuenta de servicio de App Engine.
En el futuro, Firestore dejará de usar la cuenta de servicio de App Engine para importar y exportar, y todas las cuentas deberán migrarse al agente de servicio de Firestore. Cuando esto suceda, ya no será necesaria la restricción.

constraints/firestore.requireP4SAforImportExport

Cuando se aplica esta restricción booleana, se inhabilita Cloud Logging para la API de Cloud Healthcare.
Los registros de auditoría no se ven afectados por esta restricción.
No se borran los registros de Cloud generados para la API de Cloud Healthcare antes de que se aplique la restricción y se puede seguir accediendo a ellos.

Para obtener más información, consulta Inhabilita Cloud Logging para la API de Cloud Healthcare.

constraints/gcp.disableCloudLogging

En esta restricción de lista, se define el conjunto de cuentas de servicio a las que se les pueden otorgar tokens de acceso de OAuth 2.0 con una vida útil de hasta 12 horas. De forma predeterminada, el ciclo de vida máximo de estos tokens de acceso es de 1 hora.
La lista de cuentas de servicio permitidas o rechazadas debe especificar una o más direcciones de correo electrónico de cuentas de servicio.

Prefijo admitido: is:

Para obtener más información, consulta Extiende la vida útil de los tokens de acceso de OAuth 2.0.

constraints/iam.allowServiceAccountCredentialLifetimeExtension

Esta restricción de lista define los conjuntos de principales de la organización y los IDs de cliente de Google Workspace cuyas principales se pueden agregar a las políticas de IAM.
De forma predeterminada, se permite agregar todas las identidades de usuario a las políticas de IAM. Solo se pueden definir en esta restricción los valores permitidos; no se admiten los valores rechazados.
La política de la organización permitirá todos los dominios asociados con una cuenta de Google Workspace o el conjunto de principales que se muestra en allowed_values. La política de la organización bloqueará todos los demás dominios.
No es necesario agregar el ID de cliente de google.com a esta lista para interoperar con los servicios de Google. Agregar google.com permite compartir datos con empleados de Google y sistemas que no son de producción, y solo debería utilizarse para compartir datos con empleados de Google.

Esta restricción se aprovisiona automáticamente como parte de la Google Cloud seguridad básica.

Prefijo admitido: is:

Para obtener más información, consulta Restringe identidades por dominio.

constraints/iam.allowedPolicyMemberDomains

Cuando se aplica esta restricción booleana, se impide que eximas principales adicionales del registro de auditoría. Esta restricción no afecta ninguna exención de registro de auditoría que existía antes de que se aplicara la restricción.

constraints/iam.disableAuditLoggingExemption

Cuando se aplican, las cuentas de servicio solo se pueden implementar (mediante la función ServiceAccountUser) para trabajos (vms, funciones, etc.) que se ejecutan en el mismo proyecto que la cuenta de servicio.

Para obtener más información, consulta Configura un recurso en un proyecto diferente.

constraints/iam.disableCrossProjectServiceAccountUsage

Cuando se aplica esta restricción booleana, inhabilita la creación de cuentas de servicio.
De forma predeterminada, los usuarios pueden crear cuentas de servicio según sus roles y permisos de Cloud IAM.

Para obtener más información, consulta Cómo inhabilitar la creación de cuentas de servicio.

constraints/iam.disableServiceAccountCreation

Cuando se aplica esta restricción booleana, se inhabilita la creación de claves externas de cuentas de servicio y claves HMAC de Cloud Storage.
De forma predeterminada, los usuarios pueden crear claves externas de cuentas de servicio según sus roles y permisos de Cloud IAM.

Esta restricción se aprovisiona automáticamente como parte de la Google Cloud seguridad básica.

Para obtener más información, consulta Cómo inhabilitar la creación de claves de cuentas de servicio.

constraints/iam.disableServiceAccountKeyCreation

Cuando se aplica esta restricción booleana, se inhabilita la función que permite subir claves públicas a las cuentas de servicio.
De forma predeterminada, los usuarios pueden subir claves públicas a las cuentas de servicio según sus roles y permisos de Cloud IAM.

Esta restricción se aprovisiona automáticamente como parte de la Google Cloud seguridad básica.

Para obtener más información, consulta Cómo inhabilitar la carga de claves de cuentas de servicio.

constraints/iam.disableServiceAccountKeyUpload

Cuando se aplica esta restricción booleana, se requiere que Workload Identity esté inhabilitado en todos los clústeres de GKE nuevos en el momento de su creación. Los clústeres de GKE existentes que tengan habilitado Workload Identity funcionarán como de costumbre. De forma predeterminada, Workload Identity se puede habilitar para cualquier clúster de GKE.

Para obtener más información, consulta Cómo inhabilitar la creación de clústeres con identidad de cargas de trabajo.

constraints/iam.disableWorkloadIdentityClusterCreation

Esta restricción de lista define la duración máxima permitida para el vencimiento de las claves de cuentas de servicio. De forma predeterminada, las claves creadas nunca vencen.
La duración permitida se especifica en horas y debe provenir de la siguiente lista. Solo se puede establecer un valor y no se admiten los valores rechazados. Especificar una duración que no se encuentre en esta lista generará un error.

• 1h
• 8h
• 24h
• 168h
• 336h
• 720h
• 1440h
• 2160h

Prefijo admitido: is:

constraints/iam.serviceAccountKeyExpiryHours

Esta restricción de lista define la respuesta obtenida si Google detecta que se expone públicamente una clave de cuenta de servicio vinculada. Las claves que se supervisan incluyen claves de cuenta de servicio de larga duración y claves de API vinculadas a una cuenta de servicio. Si no se establece, se usa el comportamiento descrito para DISABLE_KEY.
Los valores permitidos son DISABLE_KEY y WAIT_FOR_ABUSE. No se pueden utilizar valores que no formen parte explícitamente de esta lista. Solo se puede establecer un valor y no se admiten los valores rechazados.
Cuando se permite el valor DISABLE_KEY, se inhabilita automáticamente cualquier clave de cuenta de servicio expuesta públicamente y se crea una entrada en el registro de auditoría.
Cuando se permite el valor WAIT_FOR_ABUSE, se rechaza esta protección y no se inhabilitan automáticamente las claves de cuenta de servicio expuestas. Sin embargo, Google Cloud puede inhabilitar las claves de cuentas de servicio expuestas si se usan de formas que afectan negativamente a la plataforma, pero no promete hacerlo.
Para aplicar esta restricción, configúrala para que reemplace la política principal en la Google Cloud Console o establece inheritFromParent=false en el archivo de la política si usas la gcloud CLI. Esta restricción no se puede combinar con una política superior.

Prefijo admitido: is:

constraints/iam.serviceAccountKeyExposureResponse

Lista de ID de cuentas de AWS que se pueden configurar para la Federación de Workload Identity en Cloud IAM.

Prefijo admitido: is:

constraints/iam.workloadIdentityPoolAwsAccounts

Los proveedores de identidad que pueden configurarse para la autenticación de cargas de trabajo dentro de Cloud IAM, especificado por URI o URL.

Prefijo admitido: is:

constraints/iam.workloadIdentityPoolProviders

Esta restricción determina qué modos de los Controles del servicio de VPC se pueden configurar cuando se aprovisiona un plano de control administrado nuevo de Anthos Service Mesh. Los valores válidos son “NONE” y “COMPATIBLE”.

Prefijo admitido: is:

constraints/meshconfig.allowedVpcscModes

Cuando esta restricción booleana se establece como "True", se aplica el cumplimiento de los requisitos de Assured Workloads restringiendo la creación o modificación de recursos de VM Manager que usen secuencias de comandos intercaladas o archivos de salida binarios. En particular, los campos "script" y "output_file_path" de los recursos OSPolicyAssignment y PolicyOrchestrator deben permanecer vacíos.

constraints/osconfig.restrictInlineScriptAndOutputFileUsage

Cuando se aplica esta restricción booleana, se establece como verdadero MessageStoragePolicy::enforce_in_transit en todos los temas nuevos de Pub/Sub en el momento en que se crean. Así, los datos de los clientes solo pasan por las regiones permitidas que se especificaron en la política de almacenamiento de mensajes del tema.

constraints/pubsub.enforceInTransitRegions

Con esta restricción booleana, se limita el conjunto de usuarios que pueden quitar una retención de proyecto host de VPC compartida sin el permiso a nivel de la organización en el que se aplica la restricción.
De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede quitar una retención de proyecto host de VPC compartida. Para aplicar esta restricción, se debe otorgar permiso a nivel de la organización.

constraints/compute.restrictXpnProjectLienRemoval

Cuando se APLICA esta restricción booleana, se impide que los usuarios quiten una retención de cuentas de servicio entre proyectos sin el debido permiso a nivel de la organización. De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede quitar una retención de cuenta de servicio entre proyectos. Para aplicar esta restricción, se debe otorgar permiso a nivel de la organización.

Para obtener más información, consulta Configura un recurso en un proyecto diferente.

constraints/iam.restrictCrossProjectServiceAccountLienRemoval

Cuando se aplica esta restricción de lista a un recurso de organización, se define el conjunto de recursos de Google Cloud que se muestran en los métodos de lista y búsqueda para los usuarios del dominio de la organización en la que se aplica esta restricción. Esto se puede usar para limitar los recursos visibles en varias partes de la consola de Cloud, como la página del selector de recursos, de búsqueda y de administración de recursos. Ten en cuenta que esta restricción solo se evalúa a nivel de la organización. Los valores que se especificaron en las listas de organizaciones permitidas o denegadas deben tener el siguiente formato: under:organizations/ORGANIZATION_ID.

Prefijos admitidos: is:, under:

Para obtener más información, consulta Cómo restringir la visibilidad del proyecto para los usuarios.

constraints/resourcemanager.accessBoundaries

Esta restricción de lista actúa como una marca que permite verificar que un proyecto que tiene un servicio habilitado sea apto para el traslado entre organizaciones. Un recurso con un servicio compatible habilitado debe aplicar esta restricción, y el servicio compatible debe estar incluido en los valores permitidos a fin de ser apto para un traslado entre organizaciones. La lista actual de valores permitidos para los servicios compatibles que se pueden usar es:

• SHARED_VPC

Prefijo admitido: is:

constraints/resourcemanager.allowEnabledServicesForExport

En esta restricción de lista, se define el conjunto de organizaciones externas a las que se pueden trasladar los recursos y se deniegan todos los traslados a las demás organizaciones. De forma predeterminada, los recursos no se pueden trasladar entre organizaciones. Si esta restricción se aplica a un recurso, solo se puede trasladar el recurso a las organizaciones que lo permiten forma explícita. Los traslados dentro de una organización no se rigen por esta restricción. La operación de traslado igual requerirá los mismos permisos de IAM que los traslados de recursos normales. Los valores que se especificaron en las listas de organizaciones permitidas o denegadas deben tener el siguiente formato: under:organizations/ORGANIZATION_ID.

Prefijos admitidos: is:, under:

constraints/resourcemanager.allowedExportDestinations

En esta restricción de lista, se define el conjunto de organizaciones externas desde las que se pueden importar los recursos y se deniegan todos los traslados de todas las demás organizaciones. De forma predeterminada, los recursos no se pueden trasladar entre organizaciones. Si esta restricción se aplica a un recurso, debe permitir de forma explícita los recursos importados directamente en el recurso. Los traslados dentro de una organización o desde fuera de una organización no se rigen por esta restricción. La operación de traslado igual requerirá los mismos permisos de IAM que los traslados de recursos normales. Los valores que se especificaron en las listas de organizaciones permitidas o denegadas deben tener el siguiente formato: under:organizations/ORGANIZATION_ID.

Prefijos admitidos: is:, under:

constraints/resourcemanager.allowedImportSources

Esta restricción de lista define el conjunto de nombres de políticas de autorización binaria que se pueden especificar en un recurso de Cloud Run. Para permitir o rechazar una política predeterminada, usa el valor default. Para permitir o rechazar una o más políticas de plataforma personalizadas, el ID de recurso de cada una de esas políticas debe agregarse por separado.

Prefijo admitido: is:

constraints/run.allowedBinaryAuthorizationPolicies

Esta restricción de lista define la configuración de entrada permitida para los servicios de Cloud Run. Cuando se aplica esta restricción, los servicios deben tener una configuración de entrada que coincida con uno de los valores permitidos. Los servicios de Cloud Run existentes con parámetros de configuración de entrada que incumplen esta restricción se pueden seguir actualizando hasta que se cambien los parámetros de configuración de entrada del servicio para que cumplan con esta restricción. Una vez que un servicio cumple con esta restricción, el servicio solo puede usar la configuración de entrada que permite esta restricción.
De forma predeterminada, los servicios de Cloud Run pueden usar cualquier configuración de entrada.
La lista permitida debe contener valores de configuración de entrada admitidos, que son all, internal y internal-and-cloud-load-balancing.

Prefijo admitido: is:

Para obtener más información, consulta Cómo restringir la configuración de entrada permitida.

constraints/run.allowedIngress

Esta restricción de lista define la configuración permitida de salida de VPC que se puede especificar en un recurso de Cloud Run. Cuando se aplica esta restricción, los recursos de Cloud Run deben implementarse con un conector de Acceso a VPC sin servidores o con la salida de VPC directa habilitada, y la configuración de la salida de VPC debe coincidir con uno de los valores permitidos.
De forma predeterminada, los recursos de Cloud Run pueden establecer la configuración de salida de VPC en cualquier valor admitido.
La lista permitida debe contener valores de configuración de salida de VPC admitidos, que son private-ranges-only y all-traffic.

Para los servicios existentes de Cloud Run, todas las revisiones nuevas deben cumplir con esta restricción. Los servicios existentes con revisiones que entregan tráfico que incumplen esta restricción pueden seguir migrando tráfico a revisiones que incumplen esta restricción. Una vez que se entregue todo el tráfico de un servicio mediante revisiones que cumplen con esta restricción, las migraciones de tráfico posteriores solo deberán migrar el tráfico a revisiones que cumplan con esta restricción.

Prefijo admitido: is:

Para obtener más información, consulta Restringe la configuración de salida de VPC permitida.

constraints/run.allowedVPCEgress

Cuando se aplica esta restricción booleana, se impide que se asignen automáticamente funciones de IAM a las cuentas de servicio predeterminadas de App Engine y Compute Engine que se crean para tus proyectos.
De forma predeterminada, estas cuentas de servicio reciben automáticamente la función de Editor cuando se crean. Para obtener información sobre las cuentas de servicio predeterminadas, consulta https://cloud.google.com/iam/help/service-accounts/default.
Para obtener información sobre qué roles otorgar en lugar del rol de editor, consulta https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Esta restricción se aprovisiona automáticamente como parte de la Google Cloud seguridad básica.

constraints/iam.automaticIamGrantsForDefaultServiceAccounts

En esta restricción de lista, se definen los grupos permitidos de trabajadores de Cloud Build para realizar compilaciones mediante Cloud Build. Cuando se aplique esta restricción, las compilaciones deberán crearse en un grupo de trabajadores que coincida con uno de los valores permitidos.
De forma predeterminada, Cloud Build puede usar cualquier grupo de trabajadores.
La lista de grupos de trabajadores permitida debe tener el siguiente formato:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID

Prefijos admitidos: is:, under:

constraints/cloudbuild.allowedWorkerPools

Esta restricción de lista define el conjunto de ubicaciones en las que se pueden crear los recursos de Google Cloud basados en la ubicación. Importante: La información de esta página no describe los compromisos de ubicación de datos de Google Cloud para los Datos de Clientes (según se define en el acuerdo en virtud del cual Google acordó proporcionar servicios de Google Cloud y como se describe en el Resumen de los Servicios de Google Cloud Platform en https://cloud.google.com/terms/services) a sus clientes. Para ver la lista de servicios de Google Cloud para los que los clientes pueden seleccionar la ubicación de los Datos del Cliente, consulta los servicios de Google Cloud con residencia de los datos en https://cloud.google.com/terms/data-residency.
De forma predeterminada, los recursos pueden crearse en cualquier ubicación. Para obtener una lista completa de los servicios admitidos, consulta https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services.
Las políticas para esta restricción pueden especificar multirregiones, como asia y europe, y regiones como us-east1 o europe-west1 como ubicaciones permitidas o denegadas. El permiso o la denegación de una multirregión no implica el permiso o la denegación de todas las sububicaciones incluidas. Por ejemplo, si la política deniega la multirregión us (que hace referencia a recursos multirregionales, como algunos servicios de almacenamiento), los recursos aún se pueden crear en la ubicación regional us-east1. Por otro lado, el grupo in:us-locations contiene todas las ubicaciones dentro de la región us y puede usarse para bloquear todas las regiones.
Te recomendamos usar grupos de valores para definir tu política.
Puedes especificar grupos de valores, es decir, colecciones de ubicaciones que Google selecciona para proporcionar una forma sencilla de definir las ubicaciones de tus recursos. Para utilizar grupos de valores en las políticas de tu organización, usa la string in: como prefijo, seguida del grupo de valores, en las entradas.
Por ejemplo, para crear recursos que solo se ubicarán físicamente en EE.UU., establece in:us-locations en la lista de valores permitidos.
Si el campo suggested_value se usa en una política de ubicación, debería ser una región. Si el valor especificado es una región, una IU para un recurso zonal puede prepropagar cualquier zona en esa región.

Prefijos admitidos: is:, in:

Para obtener más información, consulta Restringe las ubicaciones de recursos.

constraints/gcp.resourceLocations

Esta restricción de lista define qué proyectos se pueden usar para proporcionar claves de encriptación administradas por el cliente (CMEK) cuando se crean recursos. Establecer esta restricción en Allow (es decir, solo permitir las CMEK de estos proyectos) garantiza que las CMEK de otros proyectos no se puedan usar para proteger los recursos creados recientemente. Los valores de esta restricción deben especificarse en el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. Los servicios admitidos que aplican esta restricción son los siguientes:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• workstations.googleapis.com

Prefijos admitidos: is:, under:

Para obtener más información, consulta Políticas de la organización de CMEK.

constraints/gcp.restrictCmekCryptoKeyProjects

Esta restricción de lista define el conjunto de extremos de API de Google Cloud que se pueden usar para acceder a los recursos de una organización, una carpeta o un proyecto.
Esta restricción se puede usar para bloquear el acceso a los recursos de Google Cloud a través de los extremos de API globales, lo que obliga a usar extremos de ubicación o regionales. Por ejemplo, si especificas bigquery.googleapis.com en la lista de bloqueo de esta política, las solicitudes a bigquery.googleapis.com/... fallarán, pero las solicitudes a {location}-bigquery.googleapis.com/... se completarán correctamente.
De forma predeterminada, se permite el acceso a todos los extremos de APIs de Google Cloud.
La lista de extremos bloqueados debe provenir de la siguiente lista. Si intentas guardar la lista de bloqueo con otros valores, se producirá un error.
Para obtener más información, incluida la lista de valores de restricción válidos, consulta la guía del usuario de uso de extremo restringido.

Esta restricción se puede usar en el modo de ejecución de prueba.

Prefijos admitidos: is:, in:

Para obtener más información, consulta Cómo restringir el uso de extremos.

constraints/gcp.restrictEndpointUsage

Esta restricción de lista define qué servicios requieren claves de encriptación administradas por el cliente (CMEK). Para establecer esta restricción en Deny (es decir, rechazar la creación de recursos sin CMEK), los recursos recién creados deben estar protegidos por una CMEK en el caso de los servicios especificados. Los servicios compatibles que se pueden establecer en esta restricción son los siguientes:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• storagetransfer.googleapis.com
• workstations.googleapis.com

Prefijo admitido: is:

Para obtener más información, consulta Políticas de la organización de CMEK.

constraints/gcp.restrictNonCmekServices

Esta restricción define el conjunto de servicios de recursos de Google Cloud que se pueden usar en una organización, una carpeta o un proyecto, como compute.googleapis.com y storage.googleapis.com.
De forma predeterminada, se permiten todos los servicios de recursos de Google Cloud.
Para obtener más información, consulta https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

Esta restricción se puede usar en el modo de ejecución de prueba.

Prefijo admitido: is:

Para obtener más información, consulta Cómo restringir el uso de recursos.

constraints/gcp.restrictServiceUsage

Esta restricción de lista define el conjunto de conjuntos de algoritmos de cifrado TLS que se pueden usar para acceder a los recursos de una organización, una carpeta o un proyecto en el que se aplica esta restricción.
De forma predeterminada, se permiten todos los conjuntos de algoritmos de cifrado TLS. Los conjuntos de algoritmos de cifrado de TLS se pueden especificar como una lista de entidades permitidas o una lista de bloqueo, y se deben identificar con sus nombres. Por ejemplo, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256.También puedes especificar grupos de valores, colecciones de conjuntos de algoritmos de cifrado que Google selecciona para proporcionar una forma sencilla de definir la restricción. Para utilizar grupos de valores en las políticas de tu organización, usa la cadena in: como prefijo, seguido del grupo de valores, en las entradas. Por ejemplo, in:CNSA-2.0-recommended-ciphers.
Esta restricción solo se aplica a las solicitudes que usan TLS. No se usará para restringir solicitudes sin encriptación.
Para obtener más información, consulta la guía del usuario de Restringir conjuntos de algoritmos de cifrado TLS.

Esta restricción se puede usar en el modo de ejecución de prueba.

Prefijos admitidos: is:, in:

constraints/gcp.restrictTLSCipherSuites

Esta restricción define el conjunto de versiones de TLS que no se pueden usar en la organización, la carpeta o el proyecto en los que se aplica esta restricción, ni ninguno de los elementos secundarios de ese recurso en la jerarquía del recurso.
De forma predeterminada, se permiten todas las versiones de TLS. Las versiones de TLS solo se pueden especificar en la lista de elementos rechazados y se deben identificar con el formato TLS_VERSION_1 o TLS_VERSION_1_1.
Esta restricción solo se aplica a las solicitudes que usan TLS. No se usará para restringir solicitudes sin encriptación.
Para obtener más información, consulta https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.

Esta restricción se puede usar en el modo de ejecución de prueba.

Prefijo admitido: is:

Para obtener más información, consulta Cómo restringir las versiones de TLS.

constraints/gcp.restrictTLSVersion

Cuando se aplica esta restricción booleana, se inhabilita la activación de Identity-Aware Proxy en los recursos regionales. Esta restricción no restringe la habilitación de IAP en recursos globales.
De forma predeterminada, se permite habilitar IAP en recursos regionales.

constraints/iap.requireRegionalIapWebDisabled

En esta restricción de lista, se limita el conjunto de servicios y API que se pueden habilitar en este recurso. De forma predeterminada, se permiten todos los servicios.
La lista de servicios denegados solo puede incluir valores de la lista que se muestra a continuación. Actualmente, no se pueden habilitar API mediante esta restricción. Se producirá un error si se especifica una API que no está en esta lista.

• compute.googleapis.com
• deploymentmanager.googleapis.com
• dns.googleapis.com

Prefijo admitido: is:

constraints/serviceuser.services

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplique esta restricción booleana, se inhabilitarán algunos aspectos de la compatibilidad y los recursos aprovisionados seguirán estrictamente los requisitos avanzados de soberanía de Assured Workloads. Esta política se aplicará a proyectos existentes, pero no afectará los recursos que ya se aprovisionaron, es decir, las modificaciones a la política solo se reflejarán en los recursos creados después de dichas modificaciones.

constraints/spanner.assuredWorkloadsAdvancedServiceControls

No configures ni modifiques esta política. Esta restricción se configura automáticamente durante la integración de Assured Workloads y está diseñada solo para el control regulatorio avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, impide que se creen instancias de Spanner usando la configuración de instancias multirregionales, a menos que se seleccione una ubicación. Actualmente, Cloud Spanner todavía no es compatible con la selección de ubicaciones, por lo que no se permitirán las instancias multirregionales. Spanner proporcionará la funcionalidad para que los usuarios seleccionen ubicaciones multirregionales en el futuro. La restricción no se aplica de forma retroactiva. Las instancias de Spanner que ya se crearon no se verán afectadas.

constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected

Cuando se aplica el modo de registros de auditoría detallados, se incluyen la solicitud y la respuesta en los registros de auditoría de Cloud. Los cambios de esta función podrían tardar hasta 10 minutos en mostrarse. Se recomienda usar esta política de la organización con el bloqueo de bucket cuando quiera garantizarse el cumplimiento de los estándares, como la regla 17a-4(f) de la SEC, las reglas 1.31(c)-(d) de la CFTC y la regla 4511(c) de FINRA. Actualmente, esta política solo se admite en Cloud Storage.

Para obtener más información, consulta Restricciones de las políticas de la organización para Cloud Storage.

constraints/gcp.detailedAuditLoggingMode

Aplica medidas de prevención de acceso público para proteger los datos de Cloud Storage de la exposición pública. Esta política de administración evita que se acceda a los recursos existentes y futuros a través del Internet público con la inhabilitación y el bloqueo de los permisos de IAM y LCA que otorgan acceso a allUsers y allAuthenticatedUsers. Aplica esta política en toda la organización (recomendado) o en proyectos o carpetas específicos para asegurarte de que los datos no estén expuestos de forma pública.
Esta política anula los permisos públicos existentes. Se revocará el acceso público a los buckets y objetos existentes después de que se habilite esta política. Para obtener más detalles sobre los efectos de cambiar la aplicación de esta restricción en los recursos, consulta https://cloud.google.com/storage/docs/public-access-prevention.

Para obtener más información, consulta Restricciones de las políticas de la organización para Cloud Storage.

constraints/storage.publicAccessPrevention

La restricción define el conjunto de tipos de autenticación que no podrán acceder a ningún recurso de almacenamiento de la organización en Cloud Storage. Los valores admitidos son USER_ACCOUNT_HMAC_SIGNED_REQUESTS, SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS y RSA_SIGNED_REQUESTS. Usa in:ALL_HMAC_SIGNED_REQUESTS para incluir solicitudes firmadas con HMAC de la cuenta de usuario y de la cuenta de servicio. Usa in:ALL_SIGNED_REQUESTS para incluir solicitudes firmadas con HMAC y RSA.

Prefijos admitidos: is:, in:

constraints/storage.restrictAuthTypes

Esta restricción de lista define el conjunto de duraciones de las políticas de retención que se pueden configurar en los buckets de Cloud Storage.
De forma predeterminada, si no se especifica ninguna política de la organización, la política de retención del bucket de Cloud Storage puede tener cualquier duración.
La lista de duraciones permitidas debe especificarse como un valor de número entero positivo mayor que cero, el cual representa los segundos que dura la política de retención.
Las operaciones de inserción, actualización o aplicación de parches que se realicen en un bucket del recurso de la organización deben tener una duración de política de retención que coincida con la restricción.
La aplicación de esta restricción no es retroactiva. Cuando se aplique una nueva política de la organización, la política de retención de los buckets existentes no sufrirá cambios y seguirá siendo válida.

Prefijo admitido: is:

Para obtener más información, consulta Restricciones de las políticas de la organización para Cloud Storage.

constraints/storage.retentionPolicySeconds

Cuando se aplica esta restricción booleana, se deniega de forma explícita el acceso HTTP (desencriptado) a todos los recursos de almacenamiento. De forma predeterminada, la API de XML de Cloud Storage permite el acceso HTTP sin encriptar. Ten en cuenta que la API de JSON de Cloud Storage, gRPC y la consola de Cloud solo admiten acceso HTTP encriptado a los recursos de Cloud Storage.

constraints/storage.secureHttpTransport

Esta restricción define las duraciones de retención permitidas para las políticas de eliminación no definitiva establecidas en los buckets de Cloud Storage en los que se aplique esta restricción. Las operaciones de inserción, actualización o aplicación de parches en un bucket en el que se aplique la restricción deben tener una duración de política de eliminación no definitiva que concuerde con la restricción. Cuando se aplique una nueva política de la organización, la política de eliminación no definitiva de los buckets existentes no sufrirá cambios y seguirá siendo válida. De forma predeterminada, si no se especifica ninguna política de la organización, la política de eliminación no definitiva del bucket de Cloud Storage puede tener cualquier duración.

Prefijo admitido: is:

constraints/storage.softDeletePolicySeconds

En esta restricción booleana, se requiere que los depósitos usen un nivel de depósito uniforme en el que esta restricción se configure en True. Cualquier bucket nuevo en el recurso de organización debe tener habilitado el acceso uniforme a nivel de bucket y no se puede inhabilitar mediante ningún bucket existente en este recurso.
La aplicación de esta restricción no es retroactiva. El acceso uniforme a nivel de depósito seguirá inhabilitado en los depósitos existentes que estén configurados de esa forma. El valor predeterminado para esta restricción es False.
Con el acceso uniforme a nivel de depósito, se inhabilita la evaluación de las LCA asignadas a los objetos de Cloud Storage almacenados en el depósito. En consecuencia, solo las políticas de IAM otorgan acceso a los objetos de estos buckets.

Esta restricción se aprovisiona automáticamente como parte de la Google Cloud seguridad básica.

Para obtener más información, consulta Restricciones de las políticas de la organización para Cloud Storage.

constraints/storage.uniformBucketLevelAccess