此页面列出了所有可用的 Google 管理型组织政策限制条件。
自动强制执行的约束条件
如果未强制执行组织政策,则会从强制执行组织政策的最小祖先实体继承。如果祖先层次结构中未强制执行任何组织政策,则强制执行 Google 管理的限制条件默认行为。
如果组织政策限制条件的 Google 管理默认行为限制了某项操作,那么即使您从未明确定义过组织政策,该操作也会受到限制。如需允许这些操作,您必须创建组织政策来替换父政策。
以下组织政策限制条件具有会限制操作的 Google 管理的默认行为:
可用限制条件
您可以使用以下限制条件创建组织政策。
受管限制条件
| 服务 | 限制条件 | 说明 |
|---|---|---|
| Compute Engine | 允许的 VLAN 连接加密设置 |
此列表限制条件定义了新 VLAN 连接允许的加密设置。 constraints/compute.managed.allowedVlanAttachmentEncryption
|
| Compute Engine | 阻止 Compute Engine 预览版功能 |
此限制可确保除非明确允许,否则预览功能会被屏蔽。设置为允许后,您可以控制为项目单独启用或停用哪些预览功能。只有已启用的预览版功能才能在项目中访问。随后停用该政策不会更改已设置的各个预览版功能的状态,并且可以单独停用这些功能。此限制仅适用于 Compute Alpha API 功能。 constraints/compute.managed.blockPreviewFeatures
|
| Compute Engine | 禁用 VM 嵌套虚拟化 |
[公开预览版] 设置为 constraints/compute.managed.disableNestedVirtualization
|
| Compute Engine | 限制启用虚拟机串行端口访问权限元数据 |
预览版:此限制条件会阻止将串行端口启用元数据键设置为 true,以防止在强制执行此限制条件的组织、项目或文件夹中为 Compute Engine 虚拟机启用串行端口。默认情况下,可以使用此元数据键以每个虚拟机、每个可用区或每个项目为基础启用串行端口访问。如需允许特定虚拟机访问串行端口,您可以使用标记和条件规则将这些虚拟机从相应政策中排除。 constraints/compute.managed.disableSerialPortAccess
|
| Compute Engine | 禁止虚拟机串行端口输出记录到 Stackdriver |
[公开预览版] 此限制条件在强制执行时,会禁止串行端口将日志记录到 Stackdriver(从 Compute Engine 虚拟机)。 constraints/compute.managed.disableSerialPortLogging
|
| Compute Engine | 针对具有 ZonalOnly DNS 设置的项目限制了全球内部 DNS (gDNS) 的使用。 |
[公开预览版] 强制执行此限制条件时,系统会限制 gDNS 使用。此限制会禁止创建 gDNS 虚拟机,并禁止更新虚拟机以使用 gDNS。将 zDNS 项目恢复为 gDNS 不会被阻止,但会导致在后续的实例 API 调用期间强制执行政策。 constraints/compute.managed.disallowGlobalDns
|
| Compute Engine | 需要操作系统配置 |
[公开预览版] 如果强制执行此限制条件,系统会要求对所有新项目启用虚拟机管理器(操作系统配置)。对于新项目和现有项目,此限制条件将阻止会在项目、项目级可用区或实例级别停用虚拟机管理器的元数据更新。您可以允许特定虚拟机实例停用虚拟机管理器。首先,应用标记来标记实例,然后使用基于标记值的条件规则将这些实例正确地排除在强制执行范围之外。 constraints/compute.managed.requireOsConfig
|
| Compute Engine | 要求 OS Login |
[公开预览版] 强制执行此限制条件时,系统会要求在所有新创建的项目中启用 OS Login。如果在新项目和现有的项目中设置此限制,将无法进行会在项目级、项目级(区域)或实例级停用 OS Login 的元数据更新。您可以允许特定虚拟机实例停用 OS Login。首先,应用标记来标记实例,然后使用基于标记值的条件规则将这些实例正确地排除在强制执行范围之外。 constraints/compute.managed.requireOsLogin
|
| Compute Engine | 限制协议转发的使用 |
此限制条件可让您限制可以在组织中创建的协议转发部署类型(内部或外部)。如需配置此限制条件,您可以指定要允许的协议转发部署类型的许可名单。许可名单只能包含以下值:
constraints/compute.managed.restrictProtocolForwardingCreationForTypes
|
| Compute Engine | 限制虚拟机 IP 转发 |
[公开预览版] 此限制条件定义了 Compute Engine 虚拟机实例是否可以启用 IP 转发。默认情况下,如果未指定政策,任何虚拟机都可以在任何虚拟网络中启用 IP 转发。如果强制执行此限制条件,系统将拒绝创建或更新已启用 IP 转发的虚拟机实例。您可以允许特定虚拟机实例启用 IP 转发。首先,应用标记来标记实例,然后使用基于标记值的条件规则来正确地将这些实例排除在强制执行范围之外。 constraints/compute.managed.vmCanIpForward
|
| Compute Engine | 限制虚拟机实例的外部 IP |
[公开预览版] 此限制条件用于定义 Compute Engine 虚拟机实例是否可以使用 IPv4 外部 IP 地址。默认情况下,所有虚拟机实例都可以使用外部 IP 地址。如果强制执行此限制条件,系统将拒绝创建或更新具有 IPv4 外部 IP 地址的虚拟机实例。此限制条件不会限制 IPv6 外部 IP 地址的使用。您可以允许特定虚拟机实例使用外部 IPv4 IP 地址。首先,应用标记来标记实例,然后使用基于标记值的条件规则来正确地将这些实例排除在强制执行范围之外。 constraints/compute.managed.vmExternalIpAccess
|
| Google Kubernetes Engine | 要求启用 DenyServiceExternalIPs 准入控制器 |
要求在 GKE 集群中保持启用 DenyServiceExternalIPs 准入控制器。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs constraints/container.managed.denyServiceExternalIPs
|
| Google Kubernetes Engine | 要求停用基于属性的访问权限控制 |
拒绝在 GKE 集群上启用基于属性的访问权限控制 (ABAC) 的请求。ABAC 是一种旧版身份验证方法,在所有新集群中默认处于停用状态。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled constraints/container.managed.disableABAC
|
| Google Kubernetes Engine | 要求在 GKE 集群中停用不安全的 kubelet 只读端口 |
要求不安全的 kubelet 只读端口 (10255) 保持停用状态。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port constraints/container.managed.disableInsecureKubeletReadOnlyPort
|
| Google Kubernetes Engine | 要求停用客户端证书身份验证 |
请勿手动启用旧的客户端证书身份验证方法。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate constraints/container.managed.disableLegacyClientCertificateIssuance
|
| Google Kubernetes Engine | 需要停用 GKE 集群中与系统身份的 RBAC 绑定。 |
在创建或更新 GKE 集群时,停用引用 system:anonymous、system:authenticated 或 system:unauthenticated 系统身份的非默认 ClusterRoleBinding 和 RoleBinding。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage constraints/container.managed.disableRBACSystemBindings
|
| Google Kubernetes Engine | 禁止使用默认 Compute Engine 服务账号作为节点池服务账号。 |
请勿使用默认的 Compute Engine 服务账号作为集群或节点池服务账号。请改用具有最低权限的 IAM 服务账号。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa constraints/container.managed.disallowDefaultComputeServiceAccount
|
| Google Kubernetes Engine | 要求为 GKE 集群启用 Binary Authorization。 |
在创建或更新 GKE 集群时启用 Binary Authorization。如需了解详情,请参阅 https://cloud.google.com/binary-authorization/docs/setting-up。 constraints/container.managed.enableBinaryAuthorization
|
| Google Kubernetes Engine | 要求在 GKE 集群中启用 Cloud Logging |
要求所有 GKE 集群至少使用默认的 Cloud Logging 配置。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging constraints/container.managed.enableCloudLogging
|
| Google Kubernetes Engine | 要求仅使用基于 DNS 的端点来访问 GKE 集群。 |
在创建或更新集群时,启用基于 DNS 的端点以访问 GKE 控制平面,并停用基于 IP 的端点。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint。 constraints/container.managed.enableControlPlaneDNSOnlyAccess
|
| Google Kubernetes Engine | 要求在 GKE 集群中启用 Google RBAC 群组。 |
在创建或更新 GKE 集群时启用 Google RBAC 群组。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac。 constraints/container.managed.enableGoogleGroupsRBAC
|
| Google Kubernetes Engine | 要求在 GKE 集群中启用网络政策强制执行功能。 |
通过启用网络政策强制执行功能或 GKE Dataplane V2,启用 Kubernetes NetworkPolicy 的使用。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy 或 https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2。 constraints/container.managed.enableNetworkPolicy
|
| Google Kubernetes Engine | 需要在 GKE 集群中启用专用节点。 |
在创建或更新 GKE 集群和节点池时启用专用节点。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking。 constraints/container.managed.enablePrivateNodes
|
| Google Kubernetes Engine | 要求在 GKE 集群中启用自行管理的 Secret 加密。 |
在创建或更新 GKE 集群时,使用自行管理的密钥启用 Secret 加密。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets。 constraints/container.managed.enableSecretsEncryption
|
| Google Kubernetes Engine | 要求在 GKE 集群中启用安全公告通知。 |
在创建或更新 GKE 集群时启用安全公告通知。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin constraints/container.managed.enableSecurityBulletinNotifications
|
| Google Kubernetes Engine | 要求在 GKE 集群中启用安全强化型节点 |
要求安全强化型节点保持启用状态。安全强化型 GKE 节点可提供强大、可验证的节点身份和完整性,能够提高 GKE 节点的安全性。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes constraints/container.managed.enableShieldedNodes
|
| Google Kubernetes Engine | 需要启用适用于 GKE 的工作负载身份联合。 |
在创建或更新集群时启用 Workload Identity Federation for GKE。如需了解详情,请参阅 https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity。 constraints/container.managed.enableWorkloadIdentityFederation
|
| Dataflow | 屏蔽项目 SSH 密钥 |
禁止项目范围的 SSH 密钥访问 Dataflow 工作器虚拟机。 constraints/dataflow.managed.blockProjectSshKeys
|
| Dataflow | 停用公共 IP |
停用在 Dataflow 工作器虚拟机上使用公共 IP。 constraints/dataflow.managed.disableUsePublicIps
|
| 重要联系人 | 限制联系人网域 |
此限制条件定义了添加到重要联系人中的电子邮件地址可以拥有的一组允许的网域。 constraints/essentialcontacts.managed.allowedContactDomains
|
| 多项 Google Cloud 服务 | 限制服务 MCP 端点的启用。 |
强制执行时,确保只有已列入许可名单的服务才能启用其 MCP 端点。默认情况下,此限制条件会强制执行,并且允许的服务列表为空,从而阻止启用任何 MCP 端点。 constraints/gcp.managed.mcpAllowedServices
|
| Identity and Access Management | 限制 IAM 允许政策中允许的政策成员 |
此限制条件定义了可在组织中授予 IAM 角色的组织主账号集。 constraints/iam.managed.allowedPolicyMembers
|
| Identity and Access Management | 禁止服务账号 API 密钥绑定 |
强制执行时,禁止创建绑定到服务账号的 API 密钥。 如需了解详情,请参阅启用将密钥绑定到服务账号功能。 constraints/iam.managed.disableServiceAccountApiKeyCreation
|
| Identity and Access Management | 停用服务账号创建功能 |
此布尔值限制条件禁止创建将此限制条件设为“True”的服务账号。 constraints/iam.managed.disableServiceAccountCreation
|
| Identity and Access Management | 停用服务账号密钥创建功能 |
强制执行此限制条件时,系统会阻止创建服务账号密钥。 constraints/iam.managed.disableServiceAccountKeyCreation
|
| Identity and Access Management | 停用服务账号密钥上传功能 |
在设为“True”的情况下,此布尔值限制条件会停用允许向服务账号上传公钥的功能。 constraints/iam.managed.disableServiceAccountKeyUpload
|
| Identity and Access Management | 防止为默认服务账号授予具有高权限的基本角色 |
强制执行此限制条件后,任何人将无法在任何时间向 Compute Engine 和 App Engine 默认服务账号授予 Editor 角色 ( constraints/iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts
|
| Identity and Access Management | 可在 Cloud IAM 中为工作负载身份联合配置的允许的 AWS 账号 |
可在 Cloud IAM 中为工作负载身份联合配置的 AWS 账号 ID 列表。 constraints/iam.managed.workloadIdentityPoolAwsAccounts
|
| Identity and Access Management | 为处理工作负载而允许 Cloud IAM 联系的外部身份提供商 |
可以进行配置以在 Cloud IAM 内进行工作负载身份验证的身份提供商(通过 URI/网址指定)。此限制由 Google 管理。 constraints/iam.managed.workloadIdentityPoolProviders
|
| Google Cloud Managed Service for Apache Kafka | 禁止创建和更新 Kafka Connect 集群 |
强制执行此布尔值限制条件时,系统会禁止创建和更新 Kafka Connect 集群。 constraints/managedkafka.managed.disableKafkaConnectClusterCreateAndUpdate
|
| Pub/Sub | 停用订阅单条消息转换 (SMT) |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。强制执行此布尔值限制条件后,Pub/Sub 订阅无法设置单条消息转换 (SMT)。 constraints/pubsub.managed.disableSubscriptionMessageTransforms
|
| Pub/Sub | 停用主题单条消息转换 (SMT) |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。强制执行此布尔值限制条件后,Pub/Sub 主题将无法设置单条消息转换 (SMT)。 constraints/pubsub.managed.disableTopicMessageTransforms
|
| Cloud Run | 要求对 Cloud Run 服务进行 IAM 调用者检查 |
强制执行此限制条件时,要求在 Cloud Run 服务上启用 IAM 调用方检查。 constraints/run.managed.requireInvokerIam
|
| Spanner | Cloud Spanner 实例的被拒绝版本 |
您尝试使用的版本不符合您所属组织的政策。请查看相应政策,然后选择允许的版本。 constraints/spanner.managed.restrictCloudSpannerEditions
|
旧版托管式限制
| 服务 | 限制条件 | 规则类型 | 说明 |
|---|---|---|---|
| Vertex AI Workbench | 定义 Vertex AI Workbench 笔记本和实例的访问模式 | 列表 |
此列表限制条件定义了强制执行此限制条件后,Vertex AI Workbench 笔记本和实例允许的访问模式。在 支持的前缀:
|
| Vertex AI Workbench | 禁止在新的 Vertex AI Workbench 实例上下载文件 | Boolean |
强制执行此布尔值限制条件时,系统会阻止创建已启用文件下载选项的 Vertex AI Workbench 实例。默认情况下,文件下载选项可在任何 Vertex AI Workbench 实例上启用。
|
| Vertex AI Workbench | 停用对新的 Vertex AI Workbench 用户管理的笔记本和实例的根访问权限 | Boolean |
强制执行此布尔值限制条件时,系统会阻止新创建的 Vertex AI Workbench 用户管理的笔记本和实例启用根访问权限。默认情况下,Vertex AI Workbench 用户管理的笔记本和实例可以启用根访问权限。
|
| Vertex AI Workbench | 停用新的 Vertex AI Workbench 实例上的终端 | Boolean |
强制执行此布尔值限制条件时,系统会阻止在终端启用的情况下创建 Vertex AI Workbench 实例。默认情况下,终端可在 Vertex AI Workbench 实例上启用。
|
| Vertex AI Workbench | 限制新的 Vertex AI Workbench 用户管理笔记本上的环境选项 | 列表 |
此列表限制条件定义用户在新建 Vertex AI Workbench 用户管理的笔记本时,可选择的虚拟机和容器映像选项。必须明确列出要允许或拒绝的选项。 支持的前缀:
|
| Vertex AI Workbench | 要求对新的 Vertex AI Workbench 用户管理的笔记本和实例进行自动预定升级 | Boolean |
强制执行此布尔值限制条件时,系统会要求新创建的 Vertex AI Workbench 用户管理型笔记本和实例设置自动升级时间表。自动升级计划可使用
|
| Vertex AI Workbench | 限制对新的 Vertex AI Workbench 笔记本和实例的公共 IP 访问权限 | Boolean |
强制执行此布尔值限制条件后,系统会限制公共 IP 对新创建的 Vertex AI Workbench 笔记本和实例的访问权限。默认情况下,公共 IP 可以访问 Vertex AI Workbench 笔记本和实例。
|
| Vertex AI Workbench | 限制新的 Vertex AI Workbench 实例上的 VPC 网络 | 列表 |
此列表限制条件定义了在强制执行此限制条件后,用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。默认情况下,可以使用任何 VPC 网络创建 Vertex AI Workbench 实例。网络的允许/拒绝列表必须按以下格式标识: 支持的前缀:
|
| Vertex AI | 定义对 Vertex AI 上 Google 专有生成式 AI 模型的访问权限 | 列表 |
此列表限制条件定义了允许在 Vertex AI API 中使用的一系列生成式 AI 模型和功能。许可清单的值应采用 支持的前缀:
|
| Vertex AI | 定义对 Vertex AI 上模型的访问权限 | 列表 |
此列表限制条件定义了允许在 Vertex AI API 中使用的一系列模型和功能。许可名单的值应采用“ 支持的前缀: 如需了解详情,请参阅控制对 Model Garden 模型的访问权限。
|
| Vertex AI | 定义可在 Vertex AI 上使用的托管式合作伙伴模型的高级功能 | 列表 |
此列表限制条件定义了可在 Vertex AI API 中使用的一系列托管式合作伙伴模型的高级功能。许可清单的值应采用“ 支持的前缀:
|
| Vertex AI | 停用生成式 AI API 的“依托 Google 搜索进行接地”功能 | Boolean |
强制执行此布尔值限制条件时,系统会停用生成式 AI API 的“依托 Google 搜索进行接地”功能。此功能默认处于启用状态。
|
| Vertex AI | 在 Vertex AI 生成式 API 中控制接地来源 | 列表 |
此列表限制条件定义了一组允许或禁止与 Vertex AI 生成式 API 搭配使用的接地来源。 支持的前缀:
|
| App Engine | 停用源代码下载 | Boolean |
停用之前上传到 App Engine 的源代码的下载。
|
| App Engine | 运行时部署豁免 (App Engine) | 列表 |
此列表限制条件定义了一组允许在支持终止后部署的 App Engine 标准环境旧版运行时(Python 2.7、PHP 5.5 和 Java 8)。我们将于 2024 年 1 月 30 日起停止为 App Engine 标准环境旧版运行时提供支持。一般来说,在此日期之后尝试使用旧版运行时部署应用的操作将被阻止。请参阅 App Engine 标准环境运行时支持时间表。将此限制条件设置为“允许”,可解除对您指定的旧版运行时的 App Engine 标准环境部署的阻止,直到运行时弃用日期为止。将此限制条件设置为“全部允许”,可解除对所有旧版运行时的 App Engine 标准环境部署的阻止,直到运行时弃用日期为止。已达到支持终止期限的运行时不会收到常规安全和维护补丁。我们强烈建议您将应用升级为使用正式版运行时。 支持的前缀:
|
| BigQuery | 禁止将 BigQuery Omni 用于 Cloud AWS | Boolean |
强制执行此布尔值限制条件时,系统将禁止用户使用 BigQuery Omni 来处理强制执行此限制条件的 Amazon Web Services 上的数据。
|
| BigQuery | 禁止将 BigQuery Omni 用于 Cloud Azure | Boolean |
强制执行此布尔值限制条件时,系统将禁止用户使用 BigQuery Omni 来处理强制执行此限制条件的 Microsoft Azure 上的数据。
|
| Cloud Build | 允许的集成 (Cloud Build) | 列表 |
此列表限制条件定义了允许的 Cloud Build 集成,这些集成通过接收 Google Cloud 外部服务的 Webhook 来执行构建。如果强制执行此限制条件,系统只会在服务的主机匹配了某个允许的值时处理 Webhook。 支持的前缀: 如需了解详情,请参阅根据组织政策限制构建。
|
| Cloud Build | 禁止创建默认服务账号 (Cloud Build) | Boolean |
强制执行此布尔值限制条件时,系统会阻止创建旧版 Cloud Build 服务账号。
|
| Cloud Build | 使用默认服务账号 (Cloud Build) | Boolean |
强制执行此布尔值限制条件时,系统在默认情况下会允许使用旧版 Cloud Build 服务账号。
|
| Cloud Build | 默认使用 Compute Engine 服务账号 (Cloud Build) | Boolean |
强制执行此布尔值限制条件时,系统在默认情况下会允许使用 Compute Engine 服务账号。
|
| Cloud Deploy | 停用 Cloud Deploy 服务标签 | Boolean |
如果强制执行此布尔值限制条件,Cloud Deploy 就无法将 Cloud Deploy 标识符标签添加到所部署的对象。
|
| Cloud Run functions | 允许使用的入站流量设置 (Cloud Functions) | 列表 |
此列表限制条件定义了允许的入站流量设置,这些设置可用于部署 Cloud Functions (第 1 代) 函数。如果强制执行此限制条件,函数需要具有与某个允许的值匹配的入站流量设置。 支持的前缀: 如需了解详情,请参阅设置组织政策。
|
| Cloud Run functions | 允许使用的 VPC 连接器出站流量设置 (Cloud Functions) | 列表 |
此列表限制条件定义了允许的 VPC 连接器出站流量设置,这些设置可用于部署 Cloud Functions (第 1 代) 函数。如果强制执行此限制条件,函数需要具有与某个允许的值匹配的 VPC 连接器出站流量设置。 支持的前缀: 如需了解详情,请参阅设置组织政策。
|
| Cloud Run functions | 要求使用 VPC 连接器 (Cloud Functions) | Boolean |
在部署 Cloud Functions (第 1 代) 函数时,此布尔值限制条件会强制设置 VPC 连接器。如果强制执行此限制条件,函数需要指定一个 VPC 连接器。 如需了解详情,请参阅设置组织政策。
|
| Cloud Run functions | 允许的 Cloud Functions 世代 | 列表 |
此列表限制条件定义了一组允许的 Cloud Functions 函数世代,它们可用于创建新的 Functions 函数资源。有效值为: 支持的前缀:
|
| Cloud Key Management Service | 限制可以创建哪些 KMS CryptoKey 类型。 | 列表 |
此列表限制条件指定了可以在给定层次结构节点下创建的 Cloud KMS 密钥类型。实施此限制条件后,只有此组织政策中指定的 KMS 密钥类型可以在关联的层次结构节点中创建。配置此组织政策还会影响导入作业和密钥版本的保护级别。默认情况下,系统允许创建所有密钥类型。有效值包括: 支持的前缀:
|
| Cloud Key Management Service | 将密钥销毁限制为已停用的密钥版本 | Boolean |
强制执行此布尔值限制条件时,系统会只允许销毁处于停用状态的密钥版本。默认情况下,系统可以销毁处于启用和停用状态的密钥版本。当强制执行此限制条件时,它会应用于新的和现有的密钥版本。
|
| Cloud Key Management Service | 每个密钥的最短预定销毁时长 | 列表 |
此列表限制条件定义了用户在创建新密钥时可指定的最短安排销毁时长(天数)。强制执行此限制条件时,将无法创建安排销毁时长小于此值的密钥。默认情况下,所有密钥的最短安排销毁时长都是 1 天,但仅限导入的密钥除外,其最短安排销毁时长为 0 天。 支持的前缀:
|
| Cloud Scheduler | 允许的作业目标类型 | 列表 |
此列表限制条件定义了 Cloud Scheduler 作业允许使用的目标类型列表,如 App Engine HTTP、HTTP 或 Pubsub。 支持的前缀:
|
| Cloud SQL | 在 Cloud SQL 实例上限制已授权网络 | Boolean |
强制执行此布尔值限制条件时,系统会限制向 Cloud SQL 实例添加授权网络来进行无代理的数据库访问。此限制条件的效力不具有追溯性,即使在强制执行此限制条件后,已有授权网络的 Cloud SQL 实例也会照常工作。
|
| Cloud SQL | 停用 Cloud SQL 中的诊断和管理员权限路径,以满足合规性要求。 | Boolean |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。强制执行此布尔值限制条件时,可支持性的某些方面将受到损害,不符合 Assured Workloads 高级主权要求的诊断和其他客户支持用例的所有访问路径都将停用。
|
| Cloud SQL | 限制 Cloud SQL 实例的不合规工作负载。 | Boolean |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。强制执行此布尔值限制条件时,可支持性的某些方面将受到损害,预配的资源将严格遵守 Assured Workloads 的高级主权要求。此政策具有追溯性,因为它将应用于现有项目,但不会影响已预配的资源;也就是说,对此政策的修改只会体现在政策修改后创建的资源中。
|
| Cloud SQL | 对 Cloud SQL 实例限制公共 IP 访问权限 | Boolean |
如果强制执行此布尔值限制条件,则会限制在 Cloud SQL 实例上配置公共 IP 地址。此限制条件不会影响先前的操作;也就是说,即使在实施此限制条件之后,已有公共 IP 访问权限的 Cloud SQL 实例也仍然照常运作。
|
| Google Cloud Marketplace | 停用公开市场 | Boolean |
强制执行此布尔值限制条件时,系统会对组织内的所有用户停用 Google Cloud Marketplace。默认情况下,系统会为组织启用公共市场访问权限。此政策仅在启用 Private Marketplace 时有效 (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace)。
|
| Google Cloud Marketplace | 限制对 Marketplace 服务的访问权限 | 列表 |
此列表限制条件定义了允许市场组织提供的一系列服务,并且只能包含下方列表中的值:
IAAS_PROCUREMENT 在允许值列表中,则会对所有产品启用 IaaS 采购治理体验。默认情况下,IaaS 采购治理体验处于关闭状态。IAAS_PROCUREMENT 政策独立于“请求采购”治理功能,后者专用于 Cloud Marketplace 上列出的 SaaS 产品。注意:不再支持 PRIVATE_MARKETPLACE 值,使用该值不会产生任何效果。如需启用 Google Private Marketplace,您必须按照 https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace 中的说明操作。 支持的前缀:
|
| Compute Engine | 允许的 VLAN 连接加密设置 | 列表 |
此列表限制条件定义了新 VLAN 连接允许的加密设置。 支持的前缀:
|
| Compute Engine | 禁止所有 IPv6 使用 | Boolean |
强制执行此布尔值限制条件时,系统会禁止创建或更新涉及到使用 IPv6 的任何 Google Compute Engine 资源。
|
| Compute Engine | 禁止创建 Cloud Armor 安全政策 | Boolean |
强制执行此布尔值限制条件时,系统会禁止创建新的 Cloud Armor 全局安全政策,以及向现有 Cloud Armor 全局安全政策添加或更新规则。此限制条件不会限制移除规则,也不会限制移除、描述或列出 Cloud Armor 全局安全政策。Cloud Armor 区域安全政策不受此限制条件的影响。在强制执行此限制条件之前就已存在的所有全局和区域安全政策也仍然有效。
|
| Compute Engine | 停用全球负载均衡 | Boolean |
此布尔值限制条件禁止创建全球负载均衡产品。强制执行时,您只能创建没有全球依赖项的区域级负载均衡产品。默认情况下,允许创建全球负载均衡产品。
|
| Compute Engine | 禁止创建自行管理的全球 SSL 证书 | Boolean |
强制执行此布尔值限制条件时,系统会禁止创建自行管理的全球 SSL 证书。此限制条件不会禁止创建 Google 代管的证书或自行管理的区域级证书。
|
| Compute Engine | 停用对虚拟机串行端口的全局访问权限 | Boolean |
此布尔值限制条件会禁止对属于实施此限制条件的组织、项目或文件夹的 Compute Engine 虚拟机进行全局串行端口访问。默认情况下,客户可以使用元数据属性以每个虚拟机或每个项目为基础进行 Compute Engine 虚拟机串行端口访问。无论元数据属性如何,实施此限制条件都会停用 Compute Engine 虚拟机的全局串行端口访问权限。区域串行端口访问权限不受此限制条件的影响。如需停用所有串行端口访问权限,请改用 compute.disableSerialPortAccess 限制条件。
|
| Compute Engine | 停用 Compute Engine 元数据的访客属性 | Boolean |
强制执行此布尔值限制条件时,系统会禁止通过 Compute Engine API 访问属于相应组织、项目或文件夹的 Compute Engine 虚拟机的客机特性。
|
| Compute Engine | 禁止使用混合云 IPv6 | Boolean |
当此布尔值限制条件强制执行时,会禁止创建或更新
|
| Compute Engine | 停用实例数据访问 API | Boolean |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。强制执行此布尔值限制条件时,系统会停用访问虚拟机串行端口输出的 GetSerialPortOutput API,以及从虚拟机界面捕获屏幕截图的 GetScreenshot API。
|
| Compute Engine | 停用互联网网络端点组 | Boolean |
此布尔值限制条件限定用户能否创建类型 (
|
| Compute Engine | 停用虚拟机嵌套虚拟化 | Boolean |
设置为
|
| Compute Engine | 强制执行符合 FIPS 要求的机器类型 | Boolean |
强制执行此布尔值限制条件时,系统会禁止创建不符合 FIPS 要求的虚拟机实例类型。
|
| Compute Engine | 为使用方停用 Private Service Connect | 列表 |
此列表限制条件定义了用户无法为其创建转发规则的一组 Private Service Connect 端点类型。当强制执行此限制条件时,系统将阻止用户为 Private Service Connect 端点类型创建转发规则。此限制条件不会追溯强制执行。
GOOGLE_APIS 会限制创建用于访问 Google API 的 Private Service Connect 转发规则。在允许/拒绝列表中使用 SERVICE_PRODUCERS 会限制创建用于访问另一个 VPC 网络中的服务的 Private Service Connect 转发规则。
支持的前缀:
|
| Compute Engine | 禁止访问虚拟机串行端口 | Boolean |
强制执行此布尔值限制条件时,系统会禁止通过串行端口访问属于相应组织、项目或文件夹的 Compute Engine 虚拟机。
|
| Compute Engine | 禁止虚拟机串行端口输出记录到 Stackdriver | Boolean |
如果组织、项目或文件夹实施了此布尔值限制条件,则系统不允许将属于该组织、项目或文件夹的 Compute Engine 虚拟机的串行端口输出记录到 Stackdriver。
|
| Compute Engine | 在浏览器中停用 SSH | Boolean |
此布尔值限制条件会对使用 OS Login 的虚拟机和 App Engine 柔性环境虚拟机停用 Cloud 控制台内“浏览器中的 SSH”工具。强制执行此限制条件时,浏览器中的 SSH 按钮将停用。默认情况下,系统允许使用浏览器中的 SSH 工具。
|
| Compute Engine | 禁止 VPC 外部 IPv6 使用 | Boolean |
此布尔值限制条件强制执行时,将禁止创建或更新
|
| Compute Engine | 停用 VPC 内部 IPv6 使用 | Boolean |
此布尔值限制条件强制执行时,将禁止创建或更新
|
| Compute Engine | 启用合规性内存保护工作负载所需的设置 | Boolean |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。此限制条件用于控制消除虚拟机核心内存的潜在访问路径所需的设置。强制执行此限制条件后,它会通过停用访问路径来限制访问虚拟机核心内存的能力,并在发生错误时限制内部数据收集。
|
| Compute Engine | 对于显示某个区域配额信息的 List 方法,禁止其在有故障时照常执行的行为 | Boolean |
如果强制执行此布尔值限制条件,系统会停止
|
| Compute Engine | 需要操作系统配置 | Boolean |
如果强制执行此布尔值限制条件,系统会对所有新项目启用虚拟机管理器(操作系统配置)。将对新项目中创建的所有虚拟机实例启用虚拟机管理器。对于新项目和现有项目,此限制条件将阻止会在项目或实例级别停用虚拟机管理器的元数据更新。 如需了解详情,请参阅启用 OS Config 组织政策。
|
| Compute Engine | 要求 OS Login | Boolean |
强制执行此布尔值限制条件时,系统会在所有新创建的项目中启用 OS Login。在新项目中创建的所有虚拟机实例都将启用 OS Login。对于新项目和现有项目,此限制条件将阻止会在项目或实例级别停用 OS Login 的元数据更新。
|
| Compute Engine | 安全强化型虚拟机 | Boolean |
强制执行此布尔值限制条件时,系统会要求所有新的 Compute Engine 虚拟机实例都使用启用了安全启动、vTPM 和完整性监控选项的安全强化型磁盘映像。如果需要,您可以在创建实例后停用安全启动。运行中的现有实例会继续正常运行。
|
| Compute Engine | 需要指定 SSL 政策 | 列表 |
此列表限制条件定义了一组可以使用默认 SSL 政策的目标 SSL 代理和目标 HTTPS 代理。默认情况下,所有目标 SSL 代理和目标 HTTPS 代理均可使用默认 SSL 政策。实施此限制条件后,新的目标 SSL 代理和目标 HTTPS 代理将需要指定 SSL 政策。此限制条件的实施不具有可追溯性。使用默认 SSL 政策的现有目标代理不受影响。目标 SSL 代理和目标 HTTPS 代理的允许/拒绝列表必须采用以下格式进行标识:
支持的前缀:
|
| Compute Engine | 必须提供 VPC 流日志的预定义政策 | 列表 |
此列表限制条件定义了可对 VPC 流日志执行的一组预定义政策。
支持的前缀: 如需了解详情,请参阅为 VPC 流日志配置组织政策限制条件。
|
| Compute Engine | 限制 Cloud NAT 用量 | 列表 |
此列表限制条件定义了可以使用 Cloud NAT 的一组子网。默认情况下,所有子网都可以使用 Cloud NAT。子网的允许/拒绝列表必须按以下格式标识: 支持的前缀: 如需了解详情,请参阅组织政策限制条件。
|
| Compute Engine | 限制跨项目的后端存储桶和后端服务 | 列表 |
此列表限制条件会限制 urlMap 资源可附加到的后端存储桶和后端服务资源。此限制条件不适用于与 urlMap 资源位于同一项目中的后端存储桶和后端服务。默认情况下,只要用户拥有 compute.backendService.use、compute.regionBackendServices.use 或 compute.backendBuckets.use 权限,一个项目中的 urlMap 资源就可以引用同一组织中其他项目的兼容后端存储桶和后端服务。建议不要将此限制条件与 compute.restrictSharedVpcBackendServices 限制条件一起使用,以避免冲突。许可列表或拒绝列表中的项目、文件夹和组织资源会影响资源层次结构中其下属的所有后端存储桶和后端服务。允许或拒绝列表中只能包含项目、文件夹和组织资源,并且必须采用以下格式指定:
支持的前缀:
|
| Compute Engine | 限制专用互连用量 | 列表 |
此列表限制条件定义了一组可以使用专用互连的 Compute Engine 网络。默认情况下,网络可以使用任何类型的互连。网络的允许/拒绝列表必须按以下格式标识: 支持的前缀: 如需了解详情,请参阅限制 Cloud Interconnect 用量。
|
| Compute Engine | 根据负载均衡器类型限制负载均衡器的创建 | 列表 |
此列表限制条件定义了可以为组织、文件夹或项目创建的一组负载均衡器类型。必须明确列出各个要允许或拒绝的负载平衡器类型。默认情况下,允许创建所有类型的负载平衡器。
如需包含所有内部或所有外部负载均衡器类型,请使用 in: 前缀,后跟 INTERNAL 或 EXTERNAL。例如,允许 in:INTERNAL 将允许上述列表中包含 INTERNAL 的所有负载均衡器类型。如需详细了解如何限制负载均衡器类型,请参阅 https://cloud.google.com/load-balancing/docs/org-policy-constraints。 支持的前缀: 如需了解详情,请参阅 Cloud Load Balancing 的组织政策限制条件。
|
| Compute Engine | 限制非机密计算 | 列表 |
此列表限制条件的拒绝名单定义了一组要求在创建所有新资源时都启用机密计算的服务。默认情况下,新资源不需要使用机密计算。在强制执行此列表限制条件期间,该资源的整个生命周期内都必须使用机密计算。现有资源会继续照常运行。拒绝的服务名单必须使用 API 的字符串名称进行标识,并且只能包含下方列表中明确拒绝的值。系统目前不支持明确允许 API。明确拒绝不在此列表中的 API 将导致出错。受支持的 API 列表:[compute.googleapis.com, container.googleapis.com] 支持的前缀:
|
| Compute Engine | 限制合作伙伴互连用量 | 列表 |
此列表限制条件定义了一组可以使用合作伙伴互连的 Compute Engine 网络。默认情况下,网络可以使用任何类型的互连。网络的允许/拒绝列表必须按以下格式标识: 支持的前缀: 如需了解详情,请参阅限制 Cloud Interconnect 用量。
|
| Compute Engine | 限制允许的 Private Service Connect 使用方 | 列表 |
此列表限制条件定义了可以连接到提供方组织或项目内服务连接的组织、文件夹和项目。允许或拒绝列表必须按以下格式标识: 支持的前缀: 如需了解详情,请参阅管理 Private Service Connect 使用方的安全。
|
| Compute Engine | 限制允许的 Private Service Connect 提供方 | 列表 |
此列表限制条件定义了 Private Service Connect 使用方可以连接到哪些服务连接。此限制条件会根据端点或后端引用的服务连接的组织、文件夹或项目资源,阻止部署 Private Service Connect 端点或后端。允许或拒绝列表必须按以下格式标识: 支持的前缀: 如需了解详情,请参阅管理 Private Service Connect 使用方的安全。
|
| Compute Engine | 限制协议转发的使用 | 列表 |
此列表限制条件定义了用户可以创建的带有目标实例的协议转发规则对象类型。实施此限制条件后,根据指定的类型,带有目标实例的新转发规则对象将仅限于内部和/或外部 IP 地址。必须明确列出要允许或拒绝的类型。默认情况下,允许创建带有目标实例的内部和外部协议转发规则对象。
此限制会作为 Google Cloud 安全基准的一部分自动预配。 支持的前缀: 如需了解详情,请参阅协议转发概览。
|
| Compute Engine | 限制共享 VPC 后端服务 | 列表 |
此列表限制条件定义了符合条件的资源可以使用的一组共享 VPC 后端服务。此限制条件不适用于同一项目中的资源。默认情况下,符合条件的资源可以使用任何共享 VPC 后端服务。后端服务的允许/拒绝列表必须按以下格式指定: 支持的前缀:
|
| Compute Engine | 限制共享 VPC 宿主项目 | 列表 |
此列表限制条件定义了一组共享 VPC 宿主项目,此资源中或其子资源中的项目可以附加到这组共享项目。默认情况下,一个项目可以附加到同一组织中的任何宿主项目,从而成为服务项目。允许/拒绝列表中的项目、文件夹和组织会影响资源层次结构中位于其自身下方的所有对象,并且必须按以下格式指定: 支持的前缀:
|
| Compute Engine | 限制共享 VPC 子网络 | 列表 |
此列表限制条件定义了符合条件的资源可以使用的一组共享 VPC 子网。此限制条件不适用于同一项目中的资源。默认情况下,符合条件的资源可以使用任何共享 VPC 子网。子网的允许/拒绝列表必须按以下格式指定: 支持的前缀:
|
| Compute Engine | 限制 VPC 对等互连使用量 | 列表 |
此列表限制条件定义了可与属于此项目、文件夹或组织的 VPC 网络建立对等互连的一组 VPC 网络。每个对等互联端都必须拥有对等互联权限。默认情况下,一个网络的 Network Admin 可与其他任何网络建立对等互连。网络的允许/拒绝列表必须按以下格式标识: 支持的前缀:
|
| Compute Engine | 限制 VPN 对等 IP | 列表 |
此列表限制条件定义了可配置为 VPN 对等 IP 的一组有效 IP 地址。默认情况下,任何 IP 都可以是 VPC 网络的 VPN 对等 IP。允许/拒绝列表中的 IP 地址必须指定为以下格式的有效 IP 地址: 支持的前缀: 如需了解详情,请参阅通过 Cloud VPN 隧道限制对等 IP 地址。
|
| Compute Engine | 将新项目的内部 DNS 设置设为“仅限可用区级 DNS” | Boolean |
如果强制执行,新创建的项目将默认使用可用区级 DNS。默认情况下,此限制条件设置为 此限制会作为 Google Cloud 安全基准的一部分自动预配。
|
| Compute Engine | 共享预留所有者项目 | 列表 |
此列表限制条件定义了一组可在组织中创建和拥有共享预留的项目。共享预留与本地预留类似,只不过它们并非只能由所有者项目使用,还可供资源层次结构中的其他 Compute Engine 项目使用。允许访问共享预留的项目列表必须采用以下格式: 支持的前缀:
|
| Compute Engine | 跳过默认网络创建 | Boolean |
强制执行此布尔值限制条件时,系统会在 Google Cloud Platform 项目资源创建期间跳过默认网络和相关资源的创建作业。默认情况下,系统会在创建项目资源时自动创建默认网络和支持资源。
|
| Compute Engine | Compute Storage 资源使用限制(Compute Engine 磁盘、映像和快照) | 列表 |
此列表限制条件定义了一组可以使用 Compute Engine 存储资源的项目。默认情况下,任何具有相应 Cloud IAM 权限的人员都可以访问 Compute Engine 资源。使用此限制条件时,用户必须具备 Cloud IAM 权限,且不能被限制条件限制访问资源。 支持的前缀:
|
| Compute Engine | 定义可信映像项目 | 列表 |
此列表限制条件定义了一组可用于针对 Compute Engine 进行映像存储和磁盘实例化的项目。 支持的前缀: 如需了解详情,请参阅设置映像访问权限限制。
|
| Compute Engine | 限制虚拟机 IP 转发 | 列表 |
此列表限制条件定义了可启用 IP 转发的一组虚拟机实例。默认情况下,任何虚拟机都可以在任何虚拟网络中启用 IP 转发功能。虚拟机实例必须按以下格式指定: 支持的前缀:
|
| Compute Engine | 为虚拟机实例定义允许的外部 IP | 列表 |
此列表限制条件定义了一组可以使用外部 IPv4 地址的 Compute Engine 虚拟机实例。此限制条件不会限制 IPv6 地址的使用。 支持的前缀: 如需了解详情,请参阅将外部 IP 访问权限限制为仅用于特定实例。
|
| Compute Engine | 禁止在全球性资源上启用 Identity-Aware Proxy (IAP) | Boolean |
强制执行此布尔值限制条件时,系统会禁止在全球性资源上启用 Identity-Aware Proxy。在区域级资源上启用 IAP 不受此限制条件的限制。
|
| Google Kubernetes Engine | 停用 GKE 中的诊断和管理员权限路径。 | Boolean |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。强制执行此布尔值限制条件时,不符合 Assured Workloads 要求的诊断和其他客户支持用例的所有访问路径都将被停用。
|
| Dataform | 限制通过 Git 远程访问 Dataform 中的仓库 | 列表 |
此列表限制条件定义了一组可与 Dataform 项目中的仓库通信的远程仓库。如需阻止与所有远程仓库的通信,请将值设置为 支持的前缀: 如需了解详情,请参阅限制远程代码库。
|
| Datastream | Datastream - 禁止使用公共连接方法 | Boolean |
默认情况下,可以使用公共或专用连接方法创建 Datastream 连接配置文件。如果强制执行了此组织政策的布尔值限制,则只能使用专用连接方法(例如 VPC 对等互连)创建连接配置文件。
|
| 重要联系人 | 网域限定联系人 | 列表 |
此列表限制条件指定了添加到重要联系人中的电子邮件地址可以拥有的一组网域。 此限制会作为 Google Cloud 安全基准的一部分自动预配。 支持的前缀:
|
| 重要联系人 | 停用项目安全联系人 | Boolean |
强制执行此布尔值限制条件时,系统会允许组织政策管理员确保只有在组织或文件夹级别分配的联系人才能接收安全通知。具体来说,如果联系人也有项目资源作为父级,强制执行此限制条件会阻止项目所有者和联系人管理员创建或更新
|
| Firestore | 需要 Firestore Service Agent 才能导入/导出 | Boolean |
强制执行布尔值限制条件时,系统会要求 Firestore 导入和导出使用 Firestore Service Agent。
|
| Cloud Healthcare API | 针对 Cloud Healthcare API 停用 Cloud Logging | Boolean |
强制执行此布尔值限制条件时,系统会针对 Cloud Healthcare API 停用 Cloud Logging。 如需了解详情,请参阅针对 Cloud Healthcare API 停用 Cloud Logging。
|
| Identity and Access Management | 允许将 OAuth 2.0 访问令牌的生命周期延长至最长 12 小时 | 列表 |
此列表限制条件定义了可获得最长 12 小时生命周期的 OAuth 2.0 访问令牌的一组服务账号。默认情况下,这些访问令牌的最长生命周期为 1 小时。 支持的前缀: 如需了解详情,请参阅延长 OAuth 2.0 访问令牌的生命周期。
|
| Identity and Access Management | 网域限定共享 | 列表 |
此列表限制条件定义了可将其主账号添加至 IAM 政策的组织主账号集和 Google Workspace 客户 ID。 此限制会作为 Google Cloud 安全基准的一部分自动预配。 支持的前缀: 如需了解详情,请参阅按网域限制身份。
|
| Identity and Access Management | 停用审核日志记录豁免 | Boolean |
强制执行此布尔值限制条件时,系统会禁止您豁免对其他主账号的审核日志记录。此限制条件不会影响其实施之前便已存在的任何审核日志记录豁免。
|
| Identity and Access Management | 停用跨项目服务账号使用情况 | Boolean |
当强制执行时,服务账号只能使用 ServiceAccountUser 角色部署到服务账号所在项目中运行的作业(虚拟机、函数等)。 如需了解详情,请参阅为其他项目中的资源进行配置。
|
| Identity and Access Management | 停用服务账号创建功能 | Boolean |
强制执行此布尔值限制条件时,系统会禁止创建服务账号。 如需了解详情,请参阅服务账号。
|
| Identity and Access Management | 停用服务账号密钥创建功能 | Boolean |
强制执行此布尔值限制条件时,系统会禁止创建服务账号外部密钥和 Cloud Storage HMAC 密钥。 此限制会作为 Google Cloud 安全基准的一部分自动预配。 如需了解详情,请参阅服务账号密钥创建功能。
|
| Identity and Access Management | 停用服务账号密钥上传功能 | Boolean |
强制执行此布尔值限制条件时,系统会停用允许向服务账号上传公钥的功能。 此限制会作为 Google Cloud 安全基准的一部分自动预配。 如需了解详情,请参阅服务账号密钥上传功能。
|
| Identity and Access Management | 停用 Workload Identity 集群创建 | Boolean |
强制执行此布尔值限制条件时,系统会要求所有新的 GKE 集群在创建时停用 Workload Identity。已启用 Workload Identity 的现有 GKE 集群会继续正常运行。默认情况下,可以为任何 GKE 集群启用 Workload Identity。 如需了解详情,请参阅禁止创建启用工作负载身份的集群。
|
| Identity and Access Management | 服务账号密钥到期时长(小时) | 列表 |
此列表限制条件定义了服务账号密钥到期的最长时长。默认情况下,创建的密钥永不过期。
inheritFromParent=false(如果使用 gcloud CLI 的话)。此限制条件不能与父级政策合并。此限制条件的强制执行不可追溯,也不会改变已存在的密钥。
支持的前缀:
|
| Identity and Access Management | 服务账号密钥泄露响应措施 | 列表 |
此列表限制条件规定了在 Google 检测到某个服务账号关联的密钥被公开泄露时应采取的响应措施。受监控的密钥包括长期有效的服务账号密钥以及绑定到服务账号的 API 密钥。如果未设置,则默认为采取 支持的前缀:
|
| Identity and Access Management | 可在 Cloud IAM 中为工作负载身份联合配置的允许的 AWS 账号 | 列表 |
可在 Cloud IAM 中为工作负载身份联合配置的 AWS 账号 ID 列表。 支持的前缀:
|
| Identity and Access Management | 为处理工作负载而允许 Cloud IAM 联系的外部身份提供商 | 列表 |
可以进行配置以在 Cloud IAM 内进行工作负载身份验证的身份提供商(通过 URI/网址指定)。 支持的前缀:
|
| Cloud Service Mesh | 启用 Anthos Service Mesh 托管式控制平面的 VPC Service Controls 模式 | 列表 |
此限制条件确定在预配新的 Anthos Service Mesh 代管式控制平面时可以设置哪些 VPC Service Controls 模式。有效值为“NONE”和“COMPATIBLE”。 支持的前缀:
|
| 虚拟机管理器 | 虚拟机管理器 - 限制内嵌脚本和输出文件的使用 | Boolean |
此布尔值限制条件设为“True”时,会通过限制创建或修改使用内嵌脚本或二进制输出文件的虚拟机管理器资源,强制遵守 Assured Workloads 要求。具体而言,OSPolicyAssignment 和 PolicyOrchestrator 资源中的“脚本”和“输出文件路径”字段必须为空。
|
| Pub/Sub | 为 Pub/Sub 消息强制执行传输中区域 | Boolean |
强制执行此布尔值限制条件后,系统在创建所有新的 Pub/Sub 主题时都会将其 MessageStoragePolicy::enforce_in_transit 设置为 true。这可确保客户数据只在相应主题的消息存储政策中指定的允许区域内传输。
|
| Resource Manager | 限制共享 VPC 项目安全锁移除 | Boolean |
此布尔值限制条件生效时,该限制条件会用于限制在没有组织级别权限的情况下能够移除共享 VPC 宿主项目安全锁的用户范围。
|
| Resource Manager | 限制移除跨项目服务账号安全锁 | Boolean |
当强制执行此布尔值限制条件时,系统可防止用户在没有组织级别权限的情况下移除跨项目服务账号安全锁。默认情况下,任何具有安全锁更新权限的用户都可以移除跨项目服务账号安全锁。强制执行此限制条件需要在组织级别授予该权限。 如需了解详情,请参阅为其他项目中的资源进行配置。
|
| Resource Manager | 限制资源查询的公开范围 | 列表 |
针对某个组织资源强制执行此列表限制条件后,系统会为执行此限制条件的组织的网域用户指定返回到列表的一组 Google Cloud 资源和搜索方法。这可用于限制在 Cloud Console 的各个部分(例如资源选择器、搜索和管理资源页面)中显示的资源。请注意,此限制条件仅在组织级别评估。许可名单/拒绝名单中指定的值必须采用如下格式: 支持的前缀: 如需了解详情,请参阅限制用户可以看到的项目。
|
| Resource Manager | 跨组织移动时需要启用的服务许可清单 | 列表 |
此列表限制条件的作用是检查启用了某项服务的项目是否可以进行跨组织移动。启用了某项受支持服务的资源必须强制执行此限制条件,并且必须在允许值中包含相应的受支持服务,才可进行跨组织移动。受支持服务当前的允许值列表如下:
此限制条件在 constraints/resourcemanager.allowedExportDestinations 之上提供了额外一层控制。此 list_constraint 默认为空,且不会阻止跨组织移动,除非针对要导出的资源启用了某项受支持服务。在将资源移至另一个组织的过程中,此限制条件允许对那些使用需要更加谨慎的特征的资源进行更精细的控制。默认情况下,无法在组织间移动启用了某项受支持服务的资源。 支持的前缀:
|
| Resource Manager | 允许的资源导出目的地 | 列表 |
此列表限制条件指定了一组可将资源移至其中的外部组织,并拒绝所有将资源移至其他所有组织的操作。默认情况下,您无法在组织之间移动资源。如果对某项资源应用此限制条件,相应资源只能移至此限制条件明确允许的组织中。资源在组织内部的移动不受此限制条件的约束。移动操作仍然需要与正常的资源移动相同的 IAM 权限。许可名单/拒绝名单中指定的值必须采用如下格式: 支持的前缀:
|
| Resource Manager | 允许的资源导入来源 | 列表 |
此列表限制条件指定了一组可作为资源导入来源的外部组织,并拒绝所有从其他任何组织导入资源的操作。默认情况下,您无法在组织之间移动资源。如果对某项资源应用此限制条件,此限制条件必须明确允许在此资源下直接导入的资源。资源在组织内部的移动或从组织外部移入组织内部的过程不受此限制条件的约束。移动操作仍然需要与正常的资源移动相同的 IAM 权限。许可名单/拒绝名单中指定的值必须采用如下格式: 支持的前缀:
|
| Cloud Run | 允许的 Binary Authorization 政策 (Cloud Run) | 列表 |
此列表限制条件定义了一组可以针对 Cloud Run 资源指定的 Binary Authorization 政策名称。如需允许/禁止默认政策,请使用值 支持的前缀:
|
| Cloud Run | 允许的入站流量设置 (Cloud Run) | 列表 |
此列表限制条件定义了 Cloud Run 服务可以使用的入站流量设置。如果实施了此限制条件,服务必须具有与某个允许的值匹配的入站流量设置。入站流量设置违反此限制条件的现有 Cloud Run 服务可以继续更新,直到相应服务的入站流量设置更改为符合此限制条件为止。服务一旦符合此限制条件,就只能使用此限制条件允许的入站流量设置。 支持的前缀: 如需了解详情,请参阅限制允许的入站流量设置。
|
| Cloud Run | 允许的 VPC 出站流量设置 (Cloud Run) | 列表 |
此列表限制条件定义了可以针对 Cloud Run 资源指定的允许 VPC 出站流量设置。如果强制执行此限制条件,则部署 Cloud Run 资源时必须使用无服务器 VPC 访问通道连接器或启用直接 VPC 出站流量,并且 VPC 出站流量设置必须与允许值之一相匹配。 支持的前缀: 如需了解详情,请参阅限制允许的 VPC 出站流量设置。
|
| 服务使用者管理 | 停用默认服务账号的自动 IAM 授权 | Boolean |
强制执行此布尔值限制条件后,当创建账号时,在项目中创建的默认 App Engine 和 Compute Engine 服务账号将无法自动获得项目的任何 IAM 角色。 此限制会作为 Google Cloud 安全基准的一部分自动预配。
|
| 多项 Google Cloud 服务 | 允许的工作器池 (Cloud Build) | 列表 |
此列表限制条件定义了一组获得许可的 Cloud Build 工作器池,用于使用 Cloud Build 执行构建。当强制执行此限制条件时,构建必须在与其中一个允许的值匹配的工作器池中进行。
支持的前缀:
|
| 多项 Google Cloud 服务 | Google Cloud Platform - 资源位置限制 | 列表 |
此列表限制条件定义了可以创建基于位置的 Google Cloud 资源的一组位置。重要提示:本页面上的信息并未描述 Google Cloud Platform 针对客户提供的适用于客户数据的数据位置承诺(定义见 Google 同意提供 Google Cloud Platform 服务时须遵守的协议,相关说明请参阅 Google Cloud Platform 服务摘要 [https://cloud.google.com/terms/services])。如要了解客户可以针对哪些 Google Cloud Platform 服务选择客户数据位置,请参阅“具有数据驻留权的 Google Cloud Platform 服务”(https://cloud.google.com/terms/data-residency)。 支持的前缀: 如需了解详情,请参阅限制资源位置。
|
| 多项 Google Cloud 服务 | 限制哪些项目可以为 CMEK 提供 KMS CryptoKey | 列表 |
此列表限制条件定义了在创建资源时可以使用哪些项目来提供客户管理的加密密钥 (CMEK)。如果将此限制条件设为
Deny 或 Deny All。此限制条件的实施不具有可追溯性。对于使用来自非允许项目的 KMS CryptoKey 的现有 CMEK Google Cloud 资源,必须手动重新配置或重新创建,以确保实施此限制条件。
支持的前缀: 如需了解详情,请参阅 CMEK 组织政策。
|
| 多项 Google Cloud 服务 | 限制端点用量 | 列表 |
此列表限制条件定义了一组可用于访问组织、文件夹或项目中资源的 Google Cloud API 端点。 此限制条件可在试运行模式下使用。 支持的前缀: 如需了解详情,请参阅限制端点用量。
|
| 多项 Google Cloud 服务 | 限制哪些服务可以在没有 CMEK 的情况下创建资源 | 列表 |
此列表限制条件定义了哪些服务需要客户管理的加密密钥 (CMEK)。如果将此限制条件设为
Deny All。不允许将此限制条件设置为 Allow。此限制条件的实施不具有可追溯性。为确保实施此限制条件,必须手动重新配置或重新创建现有的非 CMEK Google Cloud 资源。
支持的前缀: 如需了解详情,请参阅 CMEK 组织政策。
|
| 多项 Google Cloud 服务 | 限制资源服务使用 | 列表 |
此限制条件定义了一组可在组织、文件夹或项目中使用的 Google Cloud 资源服务,例如 compute.googleapis.com 和 storage.googleapis.com。 此限制条件可在试运行模式下使用。 支持的前缀: 如需了解详情,请参阅限制资源使用。
|
| 多项 Google Cloud 服务 | 限制 TLS 加密套件 | 列表 |
此列表限制条件定义了一组 TLS 加密套件,这些套件可用于访问强制执行此限制条件的组织、文件夹或项目中的资源。 此限制条件可在试运行模式下使用。 支持的前缀:
|
| 多项 Google Cloud 服务 | 限制 TLS 版本 | 列表 |
此限制条件定义了一组 TLS 版本,它们无法用于强制执行了此限制条件的组织、文件夹或项目,或资源层次结构中相应资源的任何子资源。 此限制条件可在试运行模式下使用。 支持的前缀: 如需了解详情,请参阅限制 TLS 版本。
|
| 多项 Google Cloud 服务 | 禁止在区域级资源上启用 Identity-Aware Proxy (IAP) | Boolean |
强制执行此布尔值限制条件时,系统会禁止在区域级资源上启用 Identity-Aware Proxy。在全球性资源上启用 IAP 不受此限制条件的限制。
|
| 多项 Google Cloud 服务 | 限制允许的 Google Cloud API 和服务 | 列表 |
此列表限制条件限制了可以针对此资源启用的一组服务及其 API。默认情况下,允许启用所有服务。 支持的前缀:
|
| Spanner | 为合规性工作负载启用高级服务控制 | Boolean |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。强制执行此布尔值限制条件时,可支持性的某些方面将受到损害,预配的资源将严格遵守 Assured Workloads 的高级主权要求。此政策将应用于现有项目,但不会影响已预配的资源;也就是说,对此政策的修改只会体现在政策修改后创建的资源中。
|
| Spanner | 在未选择位置时停用 Cloud Spanner 多区域 | Boolean |
请勿配置或修改此政策。此限制条件是在 Assured Workloads 初始配置过程中自动配置的,仅用于对 Assured Workloads 进行高级监管控制。强制执行此布尔值限制条件时,系统会禁止使用多区域实例配置创建 Spanner 实例,除非选择了某个位置。Cloud Spanner 目前尚不支持选择位置,因此将不允许选择任何多区域。今后,Spanner 将向用户提供为多区域选择位置的功能。此限制条件的实施不具有可追溯性。已创建的 Spanner 实例将不受影响。
|
| Cloud Storage | Google Cloud Platform - 详细的审核日志记录模式 | Boolean |
实施详细的审核日志记录模式后,请求和响应都会包含在 Cloud Audit Logs 中。对此功能进行的更改最多可能需要 10 分钟才会生效。在寻求满足 SEC 规则 17a-4(f)、CFTC 规则 1.31(c)-(d) 和 FINRA 规则 4511(c) 等标准的合规性要求时,强烈建议将此组织政策与存储桶锁定搭配使用。目前,仅 Cloud Storage 支持此政策。 如需了解详情,请参阅 Cloud Storage 的组织政策限制条件。
|
| Cloud Storage | 强制执行禁止公共访问的措施 | Boolean |
通过强制执行禁止公开访问的措施,让您的 Cloud Storage 数据免遭公开泄露。此治理政策通过停用和阻止向 如需了解详情,请参阅 Cloud Storage 的组织政策限制条件。
|
| Cloud Storage | Cloud Storage - 限制身份验证类型 | 列表 |
此限制条件定义了一组身份验证类型,这些类型将无法访问该组织下的任何 Cloud Storage 存储资源。支持的值包括 支持的前缀:
|
| Cloud Storage | 保留政策时长(秒) | 列表 |
此列表限制条件定义了可针对 Cloud Storage 存储桶设置的一组保留政策时长。 支持的前缀: 如需了解详情,请参阅 Cloud Storage 的组织政策限制条件。
|
| Cloud Storage | 限制未加密的 HTTP 访问 | Boolean |
强制执行此布尔值限制条件时,系统会明确拒绝通过 HTTP(未加密)访问所有存储资源。默认情况下,Cloud Storage XML API 允许未加密的 HTTP 访问。请注意,Cloud Storage JSON API、gRPC 和 Cloud 控制台只允许对 Cloud Storage 资源进行加密 HTTP 访问。
|
| Cloud Storage | Cloud Storage - 软删除政策保留时长(以秒为单位) | 列表 |
此限制条件定义了对 Cloud Storage 存储桶强制执行此限制条件后,针对相应存储桶设置的软删除政策会允许多久的保留时长。对被强制执行此限制条件的存储桶进行的任何插入、更新或修补操作都必须具有与该限制条件一致的软删除政策时长。也就是说,在强制执行新的组织政策后,现有存储桶的软删除政策将保持不变并继续有效。默认情况下,如果未指定任何组织政策,Cloud Storage 存储桶的软删除政策保留时长可以是任意值。 支持的前缀:
|
| Cloud Storage | 实施统一存储分区级访问权限 | Boolean |
此布尔值限制条件设置为 此限制会作为 Google Cloud 安全基准的一部分自动预配。 如需了解详情,请参阅 Cloud Storage 的组织政策限制条件。
|
了解详情
如需详细了解组织政策的核心概念:
阅读组织政策概览。
了解什么是限制条件。
阅读如何使用限制条件创建组织政策。
了解分层评估的工作原理。