Cloud Scheduler 建立的每個 Cron 工作都會根據指定排程傳送至目標,以完成工作。根據預設,系統允許所有工作目標類型。如要限制機構中可建立的目標類型 (HTTP、Pub/Sub 或 App Engine HTTP),您可以在設定組織政策時套用 cloudscheduler.allowedTargetTypes 限制。
必要的角色
如要取得管理組織政策所需的權限,請要求管理員授予您組織的組織政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
套用限制
您可以使用 Google Cloud 控制台或 Google Cloud CLI,將限制套用至機構政策。
控制台
在 Google Cloud 控制台,前往「IAM & Admin」(IAM 與管理) >「Organization policies」(組織政策) 頁面。
在控制台工具列中,使用資源選取器選取要查看組織政策的專案、資料夾或機構。
系統會顯示適用於這項資源的機構政策限制清單。
依「允許的工作目標類型」限制條件名稱篩選清單。
在限制的資料列中,依序按一下「 Actions」(動作) >「Edit policy」(編輯政策)。
在「編輯政策」頁面,選取「覆寫上層政策」。
您可以選擇讓此項政策包含上層資料夾的規則,或者完全取代上層資料夾的政策。
在「規則」下方,按一下「新增規則」。
在「Policy values」(政策值) 清單中,選取「Custom」(自訂)。
在「政策類型」清單中,選取「允許」。
新增
APPENGINE、HTTP或PUBSUB的自訂值。如要新增多個工作類型,請按一下 「新增值」。
按一下 [完成]。
如要強制執行這項政策,請按一下「設定政策」。
gcloud
如要查看限制的現有設定,請使用
gcloud org-policies describe指令:gcloud org-policies describe constraints/cloudscheduler.allowedTargetTypes \ --RESOURCE_TYPE_FLAG=RESOURCE_ID更改下列內容:
RESOURCE_TYPE_FLAG:視政策在階層中的附加位置而定,可為folder、organization或project。RESOURCE_ID:適用的資料夾、機構或專案 ID。
畫面會顯示如下的輸出內容:
etag: CJTvgc0GENDs+50B- name: projects/PROJECT_NUMBER/policies/cloudscheduler.allowedTargetTypes spec: etag: CJTvgc0GENDs+50B inheritFromParent: true rules: - values: allowedValues: - PUBSUB updateTime: '2026-02-26T16:40:52.331282Z'使用
gcloud org-policies set-policy指令,在資源上設定政策。這會覆寫附加至資源的限制。建立暫時檔案
/tmp/policy.yaml,用於儲存政策。例如:name: projects/PROJECT_NUMBER/policies/cloudscheduler.allowedTargetTypes spec: rules: - values: allowedValues: - TARGET_TYPE更改下列內容:
PROJECT_NUMBER:您的 Google Cloud 專案編號。TARGET_TYPE:工作目標類型,可為APPENGINE、HTTP或PUBSUB。
執行
set-policy指令:gcloud org-policies set-policy /tmp/policy.yaml
您可以使用
gcloud org-policies reset指令,將限制條件重設為預設值:gcloud org-policies reset constraints/cloudscheduler.allowedTargetTypes \ --RESOURCE_TYPE_FLAG=RESOURCE_ID
組織政策變更最多可能需要 15 分鐘才會全面生效。