本頁列出所有可用的 Google 管理機構政策限制。
自動強制執行的限制
如果沒有強制執行機構政策,系統會沿用最低層級祖先的政策,並強制執行。如果祖先階層的任何位置都沒有強制執行機構政策,系統就會強制執行 Google 代管的限制預設行為。
如果機構政策限制的 Google 管理預設行為會限制作業,即使您從未明確定義機構政策,該作業也會受到限制。如要允許這些作業,您必須建立機構政策來覆寫上層政策。
下列組織政策限制條件具有 Google 代管的預設行為,會限制作業:
可用限制
您可以使用下列限制建立機構政策。
代管限制
| 服務 | 限制 | 說明 |
|---|---|---|
| Compute Engine | 允許 VLAN 連結加密設定 |
這項清單限制定義了新 VLAN 連結允許的加密設定。 constraints/compute.managed.allowedVlanAttachmentEncryption
|
| Compute Engine | 封鎖 Compute Engine 預先發布版功能 |
這項限制可確保預先發布版功能遭到封鎖,除非明確允許。設為允許後,您就能控管專案中要啟用或停用哪些預先發布功能。專案中只能存取已啟用的預先發布版功能。隨後停用政策不會變更已設定的個別預先發布功能狀態,但可以個別停用。這項限制僅適用於 Compute Alpha 版 API 功能。 constraints/compute.managed.blockPreviewFeatures
|
| Compute Engine | 停用 VM 巢狀虛擬化功能 |
[公開測試版] 針對將這項布林限制設為 constraints/compute.managed.disableNestedVirtualization
|
| Compute Engine | 限制啟用 VM 序列埠存取權中繼資料 |
預覽版:如果機構、專案或資料夾強制執行這項限制,系統就不會將其中的 Compute Engine VM 序列埠啟用中繼資料鍵設為 true。根據預設,您可以使用這個中繼資料金鑰,對個別 VM、區域或專案啟用序列埠存取權。如要允許特定 VM 存取序列埠,可以使用標記和條件規則,將這些 VM 排除在這項政策之外。 constraints/compute.managed.disableSerialPortAccess
|
| Compute Engine | 停用 Stackdriver 的 VM 序列埠記錄功能 |
[公開搶先版] 強制執行這項限制後,系統就不會將 Compute Engine VM 的序列埠記錄到 Stackdriver。 constraints/compute.managed.disableSerialPortLogging
|
| Compute Engine | 針對 DNS 設定為「僅限區域性」的專案,限制使用全域內部 DNS (gDNS)。 |
[公開預先發布版] 強制執行這項限制時,會限制 gDNS 的使用。這項限制會停用 gDNS VM 建立作業,並禁止更新 VM 以使用 gDNS。將 zDNS 專案還原為 gDNS 不會遭到封鎖,但後續呼叫 Instance API 時,系統會強制執行政策違規處置。 constraints/compute.managed.disallowGlobalDns
|
| Compute Engine | 須完成 OS 設定 |
[公開預覽版] 如果強制執行這項限制,所有新專案都必須啟用 VM 管理員 (OS 設定)。如果在新專案和現有專案中設定這項限制,就無法進行會在專案、專案區域或執行個體層級停用 VM 管理員的中繼資料更新作業。您可以允許特定 VM 執行個體停用 VM 管理員。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。 constraints/compute.managed.requireOsConfig
|
| Compute Engine | 需要 OS 登入 |
[公開預覽版] 如果強制執行這項限制,所有新建立的專案都必須啟用 OS 登入,如果在新專案和現有專案中設定這項限制,就無法進行會在專案、專案區域或執行個體層級停用 OS 登入的中繼資料更新作業。您可以允許特定 VM 執行個體停用 OS 登入功能。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。 constraints/compute.managed.requireOsLogin
|
| Compute Engine | 限制使用通訊協定轉送 |
這項限制可讓您限制機構中可建立的通訊協定轉送部署作業類型 (內部或外部)。如要設定限制,請指定允許的通訊協定轉送部署類型允許清單。允許清單只能包含下列值:
constraints/compute.managed.restrictProtocolForwardingCreationForTypes
|
| Compute Engine | 限制 VM IP 轉送 |
[公開搶先版] 這項限制會定義 Compute Engine VM 執行個體是否可啟用 IP 轉送功能。根據預設,如未指定政策,任何 VM 都可在任何虛擬網路中啟用 IP 轉送功能。如果強制執行這項限制,系統就會拒絕建立或更新已啟用 IP 轉送功能的 VM 執行個體。您可以允許特定 VM 執行個體啟用 IP 轉送功能。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。 constraints/compute.managed.vmCanIpForward
|
| Compute Engine | 限制 VM 執行個體的外部 IP |
[公開預覽版] 這項限制會定義 Compute Engine VM 執行個體是否可使用 IPv4 外部 IP 位址。根據預設,所有 VM 執行個體皆可使用外部 IP 位址。如果強制執行這項限制,系統會拒絕建立或更新具有 IPv4 外部 IP 位址的 VM 執行個體。但不會限制使用 IPv6 外部 IP 位址。您可以允許特定 VM 執行個體使用外部 IPv4 IP 位址。請先套用標記來標示執行個體,然後根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍之外。 constraints/compute.managed.vmExternalIpAccess
|
| Google Kubernetes Engine | 確保已啟用 DenyServiceExternalIPs 許可控制器 |
確保 GKE 叢集中的 DenyServiceExternalIPs 許可控制器維持啟用狀態。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs constraints/container.managed.denyServiceExternalIPs
|
| Google Kubernetes Engine | 要求停用屬性式存取控管 |
拒絕在 GKE 叢集上啟用屬性型存取權控管 (ABAC) 的要求。ABAC 是舊版驗證方法,所有新叢集預設都會停用這項功能。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled constraints/container.managed.disableABAC
|
| Google Kubernetes Engine | 要求在 GKE 叢集中停用不安全的 kubelet 唯讀埠 |
確保不安全的 kubelet 唯讀連接埠 (10255) 保持停用狀態。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port constraints/container.managed.disableInsecureKubeletReadOnlyPort
|
| Google Kubernetes Engine | 要求停用用戶端憑證驗證 |
請勿手動啟用舊版用戶端憑證驗證方法。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate constraints/container.managed.disableLegacyClientCertificateIssuance
|
| Google Kubernetes Engine | 必須停用 GKE 叢集中系統身分的 RBAC 繫結。 |
建立或更新 GKE 叢集時,請停用參照 system:anonymous、system:authenticated 或 system:unauthenticated 系統身分的非預設 ClusterRoleBinding 和 RoleBinding。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage constraints/container.managed.disableRBACSystemBindings
|
| Google Kubernetes Engine | 禁止使用預設的 Compute Engine 服務帳戶做為節點集區服務帳戶。 |
請勿使用預設 Compute Engine 服務帳戶做為叢集或節點集區服務帳戶。請改用權限最小的 IAM 服務帳戶。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa constraints/container.managed.disallowDefaultComputeServiceAccount
|
| Google Kubernetes Engine | 必須為 GKE 叢集啟用二進位授權。 |
建立或更新 GKE 叢集時,請啟用二進位授權。詳情請參閱 https://cloud.google.com/binary-authorization/docs/setting-up。 constraints/container.managed.enableBinaryAuthorization
|
| Google Kubernetes Engine | 要求在 GKE 叢集中啟用 Cloud Logging |
規定所有 GKE 叢集至少要使用預設的 Cloud Logging 設定。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging constraints/container.managed.enableCloudLogging
|
| Google Kubernetes Engine | 要求只能使用 DNS 型端點存取 GKE 叢集。 |
建立或更新叢集時,請啟用 GKE 控制層存取權的 DNS 型端點,並停用 IP 型端點。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint。 constraints/container.managed.enableControlPlaneDNSOnlyAccess
|
| Google Kubernetes Engine | 必須在 GKE 叢集啟用 RBAC 適用的 Google 群組。 |
建立或更新 GKE 叢集時,啟用 RBAC 適用的 Google 群組。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac。 constraints/container.managed.enableGoogleGroupsRBAC
|
| Google Kubernetes Engine | 必須在 GKE 叢集中啟用網路政策強制執行功能。 |
啟用網路政策強制執行或 GKE Dataplane V2,即可使用 Kubernetes NetworkPolicy。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy 或 https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2。 constraints/container.managed.enableNetworkPolicy
|
| Google Kubernetes Engine | 必須在 GKE 叢集中啟用私人節點。 |
建立或更新 GKE 叢集和節點集區時,請啟用私人節點。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking。 constraints/container.managed.enablePrivateNodes
|
| Google Kubernetes Engine | 您必須在 GKE 叢集中啟用自行管理的 Secret 加密功能。 |
建立或更新 GKE 叢集時,啟用以自行管理金鑰加密密鑰的功能。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets。 constraints/container.managed.enableSecretsEncryption
|
| Google Kubernetes Engine | 必須在 GKE 叢集中啟用安全性公告通知。 |
建立或更新 GKE 叢集時,請啟用安全性公告通知。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin constraints/container.managed.enableSecurityBulletinNotifications
|
| Google Kubernetes Engine | 要求在 GKE 叢集中啟用受防護的節點 |
必須保持啟用受防護的節點。受防護的 GKE 節點提供可驗證的高強度節點身分和完整性,可進一步提高節點的安全性。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes constraints/container.managed.enableShieldedNodes
|
| Google Kubernetes Engine | 必須啟用 Workload Identity Federation for GKE。 |
建立或更新叢集時,啟用 GKE 適用的工作負載身分聯盟。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity。 constraints/container.managed.enableWorkloadIdentityFederation
|
| Dataflow | 封鎖專案安全殼層金鑰 |
禁止專案層級的安全殼層金鑰存取 Dataflow Worker VM。 constraints/dataflow.managed.blockProjectSshKeys
|
| Dataflow | 停用公開 IP |
在 Dataflow 工作站 VM 上停用公開 IP。 constraints/dataflow.managed.disableUsePublicIps
|
| 重要聯絡人 | 限制聯絡人網域 |
這項限制定義了新增至重要聯絡人的電子郵件地址可使用的網域組合。 constraints/essentialcontacts.managed.allowedContactDomains
|
| 多項 Google Cloud 服務 | 限制啟用服務 MCP 端點。 |
強制執行後,只有允許清單中的服務可以啟用 mcp 端點。根據預設,系統會強制執行這項限制,且允許的服務清單為空白,因此無法啟用任何 mcp 端點。 constraints/gcp.managed.mcpAllowedServices
|
| Identity and Access Management | 在 IAM 允許政策中限制允許的政策成員 |
這項限制定義了可在貴機構中授予 IAM 角色的組織主體組合。 constraints/iam.managed.allowedPolicyMembers
|
| Identity and Access Management | 禁止繫結服務帳戶 API 金鑰 |
強制執行後,系統會停用繫結至服務帳戶的 API 金鑰建立作業。 詳情請參閱「啟用服務帳戶的金鑰繫結」。 constraints/iam.managed.disableServiceAccountApiKeyCreation
|
| Identity and Access Management | 停用服務帳戶建立功能 |
如果這項布林限制設為「True」,則服務帳戶建立功能將會停用。 constraints/iam.managed.disableServiceAccountCreation
|
| Identity and Access Management | 停用服務帳戶金鑰建立功能 |
如果強制執行這項限制,系統會禁止建立服務帳戶金鑰。 constraints/iam.managed.disableServiceAccountKeyCreation
|
| Identity and Access Management | 停用服務帳戶金鑰上傳功能 |
如果這項布林限制設為「True」,則將公開金鑰上傳至服務帳戶的功能將會停用。 constraints/iam.managed.disableServiceAccountKeyUpload
|
| Identity and Access Management | 禁止預設服務帳戶使用具備權限的基本角色 |
強制執行這項限制後,任何人都無法隨時將編輯者角色 ( constraints/iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts
|
| Identity and Access Management | 可在 Cloud IAM 中設定的 AWS 帳戶,用於 Workload Identity 聯盟 |
可在 Cloud IAM 中設定用於 Workload Identity 聯盟的 AWS 帳戶 ID 清單。 constraints/iam.managed.workloadIdentityPoolAwsAccounts
|
| Identity and Access Management | Cloud IAM 獲准連絡的外部識別資訊提供者 |
可針對 Cloud IAM 工作負載驗證功能設定的識別資訊提供者,須以 URI/網址指定。這項限制由 Google 管理。 constraints/iam.managed.workloadIdentityPoolProviders
|
| Google Cloud Managed Service for Apache Kafka | 禁止建立及更新 Kafka Connect 叢集 |
如果強制執行這項布林值限制,系統會停用 Kafka Connect 叢集的建立和更新功能。 constraints/managedkafka.managed.disableKafkaConnectClusterCreateAndUpdate
|
| Pub/Sub | 停用訂閱項目的單一訊息轉換 (SMT) |
請勿設定或修改這項政策。在您初次使用 Assured Workloads 時,系統會自動設定這項限制 (僅供 Assured Workloads 進階監管控制之用)。強制執行這項布林限制後,Pub/Sub 訂閱項目就無法設定單一訊息轉換 (SMT)。 constraints/pubsub.managed.disableSubscriptionMessageTransforms
|
| Pub/Sub | 停用主題單一訊息轉換 (SMT) |
請勿設定或修改這項政策。在您初次使用 Assured Workloads 時,系統會自動設定這項限制 (僅供 Assured Workloads 進階監管控制之用)。強制執行這項布林限制後,Pub/Sub 主題就無法設定單一訊息轉換 (SMT)。 constraints/pubsub.managed.disableTopicMessageTransforms
|
| Cloud Run | 對 Cloud Run 服務執行 IAM 叫用者檢查 |
強制執行這項限制後,Cloud Run 服務就必須啟用 IAM 叫用者檢查。 constraints/run.managed.requireInvokerIam
|
| Spanner | Cloud Spanner 執行個體遭拒版本 |
貴機構政策不允許使用您嘗試使用的版本。請詳閱政策,然後選取允許的版本。 constraints/spanner.managed.restrictCloudSpannerEditions
|
舊版代管限制
| 服務 | 限制 | 規則類型 | 說明 |
|---|---|---|---|
| Vertex AI Workbench | 定義 Vertex AI Workbench 筆記本和執行個體的存取模式 | 清單 |
這份清單限定了在強制執行限制後,Vertex AI Workbench 筆記本和執行個體允許的存取模式。在 支援的前置字串:
|
| Vertex AI Workbench | 停用新的 Vertex AI Workbench 執行個體的檔案下載功能 | 布林值 |
如果強制執行這個布林限制,就能防止系統在建立 Vertex AI Workbench 執行個體時啟用檔案下載選項。根據預設,系統可以在任何 Vertex AI Workbench 執行個體上啟用檔案下載選項。
|
| Vertex AI Workbench | 針對由使用者代管的新 Vertex AI Workbench 筆記本和執行個體停用 Root 權限 | 布林值 |
如果強制執行這項布林值限制,新建的 Vertex AI Workbench 使用者自管筆記本和執行個體就無法啟用根目錄存取權。根據預設,Vertex AI Workbench 使用者自管筆記本和執行個體皆可啟用根目錄存取權。
|
| Vertex AI Workbench | 停用新的 Vertex AI Workbench 執行個體的終端機功能 | 布林值 |
如果強制執行這項布林值限制,就無法在終端機啟用時建立 Vertex AI Workbench 執行個體。根據預設,Vertex AI Workbench 執行個體可以啟用終端機。
|
| Vertex AI Workbench | 限制新 Vertex AI Workbench 使用者自行管理的筆記本的環境選項 | 清單 |
這項清單限制定義了在新增 Vertex AI Workbench 使用者自行管理的筆記本時,使用者可以選取的 VM 和容器映像檔選項。您必須明確列出允許/拒絕的選項。 支援的前置字串:
|
| Vertex AI Workbench | 針對新的 Vertex AI Workbench 使用者自管筆記本和執行個體,要求自動執行排定的更新作業 | 布林值 |
如果強制執行這項布林值限制,新建的 Vertex AI Workbench 使用者自管筆記本和執行個體就必須設定自動升級排程。如要定義自動升級排程,您可以使用
|
| Vertex AI Workbench | 限制公開 IP 對新 Vertex AI Workbench 筆記本和執行個體的存取權 | 布林值 |
當強制執行此布林值限制時,系統會限制新建立 Vertex AI Workbench 筆記本和執行個體的公開 IP 存取權。公開 IP 預設可存取 Vertex AI Workbench 筆記本和執行個體。
|
| Vertex AI Workbench | 限制新 Vertex AI Workbench 執行個體的虛擬私有雲網路 | 清單 |
這份清單限制定義了在強制執行這項限制後,使用者在建立新的 Vertex AI Workbench 執行個體時,可選擇的虛擬私有雲網路。根據預設,可以使用任何虛擬私有雲網路建立 Vertex AI Workbench 執行個體。網路的允許或拒絕清單必須以 支援的前置字串:
|
| Vertex AI | 可定義以下項目的存取權:Vertex AI 內的 Google 專屬生成式 AI 模型 | 清單 |
這項清單限制定義了一系列可在 Vertex AI API 使用的生成式 AI 模型和功能。許可清單的值應採用「model_id:feature_family」格式, 支援的前置字串:
|
| Vertex AI | 可定義 Vertex AI 內模型的存取權 | 清單 |
這項清單限制定義了一系列可在 Vertex AI API 使用的模型和功能。許可清單的值應採用「 支援的前置字串: 詳情請參閱「控管 Model Garden 模型的存取權」。
|
| Vertex AI | 定義可以在 Vertex AI 使用的代管合作夥伴模型進階功能 | 清單 |
這項清單限制定義了一組可以在 Vertex AI API 使用的代管合作夥伴模型進階功能。許可清單的值應採用「 支援的前置字串:
|
| Vertex AI | 停用生成式 AI API 中的「以 Google 搜尋建立基準」功能 | 布林值 |
如果強制執行這項布林值限制,就無法在生成式 AI API 以 Google 搜尋建立基準。以 Google 搜尋建立基準的功能預設為啟用。
|
| Vertex AI | 控管 Vertex AI 生成式 API 的基準來源 | 清單 |
這項清單限制定義了一組 Vertex AI 生成式 API 可用或不可用的基準來源。 支援的前置字串:
|
| App Engine | 停用原始碼下載 | 布林值 |
停用之前上傳至 App Engine 的原始碼下載。
|
| App Engine | 執行階段部署豁免 (App Engine) | 清單 |
這個清單限制定義了在支援停止之後,可用於部署作業的一系列 App Engine 標準環境舊版執行階段 (Python 2.7、PHP 5.5 和 Java 8)。系統將於 2024 年 1 月 30 日停止支援 App Engine 標準環境舊版執行階段。一般來說,上述日期過後就無法再透過舊版執行階段部署應用程式。請參閱 App Engine 標準環境執行階段支援時程。將這項限制設為「允許」,即可透過您指定的舊版執行階段進行 App Engine 標準環境部署作業,直到執行階段淘汰為止。如果設為「全部允許」,則能透過任何舊版執行階段進行 App Engine 標準環境部署作業,直到執行階段淘汰為止。已停止支援的執行階段不會收到定期安全性與維護修補程式。強烈建議您升級應用程式,使用正式發布版執行階段。 支援的前置字串:
|
| BigQuery | 停用 Cloud AWS 的 BigQuery Omni | 布林值 |
如果強制執行這項布林值限制,使用者就無法透過 BigQuery Omni,處理已套用這項限制的 Amazon Web Services 資料。
|
| BigQuery | 停用 Cloud Azure 的 BigQuery Omni | 布林值 |
如果強制執行這項布林值限制,使用者就無法透過 BigQuery Omni,處理已套用這項限制的 Microsoft Azure 資料。
|
| Cloud Build | 允許的整合作業 (Cloud Build) | 清單 |
這份清單限定了 Cloud Build 整合作業。只有這些作業能接收 Google Cloud 以外服務的 Webhook,以執行建構作業。如果強制執行這項限制,只有當服務主機與允許值相符時,系統才會處理該服務的 Webhook。 支援的前置字串: 詳情請參閱「根據組織政策控管建構作業」。
|
| Cloud Build | 禁止建立預設服務帳戶 (Cloud Build) | 布林值 |
如果強制執行這項布林值限制,就無法建立舊版 Cloud Build 服務帳戶。
|
| Cloud Build | 使用預設服務帳戶 (Cloud Build) | 布林值 |
如果強制執行這項布林值限制,預設會為使用舊版 Cloud Build 服務帳戶。
|
| Cloud Build | 預設使用 Compute Engine 服務帳戶 (Cloud Build) | 布林值 |
如果強制執行這項布林值限制,預設會使用 Compute Engine 服務帳戶。
|
| Cloud Deploy | 停用 Cloud Deploy 服務標籤 | 布林值 |
只要強制執行這項布林限制,Cloud Deploy 就不會將 Cloud Deploy 識別標籤新增至已部署的物件。
|
| Cloud Run 函式 | 允許的輸入設定 (Cloud 函式) | 清單 |
這項清單限制定義了第 1 代 Cloud 函式部署作業可使用的輸入設定。如果強制執行這項限制,函式的輸入設定就必須符合其中一個允許值。 支援的前置字串: 詳情請參閱「設定組織政策」。
|
| Cloud Run 函式 | 允許的虛擬私有雲連接器輸出設定 (Cloud 函式) | 清單 |
這項清單限制定義了第 1 代 Cloud 函式部署作業可使用的 VPC 連接器輸出設定。如果強制執行這項限制,函式的 VPC 連接器輸出設定就必須符合其中一個允許值。 支援的前置字串: 詳情請參閱「設定組織政策」。
|
| Cloud Run 函式 | 必須指定虛擬私有雲連接器 (Cloud Functions) | 布林值 |
這項布林限制會在部署第 1 代 Cloud 函式時,強制設定虛擬私有雲連接器。如果強制執行這項限制,函式就必須指定虛擬私人雲端連接器。 詳情請參閱「設定組織政策」。
|
| Cloud Run 函式 | 允許的 Cloud Functions 世代 | 清單 |
這項清單限制定義了一系列可以建立新函式資源的可用 Cloud 函式產生作業,有效值為 支援的前置字串:
|
| Cloud Key Management Service | 限制可建立的 KMS CryptoKey 類型。 | 清單 |
這項清單限制定義了可在指定階層節點建立的 Cloud KMS 金鑰類型。如果強制執行這項限制,在相關聯的階層節點,就只能建立這項組織政策中指定的 KMS 金鑰類型。設定這項組織政策之後,匯入工作和金鑰版本的防護等級也會受到影響。所有金鑰類型預設均可使用,有效值為: 支援的前置字串:
|
| Cloud Key Management Service | 將金鑰刪除限制為已停用的金鑰版本 | 布林值 |
如果強制執行這項布林值限制,只有已停用的金鑰版本會刪除。根據預設,您可以刪除已啟用的金鑰版本和已停用的金鑰版本。如果強制執行這項限制,現有和新的金鑰版本都會刪除。
|
| Cloud Key Management Service | 每個金鑰的最短刪除排程時長 | 清單 |
這份清單限制定義了使用者在建立新金鑰時,可以指定的最短預定刪除日數。強制執行限制之後,就無法建立預定刪除日數少於這個值的金鑰。所有金鑰的最短預定刪除日數預設為 1 天,但僅供匯入的金鑰例外,最短為 0 天。 支援的前置字串:
|
| Cloud Scheduler | 允許的工作目標類型 | 清單 |
這項清單限制定義了一份 Cloud Scheduler 工作允許的目標類型清單,例如 App Engine HTTP、HTTP 或 Pub/Sub。 支援的前置字串:
|
| Cloud SQL | 針對 Cloud SQL 執行個體限制授權的網路 | 布林值 |
如果強制執行這項布林限制,就不得在 Cloud SQL 執行個體中新增已授權網路,以用於未經 Proxy 處理的資料庫存取權。這項限制不具回溯性;即使強制執行這項限制,目前具有已授權網路的 Cloud SQL 執行個體仍可正常運作。
|
| Cloud SQL | 停用 Cloud SQL 中的診斷和管理員權限路徑,以符合法規遵循要求。 | 布林值 |
請勿設定或修改這項政策。在您初次使用 Assured Workloads 時,系統會自動設定這項限制 (僅供 Assured Workloads 進階監管控制之用)。如果強制執行這項布林值限制,某些方面的支援性可能會受損。另外,針對診斷和其他客戶服務用途,凡是不符合 Assured Workloads 進階主權規定的存取路徑都會停用。
|
| Cloud SQL | 限制 Cloud SQL 執行個體中不符合規定的工作負載。 | 布林值 |
請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,這項限制會自動設定,並僅用於 Assured Workloads 進階監管作業。如果強制執行這項布林值限制,支援範圍將縮小,已佈建的資源則會完全符合 Assured Workloads 的進階主權規定。這項政策會套用至現有專案,因此具備可溯及既往性質,但不會影響已佈建的資源;舉例來說,對政策的修改內容只會反映在修改政策後才建立的資源。
|
| Cloud SQL | 限制 Cloud SQL 執行個體的公開 IP 存取權 | 布林值 |
如果強制執行這項布林限制,就無法針對 Cloud SQL 執行個體設定公開 IP。這項限制不具回溯性;即使強制執行這項限制,目前設有公開 IP 存取權的 Cloud SQL 執行個體仍可正常運作。
|
| Google Cloud Marketplace | 停用公開 Marketplace | 布林值 |
如果強制執行這項布林值限制,組織中的所有使用者都會停用 Google Cloud Marketplace。組織預設會啟用公開市集存取權。這項政策僅在啟用 Private Marketplace (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace) 時有效。
|
| Google Cloud Marketplace | 限制市集服務的存取權 | 清單 |
這份清單限定了市場機構允許的服務組合,且只能包含下列清單的值:
IAAS_PROCUREMENT 在允許值清單中,則會為所有產品啟用 IaaS 採購管理功能。IaaS 採購管理功能預設為關閉狀態。IAAS_PROCUREMENT政策的運作方式獨立於「提出採購要求」管理功能,後者專用於 Cloud Marketplace 中的 SaaS 產品。注意:系統不再支援 PRIVATE_MARKETPLACE 值,使用此值不會有任何效果。如要啟用 Google Private Marketplace,請按照 https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace 的指示操作。 支援的前置字串:
|
| Compute Engine | 允許 VLAN 連結加密設定 | 清單 |
這項清單限制定義了新 VLAN 連結允許的加密設定。 支援的前置字串:
|
| Compute Engine | 停用所有 IPv6 用量 | 布林值 |
如果強制執行這項布林值限制,使用者就無法建立或更新與 IPv6 用量有關的所有 Google Compute Engine 資源。
|
| Compute Engine | 停用 Cloud Armor 安全性政策建立功能 | 布林值 |
如果強制執行這項布林值限制,就無法建立新的全域 Cloud Armor 安全性政策,以及新增或更新現有全域 Cloud Armor 安全性政策的規則。這項限制未禁止移除規則,或者移除、描述或列出全域 Cloud Armor 安全性政策。區域性 Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。
|
| Compute Engine | 停用全球性負載平衡 | 布林值 |
這項布林值限制會停用全球性負載平衡產品的建立功能。如果強制執行這項限制,則只能建立不含全球性依附元件的區域性負載平衡產品。根據預設,使用者可以建立全球性負載平衡產品。
|
| Compute Engine | 停用全球性自行管理安全資料傳輸層 (SSL) 憑證的建立功能 | 布林值 |
如果強制執行這項布林值限制,系統會停用全域性自行管理安全資料傳輸層 (SSL) 憑證的建立功能。這項限制不會停用 Google 代管或區域性自行管理憑證的建立功能。
|
| Compute Engine | 停用 VM 序列埠的全域存取權 | 布林值 |
如果對機構、專案或資料夾強制執行這項布林限制,系統就會停用當中的 Compute Engine VM 全域序列埠存取權。根據預設,客戶可使用中繼資料屬性,對個別 VM 或專案啟用 Compute Engine VM 序列埠存取權,但強制執行這項限制後,無論中繼資料屬性為何,系統都會停用 Compute Engine VM 全域序列埠存取權,區域序列埠存取權則不受影響。如要停用所有序列埠存取權,請改用 compute.disableSerialPortAccess 限制。
|
| Compute Engine | 停用 Compute Engine 中繼資料的訪客屬性 | 布林值 |
如果強制執行這項布林限制,Compute Engine API 就無法針對屬於該機構、專案或資料夾的 Compute Engine VM 存取訪客屬性。
|
| Compute Engine | 停用混合雲 IPv6 | 布林值 |
如果強制執行這項布林值限制,混合雲資源的建立或更新功能就會停用,包括互連網路連結,以及
|
| Compute Engine | 停用執行個體資料存取 API | 布林值 |
請勿設定或修改這項政策。初次使用 Assured Workloads 期間,這項限制會自動設定,並僅用於 Assured Workloads 進階監管。如果強制執行這項布林值限制,就會停用存取 VM 序列埠輸出內容的 GetSerialPortOutput API,以及擷取 VM UI 螢幕截圖的 GetScreenshot API。
|
| Compute Engine | 停用網際網路的網路端點群組 | 布林值 |
這項布林值限制會控制使用者是否能建立類型為
|
| Compute Engine | 停用 VM 巢狀虛擬化功能 | 布林值 |
針對將這項布林限制設為
|
| Compute Engine | 強制執行符合 FIPS 規範的機型 | 布林值 |
如果強制執行這項布林限制,系統會禁止建立不符 FIPS 規範的 VM 執行個體類型。
|
| Compute Engine | 停用用戶的 Private Service Connect | 清單 |
這份清單限制定義了使用者無法建立轉送規則的 Private Service Connect 端點類型組合。如果強制執行這項限制,系統就會禁止使用者建立該 Private Service Connect 端點類型的轉送規則。這項限制不會強制溯及既往。
GOOGLE_APIS,則無法建立用於存取 Google API 的 Private Service Connect 轉送規則。如果在許可/拒絕清單中使用 SERVICE_PRODUCERS,則無法建立用於存取其他虛擬私有雲網路中服務的 Private Service Connect 轉送規則。
支援的前置字串:
|
| Compute Engine | 停用 VM 序列埠存取權 | 布林值 |
如果對機構、專案或資料夾強制執行這項布林限制,系統就會停用當中的 Compute Engine VM 序列埠存取權。
|
| Compute Engine | 停用 Stackdriver 的 VM 序列埠記錄功能 | 布林值 |
如果機構、專案或資料夾的這項布林限制處於強制執行的狀態,系統就不會將其中的 Compute Engine VM 序列埠記錄至 Stackdriver。
|
| Compute Engine | 停用「透過瀏覽器建立 SSH 連線」 | 布林值 |
這項布林值限制會針對使用 OS 登入和 App Engine 彈性環境的 VM,停用 Cloud 控制台中透過瀏覽器建立 SSH 連線的工具。如果強制執行這項限制,透過瀏覽器建立 SSH 連線的按鈕就會停用。根據預設,系統允許透過瀏覽器建立 SSH 連線。
|
| Compute Engine | 停用虛擬私有雲外部 IPv6 | 布林值 |
如果強制執行這項布林值限制,使用者就無法建立或更新
|
| Compute Engine | 停用虛擬私有雲內部 IPv6 用量 | 布林值 |
如果強制執行這項布林值限制,使用者就無法建立或更新
|
| Compute Engine | 為法規遵循記憶體防護的工作負載啟用設定 | 布林值 |
請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,這項限制會自動設定,並僅用於 Assured Workloads 進階監管作業。此限制可控管設定,以消除 VM 核心記憶體潛在的存取路徑。強制執行這項限制後,系統就會停用存取路徑,限制存取 VM 核心記憶體,並在發生錯誤時限制收集內部資料。
|
| Compute Engine | 針對會顯示特定區域配額資訊的 list 方法,停用「失敗時維持開放狀態」的運作模式 | 布林值 |
如果強制執行這項布林值限制,系統會針對
|
| Compute Engine | 須完成 OS 設定 | 布林值 |
如果強制執行這項布林值限制,系統會在所有新專案上啟用 VM 管理員 (OS 設定)。新專案中的所有 VM 執行個體也都會啟用 VM 管理員。如果在新專案和現有專案中設定這項限制,就無法進行會在專案或執行個體層級停用 VM 管理員的中繼資料更新作業。 詳情請參閱「啟用 OS Config 組織政策」。
|
| Compute Engine | 需要 OS 登入 | 布林值 |
如果強制執行這項布林值限制,所有新建立的專案都會啟用 OS 登入,新專案中建立的 VM 執行個體亦然。在新專案和現有專案中設定這項限制後,如果中繼資料更新作業會在專案/執行個體層級停用 OS 登入,該作業便無法執行。
|
| Compute Engine | 受防護的 VM | 布林值 |
強制執行這項布林限制時,所有新的 Compute Engine VM 執行個體都必須使用已啟用安全啟動、vTPM 和完整性監控選項的受防護磁碟映像檔。如有需要,您可以在建立執行個體後停用安全啟動功能。運作中的現有執行個體仍會正常運作。
|
| Compute Engine | 須有 SSL 政策 | 清單 |
這項清單限制定義了一系列可以使用預設 SSL 政策的目標 SSL Proxy 和目標 HTTPS Proxy。根據預設,所有目標 SSL Proxy 和目標 HTTPS Proxy 都能使用預設 SSL 政策。如果強制執行這項限制,新的目標 SSL Proxy 和目標 HTTPS Proxy 就必須指定 SSL 政策。這項限制在強制執行之後,效力不會溯及既往。使用預設 SSL 政策的現有目標 Proxy 不會受到影響。目標 SSL Proxy 和目標 HTTPS Proxy 的允許/拒絕清單必須以下列格式指定:
支援的前置字串:
|
| Compute Engine | 必須為虛擬私有雲流量記錄檔提供預先定義政策 | 清單 |
這項清單限制定義了一組可對虛擬私有雲流量記錄強制執行的預先定義政策。
支援的前置字串: 詳情請參閱「設定虛擬私有雲流量記錄的組織政策限制」。
|
| Compute Engine | 限制 Cloud 網路位址轉譯 (NAT) 用量 | 清單 |
這項清單限制會定義允許使用 Cloud NAT 的子網路集。根據預設,所有子網路都可以使用 Cloud NAT。允許/拒絕的子網路清單必須以 支援的前置字串: 詳情請參閱「組織政策限制」。
|
| Compute Engine | 限制跨專案的後端值區和後端服務 | 清單 |
這項清單限制會對可以附加 urlMap 資源的後端 bucket 和後端服務資源設下限制,不適用於位於 urlMap 資源所在專案的後端 bucket 和後端服務。若使用者具備 compute.backendService.use、compute.regionBackendServices.use 或 compute.backendBuckets.use 權限,專案中的 urlMap 資源預設就能參照相同組織內其他專案的相容後端 bucket 和後端服務。不建議您搭配使用這項限制與 compute.restrictSharedVpcBackendServices 限制,以免發生衝突。如果將專案、資料夾和組織資源新增至允許或拒絕清單,資源階層中位於該項資源下的所有後端 bucket 和後端服務都會受到影響。允許或拒絕清單只能包含專案、資料夾和機構資源,且必須採用下列格式:
支援的前置字串:
|
| Compute Engine | 限制能否使用專屬互連網路 | 清單 |
這項清單限制定義了可使用專屬互連網路的 Compute Engine 網路組合。根據預設,網路可以使用任何類型的互連網路。網路的允許/拒絕清單必須以 支援的前置字串: 詳情請參閱「限制 Cloud Interconnect 用量」。
|
| Compute Engine | 根據負載平衡器類型限制負載平衡器的建立作業 | 清單 |
這項清單限制定義了可以為機構、資料夾或專案建立的負載平衡器類型組合。使用者必須明確列出可以或拒絕使用的各個負載平衡器類型。根據預設,使用者可以建立任何類型的負載平衡器。
如要納入內部或外部的所有負載平衡器類型,請使用「in:」前置字串,並在後方加上「INTERNAL」或「EXTERNAL」。舉例來說,假設您允許「in:INTERNAL」,即代表您允許上方清單中含有「INTERNAL」的所有負載平衡器類型。如要進一步瞭解如何限制負載平衡器類型,請參閱 https://cloud.google.com/load-balancing/docs/org-policy-constraints。 支援的前置字串: 詳情請參閱「Cloud Load Balancing 的組織政策限制」。
|
| Compute Engine | 限制非機密運算 | 清單 |
這項清單限制的拒絕清單會定義一組服務,而這組服務必須在啟用機密運算的情況下建立所有新資源。根據預設,不需有新資源即可使用機密運算。系統強制執行這項清單限制時,在資源的整個生命週期中,都無法停用機密運算。現有資源仍會照常運作。遭拒服務清單必須以 API 的字串名稱識別,且只能包含下方清單中明確遭拒的值。目前不支援明確允許 API。明確拒絕不在此清單中的 API 會發生錯誤。支援的 API 清單:[compute.googleapis.com、container.googleapis.com] 支援的前置字串:
|
| Compute Engine | 限制能否使用合作夥伴互連網路 | 清單 |
這項清單限制定義了可使用合作夥伴互連網路的 Compute Engine 網路組合。根據預設,網路可以使用任何類型的互連網路。網路的允許/拒絕清單必須以 支援的前置字串: 詳情請參閱「限制 Cloud Interconnect 用量」。
|
| Compute Engine | 限制經允許的 Private Service Connect 使用者 | 清單 |
這份清單限定了可連線的機構、資料夾和專案。只有這些內容能在供應商的機構或專案中,連至服務連結。允許或拒絕清單必須以下列格式指定: 支援的前置字串: 詳情請參閱「管理 Private Service Connect 消費者的安全性」。
|
| Compute Engine | 限制允許的 Private Service Connect 供應商 | 清單 |
這項清單限制定義了 Private Service Connect 使用者可以連線至哪些附加服務。這項限制會根據端點或後端所參照的附加服務的組織、資料夾或專案資源,來封鎖 Private Service Connect 端點或後端的部署作業。允許或拒絕清單必須以下列格式指定: 支援的前置字串: 詳情請參閱「管理 Private Service Connect 消費者的安全性」。
|
| Compute Engine | 限制使用通訊協定轉送 | 清單 |
這項清單限制定義了使用者可以建立的通訊協定轉送規則物件類型,這類物件具備目標執行個體。如果強制執行這項限制,具備目標執行個體的新轉送規則物件就只能使用內部和/或外部 IP 位址 (取決於指定的類型)。使用者必須明確列出允許或拒絕使用的類型。建立具備目標執行個體的通訊協定轉送規則物件時,預設可以使用「內部」和「外部」兩個類型。
這項限制會自動佈建為Google Cloud 安全基準的一部分。 支援的前置字串: 詳情請參閱「通訊協定轉送總覽」。
|
| Compute Engine | 限制共用虛擬私有雲後端服務 | 清單 |
這項清單限制定義了一組共用虛擬私有雲後端服務,可供合格資源使用。該限制不適用於相同專案中的資源。根據預設,符合資格的資源可使用任何共用虛擬私有雲後端服務。後端服務的允許/拒絕清單必須以 支援的前置字串:
|
| Compute Engine | 限制共用虛擬私有雲主專案 | 清單 |
這項清單限制定義了一組共用虛擬私人雲端主專案,位於這項資源或在這項資源底下的專案都可連接至這些主專案。根據預設,專案可連接至相同機構中的任何主專案,並因此成為服務專案。允許/拒絕清單中的專案、資料夾和機構會影響位在資源階層更下層的所有物件,並且必須以下列格式指定: 支援的前置字串:
|
| Compute Engine | 受限制的共用虛擬私人雲端子網路 | 清單 |
這個清單限制定義了可供合格資源使用的共用虛擬私人雲端子網路組合。該限制不適用於相同專案中的資源。根據預設,符合資格的資源可使用任何共用虛擬私人雲端子網路。允許/拒絕的子網路清單必須以下列格式指定: 支援的前置字串:
|
| Compute Engine | 限制虛擬私有雲對等互連用量 | 清單 |
這個清單限制定義了一組虛擬私有雲網路組合,可與屬於該專案、資料夾或機構的虛擬私有雲網路對等互連。每個對等互連端點都須具備對等互連權限。網路管理員預設能與任何其他的網路對等互連。網路的允許/拒絕清單必須以 支援的前置字串:
|
| Compute Engine | 限制 VPN 對等互連 IP | 清單 |
這項清單限定了一組有效的 IP 位址。只有這些位址可設為 VPN 對等互連 IP。根據預設,任何 IP 都能做為虛擬私人雲端網路的 VPN 對等互連 IP。允許/拒絕的 IP 位址清單必須依下列格式指定: 支援的前置字串: 詳情請參閱透過 Cloud VPN 通道限制對等互連 IP 位址。
|
| Compute Engine | 將新專案的內部 DNS 設定設為僅限可用區 DNS | 布林值 |
如果強制執行,新建的專案預設會使用區域性 DNS。這項限制預設為 這項限制會自動佈建為Google Cloud 安全基準的一部分。
|
| Compute Engine | 共用預留項目擁有者專案 | 清單 |
這項清單限制定義了機構中可以建立及擁有共用保留項目的一組專案。共用保留項目與本機保留項目相似,差別在於共用保留項目可供資源階層結構中的其他 Compute Engine 專案使用,而非僅限擁有者專案使用。可存取共用保留項目的專案清單必須採用以下格式: 支援的前置字串:
|
| Compute Engine | 略過預設網路建立作業 | 布林值 |
如果強制執行這項布林限制,建立 Google Cloud Platform 專案資源時,就會略過建立預設網路和相關資源的程序。根據預設,系統會在建立專案資源時自動建立預設網路和支援資源。
|
| Compute Engine | Compute 儲存空間資源使用限制 (Compute Engine 磁碟、映像檔和快照) | 清單 |
這項清單限制會定義一組可使用 Compute Engine 儲存空間資源的專案。根據預設,只要使用者具備適當的 Cloud IAM 權限,即可存取 Computer Engine 資源。如要使用這項限制,使用者必須具備 Cloud IAM 權限,而且在資源存取方面不受限制。 支援的前置字串:
|
| Compute Engine | 定義可信映像檔專案 | 清單 |
這項清單限制會定義可用於 Compute Engine 映像檔儲存空間與磁碟執行個體化的一組專案。 支援的前置字串: 詳情請參閱「設定映像存取限制」一文。
|
| Compute Engine | 限制 VM IP 轉送 | 清單 |
這項清單限制定義了一組可啟用 IP 轉送功能的 VM 執行個體。根據預設,任何 VM 都可在任何虛擬網路中啟用 IP 轉送功能。VM 執行個體必須以 支援的前置字串:
|
| Compute Engine | 為 VM 執行個體定義允許的外部 IP | 清單 |
這項清單限制定義了可使用外部 IPv4 位址的一組 Compute Engine VM 執行個體,但未禁止使用 IPv6 位址。 支援的前置字串: 詳情請參閱「限制特定執行個體的外部 IP 存取權」。
|
| Compute Engine | 停用全域性資源的 Identity-Aware Proxy (IAP) 啟用功能 | 布林值 |
如果強制執行這項布林值限制,系統會停用全域性資源的 Identity-Aware Proxy 啟用功能。這項限制不會禁止啟用區域性資源的 IAP。
|
| Google Kubernetes Engine | 停用 GKE 中的診斷管理員權限路徑。 | 布林值 |
請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,這項限制會自動設定,並僅用於 Assured Workloads 進階監管作業。如果強制執行這項布林限制,若診斷和其他客服用途的存取路徑不符合 Assured Workloads 規定,則會停用。
|
| Dataform | 限制在 Dataform 中對存放區使用 Git 遠端指令 | 清單 |
這項清單限制定義了一組遠端,能與 Dataform 專案中的存放區通訊。如要封鎖與所有遠端的通訊,請將值設為 支援的前置字串: 詳情請參閱「限制遠端存放區」。
|
| Datastream | DataStream - 封鎖公開連線方法 | 布林值 |
根據預設,您可以使用公開或私人連線方法來建立 DataStream 連線設定檔。如果強制執行了這項機構政策的布林值限制,則只能使用私人連線方法 (例如虛擬私有雲對等互連) 來建立連線設定檔。
|
| 重要聯絡人 | 網域限定聯絡人 | 清單 |
這項清單限制定義了新增至重要聯絡人的電子郵件地址可使用的網域組合。 這項限制會自動佈建為Google Cloud 安全基準的一部分。 支援的前置字串:
|
| 重要聯絡人 | 停用專案安全性聯絡人 | 布林值 |
如果強制執行這項布林值限制,就能讓機構政策管理員確保只有在機構或資料夾層級指派的聯絡人,才可接收安全性通知。具體而言,如果聯絡人也有做為父項的專案資源,強制執行這項限制會禁止專案擁有者和聯絡人管理員建立或更新在「
|
| Firestore | 必須使用 Firestore 服務代理才能執行匯入/匯出工作 | 布林值 |
如果強制實行這項布林值限制,則須具備 Firestore 匯入與匯出功能,才能使用 Firestore 服務代理。
|
| Cloud Healthcare API | 停用 Cloud Healthcare API 的 Cloud Logging | 布林值 |
如果強制執行這項布林值限制,系統會停用 Cloud Healthcare API 的 Cloud Logging。 詳情請參閱「停用 Cloud Healthcare API 的 Cloud Logging」。
|
| Identity and Access Management | 允許將 OAuth 2.0 存取權杖的生命週期長度延長至最多 12 小時 | 清單 |
這個清單限制定義了哪些服務帳戶組合可取得 OAuth 2.0 存取權杖和最多 12 小時的生命週期。根據預設,這些存取權杖的生命週期長度上限為 1 小時。 支援的前置字串: 詳情請參閱「延長 OAuth 2.0 存取權杖的生命週期」。
|
| Identity and Access Management | 網域限定共用 | 清單 |
這項清單限制定義了組織主體組合和 Google Workspace 客戶 ID,這兩者的主體可以新增至 IAM 政策。 這項限制會自動佈建為Google Cloud 安全基準的一部分。 支援的前置字串: 詳情請參閱「依照網域設定身分限制」。
|
| Identity and Access Management | 停用稽核記錄排除功能 | 布林值 |
如果強制執行這項布林值限制,您就無法將額外的主體排除在稽核記錄範圍之外。這項限制不會影響在強制執行前就存在的任何稽核記錄豁免項目。
|
| Identity and Access Management | 停用跨專案服務帳戶 | 布林值 |
強制執行這項限制時,服務帳戶只能部署 (使用 ServiceAccountUser 角色部署) 到在服務帳戶所在專案中運作的工作 (VM、函式等)。 詳情請參閱「為不同專案中的資源設定」。
|
| Identity and Access Management | 停用服務帳戶建立功能 | 布林值 |
如果強制執行這項布林值限制,就無法建立服務帳戶。 詳情請參閱「停用服務帳戶建立作業」。
|
| Identity and Access Management | 停用服務帳戶金鑰建立功能 | 布林值 |
如果強制執行這項布林值限制,就無法建立服務帳戶外部金鑰和 Cloud Storage HMAC 金鑰。 這項限制會自動佈建為Google Cloud 安全基準的一部分。 詳情請參閱「停用服務帳戶金鑰建立功能」。
|
| Identity and Access Management | 停用服務帳戶金鑰上傳 | 布林值 |
如果強制執行這項布林值限制,就無法將公開金鑰上傳至服務帳戶。 這項限制會自動佈建為Google Cloud 安全基準的一部分。 詳情請參閱「停用服務帳戶金鑰上傳功能」。
|
| Identity and Access Management | 在建立叢集時停用 Workload Identity | 布林值 |
如果強制執行這項布林值限制,所有新建的 GKE 叢集都必須停用 Workload Identity。已啟用 Workload Identity 的現有 GKE 叢集仍會正常運作。任何 GKE 叢集預設都能啟用 Workload Identity。 詳情請參閱「停用 workload identity 叢集建立作業」。
|
| Identity and Access Management | 服務帳戶金鑰的有效時間 (小時) | 清單 |
這份清單限定了服務帳戶金鑰的有效時間上限。根據預設,建立的金鑰永遠不會過期。
inheritFromParent=false。這項限制無法與父項政策合併。強制執行這項限制並不溯及既往,也不會變更現有的金鑰。
支援的前置字串:
|
| Identity and Access Management | 服務帳戶金鑰外洩因應措施 | 清單 |
這項清單限制定義了 Google 偵測到服務帳戶的連結金鑰遭到公開時,會採取什麼因應措施。受監控的金鑰包括長效型服務帳戶金鑰,以及與服務帳戶繫結的 API 金鑰。如未設定,預設為採用 支援的前置字串:
|
| Identity and Access Management | 可在 Cloud IAM 中設定的 AWS 帳戶,用於 Workload Identity 聯盟 | 清單 |
可在 Cloud IAM 中設定用於 Workload Identity 聯盟的 AWS 帳戶 ID 清單。 支援的前置字串:
|
| Identity and Access Management | Cloud IAM 獲准連絡的外部識別資訊提供者 | 清單 |
可針對 Cloud IAM 工作負載驗證功能設定的識別資訊提供者,須以 URI/網址指定。 支援的前置字串:
|
| Cloud Service Mesh | Anthos 服務網格代管控制層允許的 VPC Service Controls 模式 | 清單 |
這項限制會決定佈建新的 Anthos 服務網格代管控制層時可以設定的 VPC Service Controls 模式,有效值包括「NONE」和「COMPATIBLE」。 支援的前置字串:
|
| VM 管理員 | VM 管理員 - 限制使用內嵌指令碼和輸出檔案 | 布林值 |
如果將這項布林值限制設為「true」,就會限制建立或修改下列項目,藉此強制遵守 Assured Workloads 的規定:使用內嵌指令碼或二進位輸出檔案的 VM 管理員資源。具體來說,OSPolicyAssignment 和 PolicyOrchestrator 資源中的「script」和「output_file_path」欄位必須留空。
|
| Pub/Sub | 強制執行 Pub/Sub 訊息的傳輸中區域 | 布林值 |
當強制執行此布林限制時,系統會在所有新的 Pub/Sub 主題建立期間,將 MessageStoragePolicy::enforce_in_transit 設為 true。這可確保客戶資料僅在允許的區域內傳輸。該區域是在主題訊息儲存空間政策中指定。
|
| Resource Manager | 限制共用虛擬私有雲專案的防刪除鎖定移除作業 | 布林值 |
如果強制執行這項布林限制,可限制無機構層級權限、但能移除共用虛擬私有雲主專案防刪除鎖定的一組使用者。
|
| Resource Manager | 限制跨專案服務帳戶之防刪除鎖定功能的移除 | 布林值 |
如果強制執行這個布林限制,就能防止使用者在沒有組織層級權限的情況下,移除跨專案服務帳戶的防刪除鎖定功能。根據預設,具備防刪除鎖定功能更新權限的任何使用者,都可以移除跨專案服務帳戶的防刪除鎖定功能。強制執行此限制需要在組織層級授予該權限。 詳情請參閱「為不同專案中的資源設定」。
|
| Resource Manager | 限制資源查詢瀏覽權限 | 清單 |
對機構資源強制實行這項清單限制之後,系統會針對強制實行這項限制的機構所屬網域,為使用者定義一組以 list 和 search 方法傳回的 Google Cloud 資源。可用來限制在 Cloud Console 不同位置所顯示的資源,例如資源挑選器、搜尋和管理資源頁面。請注意,這項限制只會在機構層級接受評估。允許/拒絕清單中指定的值必須採用以下格式: 支援的前置字串: 詳情請參閱「限制使用者專案瀏覽權限」。
|
| Resource Manager | 跨機構移動需要啟用服務允許清單 | 清單 |
這項清單限制可用來檢查已啟用服務的專案是否符合跨機構移動的資格。已啟用支援服務的資源必須強制執行這項限制,且該支援服務必須列在允許值中,才有資格進行跨機構移動。以下是目前可用支援服務允許值清單:
此限制針對 constraint/resourcemanager.allowedExportDestination 提供額外的控制項。除非針對欲匯出的資源啟用支援服務,否則根據預設該 list_constraint 為空白,且不會封鎖跨機構移動。如要將資源移至其他機構,使用特徵的資源須格外謹慎,而這項限制可更加精細地控管。根據預設,資源無法在已啟用支援服務的情況下進行跨機構移動。 支援的前置字串:
|
| Resource Manager | 允許匯出資源的目的地 | 清單 |
這項清單限制定義了資源可移往的外部機構組合,不得將資源移至所有其他機構。根據預設,資源無法在機構之間移動。如果將這項限制套用至資源,則該資源只能移至這項限制所明確允許的機構。機構內移動不受此限制影響。移動作業所需的 IAM 權限與一般資源移動相同。允許/拒絕清單中指定的值必須採用以下格式: 支援的前置字串:
|
| Resource Manager | 允許匯入資源的來源 | 清單 |
這項清單限制定義了一組可以匯入當中資源的外部組織,並拒絕其他組織的所有資源移動作業。資源預設無法在組織之間移動。如果將這項限制套用至資源,這項限制必須明確允許此資源之下直接匯入的資源。組織內移動或從組織外移入資源的作業不受這項限制影響。移動作業所需的 IAM 權限與一般資源移動相同。允許/拒絕清單中指定的值必須採用以下格式: 支援的前置字串:
|
| Cloud Run | 允許的二進位授權政策 (Cloud Run) | 清單 |
這項清單限制定義了可在 Cloud Run 資源中指定的二進位授權政策名稱組合。如要允許/禁止預設政策,請使用 支援的前置字串:
|
| Cloud Run | 允許的輸入設定 (Cloud Run) | 清單 |
這份清單限制定義了 Cloud Run 服務可以使用的輸入設定。強制執行這項限制時,服務的輸入設定必須符合任何一個允許值。如果現有 Cloud Run 服務的輸入設定違反這項限制,系統會持續進行更新,直到服務的輸入設定調整為符合這項限制為止。一旦服務符合這項限制,服務就只能使用這項限制允許的輸入設定。 支援的前置字串: 詳情請參閱「限制允許的輸入設定」。
|
| Cloud Run | 允許的虛擬私有雲輸出設定 (Cloud Run) | 清單 |
這份清單限制定義了可在 Cloud Run 資源中指定的虛擬私有雲輸出設定。如果強制執行這項限制,部署 Cloud Run 資源時就必須使用無伺服器虛擬私有雲存取連接器,或啟用直接虛擬私有雲輸出功能。此外,虛擬私有雲輸出設定必須符合其中一項允許的值。 支援的前置字串: 詳情請參閱「限制允許的虛擬私有雲輸出設定」。
|
| 服務用戶管理 | 停用自動為預設服務帳戶授予 IAM 的功能 | 布林值 |
如果強制執行這項布林值限制,就能防止專案中建立的預設 App Engine 和 Compute Engine 服務帳戶在建立當下自動獲得該專案中的任何身分與存取權管理角色。 這項限制會自動佈建為Google Cloud 安全基準的一部分。
|
| 多項 Google Cloud 服務 | 允許的工作站集區 (Cloud Build) | 清單 |
這項清單限制定義了一組可使用 Cloud Build 執行建構作業的 Cloud Build 工作站集區。如果強制執行這項限制,就必須在與其中一個允許值相符的工作站集區中執行建構作業。
支援的前置字串:
|
| 多項 Google Cloud 服務 | Google Cloud Platform - 資源位置限制 | 清單 |
這項清單限制定義了一組可建立位置型 Google Cloud 資源的位置。重要事項:本頁資訊所述並非 Google Cloud Platform 針對客戶的「客戶資料」所做資料位置承諾 (定義請見 Google 同意提供 Google Cloud Platform 服務時的協議,相關說明請參閱 Google Cloud Platform 服務摘要,網址為 https://cloud.google.com/terms/services)。如要瞭解客戶可以針對哪些 Google Cloud Platform 服務選取客戶資料位置,請前往 https://cloud.google.com/terms/data-residency,查看符合資料落地規定的 Google Cloud Platform 服務清單。 支援的前置字串: 詳情請參閱「限制資源位置」一文。
|
| 多項 Google Cloud 服務 | 限制哪些專案可提供 CMEK 的 KMS CryptoKey | 清單 |
這項清單限制定義了建立資源時,可以透過哪些專案提供客戶自行管理的加密金鑰 (CMEK)。如果將這項限制設為
Deny 或 Deny All。這項限制在強制執行之後,效力不會溯及既往。如果既有 CMEK Google Cloud 資源的 KMS CryptoKey 來自不允許的專案,為確保能強制執行,請手動重新設定或重新建立這類資源。
支援的前置字串: 詳情請參閱「CMEK 組織政策」。
|
| 多項 Google Cloud 服務 | 端點用量限制 | 清單 |
這項清單限制定義了一組 Google Cloud API 端點,這些端點可以用來存取組織、資料夾或專案中的資源。 這項限制條件可用於模擬測試模式。 支援的前置字串: 詳情請參閱「限制端點用量」。
|
| 多項 Google Cloud 服務 | 限制哪些服務可以在沒有 CMEK 的情況下建立資源 | 清單 |
這項清單限制定義了哪些服務須有客戶自行管理的加密金鑰 (CMEK)。如果將這項限制設為
Deny All。不得將這項限制設為 Allow。這項限制在強制執行之後,效力不會溯及既往。為確保能強制執行,請務必手動重新設定或重新建立既有的非 CMEK Google Cloud 資源。
支援的前置字串: 詳情請參閱「CMEK 組織政策」。
|
| 多項 Google Cloud 服務 | 限制使用資源服務 | 清單 |
這項限制定義了可以在機構、資料夾或專案中使用的一組 Google Cloud 資源服務,例如 compute.googleapis.com 和 storage.googleapis.com。 這項限制條件可用於模擬測試模式。 支援的前置字串: 詳情請參閱「限制資源用量」。
|
| 多項 Google Cloud 服務 | 限制 TLS 加密套件 | 清單 |
這項清單限制定義了一組 TLS 加密套件,使用者可用來存取下列項目中的資源:已強制執行這項限制的組織、資料夾或專案。 這項限制條件可用於模擬測試模式。 支援的前置字串:
|
| 多項 Google Cloud 服務 | 限制 TLS 版本 | 清單 |
這項限制定義了一組 TLS 版本,這些版本無法用於強制執行這項限制的組織、資料夾或專案,也不能用於資源階層結構中屬於該項資源的子項。 這項限制條件可用於模擬測試模式。 支援的前置字串: 詳情請參閱「限制 TLS 版本」。
|
| 多項 Google Cloud 服務 | 停用區域性資源的 Identity-Aware Proxy (IAP) 啟用功能 | 布林值 |
如果強制執行這項布林值限制,系統會停用區域性資源的 Identity-Aware Proxy 啟用功能。這項限制不會禁止啟用全域性資源的 IAP。
|
| 多項 Google Cloud 服務 | 限制允許使用的 Google Cloud API 及服務 | 清單 |
這個清單限制會限制可在此資源上啟用的服務組合,以及該服務的 API。根據預設,所有服務都會允許。 支援的前置字串:
|
| Spanner | 為法規遵循工作負載啟用進階安全控制項 | 布林值 |
請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,這項限制會自動設定,並僅用於 Assured Workloads 進階監管作業。如果強制執行這項布林限制,支援範圍將縮小,已佈建的資源則會完全符合 Assured Workloads 的進階主權規定。這項政策將適用於現有專案,但不會影響已佈建的資源。也就是說,只有政策修改後建立的資源,才會套用修改內容。
|
| Spanner | 停用 Cloud Spanner 多區域 (如未選擇位置) | 布林值 |
請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,該限制會自動設定,並僅用於 Assured Workloads 進階監管作業。如果強制執行這項布林值限制,您無法使用多區域執行個體設定,來建立 Spanner 執行個體 (已選取位置的情況除外)。Cloud Spanner 目前尚不支援選取位置,所有多區域都無法使用。日後 Spanner 將提供相關功能,讓使用者可選擇多區域的位置。該限制在強制執行後,效力不會溯及既往。已建立的 Spanner 執行個體不受影響。
|
| Cloud Storage | Google Cloud Platform - 詳細稽核記錄模式 | 布林值 |
如果強制使用詳細稽核記錄模式,要求和回應都會列入 Cloud 稽核記錄。您對這項功能所做的變更最多可能需要 10 分鐘才會生效。如要遵守 SEC Rule 17a-4(f)、CFTC Rule 1.31(c) 至 (d) 和 FINRA Rule 4511(c) 等標準,強烈建議您採用這項組織政策,並搭配使用 bucket 鎖定功能。目前只有 Cloud Storage 支援這項政策。 詳情請參閱「Cloud Storage 的組織政策限制」。
|
| Cloud Storage | 強制禁止公開存取 | 布林值 |
強制禁止公開存取,避免公開 Cloud Storage 資料。如有 ACL 和 IAM 權限將存取權授予 詳情請參閱「Cloud Storage 的組織政策限制」。
|
| Cloud Storage | Cloud Storage - 限制驗證類型 | 清單 |
這項限制條件會定義一組驗證類型,凡是使用這類驗證類型,都無法存取 Cloud Storage 中該組織的任何儲存空間資源。支援的值為 支援的前置字串:
|
| Cloud Storage | 保留政策時間長度 (以秒為單位) | 清單 |
這項清單限制定義了可以針對 Cloud Storage 值區設定的保留政策時效組合。 支援的前置字串: 詳情請參閱「Cloud Storage 的組織政策限制」。
|
| Cloud Storage | 限制未加密的 HTTP 存取活動 | 布林值 |
如果強制執行這項布林限制,系統會明確拒絕透過 HTTP (未加密) 存取所有儲存空間資源。根據預設,Cloud Storage XML API 會允許透過未加密的 HTTP 存取。請注意,Cloud Storage JSON API、gRPC 和 Cloud 控制台,僅允許透過已加密的 HTTP 存取 Cloud Storage 資源。
|
| Cloud Storage | Cloud Storage - 虛刪除政策保留時長 (以秒為單位) | 清單 |
這項限制定義了可為 Cloud Storage 值區設定的虛刪除政策保留時長,且會在值區強制執行。在強制執行這項限制的值區中,任何插入、更新或修補作業的虛刪除政策時長均須符合這項限制。強制執行新的機構政策時,現有值區的虛刪除政策仍然有效,不會因此變更。根據預設,如未指定機構政策,Cloud Storage 值區的虛刪除政策時長就沒有特定限制。 支援的前置字串:
|
| Cloud Storage | 強制執行統一值區層級存取權 | 布林值 |
如果這項布林限制設為 這項限制會自動佈建為Google Cloud 安全基準的一部分。 詳情請參閱「Cloud Storage 的組織政策限制」。
|
瞭解詳情
如要瞭解更多機構政策的核心概念:
閱讀機構政策總覽。
瞭解限制為何。
瞭解如何使用限制來建立機構政策。
瞭解階層評估如何運作。