Restrições da política da organização

Essa restrição de lista define as configurações de criptografia permitidas para novos anexos da VLAN.
Por padrão, os anexos da VLAN podem usar qualquer configuração de criptografia.
Defina IPSEC como o valor permitido para aplicar à criação apenas de anexos da VLAN criptografados.

Essa restrição garante que os recursos de prévia sejam bloqueados, a menos que ela seja explicitamente permitida. Depois de definir como "Permitir", você pode controlar quais recursos de prévia podem ser ativados ou desativados individualmente para seu projeto. Somente os recursos de prévia ativados podem ser acessados no projeto. Desativar a política depois não muda o status dos recursos de prévia individual já definidos, e eles podem ser desativados individualmente. Essa restrição se aplica apenas aos recursos da API Alpha do Compute.

[Prévia pública] Essa restrição booleana desativa a virtualização aninhada acelerada por hardware de todas as VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição está definida como True.
Por padrão, a virtualização aninhada acelerada por hardware é permitida em todas as VMs do Compute Engine em execução no Intel Haswell ou em plataformas de CPU mais recentes.

Prévia: essa restrição impede que a chave de metadados "serial-port-enable" seja definida como "true" para VMs do Compute Engine na organização, no projeto ou na pasta em que a restrição é aplicada. Por padrão, o acesso à porta serial pode ser ativado por VM, por zona ou por projeto usando essa chave de metadados. Para permitir o acesso à porta serial para VMs específicas, é possível isentar essas VMs da política usando tags e regras condicionais.
Importante: a aplicação dessa restrição não afeta as VMs atuais em que "serial-port-enable" já está definido como "true". Elas vão manter o acesso, a menos que os metadados sejam atualizados.

[Prévia pública] Quando aplicada, essa restrição desativa a geração de registros de porta serial no Stackdriver das VMs do Compute Engine.
Por padrão, a geração de registros de porta serial das VMs do Compute Engine fica desativada e pode ser ativada seletivamente por VM ou por projeto com o uso de atributos de metadados. A desativação da geração de registros de porta serial pode impedir o funcionamento correto de alguns serviços que dependem deles, como os clusters do Google Kubernetes Engine. Antes de aplicar a restrição, verifique se os produtos no seu projeto não dependem desses registros. É possível permitir que instâncias de VM específicas usem a geração de registros da porta serial. Primeiro, aplique tags para marcar as instâncias e, em seguida, use regras condicionais com base nos valores de tag para definir corretamente o escopo dessas instâncias fora da aplicação.

[Prévia pública] Quando aplicada, essa restrição limita o uso do gDNS. Essa restrição desativa a criação de VMs do gDNS e a atualização de VMs para usar o gDNS. A reversão de um projeto zDNS para gDNS não será bloqueada, mas vai resultar na aplicação de violações da política durante as invocações subsequentes da API Instance.

[Prévia pública] Quando aplicada, essa restrição exige a ativação do VM Manager (configuração do SO) em todos os novos projetos. Nos projetos novos e atuais, essa restrição impede atualizações de metadados que desativem o VM Manager no nível do projeto, da zona do projeto ou da instância. É possível permitir que instâncias de VM específicas desativem o VM Manager. Primeiro, aplique tags para marcar as instâncias e, em seguida, use regras condicionais com base nos valores de tag para definir corretamente o escopo dessas instâncias fora da aplicação.

[Prévia pública] Quando aplicada, essa restrição exige a ativação do Login do SO em todos os projetos recém-criados. Nos projetos novos e atuais, essa restrição impede atualizações de metadados que desativem o login do SO no nível do projeto, da zona do projeto ou da instância. É possível permitir que instâncias de VM específicas desativem o login do SO. Primeiro, aplique tags para marcar as instâncias e, em seguida, use regras condicionais com base nos valores de tag para definir corretamente o escopo dessas instâncias fora da aplicação.

Com essa restrição, é possível restringir os tipos de implantações de encaminhamento de protocolo (internas ou externas) que podem ser criadas na sua organização. Para configurar a restrição, especifique uma lista de permissões do tipo de implantação de encaminhamento de protocolo que será permitida. A lista de permissões só pode incluir os seguintes valores:

• INTERNAL
• EXTERNAL

[Prévia pública] Essa restrição define se as instâncias de VM do Compute Engine podem ativar o encaminhamento de IP. Por padrão, se nenhuma política for especificada, qualquer VM poderá ativar o encaminhamento de IP em qualquer rede virtual. Se aplicada, essa restrição vai negar a criação ou atualização de instâncias de VM com o encaminhamento de IP ativado. É possível permitir que instâncias de VM específicas ativem o encaminhamento de IP. Primeiro, aplique tags para marcar as instâncias e, em seguida, use regras condicionais com base nos valores de tag para definir corretamente o escopo dessas instâncias fora da aplicação.

[Prévia pública] Essa restrição define se as instâncias de VM do Compute Engine podem usar endereços IP externo IPv4. Por padrão, todas as instâncias de VM podem usar endereços IP externos. Se aplicada, essa restrição vai negar a criação ou atualização de instâncias de VM com endereços IP externo IPv4. Essa restrição não limita o uso de endereços IP externo IPv6. É possível permitir que instâncias de VM específicas usem endereços IP IPv4 externos. Primeiro, aplique tags para marcar as instâncias e, em seguida, use regras condicionais com base nos valores de tag para definir corretamente o escopo dessas instâncias fora da aplicação.

Exigir que o controlador de admissão DenyServiceExternalIPs permaneça ativado nos clusters do GKE. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs

Rejeitar solicitações para ativar o controle de acesso baseado em atributos (ABAC) em clusters do GKE. A ABAC é um método de autenticação legada que é desativado por padrão em todos os novos clusters. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled

Exija que a porta somente leitura do kubelet não segura (10255) permaneça desativada. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port

Não ative manualmente o método legado de autenticação de certificado do cliente. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate

Desative ClusterRoleBindings e RoleBindings não padrão que referenciam as identidades do sistema system:anonymous, system:authenticated ou system:unauthenticated ao criar ou atualizar clusters do GKE. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage

Não use a conta de serviço padrão do Compute Engine como a conta de serviço do cluster ou do pool de nós. Use uma conta de serviço do IAM com privilégios mínimos. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa

Ative a autorização binária ao criar ou atualizar clusters do GKE. Para mais detalhes, consulte https://cloud.google.com/binary-authorization/docs/setting-up.

Exigir que todos os clusters do GKE usem pelo menos a configuração padrão do Cloud Logging. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging

Ative o endpoint baseado em DNS para acesso ao plano de controle do GKE e desative os endpoints baseados em IP ao criar ou atualizar clusters. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint.

Ative os Grupos do Google para RBAC ao criar ou atualizar clusters do GKE. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac.

Ative o uso de NetworkPolicies do Kubernetes ativando a aplicação de políticas de rede ou o GKE Dataplane V2. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy ou https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2.

Ative nós particulares ao criar ou atualizar clusters do GKE e pools de nós. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking.

Ative a criptografia de secrets com chaves autogerenciadas ao criar ou atualizar clusters do GKE. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets.

Ative as notificações de boletins de segurança ao criar ou atualizar clusters do GKE. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin

Exigir que os nós protegidos permaneçam ativados. Os nós protegidos do GKE fornecem integridade e identidade forte e verificável de nós para aumentar a segurança dos nós do GKE. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes.

Ative a federação de identidade da carga de trabalho do GKE ao criar ou atualizar clusters. Para mais detalhes, consulte https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity.

Desative o acesso das chaves SSH em todo o projeto às VMs de worker do Dataflow.

Desative o uso de IPs públicos nas VMs de worker do Dataflow.

Essa restrição define o conjunto de domínios permitidos que os endereços de e-mail adicionados aos Contatos essenciais podem ter.
Por padrão, os endereços de e-mail com qualquer domínio podem ser adicionados aos Contatos Essenciais.
A lista "allowedDomains" precisa especificar um ou mais domínios no formato @example.com. Se essa restrição for aplicada, apenas endereços de e-mail com um sufixo que corresponda a uma das entradas da lista de domínios permitidos poderão ser adicionados aos Contatos essenciais.
Essa restrição não afeta a atualização ou remoção de contatos atuais.

Quando aplicada, garante que apenas os serviços na lista de permissões possam ter os endpoints do mcp ativados. Por padrão, essa restrição é aplicada e a lista de serviços permitidos está vazia, impedindo a ativação de qualquer endpoint do mcp.

Essa restrição define os conjuntos de principais da organização que podem receber papéis do IAM na sua organização.
Especificar um conjunto principal da organização permite que todas as identidades associadas a ela (incluindo contas e grupos do Workspace, contas de serviço, identidades de pool de funcionários e de carga de trabalho e agentes de serviço) recebam papéis na sua organização. O conjunto principal da organização não é permitido automaticamente e precisa ser incluído como um conjunto principal permitido.
É possível especificar membros individuais usando o prefixo do tipo principal (por exemplo, "user:" ou "serviceAccount:") para conceder a eles e aos aliases associados papéis na sua organização.
A aplicação dessa restrição pode bloquear a criação de recursos de pastas devido à concessão automática dos papéis de Administrador de pastas e editor de pastas, além de bloquear a criação de recursos de projetos devido à concessão automática do papel de proprietário.

Quando aplicada, desativa a criação de chaves de API vinculadas a contas de serviço.

Para mais informações, consulte Ativar a vinculação de chaves a contas de serviço.

Essa restrição booleana desativa a criação de contas de serviço em que essa restrição esteja definida como "True".
Por padrão, as contas de serviço podem ser criadas por usuários com base nos respectivos papéis e permissões do Cloud IAM.

Quando aplicada, essa restrição bloqueia a criação de chaves de conta de serviço.

Essa restrição booleana desativa o recurso que permite fazer upload de chaves públicas para contas de serviço em que a restrição esteja definida como "True".
Por padrão, os usuários podem fazer upload de chaves públicas para contas de serviço com base nos respectivos papéis e permissões do Cloud IAM.

Quando essa restrição é aplicada, ela impede que alguém conceda o papel de Editor (roles/editor) ou Proprietário (roles/owner) às contas de serviço padrão do Compute Engine e do App Engine a qualquer momento. Para saber mais sobre contas de serviço padrão, acesse https://cloud.google.com/iam/help/service-accounts/default. A aplicação dessa restrição impede que as contas de serviço padrão recebam automaticamente o papel de editor (roles/editor). Isso pode causar problemas de permissão para serviços que usam essas contas. Para saber quais papéis conceder a cada conta de serviço, consulte https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Lista de IDs de contas da AWS que podem ser configurados para a federação de identidade de carga de trabalho no Cloud IAM.

Provedores de identidade que podem ser configurados para autenticação de carga de trabalho no Cloud IAM, especificados por URI/URLs. Essa restrição é gerenciada pelo Google.

Quando essa restrição booleana é aplicada, a criação e a atualização de clusters do Kafka Connect são desativadas.

Não configure ou modifique esta política. Ela é configurada automaticamente durante a integração do Assured Workloads e é destinada apenas para o controle regulatório avançado do Assured Workloads. Quando essa restrição booleana é aplicada, as assinaturas do Pub/Sub não podem definir transformações de mensagem única (SMTs).

Não configure ou modifique esta política. Ela é configurada automaticamente durante a integração do Assured Workloads e é destinada apenas para o controle regulatório avançado do Assured Workloads. Quando essa restrição booleana é aplicada, os tópicos do Pub/Sub não podem definir transformações de mensagem única (SMTs).

Quando aplicada, essa restrição exige que a verificação do invocador do IAM seja ativada nos serviços do Cloud Run.
Se essa restrição não for aplicada, defina o campo service.invoker_iam_disabled (v2) ou a anotação run.googleapis.com/invoker-iam-disabled (v1) nos serviços do Cloud Run como True. Também é possível alcançar um resultado semelhante concedendo a permissão run.routes.invoke a allUsers. Acesse https://cloud.google.com/run/docs/securing/managing-access#make-service-public e https://cloud.google.com/run/docs/securing/security para mais informações.

A edição que você está tentando usar não é permitida pela política da sua organização. Analise a política e selecione uma edição permitida.

Esta restrição de lista define os modos de acesso permitidos para as instâncias e os notebooks do Vertex AI Workbench onde forem aplicados. A lista de permissão ou bloqueio pode especificar vários usuários com o modo service-account ou acesso de usuário único com o modo single-user. Para ser permitido ou negado, o modo de acesso precisa ser listado explicitamente.

Prefixo compatível: is:

constraints/ainotebooks.accessMode

Quando aplicada, essa restrição booleana impede a criação de instâncias do Vertex AI Workbench com a opção de download de arquivo ativada. Por padrão, essa opção pode ser ativada em qualquer instância do Vertex AI Workbench.

constraints/ainotebooks.disableFileDownloads

Quando aplicada, esta restrição booleana impede que instâncias e notebooks do Vertex AI Workbench recém-criados e gerenciados pelos usuários ativem o acesso raiz. Por padrão, as instâncias e os notebooks do Vertex AI Workbench gerenciados pelos usuários podem ter o acesso raiz ativado.

constraints/ainotebooks.disableRootAccess

Quando aplicada, essa restrição booleana impede a criação de instâncias do Vertex AI Workbench com o terminal ativado. Por padrão, o terminal pode ser ativado nas instâncias do Vertex AI Workbench.

constraints/ainotebooks.disableTerminal

Esta restrição de lista define as opções de imagens de contêineres e VMs dadas a um usuário ao criar novos notebooks gerenciados pelo usuário do Vertex AI Workbench. Para serem permitidas ou proibidas, as opções precisam ser listadas explicitamente.
O formato esperado para instâncias de VMs é ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Substitua IMAGE_TYPE por image-family ou image-name. Exemplos: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
O formato esperado para imagens de contêiner é ainotebooks-container/CONTAINER_REPOSITORY:TAG. Exemplos: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.

Prefixo compatível: is:

constraints/ainotebooks.environmentOptions

Essa restrição booleana, quando aplicada, exige que as instâncias e os notebooks gerenciados pelo usuário do Vertex AI Workbench recém-criados tenham uma programação de atualização automática definida. A programação de atualização automática pode ser definida usando a flag de metadados notebook-upgrade-schedule para especificar uma programação cron para as atualizações automáticas. Por exemplo, --metadata=notebook-upgrade-schedule="00 19 * * MON".

constraints/ainotebooks.requireAutoUpgradeSchedule

Essa restrição booleana, quando aplicada, restringe o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os IPs públicos podem acessar os notebooks e as instâncias do Vertex AI Workbench.

constraints/ainotebooks.restrictPublicIp

Esta restrição de lista define as redes VPC que um usuário pode escolher ao criar instâncias do Vertex AI Workbench em que essa restrição é aplicada. Por padrão, uma instância do Vertex AI Workbench pode ser criada com qualquer rede VPC. A lista de redes permitidas ou negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefixos aceitos: is:, under:

constraints/ainotebooks.restrictVpcNetworks

Esta restrição de lista define o conjunto de modelos e recursos de IA generativa que podem ser usados nas APIs Vertex AI. Os valores da lista de permissões precisam seguir o formato model_id:feature_family. Por exemplo, publishers/google/models/text-bison:predict. Essa restrição de lista restringe apenas o acesso a modelos de IA generativa reservados do Google e não afeta modelos reservados de terceiros ou de código aberto. A restrição vertexai.allowedModels pode ser usada para definir o acesso a um conjunto mais amplo de modelos, incluindo modelos reservados do Google, de terceiros e de código aberto. Por padrão, todos os modelos podem ser usados nas APIs Vertex AI.

Prefixo compatível: is:

constraints/vertexai.allowedGenAIModels

A restrição de lista define o conjunto de modelos e recursos que podem ser usados nas APIs Vertex AI. Os valores da lista de permissões precisam seguir o formato "model_id:feature_family", por exemplo, "publishers/google/models/gemini-1.0-pro:predict". Por padrão, todos os modelos podem ser usados nas APIs Vertex AI.

Prefixo compatível: is:

Para mais informações, consulte Controlar o acesso aos modelos do Model Garden.

constraints/vertexai.allowedModels

Esta restrição de lista define o conjunto de recursos avançados do modelo de parceiro gerenciado que podem ser usados nas APIs Vertex AI. Os valores da lista de permissões precisam seguir o formato "publishers/publisher_id/models[/model_id:feature_family]", por exemplo, "publishers/anthropic/models/claude-sonnet-4:web_search" ou "publishers/anthropic/models/claude-sonnet-4" ou "publishers/anthropic". Por padrão, todos os recursos avançados dos modelos de parceiros gerenciados são bloqueados nas APIs Vertex AI.

Prefixo compatível: is:

constraints/vertexai.allowedPartnerModelFeatures

Quando aplicada, essa restrição booleana desativa o embasamento com a Pesquisa Google nas APIs de IA generativa. Por padrão, o recurso está ativado.

constraints/vertexai.disableGenAIGoogleSearchGrounding

Esta restrição de lista define o conjunto de fontes de fundamentação permitidas ou negadas para uso com as APIs generativas da Vertex AI.
Por padrão, todas as fontes de fundamentação são permitidas.
Os valores válidos são: GoogleMaps, VertexAiSearch, VertexRagStore, EnterpriseWebSearch, ExternalApiSimpleSearch, ExternalApiElasticSearch e UrlContext.

Prefixo compatível: is:

constraints/vertexai.genAIGroundingSources

Desativa os downloads de código relacionados ao código-fonte enviado anteriormente por upload ao App Engine.

constraints/appengine.disableCodeDownload

Esta restrição de lista define o conjunto dos ambientes de execução legados do App Engine padrão (Python 2.7, PHP 5.5 e Java 8) permitidos para implantações que já ultrapassaram a data de término do suporte. Essa data, no caso dos ambientes de execução legados padrão do App Engine, é 30 de janeiro de 2024. Em termos gerais, as tentativas de implantar aplicativos usando ambientes de execução legados após essa data serão bloqueadas. Confira a programação de suporte do ambiente de execução do App Engine padrão. Definir essa restrição como "Permitir" desbloqueia as implantações do App Engine padrão para os ambientes de execução legados especificados até a data de desativação desses ambientes. Definir essa restrição como "Permitir tudo" desbloqueia as implantações do App Engine padrão para todos os ambientes de execução legados até a data de desativação deles. Os ambientes de execução que chegaram ao fim do período de suporte não recebem patches de rotina de manutenção e segurança. Recomendamos que você faça o upgrade dos seus aplicativos para usar uma versão do ambiente de execução com disponibilidade geral.

Prefixo compatível: is:

constraints/appengine.runtimeDeploymentExemption

Quando aplicada, essa restrição booleana impede que os usuários usem o BigQuery Omni para processar dados na Amazon Web Services.

constraints/bigquery.disableBQOmniAWS

Quando aplicada, essa restrição booleana impede que os usuários usem o BigQuery Omni para processar dados no Microsoft Azure.

constraints/bigquery.disableBQOmniAzure

Esta restrição de lista define as integrações do Cloud Build com permissão para executar builds por recebimento de webhooks de serviços fora do Google Cloud. Quando essa restrição for aplicada, apenas os webhooks de serviços com um host que corresponda a um dos valores permitidos serão processados.
Por padrão, o Cloud Build processa todos os webhooks de projetos que têm pelo menos um gatilho ATIVO.

Prefixo compatível: is:

Para mais informações, consulte Controlar builds com base na política da organização.

constraints/cloudbuild.allowedIntegrations

Quando aplicada, esta restrição booleana impede a criação de uma conta de serviço legada do Cloud Build.

constraints/cloudbuild.disableCreateDefaultServiceAccount

Quando aplicada, esta restrição booleana permite que a conta de serviço legada do Cloud Build seja usada por padrão.

constraints/cloudbuild.useBuildServiceAccount

Quando aplicada, esta restrição booleana permite que a conta de serviço do Compute Engine seja usada por padrão.

constraints/cloudbuild.useComputeServiceAccount

Essa restrição booleana, quando aplicada, impede que o Cloud Deploy adicione rótulos de identificação aos objetos implantados.
Por padrão, os rótulos que identificam os recursos do Cloud Deploy são adicionados aos objetos implantados durante a criação da versão.

constraints/clouddeploy.disableServiceLabelGeneration

Essa restrição de lista define as configurações de saída permitidas para a implantação de uma função do Cloud (1ª geração). Quando essa restrição é aplicada, as funções precisam ter configurações de entrada que correspondam a um dos valores permitidos.
Por padrão, o Cloud Functions pode usar qualquer configuração de entrada.
As configurações de entrada precisam ser especificadas na lista permitida usando os valores de enum IngressSettings. O valor padrão do tipo enumerado é INGRESS_SETTINGS_UNSPECIFIED. Para usar o tipo enumerado em uma política da organização, é preciso mudar o valor dele.
Para Cloud Functions (2nd gen), use a restrição constraints/run.allowedIngress.

Prefixo compatível: is:

Para mais informações, consulte Configurar políticas da organização.

constraints/cloudfunctions.allowedIngressSettings

Essa restrição de lista define configurações de saída do conector de VPC permitidas para a implantação de uma função do Cloud (1ª geração). Quando essa restrição é aplicada, as funções obrigatoriamente precisam ter configurações de saída do conector de VPC correspondentes a um dos valores permitidos.
Por padrão, o Cloud Functions pode usar qualquer configuração de saída do Conector VPC.
As configurações de saída do Conector VPC devem ser especificadas na lista de permissões usando os valores de enum VpcConnectorEgressSettings. O valor padrão do enum, VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED, não é compatível e gera um erro quando é incluído em uma política.
Para o Cloud Functions (2nd gen), use a restrição constraints/run.allowedVPCEgress.

Prefixo compatível: is:

Para mais informações, consulte Configurar políticas da organização.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings

Essa restrição booleana requer a configuração de um conector de VPC ao implantar uma função do Cloud (1ª geração). Quando essa restrição é aplicada, as funções precisam especificar obrigatoriamente um conector de VPC.
Por padrão, a especificação de um conector VPC não é obrigatória para implantar uma Função do Cloud.

Para mais informações, consulte Configurar políticas da organização.

constraints/cloudfunctions.requireVPCConnector

Essa restrição de lista define o conjunto de gerações de função do Cloud permitidas que podem ser usadas para criar novos recursos de função. Valores válidos: 1stGen, 2ndGen.

Prefixo compatível: is:

constraints/cloudfunctions.restrictAllowedGenerations

Esta restrição de lista define os tipos de chaves do Cloud KMS que podem ser criados em um determinado nó da hierarquia. Quando essa restrição é aplicada, somente os tipos de chaves KMS especificados nessa política da organização podem ser criados no respectivo nó da hierarquia. A configuração dessa política da organização também afetará o nível de proteção dos jobs de importação e das versões das chaves. Por padrão, todos os tipos de chaves são permitidos. Valores válidos: SOFTWARE, HSM, EXTERNAL, EXTERNAL_VPC. As políticas de negação não são permitidas.

Prefixo compatível: is:

constraints/cloudkms.allowedProtectionLevels

Quando aplicada, essa restrição booleana só permite a destruição das versões de chaves que estejam no estado desativado. Por padrão, tanto as versões de chaves que estão no estado ativado quanto aquelas que estão no estado desativado podem ser destruídas. Quando essa restrição é aplicada, ela vale tanto para as versões de chaves novas quanto para as existentes.

constraints/cloudkms.disableBeforeDestroy

Essa restrição de lista define o valor mínimo para a duração do estado "programado para destruição" em dias que o usuário pode especificar ao criar uma nova chave. Nenhuma chave com a duração programada para destruição inferior a esse valor poderá ser criada depois que a restrição for imposta. Por padrão, o valor mínimo da duração programada para destruição de todas as chaves é de 1 dia, exceto no caso de chaves somente de importação, para as quais é de 0 dia.
Apenas um valor permitido pode ser especificado no formato in:1d, in:7d, in:15d, in:30d, in:60d, in:90d ou in:120d. Por exemplo, se constraints/cloudkms.minimumDestroyScheduledDuration for definido como in:15d, os usuários poderão criar chaves com duração programada para destruição definida com qualquer valor superior a 15 dias, como 16 ou 31 dias. Porém, os usuários não podem criar chaves com duração programada para destruição inferior a 15 dias, como 14 dias. Para cada recurso na hierarquia, a duração mínima programada para destruição pode herdar, substituir ou ser mesclada com a política do pai. Quando a política do recurso é mesclada com a política do pai, o valor efetivo da duração mínima programada para destruição no recurso é o menor entre o valor especificado na política do recurso e a duração mínima efetiva programada para destruição do pai. Por exemplo, se uma organização tiver uma duração mínima programada para destruição de 7 dias e, em um projeto filho, a política for definida como "Mesclar com o pai" com um valor de in:15d, a duração mínima efetiva programada para destruição no projeto será de 7 dias.

Prefixos aceitos: is:, in:

constraints/cloudkms.minimumDestroyScheduledDuration

Esta restrição de lista define a lista de tipos de destino, como HTTP do App Engine, HTTP ou Pubsub, permitidos para jobs do Cloud Scheduler.
Por padrão, todos os destinos de jobs são permitidos.
Valores válidos: APPENGINE, HTTP, PUBSUB.

Prefixo compatível: is:

constraints/cloudscheduler.allowedTargetTypes

Essa restrição booleana limita a adição de redes autorizadas no acesso de banco de dados sem proxy às instâncias do Cloud SQL em que a restrição é aplicada. Essa limitação não é retroativa, e as instâncias do Cloud SQL com redes autorizadas ainda funcionarão mesmo após a aplicação dela.
Por padrão, é possível adicionar redes autorizadas a instâncias do Cloud SQL.

constraints/sql.restrictAuthorizedNetworks

Não configure ou modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e destina-se apenas ao controle regulatório avançado do Assured Workloads. Quando essa restrição booleana for aplicada, alguns aspectos da capacidade de suporte serão prejudicados e todos os caminhos de acesso para diagnósticos e outros casos de uso de suporte ao cliente que não atendam aos requisitos de soberania avançada para Assured Workloads serão desativados.

constraints/sql.restrictNoncompliantDiagnosticDataAccess

Não configure ou modifique esta política. Ela é configurada automaticamente durante a integração do Assured Workloads e é destinada apenas para o controle regulatório avançado do Assured Workloads. Quando essa restrição booleana for aplicada, alguns aspectos da capacidade de suporte serão prejudicados. Além disso, recursos provisionados vão seguir rigorosamente os requisitos avançados de soberania do Assured Workloads. Essa política é retroativa e será válida para projetos atuais, mas sem afetar os recursos que já foram provisionados. Ou seja, modificações na política só serão refletidas em recursos criados depois dessas alterações.

constraints/sql.restrictNoncompliantResourceCreation

Essa restrição booleana impede a configuração de IPs públicos em instâncias do Cloud SQL em que ela é aplicada. Essa limitação não é retroativa, e as instâncias do Cloud SQL com acesso atual de IP público ainda funcionarão mesmo após a aplicação dela.
Por padrão, o acesso de IP público é permitido nas instâncias do Cloud SQL.

constraints/sql.restrictPublicIp

Quando aplicada, esta restrição booleana desativa o Google Cloud Marketplace para todos os usuários na organização. Por padrão, o acesso ao marketplace público está ativado para a organização. Essa política só funciona quando o marketplace privado está ativado (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace).
Importante: para ter a melhor experiência, recomendamos usar o recurso de restrições de acesso do usuário ao marketplace, conforme descrito em https://cloud.google.com/marketplace/docs/governance/strict-user-access, para evitar o uso não autorizado do marketplace na sua organização, em vez de fazer isso com essa política da organização.

constraints/commerceorggovernance.disablePublicMarketplace

Essa restrição de lista define o conjunto de serviços permitidos para organizações de marketplace e só pode incluir valores da lista abaixo:

• PRIVATE_MARKETPLACE
• IAAS_PROCUREMENT

Prefixo compatível: is:

constraints/commerceorggovernance.marketplaceServices

Essa restrição de lista define as configurações de criptografia permitidas para novos anexos da VLAN.
Por padrão, os anexos da VLAN podem usar qualquer configuração de criptografia.
Defina IPSEC como o valor permitido para aplicar à criação apenas de anexos da VLAN criptografados.

Prefixo compatível: is:

constraints/compute.allowedVlanAttachmentEncryption

Quando ativada, essa restrição booleana desativa a criação ou atualização dos recursos do Google Compute Engine envolvidos no uso do IPv6.
Por padrão, qualquer pessoa com as permissões apropriadas do Cloud IAM pode criar ou atualizar os recursos do Google Compute Engine com o uso do IPv6 em todos os projetos, pastas e organizações.
Se definida, essa restrição terá prioridade mais alta que as outras restrições da organização de IPv6, incluindo disableVpcInternalIpv6, disableVpcExternalIpv6 e disableHybridCloudIpv6.

constraints/compute.disableAllIpv6

Quando aplicada, essa restrição booleana desativa a criação de novas políticas de segurança globais do Cloud Armor e a adição ou atualização de regras para políticas de segurança globais dele. Essa restrição não afeta a remoção de regras nem a remoção, descrição ou listagem de políticas de segurança globais do Cloud Armor. As políticas de segurança regionais do Cloud Armor não são afetadas por essa restrição. As políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
Por padrão, é possível criar ou atualizar políticas de segurança do Cloud Armor em qualquer organização, pasta ou projeto.

constraints/compute.disableGlobalCloudArmorPolicy

Essa restrição booleana desativa a criação de produtos de balanceamento de carga global. Quando aplicada, só podem ser criados produtos de balanceamento de carga regionais sem dependências globais. Por padrão, é permitido criar balanceamento de carga global.

constraints/compute.disableGlobalLoadBalancing

Quando aplicada, essa restrição booleana desativa a criação de certificados SSL autogerenciados globais. A criação de certificados gerenciados pelo Google ou regionais não é desativada por esta restrição.
Por padrão, é possível criar certificados SSL autogerenciados globais em qualquer organização, pasta ou projeto.

constraints/compute.disableGlobalSelfManagedSslCertificate

Esta restrição booleana desativa o acesso global à porta serial para as VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição é aplicada. Por padrão, os clientes podem ativar o acesso à porta serial para VMs do Compute Engine por VM ou por projeto usando atributos de metadados. Essa restrição desativa o acesso global à porta serial para VMs do Compute Engine, seja qual for os atributos de metadados. O acesso regional à porta serial não é afetado por essa restrição. Para desativar o acesso completo a essa porta, use a restrição "compute.disableSerialPortAccess".

constraints/compute.disableGlobalSerialPortAccess

Essa restrição booleana desativa o acesso da API Compute Engine aos atributos de convidado das VMs do Compute Engine que pertencem à organização, ao projeto ou à pasta em que a restrição é aplicada.
Por padrão, a API Compute Engine pode ser usada para acessar atributos de convidado da VM do Compute Engine.

constraints/compute.disableGuestAttributesAccess

Essa restrição booleana, quando aplicada, desativa a criação ou as atualizações de recursos de nuvem híbrida, inclusive anexos de interconexão e gateways do Cloud VPN com um stack_type de IPV4_IPV6 ou IPV6_ONLY, ou um gatewayIpVersion de IPv6.
Se for aplicada em um recurso do Cloud Router, a capacidade de criar sessões do protocolo de gateway de borda (BGP) IPv6 e a capacidade de ativar a troca de rotas IPv6 em sessões IPv4 do BGP serão desativadas.
Por padrão, qualquer pessoa com as permissões adequadas do Cloud IAM pode criar ou atualizar recursos de nuvem híbrida com stack_type de IPV4_IPV6 em projetos, pastas e organizações.

constraints/compute.disableHybridCloudIpv6

Não configure ou modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e é destinada apenas para o controle regulatório avançado do Assured Workloads. Quando aplicada, a restrição booleana desativa as APIs GetScreenshot e GetSerialPortOutput que acessam a saída da porta serial das VMs e coletam capturas de tela das UIs das VMs.

constraints/compute.disableInstanceDataAccessApis

Esta restrição booleana limita a criação de Grupos de Endpoint de Rede (NEG, na sigla em inglês) de Internet com um type de INTERNET_FQDN_PORT e INTERNET_IP_PORT.
Por padrão, qualquer pessoa que tenha as permissões apropriadas do Cloud IAM consegue criar NEGs de Internet em qualquer projeto.

constraints/compute.disableInternetNetworkEndpointGroup

Essa restrição booleana desativa a virtualização aninhada acelerada por hardware de todas as VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que essa restrição está definida. True.
Por padrão, a virtualização aninhada acelerada por hardware é permitida em todas as VMs do Compute Engine em execução no Intel Haswell ou em plataformas de CPU mais recentes.

constraints/compute.disableNestedVirtualization

Essa restrição booleana, quando aplicada, desativa a criação de tipos de instância de VM que não atendem aos requisitos do FIPS.

constraints/compute.disableNonFIPSMachineTypes

Esta restrição de lista define o conjunto de tipos de endpoints do Private Service Connect para os quais os usuários não podem criar regras de encaminhamento. Quando essa restrição é aplicada, os usuários são impedidos de criar regras de encaminhamento para o tipo de endpoints do Private Service Connect. Essa restrição não é aplicada retroativamente.
Por padrão, é possível criar regras de encaminhamento para qualquer tipo de endpoint do Private Service Connect.
A lista de endpoints permitidos/negados do Private Service Connect precisa ser proveniente da lista abaixo:

• GOOGLE_APIS
• SERVICE_PRODUCERS

Prefixo compatível: is:

constraints/compute.disablePrivateServiceConnectCreationForConsumers

Essa restrição booleana desativa o acesso à porta serial para VMs do Compute Engine pertencentes à organização, ao projeto ou à pasta em que a restrição é aplicada.
Por padrão, os clientes podem ativar o acesso à porta serial para VMs do Compute Engine por VM ou por projeto usando atributos de metadados. Essa restrição desativa o acesso à porta serial das VMs do Compute Engine, ignorando os atributos de metadados.

constraints/compute.disableSerialPortAccess

Esta restrição booleana desativa a geração de registros de porta serial no Stackdriver a partir de VMs do Compute Engine que pertencem à organização, ao projeto ou à pasta em que a restrição está sendo aplicada.
Por padrão, a geração de registros de porta serial das VMs do Compute Engine fica desativada e pode ser ativada seletivamente por VM ou por projeto com o uso de atributos de metadados. Quando aplicada, essa restrição desativa a geração de registros de porta serial de novas VMs do Compute Engine sempre que uma nova VM é criada, além de impedir que os usuários alterem o atributo de metadados de qualquer VM (antiga ou nova) para True. A desativação da geração de registros de porta serial pode impedir o funcionamento correto de alguns serviços que dependem deles, como os clusters do Google Kubernetes Engine. Antes de aplicar a restrição, verifique se os produtos no seu projeto não dependem desses registros.

constraints/compute.disableSerialPortLogging

Esta restrição booleana desativa no console do Cloud a ferramenta de "SSH no navegador" para VMs que usam VMs de Login do SO e de ambiente flexível do App Engine. Quando ela for aplicada, o botão de "SSH no navegador" será desativado. Por padrão, o uso da ferramenta de "SSH no navegador" é permitido.

constraints/compute.disableSshInBrowser

Essa restrição booleana, quando aplicada, desativa a criação ou a atualização de sub-redes com um stack_type de IPV4_IPV6 e um ipv6_access_type de EXTERNAL.
Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode criar ou atualizar sub-redes com stack_type de IPV4_IPV6 em qualquer projeto, pasta e organização.

constraints/compute.disableVpcExternalIpv6

Essa restrição booleana, quando aplicada, desativa a criação ou a atualização de sub-redes com um stack_type de IPV4_IPV6 e um ipv6_access_type de INTERNAL.
Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode criar ou atualizar sub-redes com stack_type de IPV4_IPV6 em qualquer projeto, pasta e organização.

constraints/compute.disableVpcInternalIpv6

Não configure ou modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads, sendo destinada apenas para o controle regulatório avançado do Assured Workloads. Ela controla as configurações necessárias para eliminar possíveis caminhos de acesso à memória principal da VM. Quando aplicada, ela limita a capacidade de acessar a memória principal da VM desativando caminhos de acesso e restringe a coleta de dados internos quando ocorre um erro.

constraints/compute.enableComplianceMemoryProtection

Quando aplicada, essa restrição booleana desativa o comportamento de falha de abertura em falhas do lado do servidor para os métodos regions.list, regions.get e projects.get. Isso significa que, se as informações de cota estiverem indisponíveis, esses métodos vão falhar quando a restrição for aplicada. Por padrão, eles dão certo em falhas do lado do servidor e exibem uma mensagem de alerta quando as informações de cota estão indisponíveis.

constraints/compute.requireBasicQuotaInResponse

Quando aplicada, esta restrição booleana ativa o VM Manager (configuração do SO) em todos os novos projetos. Todas as instâncias de VM criadas em novos projetos têm o VM Manager ativado. Nos projetos novos e atuais, essa restrição impede atualizações de metadados que desativem o VM Manager no nível do projeto e da instância.
Por padrão, o VM Manager está desativado nos projetos do Compute Engine.

Para mais informações, consulte Ativar a política da organização do OS Config.

constraints/compute.requireOsConfig

Quando aplicada, esta restrição booleana ativa o Login do SO em todos os projetos recém-criados. Todas as instâncias de VM criadas em novos projetos terão o Login do SO ativado. Nos projetos novos e atuais, essa restrição impede as atualizações de metadados que desativam o login do SO no nível do projeto e da instância.
Por padrão, o recurso de login do SO está desativado em projetos do Compute Engine.

constraints/compute.requireOsLogin

Quando ativada, essa restrição booleana exige que todas as novas instâncias de VM do Compute Engine usem imagens de disco protegidas, com as opções de inicialização segura, vTPM e monitoramento de integridade ativadas. É possível desativar a inicialização segura depois da criação. As instâncias em execução atuais continuarão a funcionar como de costume.
Por padrão, os recursos de VM protegida não precisam ser ativados para a criação de instâncias de VM do Compute Engine. A integridade verificável e a resistência à exportação são adicionadas às VMs pelos recursos de VM protegida.

constraints/compute.requireShieldedVm

Essa restrição de lista define o conjunto de proxies SSL de destino e proxies HTTPS de destino que têm permissão para usar a política SSL padrão. Por padrão, todos os proxies SSL de destino e proxies HTTPS de destino têm permissão para usar a política SSL padrão. Quando essa restrição for aplicada, novos proxies SSL de destino e proxies HTTPS de destino serão necessários para especificar uma política SSL. A aplicação da restrição não é retroativa. Os proxies de destino existentes que usam a política SSL padrão não são afetados. A lista de proxies SSL e HTTPS de destino permitidos/negados precisa ser identificada no formato:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/global/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/regions/REGION_NAME/targetHttpsProxies/TARGET_PROXY_NAME
• projects/PROJECT_ID/global/targetSslProxies/TARGET_PROXY_NAME

Prefixos aceitos: is:, under:

constraints/compute.requireSslPolicy

Com esta restrição de lista, você define o conjunto de políticas predefinidas que pode ser aplicado aos registros do fluxo de VPC.
Por padrão, é possível usar quaisquer configurações em cada sub-rede desses registros.
Essa restrição exige a ativação dos registros de fluxo para todas as sub-redes no escopo com uma taxa mínima de amostragem.
Especifique um ou mais dos seguintes valores válidos:

• ESSENTIAL (permite valores >= 0,1 e < 0,5)
• LIGHT (permite valores >= 0,5 e < 1,0)
• COMPREHENSIVE (permite valores == 1,0)

Prefixo compatível: is:

Para mais informações, consulte Configurar restrições da política da organização para registros de fluxo de VPC.

constraints/compute.requireVpcFlowLogs

Essa restrição de lista define o conjunto de sub-redes que podem usar o Cloud NAT. Por padrão, todas as sub-redes podem usar o Cloud NAT. A lista de sub-redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.

Prefixos aceitos: is:, under:

Para mais informações, consulte Restrições da política da organização.

constraints/compute.restrictCloudNATUsage

Esta restrição de lista limita os recursos de bucket de back-end e serviço de back-end a que um recurso urlMAP pode ser anexado. A restrição não se aplica aos recursos de bucket de back-end e serviço de back-end no mesmo projeto que o recurso urlMap. Por padrão, um recurso urlMap em um projeto pode referenciar recursos compatíveis de bucket de back-end e serviço de back-end em outros projetos na mesma organização, desde que o usuário tenha a permissão compute.backendService.use, compute.regionBackendServices.use ou compute.backendBuckets.use. Para evitar conflitos, recomendamos não usar esta restrição com compute.restrictSharedVpcBackendServices. Os projetos, as pastas e os recursos da organização em listas de permissões ou negações afetam todos os buckets de back-end e serviços de back-end abaixo deles na hierarquia de recursos. Somente projetos, pastas e recursos de organização podem ser incluídos na lista de permissões ou negações, e precisam ser especificados no formato:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/regions/REGION/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/global/backendBuckets/BACKEND_BUCKET_NAME
• projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME
• projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME

Prefixos aceitos: is:, under:

constraints/compute.restrictCrossProjectServices

Essa restrição de lista define o conjunto de redes do Compute Engine que podem usar a Interconexão dedicada. Por padrão, as redes podem usar qualquer tipo de Interconexão. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefixos aceitos: is:, under:

Para mais informações, consulte Como restringir o uso do Cloud Interconnect.

constraints/compute.restrictDedicatedInterconnectUsage

Essa restrição de lista define o conjunto de tipos de balanceadores de carga que podem ser criados para uma organização, pasta ou projeto. Cada tipo de balanceador de carga a ser permitido ou negado precisa ser listado explicitamente. Por padrão, é permitido criar todos os tipos de balanceadores de carga.
A lista de valores permitidos ou negados precisa ser identificada como o nome da string de um balanceador de carga e só pode incluir valores da lista abaixo:

• INTERNAL_TCP_UDP
• INTERNAL_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_INTERNAL_MANAGED_TCP_PROXY
• REGIONAL_INTERNAL_MANAGED_TCP_PROXY
• EXTERNAL_NETWORK_TCP_UDP
• EXTERNAL_TCP_PROXY
• EXTERNAL_SSL_PROXY
• EXTERNAL_HTTP_HTTPS
• EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
• GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
• GLOBAL_EXTERNAL_MANAGED_SSL_PROXY

Prefixos aceitos: is:, in:

Para mais informações, consulte Restrições da política da organização para o Cloud Load Balancing.

constraints/compute.restrictLoadBalancerCreationForTypes

A lista de proibições dessa restrição de lista define o conjunto de serviços que exigem que todos os novos recursos sejam criados com a Computação confidencial ativada. Por padrão, os novos recursos não precisam usar a Computação confidencial. Essa restrição de lista é aplicada, mas a Computação confidencial não poderá ser desativada durante todo o ciclo de vida do recurso. Os recursos existentes continuarão a funcionar normalmente. A lista de serviços negados precisa ser identificada como o nome da string de uma API e só pode incluir valores explicitamente negados da lista abaixo. No momento, não há compatibilidade com permissão explícita de APIs. Negar explicitamente APIs que não estejam na lista resultará em erro. Lista de APIs compatíveis: [compute.googleapis.com, container.googleapis.com]

Prefixo compatível: is:

constraints/compute.restrictNonConfidentialComputing

Essa restrição de lista define o conjunto de redes do Compute Engine que podem usar a Interconexão por parceiro. Por padrão, as redes podem usar qualquer tipo de Interconexão. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefixos aceitos: is:, under:

Para mais informações, consulte Como restringir o uso do Cloud Interconnect.

constraints/compute.restrictPartnerInterconnectUsage

Essa restrição de lista define as organizações, pastas e projetos que podem se conectar a anexos de serviço dentro da organização ou do projeto de um produtor. As listas permitidas ou negadas devem ser identificadas no seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou under:projects/PROJECT_ID. Por padrão, todas as conexões são permitidas.

Prefixos aceitos: is:, under:

Para mais informações, consulte Gerenciar a segurança para consumidores do Private Service Connect.

constraints/compute.restrictPrivateServiceConnectConsumer

Esta restrição de lista define a quais anexos de serviço os consumidores do Private Service Connect podem se conectar. A restrição bloqueia a implantação de endpoints ou back-ends do Private Service Connect com base na organização, na pasta ou no recurso de projeto do anexo de serviço a que os endpoints ou back-ends se referem. As listas permitidas ou negadas devem ser identificadas no seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou under:projects/PROJECT_ID. Por padrão, todas as conexões são permitidas.

Prefixos aceitos: is:, under:

Para mais informações, consulte Gerenciar a segurança para consumidores do Private Service Connect.

constraints/compute.restrictPrivateServiceConnectProducer

Esta restrição de lista define o tipo de objetos de regra de encaminhamento de protocolo com a instância de destino que um usuário pode criar. Quando essa restrição é aplicada, novos objetos de regras de encaminhamento com instância de destino são limitados a endereços IP internos e/ou externos, com base nos tipos especificados. Os tipos permitidos ou negados precisam ser listados explicitamente. Por padrão, a criação de objetos de regra de encaminhamento de protocolo interno e externo com a instância de destino é permitida.
A lista de valores permitidos ou negados só pode incluir valores da lista abaixo:

• INTERNAL
• EXTERNAL

Essa restrição é provisionada automaticamente como parte do nível de segurançaGoogle Cloud .

Prefixo compatível: is:

Para mais informações, consulte Visão geral do encaminhamento de protocolo.

constraints/compute.restrictProtocolForwardingCreationForTypes

Essa restrição de lista define o conjunto de serviços de back-end da VPC compartilhada que os recursos qualificados podem usar. Essa restrição não se aplica a recursos dentro do mesmo projeto. Por padrão, os recursos qualificados podem usar qualquer serviço de back-end de VPC compartilhada. A lista de serviços de back-end permitidos/negados precisa ser especificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME ou projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Essa restrição não é retroativa.

Prefixos aceitos: is:, under:

constraints/compute.restrictSharedVpcBackendServices

Esta restrição de lista define o conjunto de projetos host de VPC compartilhada aos quais os projetos neste recurso ou abaixo dele podem ser anexados. Por padrão, um projeto pode ser anexado a qualquer projeto host na mesma organização, tornando-se um projeto de serviço. Projetos, pastas e organizações em listas permitidas/negadas afetam todos os objetos abaixo deles na hierarquia de recursos e devem ser especificados no formulário: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

Prefixos aceitos: is:, under:

constraints/compute.restrictSharedVpcHostProjects

Esta restrição de lista define o conjunto de sub-redes VPC compartilhadas que pode ser usado por recursos qualificados. Esta restrição não se aplica a recursos dentro do mesmo projeto. Por padrão, os recursos qualificados podem usar qualquer sub-rede VPC compartilhada. A lista de sub-redes permitidas/negadas deve ser especificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.

Prefixos aceitos: is:, under:

constraints/compute.restrictSharedVpcSubnetworks

Nesta restrição de lista é definido o conjunto de redes VPC que têm permissão de peering com as redes VPC que pertencem a esse projeto, pasta ou organização. Cada extremidade de peering precisa ter permissão de peering. Por padrão, um administrador de rede para uma rede tem permissão de peering com qualquer outra rede. A lista de redes permitidas/negadas deve ser identificada no formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/global/networks/NETWORK_NAME.

Prefixos aceitos: is:, under:

constraints/compute.restrictVpcPeering

Esta restrição de lista define o conjunto de endereços IP válidos que podem ser configurados como IPs de peer de VPN. Por padrão, qualquer IP pode ser um IP de peer VPN para uma rede VPC. A lista de permissões/negações de endereços IP precisa ser especificada como endereços IP válidos no formato: IP_V4_ADDRESS ou IP_V6_ADDRESS.

Prefixo compatível: is:

Para mais informações, consulte Como restringir endereços IP de peering por meio de um túnel do Cloud VPN.

constraints/compute.restrictVpnPeerIPs

Quando aplicada, os projetos recém-criados usarão o DNS zonal como padrão. Por padrão, essa restrição é definida como False e os projetos recém-criados usarão o tipo de DNS padrão.

Essa restrição é provisionada automaticamente como parte do nível de segurançaGoogle Cloud .

constraints/compute.setNewProjectDefaultToZonalDNSOnly

Esta restrição de lista define o conjunto de projetos que podem criar e ter reservas compartilhadas na organização. Uma reserva compartilhada é semelhante a uma reserva local. A diferença é que, em vez de ser consumida apenas por projetos de proprietário, ela pode ser consumida por outros projetos do Compute Engine na hierarquia de recursos. A lista de projetos com permissão para acessar a reserva compartilhada precisa ter o formato: projects/PROJECT_NUMBER ou under:projects/PROJECT_NUMBER.

Prefixos aceitos: is:, under:

constraints/compute.sharedReservationsOwnerProjects

Essa restrição booleana pula a criação da rede padrão e dos recursos relacionados durante a criação do recurso Projeto do Google Cloud Platform em que a restrição é aplicada. Por padrão, uma rede padrão e os recursos de suporte são criados automaticamente quando um recurso de projeto é criado.

constraints/compute.skipDefaultNetworkCreation

Com essa restrição de lista, é definido um conjunto de projetos que podem usar os recursos de armazenamento do Compute Engine. Por padrão, qualquer pessoa com permissões apropriadas do Cloud IAM pode acessar os recursos do Compute Engine. Para usar essa restrição, os usuários precisam ter as permissões do Cloud IAM e não podem ter limitações para acessar o recurso.
Projetos, pastas e organizações especificados em listas permitidas ou negadas devem estar no formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

Prefixos aceitos: is:, under:

constraints/compute.storageResourceUseRestrictions

Essa restrição de lista define o conjunto de projetos que podem ser usados para armazenamento de imagens e instanciação de disco do Compute Engine.
Por padrão, as instâncias são criadas de imagens em qualquer projeto que compartilhe imagens pública ou explicitamente com o usuário.
A lista de projetos de editores permitidos/recusados precisa ser strings no formato: projects/PROJECT_ID. Se essa restrição estiver ativa, somente imagens de projetos confiáveis serão permitidas como fonte de discos de inicialização para novas instâncias.

Prefixo compatível: is:

Para mais informações, consulte Definir restrições de acesso a imagens.

constraints/compute.trustedImageProjects

Esta restrição de lista define o conjunto de instâncias da VM que pode ativar o encaminhamento de IP. Por padrão, qualquer VM pode ativar o encaminhamento IP em qualquer rede virtual. As instâncias de VM devem ser especificadas no formulário: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID ou projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Essa restrição não é retroativa.

Prefixos aceitos: is:, under:

constraints/compute.vmCanIpForward

Com essa restrição de lista, é definido o conjunto de instâncias de VMs do Compute Engine que podem usar endereços IPv4 externos. Essa restrição não limita o uso de endereços IPv6.
Por padrão, todas as instâncias de VM podem usar endereços IPv4 e IPv6 externos.
A lista de instâncias de VMs permitidas/proibidas precisa ser identificada pelo nome da instância neste formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

Prefixo compatível: is:

Para mais informações, consulte Restringir o acesso de IP externo a instâncias específicas.

constraints/compute.vmExternalIpAccess

Quando aplicada, essa restrição booleana desativa o Identity-Aware Proxy nos recursos globais. A ativação do IAP em recursos regionais não é impedida por essa restrição.
Por padrão, a ativação do IAP em recursos globais é permitida.

constraints/iap.requireGlobalIapWebDisabled

Não configure ou modifique esta política. Essa restrição é configurada automaticamente durante a integração do Assured Workloads e é destinada apenas para o controle regulatório avançado do Assured Workloads. Quando essa restrição booleana for aplicada, todos os caminhos de acesso para diagnósticos e outros casos de uso de suporte ao cliente que não atendam aos requisitos do Assured Workloads serão desativados.

constraints/container.restrictNoncompliantDiagnosticDataAccess

Essa restrição de lista define um conjunto de controles remotos com os quais os repositórios do projeto do Dataform podem se comunicar. Para bloquear a comunicação com todos os controles remotos, defina o valor como Deny all. Essa restrição é retroativa e bloqueia a comunicação dos repositórios atuais que a infringem. As entradas precisam ser links para controles remotos confiáveis, no mesmo formato fornecido no Dataform.
Por padrão, os repositórios em projetos do Dataform podem se comunicar com qualquer controle remoto.

Prefixo compatível: is:

Para mais informações, consulte Restringir repositórios remotos.

constraints/dataform.restrictGitRemotes

Por padrão, os perfis de conexão do Datastream podem ser criados com métodos de conectividade públicos ou privados. Se a restrição booleana para esta política da organização for aplicada, somente métodos de conectividade particulares (por exemplo, o peering de VPC) podem ser usados para criar perfis de conexão.

constraints/datastream.disablePublicConnectivity

Essa restrição de lista define o conjunto de domínios que os endereços de e-mail adicionados aos Contatos Essenciais podem ter.
Por padrão, os endereços de e-mail com qualquer domínio podem ser adicionados aos Contatos Essenciais.
A lista de permissões/negações precisa especificar um ou mais domínios no formato @example.com. Se esta restrição estiver ativa e configurada com valores permitidos, apenas endereços de e-mail com um sufixo que corresponda a uma das entradas da lista de domínios permitidos poderão ser adicionados aos Contatos essenciais.
Esta restrição não tem efeito na atualização ou remoção de contatos existentes de dados.

Essa restrição é provisionada automaticamente como parte do nível de segurançaGoogle Cloud .

Prefixo compatível: is:

constraints/essentialcontacts.allowedContactDomains

Quando aplicada, esta restrição booleana permite que os administradores das políticas da organização garantam que apenas os contatos atribuídos no nível da pasta ou da organização possam receber notificações de segurança. Mais especificamente, a aplicação dessa restrição impede que os proprietários do projeto e administradores dos contatos criem ou atualizem um contato essencial com um campo notification_category_subscriptions que tenha as categorias SECURITY ou ALL, caso o contato também tenha um recurso de projeto como pai.

constraints/essentialcontacts.disableProjectSecurityContacts

Quando aplicada, essa restrição booleana exige que as importações e exportações do Firestore usem o agente de serviço do Firestore.
Por padrão, as importações e exportações do Firestore podem usar a conta de serviço do App Engine.
O Firestore não usará mais a conta de serviço do App Engine para importações e exportações. Além disso, todas as contas precisarão migrar para o agente de serviços do Firestore. Depois disso, essa restrição não será mais necessária.

constraints/firestore.requireP4SAforImportExport

Quando aplicada, essa restrição booleana desativa o Cloud Logging na API Cloud Healthcare.
Os registros de auditoria não são afetados por essa restrição.
Os registros do Cloud gerados na API Cloud Healthcare antes da aplicação da restrição não são excluídos e ainda podem ser acessados.

Para mais informações, consulte Desativar o Cloud Logging na API Cloud Healthcare.

constraints/gcp.disableCloudLogging

Essa restrição de lista define o conjunto de contas de serviço que podem receber tokens de acesso OAuth 2.0 com duração de até 12 horas. Por padrão, a vida útil máxima desses tokens de acesso é de 1 hora.
A lista de contas de serviço permitidas/negadas precisa especificar um ou mais endereços de e-mail de conta de serviço.

Prefixo compatível: is:

Para mais informações, consulte Estender o ciclo de vida dos tokens de acesso do OAuth 2.0.

constraints/iam.allowServiceAccountCredentialLifetimeExtension

Esta restrição de lista define os conjuntos de principais da organização e os IDs de cliente do Google Workspace com principais que podem ser adicionados às políticas do IAM.
Por padrão, é possível adicionar todas as identidades de usuário às políticas do IAM. Somente valores permitidos podem ser definidos nessa restrição. Não é possível adicionar valores negados.
Todos os domínios associados a uma conta do Google Workspace ou ao conjunto de principais listado em allowed_values serão permitidos pela política da organização. Todos os outros domínios serão bloqueados pela política da organização.
Você não precisa adicionar o ID de cliente do google.com a esta lista para interoperar com os Serviços do Google. Adicionar o Google.com permite o compartilhamento com funcionários do Google e sistemas de não produção e só deve ser usado para compartilhar dados com funcionários.

Essa restrição é provisionada automaticamente como parte do nível de segurançaGoogle Cloud .

Prefixo compatível: is:

Para mais informações, consulte Como restringir identidades por domínio.

constraints/iam.allowedPolicyMemberDomains

Quando aplicada, essa restrição booleana impede que principais adicionais sejam isentos do registro de auditoria. Essa restrição não afeta isenções de registro de auditoria que existiam antes de você aplicar a restrição.

constraints/iam.disableAuditLoggingExemption

Quando aplicadas, as contas de serviço só poderão ser implantadas (usando o papel ServiceAccountUser) nos jobs (VMs, funções etc.) em execução no mesmo projeto da conta de serviço.

Para mais informações, consulte Configurar um recurso em um projeto diferente.

constraints/iam.disableCrossProjectServiceAccountUsage

Com esta restrição booleana, é desativada a criação de contas de serviço em que ela é aplicada.
Por padrão, as contas de serviço podem ser criadas por usuários com base nos respectivos papéis e permissões do Cloud IAM.

Para mais informações, consulte Desativar a conta de serviço serviço.

constraints/iam.disableServiceAccountCreation

Quando aplicada, essa restrição booleana desativa a criação de chaves externas da conta de serviço e chaves HMAC do Cloud Storage.
Por padrão, as chaves externas da conta de serviço podem ser criadas pelos usuários com base nos respectivos papéis e permissões do Cloud IAM.

Essa restrição é provisionada automaticamente como parte do nível de segurançaGoogle Cloud .

Para mais informações, consulte Desativar a criação de chaves de conta de serviço.

constraints/iam.disableServiceAccountKeyCreation

Com essa restrição booleana, é desativado o recurso que permite fazer upload de chaves públicas para contas de serviço em que a restrição seja aplicada.
Por padrão, os usuários podem fazer upload de chaves públicas para contas de serviço com base nos respectivos papéis e permissões do Cloud IAM.

Essa restrição é provisionada automaticamente como parte do nível de segurançaGoogle Cloud .

Para mais informações, consulte Desativar o upload de chaves de conta de serviço.

constraints/iam.disableServiceAccountKeyUpload

Quando aplicada, essa restrição booleana requer que todos os novos clusters do GKE tenham a Identidade da Carga de Trabalho desativada no momento da criação. Esses clusters que já têm o recurso ativado continuarão funcionando normalmente. Por padrão, a Identidade da Carga de Trabalho pode ser ativada para qualquer cluster do GKE.

Para mais informações, consulte Desativar a criação de clusters de identidade da carga de trabalho.

constraints/iam.disableWorkloadIdentityClusterCreation

Esta restrição de lista define a duração máxima permitida antes que a chave da conta de serviço expire. Por padrão, as chaves criadas nunca expiram.
A duração permitida é especificada em horas e precisa ser um dos valores da lista abaixo. Somente um valor permitido pode ser especificado. Não se pode especificar valores negados. Especificar uma duração que não está na lista vai resultar em erro.

• 1h
• 8h
• 24h
• 168h
• 336h
• 720h
• 1440h
• 2160h

Prefixo compatível: is:

constraints/iam.serviceAccountKeyExpiryHours

Esta restrição de lista define a resposta recebida se o Google detectar que uma chave de conta de serviço vinculada foi publicamente exposta. As chaves monitoradas incluem chaves de conta de serviço de longa duração e chaves de API vinculadas a uma conta de serviço. Se não for definido, o padrão será o comportamento descrito em DISABLE_KEY.
Os valores permitidos são DISABLE_KEY e WAIT_FOR_ABUSE. Valores que não estão explicitamente na lista não podem ser usados. Somente um valor permitido pode ser especificado. Não se pode especificar valores negados.
Permitir o valor DISABLE_KEY desativa automaticamente qualquer chave de conta de serviço publicamente exposta e cria uma entrada no registro de auditoria.
Permitir o valor WAIT_FOR_ABUSE desativa essa proteção e não desativa automaticamente chaves de conta de serviço expostas. No entanto, o Google Cloud pode desativar chaves de conta de serviço expostas se elas forem usadas de maneiras que afetem negativamente a plataforma, mas não há garantia de que isso será feito.
Para aplicar essa restrição, defina-a para substituir a política mãe no console do Google Cloud ou defina inheritFromParent=false no arquivo de política se estiver usando a CLI gcloud. Não é possível mesclar esta restrição com uma política mãe.

Prefixo compatível: is:

constraints/iam.serviceAccountKeyExposureResponse

Lista de IDs de contas da AWS que podem ser configurados para a federação de identidade de carga de trabalho no Cloud IAM.

Prefixo compatível: is:

constraints/iam.workloadIdentityPoolAwsAccounts

Provedores de identidade que podem ser configurados para autenticação de carga de trabalho no Cloud IAM, especificados por URI/URLs.

Prefixo compatível: is:

constraints/iam.workloadIdentityPoolProviders

Essa restrição determina quais modos do VPC Service Controls podem ser definidos ao provisionar um novo plano de controle gerenciado do Anthos Service Mesh. Os valores válidos são "NONE" e "COMPATIBLE".

Prefixo compatível: is:

constraints/meshconfig.allowedVpcscModes

Quando definida como "Verdadeira", esta restrição booleana limita a criação ou a modificação de recursos do VM Manager que usem scripts inline ou arquivos de saída binários, em compliance com Assured Workloads. Mais especificamente, os campos "script" e "output_file_path" dos recursos OSPolicyAssignment e PolicyOrchestrator precisam permanecer vazios.

constraints/osconfig.restrictInlineScriptAndOutputFileUsage

Essa restrição booleana, quando aplicada, define MessageStoragePolicy::enforce_in_transit como verdadeiro para todos os novos tópicos do Pub/Sub no momento da criação. Isso garante que os dados do cliente transitem somente dentro das regiões permitidas especificadas na política de armazenamento de mensagens para o tópico.

constraints/pubsub.enforceInTransitRegions

Essa restrição booleana impede que o conjunto de usuários remova a garantia de host da VPC compartilhada sem permissão no nível da organização quando essa restrição é aplicada.
Por padrão, qualquer usuário com permissão para atualizar garantias pode remover uma garantia de projeto host da VPC compartilhada. A aplicação dessa restrição exige que a permissão seja concedida no nível da organização.

constraints/compute.restrictXpnProjectLienRemoval

Essa restrição booleana, quando aplicada, impede que os usuários removam uma garantia da conta de serviço entre projetos sem permissão no nível da organização. Por padrão, qualquer usuário com permissão para atualizar garantias pode remover uma garantia da conta de serviço entre projetos. A aplicação dessa restrição exige que a permissão seja concedida no nível da organização.

Para mais informações, consulte Configurar um recurso em um projeto diferente.

constraints/iam.restrictCrossProjectServiceAccountLienRemoval

Quando esta restrição de lista é aplicada a um recurso de organização, ela define o conjunto de recursos do Google Cloud que é retornado nos métodos de pesquisa e lista usados pelos usuários que estão no domínio da organização em que a restrição é implementada. Use para limitar quais recursos ficarão visíveis em várias partes do Console do Cloud, como a página “Gerenciar recursos”, “Pesquisa” e “Seletor de recursos”. Essa restrição é avaliada somente no nível da organização. Os valores especificados nas listas de permissão/negação precisam estar no formato: under:organizations/ORGANIZATION_ID.

Prefixos aceitos: is:, under:

Para mais informações, consulte Como restringir a visibilidade do projeto para usuários.

constraints/resourcemanager.accessBoundaries

Essa restrição de lista funciona como uma checagem para verificar se um projeto com um serviço ativado está qualificado para a mudança entre organizações. Um recurso com um serviço compatível ativado precisa ter essa restrição aplicada, e esse serviço incluído nos valores permitidos para se qualificar para uma mudança entre organizações. A lista atual de valores permitidos para serviços compatíveis que podem ser usados é:

• SHARED_VPC

Prefixo compatível: is:

constraints/resourcemanager.allowEnabledServicesForExport

Esta restrição de lista define o conjunto de organizações externas para as quais os recursos podem ser movidos e nega todos os movimentos para todas as outras organizações. Por padrão, os recursos não podem ser movidos entre organizações. Se essa restrição for aplicada a um recurso, ele só poderá ser movido para organizações que forem explicitamente permitidas por essa restrição. As mudanças dentro de uma organização não são regidas por essa restrição. A operação de transferência ainda exigirá as mesmas permissões do IAM que as permissões normais de recursos. Os valores especificados nas listas de permissão/negação precisam estar no formato: under:organizations/ORGANIZATION_ID.

Prefixos aceitos: is:, under:

constraints/resourcemanager.allowedExportDestinations

Esta restrição de lista define o conjunto de organizações externas das quais é possível importar recursos e nega todos os movimentos de todas as outras organizações. Por padrão, não é possível mover recursos entre organizações. Se essa restrição for aplicada a um recurso, os recursos importados diretamente abaixo dele precisarão ser explicitamente permitidos por essa restrição. A restrição não rege as mudanças na mesma organização ou de fora para dentro de uma organização. A operação de transferência ainda exigirá as mesmas permissões do IAM que as permissões normais de recursos. Os valores especificados nas listas de permissão/negação precisam estar no formato: under:organizations/ORGANIZATION_ID.

Prefixos aceitos: is:, under:

constraints/resourcemanager.allowedImportSources

Esta restrição de lista define o conjunto de nomes de políticas de autorização binária que podem ser especificados em um recurso do Cloud Run. Para permitir/proibir uma política padrão, use o valor default. Para permitir/proibir uma ou mais políticas de plataforma personalizadas, o ID do recurso de cada uma delas precisa ser adicionado separadamente.

Prefixo compatível: is:

constraints/run.allowedBinaryAuthorizationPolicies

Esta restrição de lista define as configurações de entrada permitidas para os serviços do Cloud Run. Quando essa restrição é aplicada, os serviços precisam ter configurações de entrada que correspondam a um dos valores permitidos. Os serviços atuais do Cloud Run com configurações de entrada que violam essa restrição podem continuar sendo atualizados até que as configurações de entrada do serviço sejam alteradas para obedecer a essa restrição. Depois que um serviço obedece a essa restrição, ele só poderá usar as configurações de entrada permitidas.
Por padrão, os serviços do Cloud Run podem usar qualquer configuração de entrada.
A lista de permissões precisa conter valores de configurações de entrada compatíveis, que são all, internal e internal-and-cloud-load-balancing.

Prefixo compatível: is:

Para mais informações, consulte Restringir as configurações de entrada permitidas.

constraints/run.allowedIngress

Esta restrição de lista define as configurações de saída de VPC com permissão a serem especificadas em um recurso do Cloud Run. Quando essa restrição é aplicada, os recursos do Cloud Run precisam ser implantados com um conector com acesso VPC sem servidor ou com a saída de VPC direta ativada, e as configurações de saída da VPC precisam corresponder a um dos valores permitidos.
Por padrão, os recursos do Cloud Run podem definir as configurações de saída da VPC com qualquer valor compatível.
A lista de permissões precisa conter valores de configurações de saída de VPC compatíveis, que são private-ranges-only e all-traffic.

Para serviços atuais do Cloud Run, todas as novas revisões precisam obedecer a essa restrição. Os serviços atuais com revisões que atendem ao tráfego que violam essa restrição podem continuar a migração do tráfego para revisões que violem essa restrição. Depois que todo o tráfego de um serviço é transmitido por revisões em conformidade com essa restrição, todas as migrações seguintes só podem ocorrer para revisões também de acordo com ela.

Prefixo compatível: is:

Para mais informações, consulte Restringir as configurações de saída de VPC permitidas.

constraints/run.allowedVPCEgress

Essa restrição booleana, quando aplicada, impede que as contas de serviço default do App Engine e do Compute Engine recebam automaticamente qualquer papel IAM no projeto quando são criadas.
Por padrão, essas contas de serviço recebem automaticamente o papel de editor quando são criadas. Para mais informações sobre contas de serviço padrão, acesse https://cloud.google.com/iam/help/service-accounts/default.
Para saber quais papéis conceder além de Editor, consulte https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.

Essa restrição é provisionada automaticamente como parte do nível de segurançaGoogle Cloud .

constraints/iam.automaticIamGrantsForDefaultServiceAccounts

Esta restrição de lista define o conjunto de pools de workers do Cloud Build permitidos para criar builds usando o Cloud Build. Quando essa restrição é aplicada, os builds precisam ser compilados em um pool de workers que corresponda a um dos valores permitidos.
Por padrão, o Cloud Build pode usar qualquer pool de workers.
A lista de pools de workers permitidos precisa ter o formato:

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID

Prefixos aceitos: is:, under:

constraints/cloudbuild.allowedWorkerPools

Essa restrição de lista define o conjunto de locais em que é possível criar recursos do Google Cloud baseados em localização. Importante: as informações nesta página não descrevem os compromissos de localização de dados do Google Cloud Platform relativos a dados do cliente (conforme definidos no contrato com o Google e descritos no resumo dos serviços do Google Cloud Platform em https://cloud.google.com/terms/services). Para ver a lista de serviços do Google Cloud Platform em que a localização dos dados do cliente pode ser selecionada pelos clientes, consulte Serviços do Google Cloud Platform com residência de dados em https://cloud.google.com/terms/data-residency.
Por padrão, os recursos podem ser criados em qualquer local. Confira uma lista completa de serviços com suporte em https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services.
As políticas para essa restrição podem especificar multirregiões, como asia e europe, além de permitir ou negar locais como us-east1 ou europe-west1. Permitir ou negar várias regiões não significa permitir ou negar todos os sublocais incluídos. Por exemplo, se a política negar a multirregião us, que se refere a recursos multirregionais, como alguns serviços de armazenamento, os recursos ainda poderão ser criados no local regional us-east1. Por outro lado, o grupo in:us-locations contém todos os locais dentro da região us e pode ser usado para bloquear todas as regiões.
Recomendamos o uso de grupos de valor para definir a política.
É possível especificar grupos de valores ou conjuntos de locais selecionados pelo Google para oferecer uma maneira simples de definir locais de recurso. Para usar grupos de valores na política da sua organização, use a string in: como prefixo das suas entradas, seguida pelo grupo de valores.
Por exemplo, para criar recursos que só vão estar localizados fisicamente nos EUA, defina in:us-locations na lista de valores permitidos.
Se o campo suggested_value for usado em uma política de local, ele deverá ser uma região. Se o valor especificado for de uma região, uma IU para um recurso de zona precisa preencher qualquer zona em tal região.

Prefixos aceitos: is:, in:

Para mais informações, consulte Como restringir locais de recursos.

constraints/gcp.resourceLocations

Esta restrição de lista define os projetos que podem ser usados para fornecer chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) ao criar recursos. Definir essa restrição como Allow (ou seja, permitir apenas chaves CMEK desses projetos) garante que as chaves CMEK de outros projetos não possam ser usadas para proteger recursos recém-criados. Os valores dessa restrição precisam ser especificados no formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID. Os serviços com suporte que aplicam essa restrição são os seguintes:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• workstations.googleapis.com

Prefixos aceitos: is:, under:

Para mais informações, consulte Políticas da organização de CMEK.

constraints/gcp.restrictCmekCryptoKeyProjects

Essa restrição de lista define o conjunto de endpoints de API do Google Cloud que podem ser usados para acessar recursos em uma organização, pasta ou projeto.
Essa restrição pode ser usada para bloquear o acesso aos recursos do Google Cloud por endpoints de API globais, exigindo que sejam usados endpoints locais ou regionais. Por exemplo, especificar bigquery.googleapis.com na lista de bloqueio desta política faz com que as solicitações para bigquery.googleapis.com/... falhem, mas as solicitações para {location}-bigquery.googleapis.com/... funcionem.
Por padrão, o acesso a todos os endpoints da API do Google Cloud é permitido.
A lista de endpoints negados precisa ser da lista abaixo. Uma falha ocorre ao tentar salvar a lista de bloqueio com outros valores.
Para saber mais e conferir a lista de valores de restrição válidos, consulte o guia do usuário Restringir o uso de endpoints.

Essa restrição pode ser usada no modo de teste.

Prefixos aceitos: is:, in:

Para mais informações, consulte Restringir o uso de endpoints.

constraints/gcp.restrictEndpointUsage

Essa restrição de lista define os serviços que exigem chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Definir essa restrição como Deny (ou seja, negar a criação de recursos sem CMEK) exige que, para os serviços especificados, os recursos recém-criados sejam protegidos por uma chave CMEK. Os serviços com suporte que podem ser definidos nessa restrição são os seguintes:

• aiplatform.googleapis.com
• alloydb.googleapis.com
• apigee.googleapis.com
• artifactregistry.googleapis.com
• bigquery.googleapis.com
• bigquerydatatransfer.googleapis.com
• bigtable.googleapis.com
• cloudfunctions.googleapis.com
• cloudscheduler.googleapis.com
• cloudtasks.googleapis.com
• composer.googleapis.com
• compute.googleapis.com
• contactcenterinsights.googleapis.com
• container.googleapis.com
• dataflow.googleapis.com
• dataform.googleapis.com
• datafusion.googleapis.com
• dataplex.googleapis.com
• dataproc.googleapis.com
• dialogflow.googleapis.com
• discoveryengine.googleapis.com
• documentai.googleapis.com
• eventarc.googleapis.com
• file.googleapis.com
• firestore.googleapis.com
• gkebackup.googleapis.com
• integrations.googleapis.com
• logging.googleapis.com
• looker.googleapis.com
• netapp.googleapis.com
• notebooks.googleapis.com
• pubsub.googleapis.com
• redis.googleapis.com
• run.googleapis.com
• secretmanager.googleapis.com
• securesourcemanager.googleapis.com
• securitycenter.googleapis.com
• spanner.googleapis.com
• speech.googleapis.com
• sqladmin.googleapis.com
• storage.googleapis.com
• storagetransfer.googleapis.com
• workstations.googleapis.com

Prefixo compatível: is:

Para mais informações, consulte Políticas da organização de CMEK.

constraints/gcp.restrictNonCmekServices

Essa restrição define o conjunto de serviços de recursos do Google Cloud que podem ser usados em uma organização, pasta ou projeto, como compute.googleapis.com e storage.googleapis.com.
Por padrão, todos os serviços de recursos do Google Cloud são permitidos.
Para mais informações, acesse https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

Essa restrição pode ser usada no modo de teste.

Prefixo compatível: is:

Para mais informações, consulte Como restringir o uso de recursos.

constraints/gcp.restrictServiceUsage

Essa restrição de lista define o conjunto de pacotes de criptografia TLS que podem ser usados para acessar recursos em uma organização, pasta ou projeto em que a restrição foi aplicada.
Por padrão, todos os pacotes de criptografia TLS são permitidos. Os pacotes de criptografia TLS podem ser especificados como uma lista de permissões ou de bloqueio e precisam ser identificados pelos nomes. Por exemplo, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_AES_128_GCM_SHA256.Também é possível especificar grupos de valores, que são coleções de pacotes de criptografia selecionados pelo Google para oferecer uma maneira simples de definir a restrição. Para usar grupos de valores na política da organização, insira um prefixo nas entradas com a string in: e o grupo de valor. Por exemplo, in:CNSA-2.0-recommended-ciphers.
Essa restrição só é aplicada a solicitações que usam TLS. Ela não é usada para restringir solicitações sem criptografia.
Para saber mais, consulte o guia do usuário Restringir pacotes de criptografia TLS.

Essa restrição pode ser usada no modo de teste.

Prefixos aceitos: is:, in:

constraints/gcp.restrictTLSCipherSuites

Esta restrição define o conjunto de versões do TLS que não podem ser usadas na organização, na pasta ou no projeto onde a restrição for aplicada, ou em qualquer filho desse recurso na hierarquia relacionada.
Por padrão, todas as versões do TLS são permitidas. As versões do TLS só podem ser especificadas na lista de negações e precisam ser identificadas no formato TLS_VERSION_1 ou TLS_VERSION_1_1.
Essa restrição só é aplicada a solicitações que usam TLS. Ela não é usada para restringir solicitações sem criptografia.
Para mais informações, acesse https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.

Essa restrição pode ser usada no modo de teste.

Prefixo compatível: is:

Para mais informações, consulte Restringir versões do TLS.

constraints/gcp.restrictTLSVersion

Quando aplicada, essa restrição booleana desativa a permissão do Identity-Aware Proxy nos recursos regionais. Essa restrição não impede a ativação do IAP em recursos globais.
Por padrão, a ativação do IAP em recursos regionais é permitida.

constraints/iap.requireRegionalIapWebDisabled

Com essa restrição de lista, são restringidos o conjunto de serviços e as respectivas APIs que podem ser ativadas nesse recurso. Por padrão, todos os serviços são permitidos.
A lista de serviços negados precisa ser proveniente da lista abaixo. No momento, não é possível ativar explicitamente as APIs por meio dessa restrição. Especificar uma API que não está na lista resultará em erro.

• compute.googleapis.com
• deploymentmanager.googleapis.com
• dns.googleapis.com

Prefixo compatível: is:

constraints/serviceuser.services

Não configure ou modifique esta política. Ela é configurada automaticamente durante a integração do Assured Workloads e é destinada apenas para o controle regulatório avançado do Assured Workloads. Quando essa restrição booleana for aplicada, alguns aspectos da capacidade de suporte serão prejudicados. Além disso, recursos provisionados vão seguir rigorosamente os requisitos avançados de soberania do Assured Workloads. A política será válida para projetos atuais, mas ela não vai afetar recursos que já foram provisionados. Ou seja, as alterações na política só vão ser refletidas nos recursos criados depois dessas modificações.

constraints/spanner.assuredWorkloadsAdvancedServiceControls

Não configure ou modifique esta política. Ela é configurada automaticamente durante a integração do Assured Workloads, sendo destinada apenas para o controle regulatório avançado do Assured Workloads. Essa restrição booleana, quando aplicada, impede a criação de instâncias do Spanner usando a configuração de instância multirregional, a menos que um local seja selecionado. Atualmente, o Cloud Spanner ainda não oferece suporte à seleção de local, portanto, nenhuma das multirregiões vai ser permitida. No futuro, o Spanner vai fornecer a funcionalidade para que os usuários selecionem um local multirregional. A aplicação dessa restrição não é retroativa. As instâncias do Spanner que já foram criadas não serão afetadas.

constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected

Quando o modo de geração de registros de auditoria detalhado é aplicado, a solicitação e a resposta são incluídas nos Registros de auditoria do Cloud. As alterações nesse recurso podem levar até 10 minutos para serem aplicadas. Esta política organizacional é altamente recomendada com o bloqueio de buckets para quem quiser estar em conformidade, por exemplo, com a Regra SEC 17a-4(f), a Regra CFTC 1.31(c)-(d) e a FINRA 4511(c). Somente o Cloud Storage oferece suporte a esta política, atualmente.

Para mais informações, consulte Restrições da política da organização para o Cloud Storage.

constraints/gcp.detailedAuditLoggingMode

Proteja os dados do Cloud Storage contra exposição pública aplicando a prevenção ao acesso público. Essa política de governança impede o acesso por Internet pública aos recursos atuais e futuros ao desativar e bloquear as ACLs e as permissões do IAM que concedem acesso a allUsers e allAuthenticatedUsers. Aplique essa política a toda a organização (recomendado), a projetos ou pastas específicos para garantir que os dados não sejam expostos ao público.
Essa política substitui as permissões públicas atuais. O acesso público será revogado para os buckets e objetos atuais depois que essa política for ativada. Para saber mais sobre os impactos causados pela mudança na aplicação dessa restrição nos recursos, consulte: https://cloud.google.com/storage/docs/public-access-prevention.

Para mais informações, consulte Restrições da política da organização para o Cloud Storage.

constraints/storage.publicAccessPrevention

A restrição define o conjunto de tipos de autenticação que não pode acessar os recursos de armazenamento na organização no Cloud Storage. Os valores aceitos são USER_ACCOUNT_HMAC_SIGNED_REQUESTS, SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS e RSA_SIGNED_REQUESTS. Use in:ALL_HMAC_SIGNED_REQUESTS para incluir solicitações assinadas por HMAC da conta de usuário e da conta de serviço. Use in:ALL_SIGNED_REQUESTS para incluir solicitações assinadas por HMAC e RSA.

Prefixos aceitos: is:, in:

constraints/storage.restrictAuthTypes

Essa restrição de lista define o conjunto de durações das políticas de retenção que pode ser definido nos buckets do Cloud Storage.
Por padrão, se nenhuma política da organização for especificada, um bucket do Cloud Storage poderá ter uma política de retenção de qualquer duração.
A lista de durações permitidas precisa ser especificada como um valor inteiro positivo maior que zero, representando a política de retenção em segundos.
Qualquer operação de inserção, atualização ou correção em um bucket no recurso da organização precisa ter uma duração de política de retenção que corresponda à restrição.
A aplicação dessa restrição não é retroativa. Quando uma nova política da organização é aplicada, a política de retenção dos buckets atuais permanece inalterada e válida.

Prefixo compatível: is:

Para mais informações, consulte Restrições da política da organização para o Cloud Storage.

constraints/storage.retentionPolicySeconds

Quando aplicada, esta restrição booleana nega explicitamente o acesso (não criptografado) HTTP a todos os recursos de armazenamento. Por padrão, a API XML do Cloud Storage permite acesso HTTP não criptografado. O console do Cloud, o gRPC e a API JSON do Cloud Storage só permitem acesso HTTP criptografado aos recursos do Cloud Storage.

constraints/storage.secureHttpTransport

Essa restrição define as durações de retenção permitidas para as políticas de exclusão reversível definidas nos buckets do Cloud Storage em que ela está aplicada. Qualquer operação de inserção, atualização ou patch de um bucket em que essa restrição está aplicada precisa ter uma duração de política de exclusão reversível que corresponda à restrição. Quando uma nova política da organização é aplicada, a política de exclusão reversível dos buckets atuais permanece inalterada e válida. Por padrão, se nenhuma política da organização for especificada, um bucket do Cloud Storage poderá ter uma política de exclusão reversível de qualquer duração.

Prefixo compatível: is:

constraints/storage.softDeletePolicySeconds

Essa restrição booleana exige que os buckets usem um acesso uniforme no nível do bucket, em que essa restrição é definida como True. Qualquer bucket novo no recurso Organização precisa ter o acesso uniforme no nível do bucket ativado. Além disso, nenhum bucket atual no recurso Organização pode desativar esse acesso.
A aplicação dessa restrição não é retroativa: buckets atuais com o acesso no nível do bucket desativado permanecem com o acesso desativado. O valor padrão dessa restrição é False.
O acesso uniforme no nível do bucket desativa a avaliação de Listas de controle de acesso (ACLs, na sigla em inglês) atribuídas a objetos do Cloud Storage no bucket. Como consequência, apenas políticas de IAM concedem acesso a objetos nesses buckets.

Essa restrição é provisionada automaticamente como parte do nível de segurançaGoogle Cloud .

Para mais informações, consulte Restrições da política da organização para o Cloud Storage.

constraints/storage.uniformBucketLevelAccess