Zieltypen einschränken

Jeder mit Cloud Scheduler erstellte Cronjob wird nach einem festgelegten Zeitplan an ein Ziel gesendet, an dem die Arbeit für die Aufgabe ausgeführt wird. Standardmäßig sind alle Jobzieltypen zulässig. Wenn Sie einschränken möchten, welcher Zieltyp (HTTP, Pub/Sub oder App Engine HTTP) in einer Organisation erstellt werden kann, können Sie die Einschränkung cloudscheduler.allowedTargetTypes beim Konfigurieren einer Organisationsrichtlinie anwenden.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization Policy Administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Einschränkung anwenden

Sie können die Google Cloud Console oder die Google Cloud CLI verwenden, um die Einschränkung auf Ihre Organisationsrichtlinie anzuwenden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung > Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Symbolleiste der Console mit der Ressourcenauswahl das Projekt, den Ordner oder die Organisation aus, für die Sie Organisationsrichtlinien aufrufen möchten.

    Eine Liste der für diese Ressource verfügbaren Einschränkungen für Organisationsrichtlinien wird angezeigt.

  3. Filtern Sie die Liste nach dem Namen der Einschränkung Zulässige Zieltypen für Jobs.

  4. Klicken Sie in der Zeile für die Einschränkung auf Aktionen > Richtlinie bearbeiten.

  5. Wählen Sie auf der Seite „Richtlinie bearbeiten“ die Option Richtlinie der übergeordneten Ressource überschreiben aus.

    Sie können wählen, ob die Richtlinie Regeln des übergeordneten Ordners einschließen oder die übergeordnete Richtlinie vollständig ersetzen soll.

  6. Klicken Sie unter Regeln auf Regel hinzufügen.

    1. Wählen Sie in der Liste Richtlinienwerte die Option Benutzerdefiniert aus.

    2. Wählen Sie in der Liste Richtlinientyp die Option Zulassen aus.

    3. Fügen Sie einen benutzerdefinierten Wert von APPENGINE, HTTP oder PUBSUB hinzu.

    4. Wenn Sie mehrere Jobtypen hinzufügen möchten, klicken Sie auf  Wert hinzufügen.

    5. Klicken Sie auf Fertig.

  7. Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.

gcloud

  1. Verwenden Sie den Befehl gcloud org-policies describe, um die vorhandene Konfiguration der Einschränkung aufzurufen:

    gcloud org-policies describe constraints/cloudscheduler.allowedTargetTypes \
        --RESOURCE_TYPE_FLAG=RESOURCE_ID
    

    Ersetzen Sie Folgendes:

    • RESOURCE_TYPE_FLAG: Je nachdem, wo in der Hierarchie die Richtlinie angehängt ist, entweder folder, organization oder project.
    • RESOURCE_ID: die ID des entsprechenden Ordners, der Organisation oder des Projekts.

    Die Ausgabe sollte in etwa so aussehen:

    etag: CJTvgc0GENDs+50B-
    name: projects/PROJECT_NUMBER/policies/cloudscheduler.allowedTargetTypes
    spec:
      etag: CJTvgc0GENDs+50B
      inheritFromParent: true
      rules:
      - values:
          allowedValues:
          - PUBSUB
      updateTime: '2026-02-26T16:40:52.331282Z'
    
  2. Legen Sie die Richtlinie für die Ressource mit dem Befehl gcloud org-policies set-policy fest. Dadurch wird die Einschränkung überschrieben, die an die Ressource angehängt ist.

    1. Erstellen Sie eine temporäre Datei mit dem Namen /tmp/policy.yaml, um die Richtlinie zu speichern. Beispiel:

      name: projects/PROJECT_NUMBER/policies/cloudscheduler.allowedTargetTypes
      spec:
        rules:
        - values:
            allowedValues:
            - TARGET_TYPE
      

      Ersetzen Sie Folgendes:

      • PROJECT_NUMBER: Ihre Google Cloud Projektnummer.
      • TARGET_TYPE: der Job-Zieltyp, entweder APPENGINE, HTTP oder PUBSUB.
    2. Führen Sie den Befehl set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml
      
  3. Sie können die Einschränkung mit dem Befehl gcloud org-policies reset auf den Standardwert zurücksetzen:

    gcloud org-policies reset constraints/cloudscheduler.allowedTargetTypes \
        --RESOURCE_TYPE_FLAG=RESOURCE_ID
    

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig durchgesetzt werden.

Nächste Schritte