Limitar tipos de segmentação

Cada cron job criado usando o Cloud Scheduler é enviado para um destino de acordo com uma programação especificada para que a tarefa seja realizada. Por padrão, todos os tipos de destino de jobs são permitidos. Para limitar qual tipo de destino (HTTP, Pub/Sub ou HTTP do App Engine) pode ser criado em uma organização, você pode aplicar a restrição cloudscheduler.allowedTargetTypes ao configurar uma política da organização.

Funções exigidas

Para receber as permissões necessárias a fim de gerenciar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Aplicar a restrição

Use o Google Cloud console ou a Google Cloud CLI para aplicar a restrição à política da organização.

Console

  1. No Google Cloud console do, acesse a página IAM e administrador > Políticas da organização.

    Acessar a página Políticas da organização

  2. Na barra de ferramentas do Google Cloud Console, use o seletor de recursos para selecionar o projeto, a pasta ou a organização para que você quer visualizar as políticas da organização.

    Uma lista de restrições de políticas da organização disponíveis para esse recurso é exibida.

  3. Filtre a lista pelo nome da restrição Tipos de segmentações permitida para jobs.

  4. Na linha da restrição, clique em Ações > Editar política.

  5. Na página Editar política, selecione Substituir a política do recurso pai.

    Você pode escolher se a política incluirá regras da pasta pai ou substituirá totalmente a política primária.

  6. Em Regras, clique em Adicionar uma regra.

    1. Na lista Valores da política, selecione Personalizada.

    2. Na lista Tipo de política, selecione Permitir.

    3. Adicione um valor personalizado de APPENGINE, HTTP ou PUBSUB.

    4. Para adicionar vários tipos de jobs, clique em Adicionar valor.

    5. Clique em Concluído.

  7. Para aplicar a política, clique em Definir política.

gcloud

  1. Para visualizar a configuração atual da restrição, use o gcloud org-policies describe comando:

    gcloud org-policies describe constraints/cloudscheduler.allowedTargetTypes \
    --RESOURCE_TYPE_FLAG=RESOURCE_ID

    Substitua:

    • RESOURCE_TYPE_FLAG: dependendo de onde a política está anexada na hierarquia, folder, organization ou project.
    • RESOURCE_ID: a pasta, a organização ou o ID do projeto aplicável.

    A saída será semelhante a esta:

    etag: CJTvgc0GENDs+50B-
name: projects/PROJECT_NUMBER/policies/cloudscheduler.allowedTargetTypes
spec:
  etag: CJTvgc0GENDs+50B
  inheritFromParent: true
  rules:
  - values:
      allowedValues:
      - PUBSUB
  updateTime: '2026-02-26T16:40:52.331282Z'

  2. Defina a política no recurso usando o gcloud org-policies set-policy comando. Isso substitui a restrição anexada ao recurso.

    1. Crie um arquivo temporário, /tmp/policy.yaml, para armazenar a política. Exemplo:

      name: projects/PROJECT_NUMBER/policies/cloudscheduler.allowedTargetTypes
spec:
  rules:
  - values:
      allowedValues:
      - TARGET_TYPE

      Substitua:

      • PROJECT_NUMBER: seu Google Cloud número do projeto.
      • TARGET_TYPE: o tipo de destino do job; APPENGINE, HTTP ou PUBSUB.

    2. Execute o comando set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

  3. É possível redefinir a restrição para o padrão usando o gcloud org-policies reset comando:

    gcloud org-policies reset constraints/cloudscheduler.allowedTargetTypes \
    --RESOURCE_TYPE_FLAG=RESOURCE_ID

As mudanças nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

A seguir