可用限制
您可以指定使用以下限制的政策。
代管限制
| 服務 | 限制 | 說明 |
|---|---|---|
| Compute Engine | 停用 Compute Engine 中繼資料的訪客屬性 | 強制執行這項限制後,Compute Engine API 將無法存取 Compute Engine VM 的訪客屬性。 根據預設,Compute Engine API 可用來存取 Compute Engine VM 訪客屬性。 您可以先套用標記來標示執行個體,然後在套用政策時,根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍外,允許特定 VM 執行個體使用訪客屬性。 constraints/compute.managed.disableGuestAttributesAccess |
| Compute Engine | 停用 VM 巢狀虛擬化功能 | 如果機構、專案或資料夾的這項布林限制設為 True,系統就會停用當中的所有 Compute Engine VM 硬體加速式巢狀虛擬化功能。根據預設,在 Intel Haswell 或更新 CPU 平台上執行的所有 Compute Engine VM 都允許使用硬體加速式巢狀虛擬化功能。 constraints/compute.managed.disableNestedVirtualization |
| Compute Engine | 停用 VM 序列埠存取權 | 如果強制執行這項限制,系統會停用 Compute Engine VM 的序列埠存取權。根據預設,客戶可使用中繼資料屬性,對個別 VM、區域或專案啟用 Compute Engine VM 序列埠存取權,您可以先套用標記來標示執行個體,然後套用政策時,根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍外,允許特定 VM 執行個體啟用序列埠存取權。constraints/compute.managed.disableSerialPortAccess |
| Compute Engine | 停用 Stackdriver 的 VM 序列埠記錄功能 | 強制執行這項限制後,Compute Engine VM 序列埠就不會記錄至 Stackdriver。 根據預設,Compute Engine VM 序列埠記錄功能為停用狀態,您可以使用中繼資料屬性對個別 VM 或個別專案啟用這項功能。如果停用序列埠記錄功能,使用此功能的部分服務 (如 Google Kubernetes Engine 叢集) 可能會無法正常運作。強制執行這項限制前,請先確認專案中的產品不需使用序列埠記錄功能。您可以先套用標記來標示執行個體,然後套用政策時,根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍外,允許特定 VM 執行個體使用序列埠記錄。 constraints/compute.managed.disableSerialPortLogging |
| Compute Engine | 針對 DNS 設定為「僅限可用區」的專案,限制使用全域內部 DNS (gDNS)。 | 如果強制執行這項限制,系統就會限制使用 gDNS。這項限制會禁止建立 gDNS VM,以及更新 VM 以使用 gDNS。將 zDNS 專案還原為 gDNS 不會遭到封鎖,但後續呼叫 Instance API 時,系統會強制執行政策違規處置。constraints/compute.managed.disallowGlobalDns |
| Compute Engine | 須完成 OS 設定 | 如果強制執行這項限制,所有新專案都必須啟用 VM 管理員 (OS 設定)。如果在新專案和現有專案中設定這項限制,就無法進行會在專案、專案區域或執行個體層級停用 VM 管理員的中繼資料更新作業。您可以先套用標記來標示執行個體,然後套用政策時,根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍外,允許特定 VM 執行個體停用 VM 管理工具。constraints/compute.managed.requireOsConfig |
| Compute Engine | 需要 OS 登入 | 如果強制執行這項限制,所有新建立的專案都必須啟用 OS 登入。如果在新專案和現有專案中設定這項限制,就無法進行會在專案、專案區域或執行個體層級停用 OS 登入的中繼資料更新作業。您可以先套用標記來標示特定 VM 執行個體,然後套用政策時,根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍外,允許這些執行個體停用 OS 登入。constraints/compute.managed.requireOsLogin |
| Compute Engine | 限制使用通訊協定轉送 | 這項限制可讓您限制機構中可建立的通訊協定轉送部署作業類型 (內部或外部)。如要設定限制,請指定允許部署的通訊協定轉送類型許可清單。允許清單只能包含下列值:
constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
| Compute Engine | 限制 VM IP 轉送 | 這項限制會定義 Compute Engine VM 執行個體是否可啟用 IP 轉送功能。根據預設,如未指定政策,任何 VM 都可在任何虛擬網路中啟用 IP 轉送功能。如果強制執行這項限制,系統就會拒絕建立或更新已啟用 IP 轉送功能的 VM 執行個體。您可以先套用標記來標示執行個體,然後套用政策時,根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍外,允許特定 VM 執行個體啟用 IP 轉送。constraints/compute.managed.vmCanIpForward |
| Compute Engine | 限制 VM 執行個體的外部 IP | 這項限制定義 Compute Engine VM 執行個體是否可使用 IPv4 外部 IP 位址。根據預設,所有 VM 執行個體皆可使用外部 IP 位址。如果強制執行這項限制,系統就會拒絕建立或更新具有 IPv4 外部 IP 位址的 VM 執行個體。這項限制不會禁止使用 IPv6 外部 IP 位址。如要允許特定 VM 執行個體使用外部 IPv4 IP 位址,請先套用標記來標示執行個體,然後套用政策時,根據標記值使用條件式規則,將這些執行個體適當排除在強制執行範圍外。constraints/compute.managed.vmExternalIpAccess |
| Google Kubernetes Engine | 必須為 GKE 叢集啟用二進位授權。 | 建立或更新 GKE 叢集時,啟用二進位授權。詳情請參閱 https://cloud.google.com/binary-authorization/docs/setting-up。constraints/container.managed.enableBinaryAuthorization |
| Google Kubernetes Engine | 您必須在 GKE 叢集中啟用 RBAC 適用的 Google 群組。 | 建立或更新 GKE 叢集時,啟用 RBAC 適用的 Google 群組。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac。constraints/container.managed.enableGoogleGroupsRBAC |
| Google Kubernetes Engine | 必須在 GKE 叢集中啟用網路政策強制執行功能。 | 啟用網路政策強制執行或 GKE Dataplane V2,即可使用 Kubernetes NetworkPolicy。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy 或 https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2。constraints/container.managed.enableNetworkPolicy |
| Google Kubernetes Engine | 必須在 GKE 叢集中啟用安全性公告通知。 | 建立或更新 GKE 叢集時,請啟用安全性公告通知。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin constraints/container.managed.enableSecurityBulletinNotifications |
| Google Kubernetes Engine | 必須啟用 GKE 適用的工作負載身分聯盟。 | 建立或更新叢集時,啟用 GKE 適用的工作負載身分聯盟。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity。constraints/container.managed.enableWorkloadIdentityFederation |
| Google Kubernetes Engine | 禁止使用預設 Compute Engine 服務帳戶做為節點集區服務帳戶。 | 請勿使用預設的 Compute Engine 服務帳戶做為叢集或節點集區服務帳戶。請改用權限最小的 IAM 服務帳戶。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa constraints/container.managed.disallowDefaultComputeServiceAccount |
| Google Kubernetes Engine | 要求只能使用 DNS 型端點存取 GKE 叢集。 | 建立或更新叢集時,請啟用以 DNS 為基礎的端點,以便存取 GKE 控制層,並停用以 IP 為基礎的端點。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint。constraints/container.managed.enableControlPlaneDNSOnlyAccess |
| Google Kubernetes Engine | 您必須在 GKE 叢集中啟用私人節點。 | 建立或更新 GKE 叢集和節點集區時,請啟用私人節點。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking。constraints/container.managed.enablePrivateNodes |
| Google Kubernetes Engine | 您必須在 GKE 叢集中啟用自行管理的 Secret 加密功能。 | 建立或更新 GKE 叢集時,啟用以自行管理的金鑰加密 Secret。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets。constraints/container.managed.enableSecretsEncryption |
| Google Kubernetes Engine | 您必須停用 GKE 叢集中系統身分的 RBAC 繫結。 | 建立或更新 GKE 叢集時,請停用參照 system:anonymous、system:authenticated 或 system:unauthenticated 系統身分的非預設 ClusterRoleBinding 和 RoleBinding。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage constraints/container.managed.disableRBACSystemBindings |
| Google Kubernetes Engine | 要求在 GKE 叢集中啟用受防護的節點 | 必須保持啟用受防護的節點。受防護的 GKE 節點提供可驗證的高強度節點身分和完整性,可進一步提高節點的安全性。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes constraints/container.managed.enableShieldedNodes |
| Google Kubernetes Engine | 要求在 GKE 叢集中停用不安全的 kubelet 唯讀埠 | 確保不安全的 kubelet 唯讀連接埠 (10255) 保持停用狀態。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port constraints/container.managed.disableInsecureKubeletReadOnlyPort |
| Google Kubernetes Engine | 要求停用用戶端憑證驗證 | 請勿手動啟用舊版用戶端憑證驗證方法。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate constraints/container.managed.disableLegacyClientCertificateIssuance |
| Google Kubernetes Engine | 要求在 GKE 叢集中啟用 Cloud Logging | 規定所有 GKE 叢集至少要使用預設的 Cloud Logging 設定。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging constraints/container.managed.enableCloudLogging |
| Google Kubernetes Engine | 要求停用屬性型存取權控管 | 拒絕在 GKE 叢集上啟用屬性型存取權控管 (ABAC) 的要求。ABAC 是舊版驗證方法,所有新叢集都會預設停用這項功能。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled constraints/container.managed.disableABAC |
| Google Kubernetes Engine | 確保已啟用 DenyServiceExternalIPs 許可控制器 | 確保 GKE 叢集中的 DenyServiceExternalIPs 許可控制器維持啟用狀態。詳情請參閱 https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs constraints/container.managed.denyServiceExternalIPs |
| 身分與存取權管理 | 在 IAM 允許政策中限制允許的政策成員 | 這項限制定義了可在機構中授予 IAM 角色的機構主體集。 指定機構主體集後,與該機構相關聯的所有身分 (包括 Workspace 帳戶、Workspace 群組、服務帳戶、工作團隊集區身分、工作負載集區身分和服務代理) 都能在機構中獲得角色。系統不會自動允許您的機構主體集,您必須將其納入允許的主體集。 您可以使用主體類型前置字元 (例如 `user:` 或 `serviceAccount:`),指定個別成員並授予他們和相關別名貴機構中的角色。 強制執行這項限制可能會導致系統自動授予資料夾管理員和資料夾編輯者角色,進而封鎖資料夾資源建立作業;此外,系統也可能自動授予擁有者角色,進而封鎖專案資源建立作業。 constraints/iam.managed.allowedPolicyMembers |
| 身分與存取權管理 | 停用服務帳戶建立功能 | 如果這項布林限制設為「True」,則服務帳戶建立功能將會停用。 根據預設,具備相關 Cloud IAM 角色和權限的使用者可以建立服務帳戶。 constraints/iam.managed.disableServiceAccountCreation |
| 身分與存取權管理 | 封鎖服務帳戶 API 金鑰繫結 | 強制執行後,系統會停用繫結至服務帳戶的 API 金鑰建立作業。constraints/iam.managed.disableServiceAccountApiKeyCreation |
| 身分與存取權管理 | 防止預設服務帳戶取得具備權限的基本角色 | 強制執行這項限制後,任何人都無法隨時將編輯者角色 (roles/editor) 或擁有者角色 (roles/owner) 授予 Compute Engine 和 App Engine 預設服務帳戶。如要進一步瞭解預設服務帳戶,請參閱 https://cloud.google.com/iam/help/service-accounts/default。強制執行這項限制後,預設服務帳戶就不會自動獲得編輯者角色 (roles/editor)。這可能會導致使用這些服務帳戶的服務發生權限問題。如要瞭解應將哪些角色授予每個服務帳戶,請參閱 https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default。 constraints/iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts |
| 身分與存取權管理 | 停用服務帳戶金鑰建立功能 | 如果強制執行這項限制,系統會禁止建立服務帳戶金鑰。constraints/iam.managed.disableServiceAccountKeyCreation |
| 身分與存取權管理 | 停用服務帳戶金鑰上傳功能 | 如果將這項布林值限制設為「True」,系統會停用將公開金鑰上傳至服務帳戶的功能。 根據預設,具備相關 Cloud IAM 角色和權限的使用者可以將公開金鑰上傳至服務帳戶。 constraints/iam.managed.disableServiceAccountKeyUpload |
| 重要聯絡人 | 限制聯絡人網域 | 這項限制定義了新增至重要聯絡人的電子郵件地址可使用的網域組合。 根據預設,使用任何網域的電子郵件地址都能新增至重要聯絡人。 allowedDomains 清單必須指定一或多個 @example.com 形式的網域。如果強制執行這項限制,只有後置字元符合允許網域清單中任一項目的電子郵件地址,才能新增至重要聯絡人。這項限制不會影響現有聯絡人的更新或移除作業。 constraints/essentialcontacts.managed.allowedContactDomains |
| Cloud Run | 對 Cloud Run 服務執行 IAM 叫用者檢查 | 強制執行這項限制時,Cloud Run 服務必須啟用 IAM 呼叫端檢查。 如果未強制執行這項限制,您可以在 Cloud Run 服務上將 service.invoker_iam_disabled 欄位 (v2) 或 run.googleapis.com/invoker-iam-disabled 註解 (v1) 設為 True。您也可以將 run.routes.invoke 權限授予 allUsers,達到類似結果。詳情請參閱 https://cloud.google.com/run/docs/securing/managing-access#make-service-public 和 https://cloud.google.com/run/docs/securing/security。constraints/run.managed.requireInvokerIam |
| Compute Engine | 封鎖 Compute Engine 預先發布版功能 | 這項限制可確保除非明確允許,否則系統會封鎖預先發布功能更新。您可以為專案個別指定要更新的預覽功能,這樣一來,貴機構就只能存取這些預先發布版功能。目前範圍僅限於存取 Compute Alpha 版 API。constraints/compute.managed.blockPreviewFeatures |
| Compute Engine | 允許的 VLAN 連結加密設定 | 這項清單限制定義了新 VLAN 連結允許的加密設定。 VLAN 連結預設能使用任何加密設定。 將 IPSEC 設定為允許的值,可強制只建立已加密的 VLAN 連結。 constraints/compute.managed.allowedVlanAttachmentEncryption |
| Cloud Pub/Sub | 停用主題單一訊息轉換 (SMT) | 請勿設定或修改這項政策。在您初次使用 Assured Workloads 時,系統會自動設定這項限制 (僅供 Assured Workloads 進階監管控制之用)。強制執行這項布林限制後,Pub/Sub 主題就無法設定單一訊息轉換 (SMT)。constraints/pubsub.managed.disableTopicMessageTransforms |
| Cloud Pub/Sub | 停用訂閱項目的單一訊息轉換 (SMT) | 請勿設定或修改這項政策。在您初次使用 Assured Workloads 時,系統會自動設定這項限制 (僅供 Assured Workloads 進階監管控制之用)。強制執行這項布林限制後,Pub/Sub 訂閱項目就無法設定單一訊息轉換 (SMT)。constraints/pubsub.managed.disableSubscriptionMessageTransforms |
多項 Google Cloud 服務支援的限制
| 限制 | 說明 | 支援的前置字串 |
|---|---|---|
| 允許的工作站集區 (Cloud Build) | 這項清單限制定義了一組可使用 Cloud Build 執行建構作業的 Cloud Build 工作站集區。如果強制執行這項限制,就必須在與其中一個允許值相符的工作站集區中執行建構作業。 根據預設,Cloud Build 可以使用任何工作站集區。 工作站集區的允許清單必須為以下格式:
constraints/cloudbuild.allowedWorkerPools | "is:" 和 "under:" |
| Google Cloud Platform - 資源位置限制 | 這項清單限制定義了一組可建立位置型 Google Cloud 資源的位置。重要事項:本頁資訊所述並非 Google Cloud Platform 針對客戶的「客戶資料」所做資料位置承諾 (定義請見 Google 同意提供 Google Cloud Platform 服務時的協議,相關說明請參閱 Google Cloud Platform 服務摘要,網址為 https://cloud.google.com/terms/services)。如要瞭解客戶可以針對哪些 Google Cloud Platform 服務選取客戶資料位置,請前往 https://cloud.google.com/terms/data-residency,查看符合資料落地規定的 Google Cloud Platform 服務清單。 根據預設,您可以在任何位置建立資源。如要瞭解支援的服務有哪些,請前往 https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services 查看完整清單。 這項限制的政策可將多區域 (例如 asia 和 europe) 和單一區域 (例如 us-east1 或 europe-west1) 指定為允許或拒絕的位置。允許或拒絕某個多區域,不代表會一併允許或拒絕其中包含的所有子位置。舉例來說,假設政策拒絕 us 這個多區域 (即「多區域資源」,例如某些儲存空間服務),您還是可以在 us-east1 單一區域位置中建立資源。另一方面,in:us-locations 群組包含 us 區域中的所有位置,可用來封鎖各個區域。建議您使用值組定義政策。 您可以指定值組,也就是 Google 彙整的位置集合,輕鬆定義資源位置。如要在組織政策使用值組,請用「in:」字串做為值組的前置字元, in:舉例來說,如要建立資源,並將資源的實體位置限制於美國境內,請在允許值清單中設定 in:us-locations。如果您在位置政策中使用 suggested_value 欄位,則欄位內應包含特定地區。如果指定的值是區域,可用區資源的 UI 可能會預先填入該區域中的任何可用區。constraints/gcp.resourceLocations | "is:" 和 "in:" |
| 限制哪些專案可提供 CMEK 的 KMS CryptoKey | 這項清單限制定義了建立資源時,可以透過哪些專案提供客戶自行管理的加密金鑰 (CMEK)。如果將這項限制設為 Allow (即僅允許這些專案的 CMEK 金鑰),即可確保其他專案的 CMEK 金鑰無法用來保護新建立的資源。指定這項限制的值時,必須採用 under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID 或 projects/PROJECT_ID 的格式。強制執行這項限制的支援服務如下:
Deny 或 Deny All。這項限制在強制執行之後,效力不會溯及既往。如果既有 CMEK Google Cloud 資源的 KMS CryptoKey 來自不允許的專案,為確保能強制執行,您必須手動重新設定或重新建立這類資源。constraints/gcp.restrictCmekCryptoKeyProjects | "is:" 和 "under:" |
| 限制端點用量 | 這項清單限制定義了一組 Google Cloud API 端點,這些端點可以用來存取組織、資料夾或專案中的資源。 這項限制可以封鎖透過全域 API 端點傳送的 Google Cloud 資源存取要求,強制改用特定位置或區域的端點。舉例來說,如果在這項政策的拒絕清單中指定 bigquery.googleapis.com,對 bigquery.googleapis.com/... 的要求就會失敗,但對 {location}-bigquery.googleapis.com/... 的要求會成功。根據預設,系統允許存取所有 Google Cloud API 端點。 拒絕的端點清單必須來自下方清單。拒絕的清單若有其他值,則無法儲存。 如要瞭解詳情 (例如有效限制值的清單),請參閱「端點用量限制」使用手冊。 constraints/gcp.restrictEndpointUsage | "is:" 和 "in:" |
| 限制哪些服務可以在沒有 CMEK 的情況下建立資源 | 這項清單限制定義了哪些服務須有客戶自行管理的加密金鑰 (CMEK)。如果將這項限制設為 Deny (即沒有 CMEK 就不得建立資源),所指定服務的新建資源就必須受 CMEK 保護。這項限制可設定的支援服務如下:
Deny All。不得將這項限制設為 Allow。這項限制在強制執行之後,效力不會溯及既往。為確保能強制執行,請務必手動重新設定或重新建立既有的非 CMEK Google Cloud 資源。constraints/gcp.restrictNonCmekServices | "is:" |
| 限制使用資源服務 | 這項限制定義了可以在機構、資料夾或專案中使用的一組 Google Cloud 資源服務,例如 compute.googleapis.com 和 storage.googleapis.com。 根據預設,所有 Google Cloud 資源服務皆可使用。 詳情請參閱 https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources。 constraints/gcp.restrictServiceUsage | "is:" |
| 限制 TLS 加密套件 | 這項清單限制定義了一組 TLS 加密套件,使用者可用來存取下列項目中的資源:已強制執行這項限制的組織、資料夾或專案。 預設允許所有 TLS 加密套件。輸入要指定的 TLS 加密套件名稱,即可將其新增至許可清單或拒絕清單,例如 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256。您也可以指定值組 (即 Google 彙整的加密套件集合),輕鬆定義限制。如要在組織政策使用值組,請用「in:」字串做為值組的前置字元,in:例如 in:CNSA-2.0-recommended-ciphers.這項限制只會套用至採用 TLS 的要求,不會限制未加密的要求。 如要瞭解詳情,請參閱「限制 TLS 加密套件」使用手冊。 constraints/gcp.restrictTLSCipherSuites | "is:" 和 "in:" |
| 限制 TLS 版本 | 這項限制定義了一組 TLS 版本,這些版本無法用於強制執行這項限制的組織、資料夾或專案,也不能用於資源階層結構中屬於該項資源的子項。 預設允許所有 TLS 版本。您只能在拒絕清單指定 TLS 版本,而且必須使用 TLS_VERSION_1 或 TLS_VERSION_1_1 的格式。這項限制只會套用至採用 TLS 的要求,不會限制未加密的要求。 詳情請參閱 https://cloud.google.com/assured-workloads/docs/restrict-tls-versions。 constraints/gcp.restrictTLSVersion | "is:" |
| 停用區域性資源的 Identity-Aware Proxy (IAP) 啟用功能 | 如果強制執行這項布林值限制,系統會停用區域性資源的 Identity-Aware Proxy 啟用功能。這項限制不會禁止啟用全域性資源的 IAP。 根據預設,使用者可以啟用區域性資源的 IAP。 constraints/iap.requireRegionalIapWebDisabled | "is:" |
| 限制允許使用的 Google Cloud API 及服務 | 這個清單限制會限制可在此資源上啟用的服務組合,以及該服務的 API。根據預設,所有服務都會允許。 拒絕服務清單必須來自下方清單。目前系統並不支援透過此限制明確地啟用 API 功能。如果您指定不在此清單中的 API,將會導致錯誤發生。 這項限制在強制執行之後,效力不會溯及既往。當強制執行此限制時,資源上的已啟用服務將維持啟用狀態。 constraints/serviceuser.services | "is:" |
特定服務的限制
| 服務 | 限制 | 說明 | 支援的前置字串 |
|---|---|---|---|
| Vertex AI Workbench | 定義 Vertex AI Workbench 筆記本和執行個體的存取模式 | 這份清單限定了在強制執行限制後,Vertex AI Workbench 筆記本和執行個體允許的存取模式。在 service-account 模式下,允許/拒絕清單可指定多位使用者;如果是 single-user 模式,則可指定單一使用者存取。請明確列出允許/拒絕的存取模式。constraints/ainotebooks.accessMode | "is:" |
| Vertex AI Workbench | 停用新的 Vertex AI Workbench 執行個體的檔案下載功能 | 如果強制執行這個布林限制,就能防止系統在建立 Vertex AI Workbench 執行個體時啟用檔案下載選項。根據預設,系統可以在任何 Vertex AI Workbench 執行個體上啟用檔案下載選項。constraints/ainotebooks.disableFileDownloads | "is:" |
| Vertex AI Workbench | 針對由使用者代管的新 Vertex AI Workbench 筆記本和執行個體停用 Root 權限 | 如果強制執行這項布林值限制,新建的 Vertex AI Workbench 使用者自管筆記本和執行個體就無法啟用根目錄存取權。根據預設,Vertex AI Workbench 使用者自管筆記本和執行個體皆可啟用根目錄存取權。constraints/ainotebooks.disableRootAccess | "is:" |
| Vertex AI Workbench | 停用新的 Vertex AI Workbench 執行個體的終端機功能 | 如果強制執行這項布林值限制,就無法在終端機啟用時建立 Vertex AI Workbench 執行個體。根據預設,Vertex AI Workbench 執行個體可以啟用終端機。constraints/ainotebooks.disableTerminal | "is:" |
| Vertex AI Workbench | 限制新 Vertex AI Workbench 使用者自行管理的筆記本的環境選項 | 這項清單限制定義了在新增 Vertex AI Workbench 使用者自行管理的筆記本時,使用者可以選取的 VM 和容器映像檔選項。您必須明確列出允許/拒絕的選項。VM 執行個體的格式應為 ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE。請將 IMAGE_TYPE 替換為 image-family 或 image-name。例如:ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu、ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615。容器映像檔的預期格式為 ainotebooks-container/CONTAINER_REPOSITORY:TAG。例如:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest、ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48。constraints/ainotebooks.environmentOptions | "is:" |
| Vertex AI Workbench | 針對新的 Vertex AI Workbench 使用者自管筆記本和執行個體,要求自動執行排定的更新作業 | 如果強制執行這項布林值限制,新建的 Vertex AI Workbench 使用者自管筆記本和執行個體就必須設定自動升級排程。如要定義自動升級排程,您可以使用「notebook-upgrade-schedule」中繼資料旗標,指定自動升級作業的 Cron 排程,例如:`--metadata=notebook-upgrade-schedule="00 19 * * MON"`。constraints/ainotebooks.requireAutoUpgradeSchedule | "is:" |
| Vertex AI Workbench | 限制公開 IP 對新 Vertex AI Workbench 筆記本和執行個體的存取權 | 當強制執行此布林值限制時,系統會限制新建立 Vertex AI Workbench 筆記本和執行個體的公開 IP 存取權。公開 IP 預設可存取 Vertex AI Workbench 筆記本和執行個體。constraints/ainotebooks.restrictPublicIp | "is:" |
| Vertex AI Workbench | 限制新 Vertex AI Workbench 執行個體的虛擬私有雲網路 | 這份清單限制定義了在強制執行這項限制後,使用者在建立新的 Vertex AI Workbench 執行個體時,可選擇的虛擬私有雲網路。根據預設,可以使用任何虛擬私有雲網路建立 Vertex AI Workbench 執行個體。允許或拒絕的聯播網清單必須以 under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME 格式指定。constraints/ainotebooks.restrictVpcNetworks | "is:" 和 "under:" |
| Vertex AI | 可定義以下項目的存取權:Vertex AI 內的 Google 專屬生成式 AI 模型 | 這項清單限制定義了一系列可在 Vertex AI API 使用的生成式 AI 模型和功能。許可清單的值應採用「model_id:feature_family」的格式,model_id:feature_family例如,publishers/google/models/text-bison:predict。這項清單限制只適用於 Google 擁有的生成式 AI 模型,會限制此類 Google 模型的存取權,不會影響第三方擁有的或開放原始碼模型。您可以使用「vertexai.allowedModels」這項限制,定義更多模型的存取權,包括 Google 和第三方擁有的模型,以及開放原始碼模型。vertexai.allowedModels所有模型預設都能用於 Vertex AI API。constraints/vertexai.allowedGenAIModels | "is:" |
| Vertex AI | 可定義 Vertex AI 內模型的存取權 | 這項清單限制定義了一系列可在 Vertex AI API 使用的模型和功能。許可清單的值應採用「model_id:feature_family」格式,例如「publishers/google/models/gemini-1.0-pro:predict」。所有模型預設都能用於 Vertex AI API。constraints/vertexai.allowedModels | "is:" |
| Vertex AI | 停用生成式 AI API 中的「以 Google 搜尋建立基準」功能 | 如果強制執行這項布林值限制,就無法在生成式 AI API 以 Google 搜尋建立基準。這項功能預設為啟用。constraints/vertexai.disableGenAIGoogleSearchGrounding | "is:" |
| App Engine | 停用原始碼下載 | 停用之前上傳至 App Engine 的原始碼下載。constraints/appengine.disableCodeDownload | "is:" |
| App Engine | 執行階段部署豁免 (App Engine) | 這個清單限制定義了在支援停止之後,可用於部署作業的一系列 App Engine 標準環境舊版執行階段 (Python 2.7、PHP 5.5 和 Java 8)。系統將於 2024 年 1 月 30 日停止支援 App Engine 標準環境舊版執行階段。一般來說,上述日期過後就無法再透過舊版執行階段部署應用程式。請參閱 App Engine 標準環境執行階段支援時程。將這項限制設為「允許」,即可透過您指定的舊版執行階段進行 App Engine 標準環境部署作業,直到執行階段淘汰為止。如果設為「全部允許」,則能透過任何舊版執行階段進行 App Engine 標準環境部署作業,直到執行階段淘汰為止。已停止支援的執行階段不會收到定期安全性與維護修補程式。強烈建議您升級應用程式,使用正式發布版執行階段。constraints/appengine.runtimeDeploymentExemption | "is:" |
| BigQuery | 停用 Cloud AWS 的 BigQuery Omni | 如果將這項布林限制設為 True,使用者就無法透過 BigQuery Omni 處理強制實行這項限制的 Amazon Web Services 資料。constraints/bigquery.disableBQOmniAWS | "is:" |
| BigQuery | 停用 Cloud Azure 的 BigQuery Omni | 如果將這項布林限制設為 True,使用者就無法透過 BigQuery Omni 處理強制實行這項限制的 Microsoft Azure 資料。constraints/bigquery.disableBQOmniAzure | "is:" |
| Cloud Build | 允許的整合作業 (Cloud Build) | 這份清單限定了 Cloud Build 整合作業。只有這些作業能接收 Google Cloud 以外服務的 Webhook,以執行建構作業。如果強制執行這項限制,系統只會處理主機與其中一個允許值相符的服務相關 Webhook。 根據預設,Cloud Build 會為至少含有一個「有效」觸發條件的專案,處理所有 Webhook。 constraints/cloudbuild.allowedIntegrations | "is:" |
| Cloud Build | 禁止建立預設服務帳戶 (Cloud Build) | 如果強制執行這項布林值限制,就無法建立舊版 Cloud Build 服務帳戶。constraints/cloudbuild.disableCreateDefaultServiceAccount | "is:" |
| Cloud Build | 使用預設服務帳戶 (Cloud Build) | 如果強制執行這項布林值限制,預設會為使用舊版 Cloud Build 服務帳戶。constraints/cloudbuild.useBuildServiceAccount | "is:" |
| Cloud Build | 預設使用 Compute Engine 服務帳戶 (Cloud Build) | 如果強制執行這項布林值限制,預設會使用 Compute Engine 服務帳戶。constraints/cloudbuild.useComputeServiceAccount | "is:" |
| Cloud Deploy | 停用 Cloud Deploy 服務標籤 | 只要強制執行這項布林限制,Cloud Deploy 就不會將 Cloud Deploy 識別標籤新增至已部署的物件。 根據預設,系統會在建立版本時將識別 Cloud Deploy 資源的標籤新增至已部署的物件。 constraints/clouddeploy.disableServiceLabelGeneration | "is:" |
| Cloud Functions | 允許的輸入設定 (Cloud Functions) | 這項清單限制定義了第 1 代 Cloud 函式部署作業可使用的輸入設定。如果強制執行這項限制,函式的輸入設定就必須符合其中一個允許值。 根據預設,Cloud Functions 可以使用任何輸入設定。 您必須使用 IngressSettings 列舉值,在允許清單中指定輸入設定。預設的列舉值為 INGRESS_SETTINGS_UNSPECIFIED。必須先將列舉值變更為其他值,才能在組織政策使用。如為 Cloud Functions (第 2 代),則請使用 constraints/run.allowedIngress 限制。constraints/cloudfunctions.allowedIngressSettings | "is:" |
| Cloud Functions | 允許的虛擬私有雲連接器輸出設定 (Cloud 函式) | 這項清單限制定義了第 1 代 Cloud 函式部署作業可使用的 VPC 連接器輸出設定。如果強制執行這項限制,函式的 VPC 連接器輸出設定就必須符合其中一個允許值。 根據預設,Cloud Functions 可以使用任何 VPC 連接器輸出設定。 您必須使用 VpcConnectorEgressSettings 列舉值,在允許清單中指定虛擬私有雲連接器輸出設定。系統不支援預設的列舉值 VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED,如果政策中包含此值會發生錯誤。若您使用 Cloud Functions (第 2 代),請採用 constraints/run.allowedVPCEgress 限制。constraints/cloudfunctions.allowedVpcConnectorEgressSettings | "is:" |
| Cloud Functions | 必須指定虛擬私有雲連接器 (Cloud Functions) | 這項布林限制會強制要求在部署第 1 代 Cloud 函式時必須設定虛擬私有雲連接器。如果強制執行這項限制,函式就必須指定虛擬私人雲端連接器。 在預設情況下,部署 Cloud 函式時並不需要指定虛擬私有雲連接器。 constraints/cloudfunctions.requireVPCConnector | "is:" |
| Cloud Functions | 允許的 Cloud Functions 產生作業 | 這項清單限制定義了一系列可以建立新函式資源的可用 Cloud 函式產生作業,有效值為 1stGen、2ndGen。constraints/cloudfunctions.restrictAllowedGenerations | "is:" |
| Cloud KMS | 限制可建立的 KMS CryptoKey 類型。 | 這項清單限制定義了可在指定階層節點下建立的 Cloud KMS 金鑰類型。如果強制執行此限制,在相關聯的階層節點內,只能建立這項機構政策中指定的 KMS 金鑰類型。設定這項機構政策也會影響匯入工作和金鑰版本的防護等級。根據預設,系統會允許所有金鑰類型。有效值為:SOFTWARE、HSM、EXTERNAL、EXTERNAL_VPC。不過,系統並不允許拒絕政策。constraints/cloudkms.allowedProtectionLevels | "is:" |
| Cloud KMS | 將金鑰刪除限制為已停用的金鑰版本 | 如果強制執行這項布林值限制,只有已停用的金鑰版本會刪除。根據預設,您可以刪除已啟用的金鑰版本和已停用的金鑰版本。如果強制執行這項限制,現有和新的金鑰版本都會刪除。constraints/cloudkms.disableBeforeDestroy | "is:" |
| Cloud KMS | 每個金鑰的最短刪除排程時長 | 這份清單限制定義了使用者在建立新金鑰時,可以指定的最短預定刪除日數。強制執行限制之後,就無法建立預定刪除日數少於這個值的金鑰。所有金鑰的最短預定刪除日數預設為 1 天,但僅供匯入的金鑰例外,最短為 0 天。 格式只能指定一個允許的值: in:1d、in:7d、in:15d、in:30d、in:60d、in:90d 或 in:120d。舉例來說,假設 constraints/cloudkms.minimumDestroyScheduledDuration 設為 in:15d,那麼使用者在建立金鑰時,預定刪除日數只要高於 15 天即可,例如 16 天或 31 天。不過,使用者無法建立預定刪除日數少於 15 天的金鑰,例如 14 天。針對階層結構中的各項資源,其最短預定刪除日數可能會沿用、取代父項的政策,或是與父項的政策合併。資源的政策與父項的政策合併之後,資源政策指定的值與父項的有效最短預定刪除日數兩相比較後,較低值即為資源的有效最短預定刪除日數。舉例來說,假設某個機構的最短預定刪除日數為 7 天,而子專案的政策設為「與父項合併」(父項政策的值為 in:15d),則專案的有效最短預定刪除日數為 7 天。constraints/cloudkms.minimumDestroyScheduledDuration | "is:" 和 "in:" |
| Cloud Scheduler | 允許的工作目標類型 | 這項清單限制定義了一份 Cloud Scheduler 工作允許的目標類型清單,例如 App Engine HTTP、HTTP 或 Pub/Sub。 根據預設,系統允許所有工作目標。 有效值為: APPENGINE、HTTP、PUBSUB。constraints/cloudscheduler.allowedTargetTypes | "is:" |
| Cloud SQL | 針對 Cloud SQL 執行個體限制授權的網路 | 如果將這項布林限制設為 True,就不得在 Cloud SQL 執行個體中新增已授權網路,以用於未經 Proxy 處理的資料庫存取權。這項限制不具回溯性;即使強制執行這項限制,目前具有已授權網路的 Cloud SQL 執行個體仍可正常運作。根據預設,Cloud SQL 執行個體中可新增已授權網路。 constraints/sql.restrictAuthorizedNetworks | "is:" |
| Cloud SQL | 停用 Cloud SQL 中的診斷和管理員權限路徑,以符合法規遵循要求。 | 請勿設定或修改這項政策。在您初次使用 Assured Workloads 時,系統會自動設定這項限制 (僅供 Assured Workloads 進階監管控制之用)。如果強制執行這項布林值限制,某些方面的支援性可能會受損。另外,針對診斷和其他客戶服務用途,凡是不符合 Assured Workloads 進階主權規定的存取路徑都會停用。constraints/sql.restrictNoncompliantDiagnosticDataAccess | "is:" |
| Cloud SQL | 限制 Cloud SQL 執行個體中不符合規定的工作負載。 | 請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,這項限制會自動設定,並僅用於 Assured Workloads 進階監管作業。如果強制執行這項布林值限制,支援範圍將縮小,已佈建的資源則會完全符合 Assured Workloads 的進階主權規定。這項政策會套用至現有專案,因此具備可溯及既往性質,但不會影響已佈建的資源;舉例來說,對政策的修改內容只會反映在修改政策後才建立的資源。constraints/sql.restrictNoncompliantResourceCreation | "is:" |
| Cloud SQL | 限制 Cloud SQL 執行個體的公開 IP 存取權 | 如果將這項布林限制設為 True,就無法針對 Cloud SQL 執行個體設定公開 IP。這項限制不具回溯性;即使強制執行這項限制,目前設有公開 IP 存取權的 Cloud SQL 執行個體仍可正常運作。根據預設,Cloud SQL 執行個體可設定公開 IP 存取權。 constraints/sql.restrictPublicIp | "is:" |
| Google Cloud Marketplace | 停用公開 Marketplace | 如果強制執行這項布林值限制,組織中的所有使用者都會停用 Google Cloud Marketplace。組織預設會啟用公開市集存取權。這項政策僅在啟用 Private Marketplace (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace) 時有效。 重要事項:為獲得最佳體驗,強烈建議您使用市集使用者存取限制功能 (如 https://cloud.google.com/marketplace/docs/governance/strict-user-access 所述),防止機構未經授權使用市集,而非透過這項機構政策達成目的。 constraints/commerceorggovernance.disablePublicMarketplace | "is:" |
| Google Cloud Marketplace | 限制市集服務的存取權 | 這份清單限定了市場機構允許的服務組合,且只能包含下列清單的值:
IAAS_PROCUREMENT 在允許值清單中,則會為所有產品啟用 IaaS 採購管理功能。IaaS 採購管理功能預設為關閉狀態。IAAS_PROCUREMENT政策的運作方式獨立於「提出採購要求」管理功能,後者專用於 Cloud Marketplace 中的 SaaS 產品。注意:系統不再支援 PRIVATE_MARKETPLACE 值,使用此值不會有任何效果。如要啟用 Google Private Marketplace,請按照 https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace 的指示操作。 constraints/commerceorggovernance.marketplaceServices | "is:" |
| Compute Engine | 允許的 VLAN 連結加密設定 | 這項清單限制定義了新 VLAN 連結允許的加密設定。 VLAN 連結預設能使用任何加密設定。 將 IPSEC 設定為允許的值,可強制只建立已加密的 VLAN 連結。 constraints/compute.allowedVlanAttachmentEncryption | "is:" |
| Compute Engine | 停用所有 IPv6 用量 | 如果將這項布林值限制設為 True,使用者就無法建立或更新與 IPv6 用量有關的所有 Google Compute Engine 資源。根據預設,只要使用者具備適當的 Cloud IAM 權限,即可在任何專案、資料夾和機構中建立或更新含有 IPv6 用量的 Google Compute Engine 資源。 設定之後,這項限制的優先順序會高於其他 IPv6 機構限制,包括 disableVpcInternalIpv6、disableVpcExternalIpv6 和 disableHybridCloudIpv6。constraints/compute.disableAllIpv6 | "is:" |
| Compute Engine | 停用 Cloud Armor 安全性政策建立功能 | 如果強制執行這項布林值限制,就無法建立新的全域 Cloud Armor 安全性政策,以及新增或更新現有全域 Cloud Armor 安全性政策的規則。這項限制未禁止移除規則,或者移除、描述或列出全域 Cloud Armor 安全性政策。區域性 Cloud Armor 安全性政策不受此限制影響。在此限制強制執行前已存在的全域和區域性安全性政策將繼續生效。 根據預設,您可以在任何機構、資料夾或專案中,建立或更新 Cloud Armor 安全性政策。 constraints/compute.disableGlobalCloudArmorPolicy | "is:" |
| Compute Engine | 停用全球負載平衡 | 這項布林值限制會停用全球性負載平衡產品的建立功能。如果強制執行這項限制,則只能建立不含全球性依附元件的區域性負載平衡產品。根據預設,使用者可以建立全球性負載平衡產品。constraints/compute.disableGlobalLoadBalancing | "is:" |
| Compute Engine | 停用全球性自行管理安全資料傳輸層 (SSL) 憑證的建立功能 | 如果強制執行這項布林值限制,系統會停用全域性自行管理安全資料傳輸層 (SSL) 憑證的建立功能。這項限制不會停用 Google 代管或區域性自行管理憑證的建立功能。 根據預設,您可以在任何機構、資料夾或專案中建立全域性自行管理安全資料傳輸層 (SSL) 憑證。 constraints/compute.disableGlobalSelfManagedSslCertificate | "is:" |
| Compute Engine | 停用 VM 序列埠的全域存取權 | 如果對機構、專案或資料夾強制執行這項布林限制,系統就會停用當中的 Compute Engine VM 全域序列埠存取權。根據預設,客戶可使用中繼資料屬性,對個別 VM 或專案啟用 Compute Engine VM 序列埠存取權,但強制執行這項限制後,無論中繼資料屬性為何,系統都會停用 Compute Engine VM 全域序列埠存取權,區域序列埠存取權則不受影響。如要停用所有序列埠存取權,請改用 compute.disableSerialPortAccess 限制。constraints/compute.disableGlobalSerialPortAccess | "is:" |
| Compute Engine | 停用 Compute Engine 中繼資料的訪客屬性 | 如果機構、專案或資料夾的這項布林限制設為 True,Compute Engine API 將無法存取其中的 Compute Engine VM 訪客屬性。根據預設,Compute Engine API 可用來存取 Compute Engine VM 訪客屬性。 constraints/compute.disableGuestAttributesAccess | "is:" |
| Compute Engine | 停用混合雲 IPv6 用量 | 如果強制執行這項布林值限制,混合雲資源的建立或更新功能就會停用,包括互連網路連結,以及 stack_type為 IPV4_IPV6 或 IPV6_ONLY,或 gatewayIpVersion 為 IPv6 的 Cloud VPN 閘道。如果對 Cloud Router 資源強制執行這項限制,就無法建立 IPv6 邊界閘道通訊協定 (BGP) 工作階段,也不能啟用透過 IPv4 BGP 工作階段交換 IPv6 路徑的功能。 根據預設,只要使用者具備適當的 Cloud IAM 權限,即可在專案、資料夾和機構內建立或更新 stack_type 為 IPV4_IPV6 的混合雲資源。constraints/compute.disableHybridCloudIpv6 | "is:" |
| Compute Engine | 停用執行個體資料存取 API | 請勿設定或修改這項政策。在您初次使用 Assured Workloads 時,系統會自動設定這項限制 (僅供 Assured Workloads 進階監管控制之用)。如果強制執行這項布林限制,系統會停用存取 VM 序列埠輸出內容的 GetSerialPortOutput API,以及擷取 VM UI 螢幕截圖的 GetScreenshot API。constraints/compute.disableInstanceDataAccessApis | "is:" |
| Compute Engine | 停用網際網路的網路端點群組 | 這項布林值限制會控制使用者是否能建立type為INTERNET_FQDN_PORT和INTERNET_IP_PORT的網際網路網路端點群組 (NEG)。根據預設,具備適當身分與存取權管理權限的使用者皆可在任何專案建立網際網路 NEG。 constraints/compute.disableInternetNetworkEndpointGroup | "is:" |
| Compute Engine | 停用 VM 巢狀虛擬化功能 | 針對將這項布林限制設為 True 的機構、專案或資料夾,停用其中所有 Compute Engine VM 的硬體加速式巢狀虛擬化功能。根據預設,在 Intel Haswell 或更新 CPU 平台上執行的所有 Compute Engine VM 都允許使用硬體加速式巢狀虛擬化功能。 constraints/compute.disableNestedVirtualization | "is:" |
| Compute Engine | 強制執行符合 FIPS 規範的機型 | 如果強制執行這項布林限制,系統會禁止建立不符 FIPS 規範的 VM 執行個體類型。constraints/compute.disableNonFIPSMachineTypes | "is:" |
| Compute Engine | 停用用戶的 Private Service Connect | 這份清單限制定義了使用者無法建立轉送規則的 Private Service Connect 端點類型組合。如果強制執行這項限制,系統就會禁止使用者建立該 Private Service Connect 端點類型的轉送規則。這項限制不會強制溯及既往。 根據預設,您可以針對任何 Private Service Connect 端點類型建立轉送規則。 Private Service Connect 端點的許可/拒絕清單必須來自以下清單:
GOOGLE_APIS,則無法建立用於存取 Google API 的 Private Service Connect 轉送規則。如果在許可/拒絕清單中使用 SERVICE_PRODUCERS,則無法建立用於存取其他虛擬私有雲網路中服務的 Private Service Connect 轉送規則。constraints/compute.disablePrivateServiceConnectCreationForConsumers | "is:" |
| Compute Engine | 停用 VM 序列埠存取權 | 如果機構、專案或資料夾的這項布林限制設為 True,系統就會停用當中的 Compute Engine VM 序列埠存取權。根據預設,客戶可使用中繼資料屬性,對個別 VM 或專案啟用 Compute Engine VM 序列埠存取權,強制執行這項限制將會停用 Compute Engine VM 的序列埠存取權,無論中繼資料屬性為何。 constraints/compute.disableSerialPortAccess | "is:" |
| Compute Engine | 停用 Stackdriver 的 VM 序列埠記錄功能 | 如果機構、專案或資料夾的這項布林限制處於強制執行的狀態,系統就不會將其中的 Compute Engine VM 序列埠記錄至 Stackdriver。 根據預設,Compute Engine VM 序列埠記錄功能為停用狀態,您可以使用中繼資料屬性對個別 VM 或個別專案啟用這項功能。如果強制執行這項限制,系統就不會為任何新建立的 Compute Engine VM 記錄序列埠,使用者也無法將任何 VM (無論新或舊) 的中繼資料屬性變更為 True。如果停用序列埠記錄功能,使用此功能的部分服務 (如 Google Kubernetes Engine 叢集) 可能會無法正常運作。強制執行這項限制前,請先確認專案中的產品不需使用序列埠記錄功能。constraints/compute.disableSerialPortLogging | "is:" |
| Compute Engine | 停用「透過瀏覽器建立 SSH 連線」 | 這項布林值限制會針對使用 OS 登入和 App Engine 彈性環境的 VM,停用 Cloud 控制台中透過瀏覽器建立 SSH 連線的工具。如果強制執行這項限制,透過瀏覽器建立 SSH 連線的按鈕就會停用。預設可以透過瀏覽器建立 SSH 連線。constraints/compute.disableSshInBrowser | "is:" |
| Compute Engine | 停用虛擬私有雲外部 IPv6 用量 | 如果將這項布林值限制設為 True,使用者就無法建立或更新 stack_type 為 IPV4_IPV6 且 ipv6_access_type 為 EXTERNAL 的子網路。根據預設,只要使用者具備適當的 Cloud IAM 權限,即可在任何專案、資料夾和機構內建立或更新 stack_type 為 stack_type 的子網路。IPV4_IPV6constraints/compute.disableVpcExternalIpv6 | "is:" |
| Compute Engine | 停用虛擬私有雲內部 IPv6 用量 | 如果將這項布林值限制設為 True,使用者就無法建立或更新 stack_type 為 IPV4_IPV6 且 ipv6_access_type 為 INTERNAL 的子網路。根據預設,只要使用者具備適當的 Cloud IAM 權限,即可在任何專案、資料夾和機構內建立或更新 stack_type 為 stack_type 的子網路。IPV4_IPV6constraints/compute.disableVpcInternalIpv6 | "is:" |
| Compute Engine | 為法規遵循記憶體防護的工作負載啟用設定 | 請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,這項限制會自動設定,並僅用於 Assured Workloads 進階監管作業。此限制可控管設定,以消除 VM 核心記憶體潛在的存取路徑。強制執行這項限制後,系統就會停用存取路徑,限制存取 VM 核心記憶體,並在發生錯誤時限制收集內部資料。constraints/compute.enableComplianceMemoryProtection | "is:" |
| Compute Engine | 針對會顯示特定區域配額資訊的 list 方法,停用「失敗時維持開放狀態」的運作模式 | 如果強制執行這項布林值限制,系統會針對 regions.list、regions.get 和 projects.get 方法在伺服器端失敗的情況,停用「失敗時維持開放狀態」的運作模式。這代表強制執行限制時,如果無法取得配額資訊,這些方法就會失敗。這些方法預設會在伺服器端失敗時成功,並在無法取得配額資訊時顯示警告訊息。constraints/compute.requireBasicQuotaInResponse | "is:" |
| Compute Engine | 須完成 OS 設定 | 如果強制執行這項布林值限制,系統會在所有新專案上啟用 VM 管理員 (OS 設定)。新專案中的所有 VM 執行個體也都會啟用 VM 管理員。如果在新專案和現有專案中設定這項限制,就無法進行會在專案或執行個體層級停用 VM 管理員的中繼資料更新作業。 根據預設,Compute Engine 專案會停用 VM 管理員。 constraints/compute.requireOsConfig | "is:" |
| Compute Engine | 需要 OS 登入 | 如果將這項布林限制設為 true,所有新建立的專案都會啟用 OS 登入。新專案中的所有 VM 執行個體也都會啟用 OS 登入。如果在新專案和現有專案中設定這項限制,就無法進行會在專案或執行個體層級停用 OS 登入的中繼資料更新作業。根據預設,Compute Engine 專案會停用 OS 登入功能。 執行節點集區 1.20.5-gke.2000 以上版本之私人叢集中的 GKE 執行個體支援 OS 登入。公開叢集中的 GKE 執行個體目前不支援 OS 登入。如果將這項限制套用至執行公開叢集的專案,則該專案中執行的 GKE 執行個體可能無法正常運作。 constraints/compute.requireOsLogin | "is:" |
| Compute Engine | 受防護的 VM | 這項布林限制設為 True 時,所有新的 Compute Engine VM 執行個體都必須使用已啟用安全啟動、vTPM 和完整性監控選項的受防護磁碟映像檔。如有需要,您可以在建立執行個體後停用安全啟動功能。運作中的現有執行個體仍會正常運作。根據預設,您無須啟用受防護的 VM 功能,也可以建立 Compute Engine VM 執行個體。受防護的 VM 功能可為您的 VM 提供可驗證的完整性,並防範資料遭到竊取。 constraints/compute.requireShieldedVm | "is:" |
| Compute Engine | 須有 SSL 政策 | 這項清單限制定義了一系列可以使用預設 SSL 政策的目標 SSL Proxy 和目標 HTTPS Proxy。根據預設,所有目標 SSL Proxy 和目標 HTTPS Proxy 都能使用預設 SSL 政策。如果強制執行這項限制,新的目標 SSL Proxy 和目標 HTTPS Proxy 就必須指定 SSL 政策。這項限制在強制執行之後,效力不會溯及既往。使用預設 SSL 政策的現有目標 Proxy 不會受到影響。目標 SSL Proxy 和目標 HTTPS Proxy 的允許/拒絕清單必須以以下格式指定:
constraints/compute.requireSslPolicy | "is:" 和 "under:" |
| Compute Engine | 必須為虛擬私有雲流量記錄檔提供預先定義政策 | 這項清單限制定義了一組可對虛擬私有雲流程記錄檔強制執行的預先定義政策。 根據預設,無論子網路的設定為何,一律都能配置虛擬私有雲流程記錄檔。 這項限制會強制為範圍內的所有子網路啟用流程記錄,並設定最低取樣率。 請指定一或多個下列有效值:
constraints/compute.requireVpcFlowLogs | "is:" |
| Compute Engine | 限制 Cloud NAT 用量 | 這項清單限制會定義允許使用 Cloud NAT 的子網路集。根據預設,所有子網路都可以使用 Cloud NAT。允許/拒絕的子網路清單必須以 under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID 或 projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME 的形式指定。constraints/compute.restrictCloudNATUsage | "is:" 和 "under:" |
| Compute Engine | 限制跨專案的後端 bucket 和後端服務 | 這項清單限制會對可以附加 urlMap 資源的 BackendBucket 和 BackendService 資源設下限制,不適用於位於 urlMap 資源所在專案的 BackendBucket 和 BackendService。根據預設,只要使用者具備 compute.backendService.use、compute.regionBackendServices.use 或 compute.backendBuckets.use 權限,專案中的 urlMap 資源就能參照相同機構內其他專案中的相容 BackendBucket 和 BackendService。不建議您搭配使用這項限制與 compute.restrictSharedVpcBackendServices 限制,以免發生衝突。如果將專案、資料夾和機構資源新增至允許或拒絕清單,資源階層結構中位於該項資源下的所有 BackendBucket 和 BackendService 都會受到影響。允許或拒絕清單只能包含專案、資料夾和機構資源,且必須以下列格式指定:
constraints/compute.restrictCrossProjectServices | "is:" 和 "under:" |
| Compute Engine | 限制專屬互連網路用量 | 這項清單限制定義了可使用專屬互連網路的 Compute Engine 網路組合。根據預設,網路可以使用任何類型的互連網路。網路的允許/拒絕清單必須以 under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME 格式指定。constraints/compute.restrictDedicatedInterconnectUsage | "is:" 和 "under:" |
| Compute Engine | 根據負載平衡器類型限制負載平衡器的建立作業 | 這項清單限制定義了可以為機構、資料夾或專案建立的負載平衡器類型組合。使用者必須明確列出可以或拒絕使用的各個負載平衡器類型。根據預設,使用者可以建立任何類型的負載平衡器。 允許值或拒絕值的清單都必須是負載平衡器的字串名稱,且只能包含下列清單中的值:
如要納入內部或外部的所有負載平衡器類型,請使用「in:」前置字串,並在後方加上「INTERNAL」或「EXTERNAL」。舉例來說,假設您允許「in:INTERNAL」,即代表您允許使用上方清單中,含有「INTERNAL」的所有負載平衡器類型。 constraints/compute.restrictLoadBalancerCreationForTypes | "is:" 和 "in:" |
| Compute Engine | 限制非機密運算 | 這項清單限制的拒絕清單會定義一組服務,而這組服務必須在啟用機密運算的情況下建立所有新資源。根據預設,不需有新資源即可使用機密運算。系統強制執行這項清單限制時,在資源的整個生命週期中,都無法停用機密運算。現有資源仍會照常運作。遭拒服務清單必須以 API 的字串名稱識別,且只能包含下方清單中明確遭拒的值。目前不支援明確允許 API。明確拒絕不在此清單中的 API 會發生錯誤。支援的 API 清單:[compute.googleapis.com、container.googleapis.com] constraints/compute.restrictNonConfidentialComputing | "is:" |
| Compute Engine | 限制能否使用合作夥伴互連網路 | 這項清單限制定義了可使用合作夥伴互連網路的 Compute Engine 網路組合。根據預設,網路可以使用任何類型的互連網路。網路的允許/拒絕清單必須以 under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME 格式指定。constraints/compute.restrictPartnerInterconnectUsage | "is:" 和 "under:" |
| Compute Engine | 限制允許的 Private Service Connect 使用者 | 這份清單限定了可連線的機構、資料夾和專案。只有這些內容能在供應商的機構或專案中,連至服務連結。允許或拒絕清單必須以下列格式指定:under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID 或 under:projects/PROJECT_ID。系統預設會允許所有連線。constraints/compute.restrictPrivateServiceConnectConsumer | "is:" 和 "under:" |
| Compute Engine | 限制允許的 Private Service Connect 供應商 | 這項清單限制定義了 Private Service Connect 使用者可以連線至哪些附加服務。這項限制會根據端點或後端所參照的附加服務的組織、資料夾或專案資源,來封鎖 Private Service Connect 端點或後端的部署作業。允許或拒絕清單必須以下列格式指定:under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID 或 under:projects/PROJECT_ID。系統預設會允許所有連線。constraints/compute.restrictPrivateServiceConnectProducer | "is:" 和 "under:" |
| Compute Engine | 限制使用通訊協定轉送 | 這項清單限制定義了使用者可以建立的通訊協定轉送規則物件類型,這類物件具備目標執行個體。如果強制執行這項限制,具備目標執行個體的新轉送規則物件就只能使用內部和/或外部 IP 位址 (取決於指定的類型)。使用者必須明確列出允許或拒絕使用的類型。建立具備目標執行個體的通訊協定轉送規則物件時,預設可以使用「內部」和「外部」兩個類型。 允許或拒絕值的清單只能包含下列清單中的值:
constraints/compute.restrictProtocolForwardingCreationForTypes | "is:" |
| Compute Engine | 限制共用虛擬私有雲後端服務 | 這項清單限制定義了一組共用虛擬私有雲後端服務,可供合格資源使用。該限制不適用於相同專案中的資源。根據預設,符合資格的資源可使用任何共用虛擬私有雲後端服務。後端服務的允許/拒絕清單必須採用以下格式:under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID、projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME 或 projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME。這項限制不會溯及既往。constraints/compute.restrictSharedVpcBackendServices | "is:" 和 "under:" |
| Compute Engine | 限制共用虛擬私有雲主專案 | 這項清單限制定義了一組共用虛擬私人雲端主專案,位於這項資源或在這項資源底下的專案都可連接至這些主專案。根據預設,專案可連接至相同機構中的任何主專案,並因此成為服務專案。允許/拒絕清單中的專案、資料夾和機構會影響位在資源階層更下層的所有物件,並且必須以下列格式指定:under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID 或 projects/PROJECT_ID。constraints/compute.restrictSharedVpcHostProjects | "is:" 和 "under:" |
| Compute Engine | 限制共用虛擬私有雲子網路 | 這個清單限制定義了可供合格資源使用的共用虛擬私人雲端子網路組合。該限制不適用於相同專案中的資源。根據預設,符合資格的資源可使用任何共用虛擬私人雲端子網路。允許/拒絕的子網路清單必須以下列格式指定:under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID 或 projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME。constraints/compute.restrictSharedVpcSubnetworks | "is:" 和 "under:" |
| Compute Engine | 限制虛擬私有雲對等互連用量 | 這個清單限制定義了一組虛擬私有雲網路組合,可與屬於該專案、資料夾或機構的虛擬私有雲網路對等互連。每個對等互連端點都須具備對等互連權限。網路管理員預設能與任何其他的網路對等互連。網路的允許/拒絕清單必須以 under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME 格式指定。constraints/compute.restrictVpcPeering | "is:" 和 "under:" |
| Compute Engine | 限制 VPN 對等互連 IP | 這項清單限定了一組有效的 IP 位址。只有這些位址可設為 VPN 對等互連 IP。根據預設,任何 IP 都能做為虛擬私人雲端網路的 VPN 對等互連 IP。允許/拒絕的 IP 位址清單必須依下列格式指定:IP_V4_ADDRESS 或 IP_V6_ADDRESS。constraints/compute.restrictVpnPeerIPs | "is:" |
| Compute Engine | 將新專案的內部 DNS 設定設為僅限可用區 DNS | 如果設為「True」,新建立的專案將會使用可用區 DNS 做為預設值。根據預設,這項限制是設為「False」,新建立的專案將使用預設的 DNS 類型。constraints/compute.setNewProjectDefaultToZonalDNSOnly | "is:" |
| Compute Engine | 共用預留項目擁有者專案 | 這項清單限制定義了機構中可以建立及擁有共用保留項目的一組專案。共用保留項目與本機保留項目相似,差別在於共用保留項目可供資源階層結構中的其他 Compute Engine 專案使用,而非僅限擁有者專案使用。可存取共用保留項目的專案清單必須採用以下格式:projects/PROJECT_NUMBER 或 under:projects/PROJECT_NUMBER。constraints/compute.sharedReservationsOwnerProjects | "is:" 和 "under:" |
| Compute Engine | 略過預設網路的建立作業 | 如果這項布林限制設為 True,則系統會在建立 Google Cloud Platform 專案資源時略過預設網路和相關資源的建立作業。根據預設,系統會在建立專案資源時自動建立預設網路和支援資源。constraints/compute.skipDefaultNetworkCreation | "is:" |
| Compute Engine | Compute 儲存空間資源使用限制 (Compute Engine 磁碟、映像檔和快照) | 這項清單限制會定義一組可使用 Compute Engine 儲存空間資源的專案。根據預設,只要使用者具備適當的 Cloud IAM 權限,即可存取 Computer Engine 資源。如要使用這項限制,使用者必須具備 Cloud IAM 權限,而且在資源存取方面不受限制。 允許或拒絕清單中指定的專案、資料夾和機構必須採用下列格式: under:projects/PROJECT_ID、under:folders/FOLDER_ID、under:organizations/ORGANIZATION_ID。constraints/compute.storageResourceUseRestrictions | "is:" 和 "under:" |
| Compute Engine | 定義可信映像檔專案 | 這項清單限制會定義可用於 Compute Engine 映像檔儲存空間與磁碟執行個體化的一組專案。 根據預設,執行個體可從與使用者公開或明確共用映像檔的任何專案中映像檔建立。 發布者專案的允許/拒絕清單必須由格式如下的字串組成: projects/PROJECT_ID。這項限制發揮作用後,只會允許可信專案的映像檔做為新執行個體開機磁碟的來源。constraints/compute.trustedImageProjects | "is:" |
| Compute Engine | 限制 VM IP 轉送 | 這項清單限制定義了一組可啟用 IP 轉送功能的 VM 執行個體。根據預設,任何 VM 都可在任何虛擬網路中啟用 IP 轉送功能。VM 執行個體必須以 under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID 或 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME 的形式指定。這項限制不會溯及既往。constraints/compute.vmCanIpForward | "is:" 和 "under:" |
| Compute Engine | 為 VM 執行個體定義允許的外部 IP | 這項清單限制定義了可使用外部 IPv4 位址的一組 Compute Engine VM 執行個體,但未禁止使用 IPv6 位址。 根據預設,所有 VM 執行個體都能使用外部 IPv4 和 IPv6 位址。 VM 執行個體的允許/拒絕清單必須以 VM 執行個體名稱識別,格式如下: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess | "is:" |
| Compute Engine | 停用全域性資源的 Identity-Aware Proxy (IAP) 啟用功能 | 如果強制執行這項布林值限制,系統會停用全域性資源的 Identity-Aware Proxy 啟用功能。這項限制不會禁止啟用區域性資源的 IAP。 根據預設,使用者可以啟用全域性資源的 IAP。 constraints/iap.requireGlobalIapWebDisabled | "is:" |
| Google Kubernetes Engine | 停用 GKE 中的診斷管理員權限路徑。 | 請勿設定或修改這項政策。在您初次使用 Assured Workloads 時,系統會自動設定這項限制 (僅供 Assured Workloads 進階監管控制之用)。如果強制執行這項布林限制,若診斷和其他客服用途的存取路徑不符合 Assured Workloads 規定,則會停用。constraints/container.restrictNoncompliantDiagnosticDataAccess | "is:" |
| Dataform | 限制在 Dataform 中對存放區使用 Git 遠端指令 | 這項清單限制定義了一組遠端,能與 Dataform 專案中的存放區通訊。如要封鎖與所有遠端的通訊,請將值設為 Deny all。此限制可溯及既往,並封鎖違反該限制的現有儲存庫通訊。清單項目應連至受信任的遠端,且需與 Dataform 中的格式相同。根據預設,Dataform 專案中的存放區能與任何遠端通訊。 constraints/dataform.restrictGitRemotes | "is:" |
| Datastream | Datastream - 封鎖公開連線方法 | 根據預設,您可以使用公開或私人連線方法來建立 DataStream 連線設定檔。如果強制執行了這項機構政策的布林值限制,則只能使用私人連線方法 (例如虛擬私有雲對等互連) 來建立連線設定檔。constraints/datastream.disablePublicConnectivity | "is:" |
| 重要聯絡人 | 網域限定聯絡人 | 這項清單限制定義了新增至重要聯絡人的電子郵件地址可使用的網域組合。 根據預設,使用任何網域的電子郵件地址都能新增至重要聯絡人。 允許/拒絕清單必須指定一或多個 @example.com 形式的網域。啟用這項限制並設定允許的值後,只有電子郵件地址的後置字元與允許網域清單中的項目相符,才能新增至重要聯絡人。這項限制不會影響現有聯絡人的更新或移除作業。 constraints/essentialcontacts.allowedContactDomains | "is:" |
| 重要聯絡人 | 停用專案安全聯絡人 | 如果強制執行這項布林值限制,就能讓機構政策管理員確保只有在機構或資料夾層級指派的聯絡人,才可接收安全性通知。具體而言,如果聯絡人也有做為父項的專案資源,強制執行這項限制會禁止專案擁有者和聯絡人管理員建立或更新在「notification_category_subscriptions」欄位含有「SECURITY」或「ALL」類別的重要聯絡人。constraints/essentialcontacts.disableProjectSecurityContacts | "is:" |
| Firestore | 必須使用 Firestore 服務代理才能執行匯入/匯出工作 | 如果強制實行這項布林值限制,則須具備 Firestore 匯入與匯出功能,才能使用 Firestore 服務代理。 根據預設,Firestore 的匯入與匯出工作可能會使用 App Engine 服務帳戶。 Firestore 日後會停止使用 App Engine 服務帳戶來執行匯入與匯出工作,而且所有帳戶均須遷移至 Firestore 服務代理,屆時即可撤銷這項限制。 constraints/firestore.requireP4SAforImportExport | "is:" |
| Cloud Healthcare | 停用 Cloud Healthcare API 的 Cloud Logging | 如果強制執行這項布林值限制,系統會停用 Cloud Healthcare API 的 Cloud Logging。 稽核記錄不會受到這項限制的影響。 如果 Cloud Healthcare API 的 Cloud 記錄檔在強制執行這項限制前即已產生,則不會遭到刪除且仍能存取。 constraints/gcp.disableCloudLogging | "is:" |
| 身分與存取權管理 | 允許將 OAuth 2.0 存取權杖的生命週期長度延長至最多 12 小時 | 這個清單限制定義了哪些服務帳戶組合可取得 OAuth 2.0 存取權杖和最多 12 小時的生命週期。根據預設,這些存取權杖的生命週期長度上限為 1 小時。 服務帳戶的許可/拒絕清單必須指定一或多個服務帳戶電子郵件地址。 constraints/iam.allowServiceAccountCredentialLifetimeExtension | "is:" |
| 身分與存取權管理 | 網域限定共用 | 這項清單限制定義了一或多組 Cloud Identity 或 Google Workspace 客戶 ID,只有這類客戶 ID 的主體能新增至 IAM 政策。 根據預設,所有使用者身分都能新增至 IAM 政策。這項限制只能定義允許值,無法指定拒絕值。 啟用這項限制後,只有獲准客戶 ID 的主體才能新增至 IAM 政策。 您不需要為了與 Google 服務互通,而將 google.com 客戶 ID 加入這份清單。如果新增 google.com,就能與 Google 員工和非正式環境系統共用內容,建議您只在要與 Google 員工共用資料時這麼做。 constraints/iam.allowedPolicyMemberDomains | "is:" |
| 身分與存取權管理 | 停用稽核記錄排除功能 | 如果強制執行這項布林值限制,您就無法將額外的主體排除在稽核記錄範圍之外。這項限制不會影響在強制執行前就存在的任何稽核記錄豁免項目。constraints/iam.disableAuditLoggingExemption | "is:" |
| 身分與存取權管理 | 停用跨專案服務帳戶 | 強制執行這項限制時,服務帳戶只能部署 (使用 ServiceAccountUser 角色部署) 到在服務帳戶所在專案中運作的工作 (VM、函式等)。constraints/iam.disableCrossProjectServiceAccountUsage | "is:" |
| 身分與存取權管理 | 停用服務帳戶建立功能 | 如果這項布林限制設為「True」,則服務帳戶建立功能將會停用。 根據預設,具備相關 Cloud IAM 角色和權限的使用者可以建立服務帳戶。 constraints/iam.disableServiceAccountCreation | "is:" |
| 身分與存取權管理 | 停用服務帳戶金鑰建立功能 | 如果強制執行這項布林值限制,就無法建立服務帳戶外部金鑰和 Cloud Storage HMAC 金鑰。 根據預設,具備相關 Cloud IAM 角色和權限的使用者可以建立服務帳戶外部金鑰。 constraints/iam.disableServiceAccountKeyCreation | "is:" |
| 身分與存取權管理 | 停用服務帳戶金鑰上傳功能 | 如果將這項布林值限制設為「True」,系統會停用將公開金鑰上傳至服務帳戶的功能。 根據預設,具備相關 Cloud IAM 角色和權限的使用者可以將公開金鑰上傳至服務帳戶。 constraints/iam.disableServiceAccountKeyUpload | "is:" |
| 身分與存取權管理 | 在建立叢集時停用 Workload Identity | 如果將這項布林值限制設為「True」,所有新建立的 GKE 叢集都必須停用 Workload Identity。已啟用 Workload Identity 的現有 GKE 叢集仍會正常運作。根據預設,任何 GKE 叢集均能啟用 Workload Identity。constraints/iam.disableWorkloadIdentityClusterCreation | "is:" |
| 身分與存取權管理 | 服務帳戶金鑰的有效時間 (小時) | 這份清單限定了服務帳戶金鑰的有效時間上限。根據預設,建立的金鑰永遠不會過期。 有效時間以小時為單位,且只能使用下列值。您只能指定一個允許值,無法定義拒絕值。如果指定此處未列出的值,則會發生錯誤。
inheritFromParent=false。這項限制無法與父項政策合併。強制執行這項限制並不溯及既往,也不會變更現有的金鑰。constraints/iam.serviceAccountKeyExpiryHours | "is:" |
| 身分與存取權管理 | 服務帳戶金鑰外洩因應措施 | 這項清單限制定義了 Google 偵測到服務帳戶的連結金鑰遭到公開時,會採取什麼因應措施。受監控的金鑰包括長效型服務帳戶金鑰,以及與服務帳戶繫結的 API 金鑰。如未設定,預設為採用 DISABLE_KEY 的動作。允許的值為 DISABLE_KEY 和 WAIT_FOR_ABUSE。未明確列於這份清單的值都不得使用。您只能指定一個允許值,無法定義拒絕值。如果允許 DISABLE_KEY 值,系統會自動停用所有遭公開的服務帳戶金鑰,並在稽核記錄中建立項目。如果允許 WAIT_FOR_ABUSE 值,則會停用這項保護措施,系統不會自動停用外洩的服務帳戶金鑰。不過,如果公開的服務帳戶金鑰使用方式對平台造成負面影響,Google Cloud 可能會停用這類金鑰,但不會保證一定會這麼做。如要強制執行這項限制,請在 Google Cloud 控制台中設為取代父項政策;如果使用 gcloud CLI,則須在政策檔案中設定 inheritFromParent=false。這項限制無法與父項政策合併。constraints/iam.serviceAccountKeyExposureResponse | "is:" |
| 身分與存取權管理 | 可在 Cloud IAM 中設定的 AWS 帳戶,用於 Workload Identity 聯盟 | 可在 Cloud IAM 中設定用於 Workload Identity 聯盟的 AWS 帳戶 ID 清單。constraints/iam.workloadIdentityPoolAwsAccounts | "is:" |
| 身分與存取權管理 | Cloud IAM 獲准連絡的外部識別資訊提供者 | 可針對 Cloud IAM 工作負載驗證功能設定的識別資訊提供者,須以 URI/網址指定。constraints/iam.workloadIdentityPoolProviders | "is:" |
| Anthos Service Mesh 代管控制層 | Anthos 服務網格代管控制層允許的 VPC Service Controls 模式 | 這項限制會決定佈建新的 Anthos 服務網格代管控制層時可以設定的 VPC Service Controls 模式,有效值包括「NONE」和「COMPATIBLE」。constraints/meshconfig.allowedVpcscModes | "is:" |
| OS 設定 | VM 管理員 - 限制使用內嵌指令碼和輸出檔案 | 如果將這項布林值限制設為「true」,就會限制建立或修改下列項目,藉此強制遵守 Assured Workloads 的規定:使用內嵌指令碼或二進位輸出檔案的 VM 管理員資源。具體來說,OSPolicyAssignment 和 PolicyOrchestrator 資源中的「script」和「output_file_path」欄位必須留空。constraints/osconfig.restrictInlineScriptAndOutputFileUsage | "is:" |
| Cloud Pub/Sub | 強制執行 Pub/Sub 訊息的傳輸中區域 | 當強制執行此布林限制時,系統會在所有新的 Pub/Sub 主題建立期間,將 MessageStoragePolicy::enforce_in_transit 設為 true。這可確保客戶資料僅在允許的區域內傳輸。該區域是在主題訊息儲存空間政策中指定。constraints/pubsub.enforceInTransitRegions | "is:" |
| Resource Manager | 限制共用 VPC 專案的防刪除鎖定移除作業 | 如果這項布林限制設為 True,可限制無機構層級權限、但能移除共用虛擬私有雲主專案防刪除鎖定的一組使用者。根據預設,任何具有更新防刪除鎖定權限的使用者,都能移除共用虛擬私有雲主專案防刪除鎖定。強制執行此限制需要在機構層級授予該權限。 constraints/compute.restrictXpnProjectLienRemoval | "is:" |
| Resource Manager | 限制跨專案服務帳戶之防刪除鎖定功能的移除 | 如果強制執行這項布林限制,就能防止使用者在沒有機構層級權限的情況下,移除跨專案服務帳戶的防刪除鎖定功能。根據預設,具備防刪除鎖定功能更新權限的任何使用者,都可以移除跨專案服務帳戶的防刪除鎖定功能。強制執行這項限制需要在機構層級授予權限。constraints/iam.restrictCrossProjectServiceAccountLienRemoval | "is:" |
| Resource Manager | 限制資源查詢瀏覽權限 | 對機構資源強制實行這項清單限制之後,系統會針對強制實行這項限制的機構所屬網域,為使用者定義一組以 list 和 search 方法傳回的 Google Cloud 資源。可用來限制在 Cloud Console 不同位置所顯示的資源,例如資源挑選器、搜尋和管理資源頁面。請注意,這項限制只會在機構層級接受評估。允許/拒絕清單中指定的值必須採用以下格式:under:organizations/ORGANIZATION_ID。constraints/resourcemanager.accessBoundaries | "is:" 和 "under:" |
| Resource Manager | 跨組織移動需要啟用服務允許清單 | 這項清單限制可用來檢查已啟用服務的專案是否符合跨機構移動的資格。已啟用支援服務的資源必須強制執行這項限制,且該支援服務必須列在允許值中,才有資格進行跨機構移動。以下是目前可用支援服務允許值清單:
此限制針對 constraint/resourcemanager.allowedExportDestination 提供額外的控制項。除非針對欲匯出的資源啟用支援服務,否則根據預設該 list_constraint 為空白,且不會封鎖跨機構移動。如要將資源移至其他機構,使用特徵的資源須格外謹慎,而這項限制可更加精細地控管。根據預設,資源無法在已啟用支援服務的情況下進行跨機構移動。 constraints/resourcemanager.allowEnabledServicesForExport | "is:" |
| Resource Manager | 允許匯出資源的目的地 | 這項清單限制定義了資源可移往的外部機構組合,不得將資源移至所有其他機構。根據預設,資源無法在機構之間移動。如果將這項限制套用至資源,則該資源只能移至這項限制所明確允許的機構。機構內移動不受此限制影響。移動作業所需的 IAM 權限與一般資源移動相同。允許/拒絕清單中指定的值必須採用以下格式:under:organizations/ORGANIZATION_ID。constraints/resourcemanager.allowedExportDestinations | "is:" 和 "under:" |
| Resource Manager | 允許匯入資源的來源 | 這項清單限制定義了可匯入資源的來源外部機構組合,拒絕來自所有其他機構的資源。根據預設,資源無法在機構之間移動。如果將這項限制套用至資源,這項限制必須明確允許此資源之下直接匯入的資源。機構內移動不受此限制影響。移動作業所需的 IAM 權限與一般資源移動相同。允許/拒絕清單中指定的值必須採用以下格式:under:organizations/ORGANIZATION_ID。constraints/resourcemanager.allowedImportSources | "is:" 和 "under:" |
| Cloud Run | 允許的二進位授權政策 (Cloud Run) | 這項清單限制定義了可在 Cloud Run 資源中指定的二進位授權政策名稱組合。如要允許/禁止使用預設政策,請使用「default」值。如要允許/禁止使用一或多項自訂平台政策,就必須為這類政策個別新增資源 ID。constraints/run.allowedBinaryAuthorizationPolicies | "is:" |
| Cloud Run | 允許的輸入設定 (Cloud Run) | 這份清單限制定義了 Cloud Run 服務可以使用的輸入設定。強制執行這項限制時,服務的輸入設定必須符合任何一個允許值。如果現有 Cloud Run 服務的輸入設定違反這項限制,系統會持續進行更新,直到服務的輸入設定調整為符合這項限制為止。一旦服務符合這項限制,服務就只能使用這項限制允許的輸入設定。 根據預設,Cloud Run 服務可以使用任何輸入設定。 允許清單必須包含支援的輸入設定值,這些值為 all、internal 和 internal-and-cloud-load-balancing。constraints/run.allowedIngress | "is:" |
| Cloud Run | 允許的虛擬私有雲輸出設定 (Cloud Run) | 這份清單限制定義了可在 Cloud Run 資源中指定的虛擬私有雲輸出設定。如果強制執行這項限制,部署 Cloud Run 資源時就必須使用無伺服器虛擬私有雲存取連接器,或啟用直接虛擬私有雲輸出功能。此外,虛擬私有雲輸出設定必須符合其中一項允許的值。 根據預設,Cloud Run 資源可將虛擬私有雲輸出設定設為任何支援的值。 允許清單必須包含支援的虛擬私有雲輸出設定值,也就是 private-ranges-only 和 all-traffic。對現有 Cloud Run 服務而言,所有新的修訂版本皆須遵守這項限制。如果現有服務修訂版本提供的流量違反了這項限制,系統可以繼續將流量遷移至違反這項限制的修訂版本。一旦所有流量皆由符合這項限制的服務修訂版本所提供,所有後續的流量遷移作業就必須將流量遷移至符合這項限制的修訂版本。 constraints/run.allowedVPCEgress | "is:" |
| 服務消費者管理 | 停用自動為預設服務帳戶授予 IAM 的功能 | 如果強制執行這項布林值限制,就能防止專案中建立的預設 App Engine 和 Compute Engine 服務帳戶在建立當下,自動獲得該專案中的任何身分與存取權管理角色。 根據預設,這些服務帳戶在建立時會自動獲得編輯者角色。如要瞭解預設服務帳戶,請參閱 https://cloud.google.com/iam/help/service-accounts/default。 如要瞭解可授予的角色 (編輯者除外),請參閱 https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default。 constraints/iam.automaticIamGrantsForDefaultServiceAccounts | "is:" |
| Cloud Spanner | 為法規遵循工作負載啟用進階安全控制項 | 請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,這項限制會自動設定,並僅用於 Assured Workloads 進階監管作業。如果強制執行這項布林值限制,支援範圍將縮小,已佈建的資源則會完全符合 Assured Workloads 的進階主權規定。這項政策將適用於現有專案,但不會影響已佈建的資源。也就是說,只有政策修改後建立的資源,才會套用修改內容。constraints/spanner.assuredWorkloadsAdvancedServiceControls | "is:" |
| Cloud Spanner | 停用 Cloud Spanner 多區域 (如未選擇位置) | 請勿設定或修改這項政策。在 Assured Workloads 首次使用期間,該限制會自動設定,並僅用於 Assured Workloads 進階監管作業。如果強制執行這項布林值限制,您無法使用多區域執行個體設定,來建立 Spanner 執行個體 (已選取位置的情況除外)。Cloud Spanner 目前尚不支援選取位置,所有多區域都無法使用。日後 Spanner 將提供相關功能,讓使用者可選擇多區域的位置。這項限制在強制執行之後,效力不會溯及既往。已建立的 Spanner 執行個體不受影響。constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected | "is:" |
| Cloud Storage | Google Cloud Platform - 詳細稽核記錄模式 | 如果強制使用詳細稽核記錄模式,要求和回應都會列入 Cloud 稽核記錄。您對這項功能所做的變更最多可能需要 10 分鐘才會生效。如要遵守 SEC Rule 17a-4(f)、CFTC Rule 1.31(c) 至 (d) 和 FINRA Rule 4511(c) 等法規,我們強烈建議您採用這項機構政策,並搭配使用值區鎖定功能。目前只有 Cloud Storage 支援這項政策。constraints/gcp.detailedAuditLoggingMode | "is:" |
| Cloud Storage | 強制禁止公開存取 | 強制禁止公開存取,避免公開 Cloud Storage 資料。如有 ACL 和 IAM 權限將存取權授予 allUsers 和 allAuthenticatedUsers,這項管理政策會將其停用並封鎖,防止使用者透過公開網際網路存取現有和未來的資源。對整個機構 (建議)、特定專案或特定資料夾強制執行這項政策,即可確保資料不會遭到公開。這項政策會覆寫現有的公開權限。啟用這項政策之後,現有 bucket 和物件的公開存取權就會撤銷。如要進一步瞭解變更這項限制的強制執行設定對資源有何影響,請參閱這篇說明文章:https://cloud.google.com/storage/docs/public-access-prevention。 constraints/storage.publicAccessPrevention | "is:" |
| Cloud Storage | Cloud Storage - 限制驗證類型 | 這項限制會定義一組驗證類型,這些類型將無法存取 Cloud Storage 機構下的任何儲存空間資源。支援的值為 USER_ACCOUNT_HMAC_SIGNED_REQUESTS 和 SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS。如要填入這兩個值,請使用 in:ALL_HMAC_SIGNED_REQUESTS。constraints/storage.restrictAuthTypes | "is:" 和 "in:" |
| Cloud Storage | 保留政策時效 (以秒為單位) | 這項清單限制定義了可以針對 Cloud Storage 值區設定的保留政策時效組合。 根據預設,如未指定機構政策,Cloud Storage bucket 的保留政策時效就沒有特定限制。 指定允許的時效清單時,只能使用大於零的正整數值,並以秒為單位。 在機構資源中,值區的插入、更新或修補作業,保留政策時效都必須符合限制。 這項限制在強制執行之後,效力不會溯及既往。強制執行新的機構政策時,現有值區的保留政策仍然有效,不會因此變更。 constraints/storage.retentionPolicySeconds | "is:" |
| Cloud Storage | 限制未加密的 HTTP 存取活動 | 如果強制執行這項布林限制,系統會明確拒絕透過 HTTP (未加密) 存取所有儲存空間資源。根據預設,Cloud Storage XML API 會允許透過未加密的 HTTP 存取。請注意,Cloud Storage JSON API、gRPC 和 Cloud 控制台,僅允許透過已加密的 HTTP 存取 Cloud Storage 資源。constraints/storage.secureHttpTransport | "is:" |
| Cloud Storage | Cloud Storage - 虛刪除政策保留時長 (以秒為單位) | 這項限制定義了可為 Cloud Storage 值區設定的虛刪除政策保留時長,且會在值區強制執行。在強制執行這項限制的值區中,任何插入、更新或修補作業的虛刪除政策時長均須符合這項限制。強制執行新的機構政策時,現有值區的虛刪除政策仍然有效,不會因此變更。根據預設,如未指定機構政策,Cloud Storage bucket 的虛刪除政策時長就沒有特定限制。constraints/storage.softDeletePolicySeconds | "is:" |
| Cloud Storage | 強制執行統一值區層級存取權 | 如果這項布林限制設為 True,值區就必須採用「統一值區層級存取權」。機構資源中的任何新值區都必須啟用「統一值區層級存取權」,且機構資源中的現有值區一律不得停用「統一值區層級存取權」。這項限制不具回溯性,已停用「統一值區層級存取權」的現有值區仍會維持停用這項政策。這項限制的預設值為 False。「統一值區層級存取權」啟用之後,系統就不會再評估值區中 Cloud Storage 物件獲派的 ACL。也就是說,這些值區物件的存取權只能透過身分與存取權管理政策授予。 constraints/storage.uniformBucketLevelAccess | "is:" |
使用指南
進一步瞭解如何使用個別限制:
| 限制 | 使用指南 |
|---|---|
constraints/cloudbuild.allowedIntegrations | 以機構政策為基礎建構閘道 |
constraints/cloudfunctions.allowedIngressSettings | 設定機構政策 |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings | 設定機構政策 |
constraints/cloudfunctions.requireVPCConnector | 設定機構政策 |
constraints/gcp.restrictNonCmekServices | CMEK 組織政策 |
constraints/gcp.restrictCmekCryptoKeyProjects | CMEK 組織政策 |
constraints/gcp.restrictEndpointUsage | 限制端點用量 |
constraints/gcp.restrictTLSVersion | 限制 TLS 版本 |
constraints/compute.requireOsConfig | 啟用 OS Config 組織政策 |
constraints/compute.restrictPrivateServiceConnectConsumerconstraints/compute.restrictPrivateServiceConnectProducer | 管理 Private Service Connect 消費者的安全性 |
constraints/compute.restrictCloudNATUsage | 機構政策限制 |
constraints/compute.restrictLoadBalancerCreationForTypes | Cloud Load Balancing 機構政策限制 |
constraints/compute.restrictProtocolForwardingCreationForTypes | 通訊協定轉送總覽 |
constraints/compute.restrictDedicatedInterconnectUsageconstraints/compute.restrictPartnerInterconnectUsage | 限制 Cloud Interconnect 用量 |
constraints/compute.restrictVpnPeerIPs | 透過 Cloud VPN 通道限制對等互連 IP 位址 |
constraints/compute.trustedImageProjects | 設定圖片存取限制 |
constraints/compute.vmExternalIpAccess | 限制特定執行個體的外部 IP 存取權 |
constraints/compute.requireVpcFlowLogs | 設定虛擬私有雲流量記錄的機構政策限制 |
constraints/dataform.restrictGitRemotes | 限制遠端存放區 |
constraints/gcp.restrictServiceUsage | 限制資源用量 |
constraints/iam.allowedPolicyMemberDomains | 依照網域設定身分限制 |
constraints/iam.allowServiceAccountCredentialLifetimeExtension | 延長 OAuth 2.0 存取權杖的生命週期 |
constraints/iam.disableCrossProjectServiceAccountUsage | 為其他專案中的資源設定 |
constraints/iam.disableServiceAccountCreation | 停用服務帳戶建立功能 |
constraints/iam.disableServiceAccountKeyCreation | 停用服務帳戶金鑰建立功能 |
constraints/iam.disableServiceAccountKeyUpload | 停用服務帳戶金鑰上傳功能 |
constraints/iam.disableWorkloadIdentityClusterCreation | 在建立叢集時停用 Workload Identity |
constraints/iam.managed.disableServiceAccountApiKeyCreation | 啟用金鑰與服務帳戶的繫結 |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval | 為其他專案中的資源設定 |
constraints/gcp.detailedAuditLoggingModeconstraints/storage.retentionPolicySecondsconstraints/storage.uniformBucketLevelAccessconstraints/storage.publicAccessPrevention | Cloud Storage 機構政策限制 |
constraints/gcp.disableCloudLogging | 停用 Cloud Healthcare API 的 Cloud Logging |
constraints/gcp.resourceLocations | 限制資源位置 |
constraints/resourcemanager.accessBoundaries | 限制使用者可查看的專案 |
constraints/run.allowedIngress | 限制允許的輸入流量設定 |
constraints/run.allowedVPCEgress | 限制允許的虛擬私有雲輸出設定 |
constraints/vertexai.allowedModels | 控管 Model Garden 模型的存取權 |
瞭解詳情
如要瞭解更多機構政策的核心概念:
閱讀機構政策總覽。
瞭解限制為何。
瞭解如何使用限制來建立機構政策。
瞭解階層評估如何運作。