Limiter les types de cibles

Chaque job Cron créée à l'aide de Cloud Scheduler est envoyée à une cible selon un calendrier spécifié, lequel permet de préciser quand le travail associé à la tâche doit être accompli. Par défaut, tous les types de cibles de tâches sont autorisés. Pour limiter le type de cible (HTTP, Pub/Sub ou App Engine HTTP) pouvant être créé dans une organisation, vous pouvez appliquer la contrainte cloudscheduler.allowedTargetTypes lors de la configuration d'une règle d'administration.

Rôles requis

Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Appliquer la contrainte

Vous pouvez utiliser la Google Cloud console ou Google Cloud CLI pour appliquer la contrainte à votre règle d'administration.

Console

  1. Dans la Google Cloud console, accédez à la page IAM et administration > Règles d'administration.

    Accéder à la page Règles d'administration

  2. Dans la barre d'outils de la console, utilisez le sélecteur de ressources pour sélectionner le projet, le dossier ou l'organisation pour lesquels vous souhaitez afficher les règles d'administration.

    La liste des contraintes liées aux règles d'administration disponibles pour cette ressource s'affiche.

  3. Filtrez la liste par le nom de la contrainte Types de cibles autorisés pour les jobs.

  4. Sur la ligne correspondant à la contrainte, cliquez sur Actions > Modifier la règle.

  5. Sur la page "Modifier la règle", sélectionnez Ignorer la règle parente.

    Vous pouvez choisir si les règles contiennent des règles du dossier parent ou si elles remplacent entièrement les règles parentes.

  6. Sous Règles, cliquez sur Ajouter une règle.

    1. Dans la liste Valeurs de règles, sélectionnez Personnalisé.

    2. Dans la liste Type de règle, sélectionnez Autoriser.

    3. Ajoutez une valeur personnalisée APPENGINE, HTTP ou PUBSUB.

    4. Pour ajouter plusieurs types de tâches, cliquez sur Ajouter une valeur.

    5. Cliquez sur OK.

  7. Pour appliquer la règle, cliquez sur Définir la règle.

gcloud

  1. Pour afficher la configuration existante de la contrainte, utilisez la gcloud org-policies describe commande :

    gcloud org-policies describe constraints/cloudscheduler.allowedTargetTypes \
        --RESOURCE_TYPE_FLAG=RESOURCE_ID
    

    Remplacez les éléments suivants :

    • RESOURCE_TYPE_FLAG: selon l'emplacement de la règle dans la hiérarchie, folder, organization ou project.
    • RESOURCE_ID: ID du dossier, de l'organisation ou du projet applicable.

    La sortie devrait ressembler à ce qui suit :

    etag: CJTvgc0GENDs+50B-
    name: projects/PROJECT_NUMBER/policies/cloudscheduler.allowedTargetTypes
    spec:
      etag: CJTvgc0GENDs+50B
      inheritFromParent: true
      rules:
      - values:
          allowedValues:
          - PUBSUB
      updateTime: '2026-02-26T16:40:52.331282Z'
    
  2. Définissez la règle sur la ressource à l'aide de la gcloud org-policies set-policy commande. La contrainte associée à la ressource est alors remplacée.

    1. Créez un fichier temporaire, /tmp/policy.yaml, pour stocker la règle. Exemple :

      name: projects/PROJECT_NUMBER/policies/cloudscheduler.allowedTargetTypes
      spec:
        rules:
        - values:
            allowedValues:
            - TARGET_TYPE
      

      Remplacez les éléments suivants :

      • PROJECT_NUMBER : votre Google Cloud projet numéro.
      • TARGET_TYPE: type de cible de la tâche, APPENGINE, HTTP ou PUBSUB.
    2. Exécutez la commande set-policy :

      gcloud org-policies set-policy /tmp/policy.yaml
      
  3. Vous pouvez réinitialiser la contrainte à sa valeur par défaut à l'aide de la gcloud org-policies reset commande :

    gcloud org-policies reset constraints/cloudscheduler.allowedTargetTypes \
        --RESOURCE_TYPE_FLAG=RESOURCE_ID
    

L'application complète des modifications de règles d'administration peut prendre jusqu'à 15 minutes.

Étape suivante