Restricciones de políticas de la organización para Cloud Load Balancing

El servicio de políticas de organización te permite controlar los recursos de tu organización de forma centralizada y programática. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de restricciones llamadas "restricciones" que se aplican a losGoogle Cloud recursos y a los elementos secundarios de esos recursos en la Google Cloud jerarquía de recursos.

En esta página se proporciona información adicional sobre las restricciones de políticas de organización que se aplican a Cloud Load Balancing. Las restricciones de las políticas de empresa se usan para aplicar la configuración en todo un proyecto, una carpeta o una organización.

Las políticas de organización solo se aplican a los recursos nuevos. Las restricciones no se aplican de forma retroactiva. Si tienes recursos de balanceo de carga que infringen una política de la organización nueva, tendrás que solucionar esas infracciones manualmente.

Para ver una lista completa de las restricciones disponibles, consulta Restricciones de políticas de organización.

Restringir tipos de balanceadores de carga

Usa una política de organización para restringir los tipos de Cloud Load Balancing que se pueden crear en tu organización. Define la siguiente restricción de política de organización:

  • Nombre: Restricción de creación de balanceadores de carga en función del tipo de balanceador de carga
  • ID: constraints/compute.restrictLoadBalancerCreationForTypes

Cuando defines la restricción compute.restrictLoadBalancerCreationForTypes, especificas una lista de permitidos o una lista de denegados de los tipos de Cloud Load Balancing. La lista de valores permitidos o denegados solo puede incluir valores de la siguiente lista:

  • Balanceadores de carga de aplicación

    • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS del balanceador de carga de aplicación externo global
    • EXTERNAL_HTTP_HTTPS para el balanceador de carga de aplicación clásico
    • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS para el balanceador de carga de aplicación interno entre regiones
    • EXTERNAL_MANAGED_HTTP_HTTPS para el balanceador de carga de aplicación externo regional
    • INTERNAL_HTTP_HTTPS para el balanceador de carga de aplicación interno regional

  • Balanceadores de carga de red de proxy

    • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY para el balanceador de carga de red con proxy externo global con un proxy TCP
    • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY para el balanceador de carga de red con proxy externo global con un proxy SSL
    • EXTERNAL_TCP_PROXY para el balanceador de carga de red de proxy clásico con un proxy TCP
    • EXTERNAL_SSL_PROXY para el balanceador de carga de red de proxy clásico con un proxy SSL
    • GLOBAL_INTERNAL_MANAGED_TCP_PROXY para el balanceador de carga de red de proxy interno multirregional con un proxy TCP
    • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY para el balanceador de carga de red del proxy externo regional con un proxy TCP
    • REGIONAL_INTERNAL_MANAGED_TCP_PROXY para el balanceador de carga de red de proxy interno regional con un proxy TCP

  • Balanceadores de carga de red de paso a través

    • EXTERNAL_NETWORK_TCP_UDP para el balanceador de carga de red de paso a través externo
    • INTERNAL_TCP_UDP del balanceador de carga de red de paso a través interno

Para incluir todos los tipos de balanceadores de carga internos o externos, usa el prefijo in: seguido de INTERNAL o EXTERNAL. Por ejemplo, si usas in:INTERNAL se permitirán todos los balanceadores de carga internos de la lista anterior.

Para ver instrucciones de ejemplo sobre cómo usar esta restricción, consulta Configurar restricciones de lista con políticas de organización.

Una vez que hayas definido la política, se aplicará al añadir lasGoogle Cloud reglas de reenvío correspondientes. La restricción no se aplica a las configuraciones de Cloud Load Balancing que ya existen.

Si intentas crear un balanceador de carga de un tipo que infringe la restricción, el intento fallará y se generará un mensaje de error. El mensaje de error tiene el siguiente formato:

Constraint constraints/compute.restrictLoadBalancerCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Si define varias restricciones restrictLoadBalancerCreationForTypes en diferentes niveles de recursos, se aplicarán de forma jerárquica. Por este motivo, le recomendamos que asigne el valor inheritFromParent al campo true, lo que asegura que también se tengan en cuenta las políticas de las capas superiores.

Mensajes de error de GKE

Si usas Google Kubernetes Engine (GKE) y alguien de tu organización ha creado una política de organización que limita los tipos de balanceadores de carga que se pueden crear, verás un mensaje de error similar al siguiente:

Warning  Sync    28s   loadbalancer-controller  Error during sync: error running
load balancer syncing routine: loadbalancer FORWARDING_RULE_NAME
does not exist: googleapi: Error 412:
Constraint constraints/compute.restrictLoadBalancerCreationForTypes violated for
projects/PROJECT_ID. Forwarding Rule
projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
of type LOAD_BALANCER_TYPE is not allowed, conditionNotMet

En función de la política, esto puede limitar tu capacidad para crear recursos de balanceador de carga, como Services, Ingresses o Gateways. Ponte en contacto con los administradores de las políticas de tu organización para saber qué restricciones se aplican.

Para ver los mensajes de error de GKE, ejecuta los siguientes comandos:

kubectl get events -w

kubectl describe RESOURCE_KIND NAME

Haz los cambios siguientes:

  • RESOURCE_KIND: el tipo de balanceador de carga, ingress o service
  • NAME: el nombre del balanceador de carga

Inhabilitar el balanceo de carga global

Esta restricción booleana inhabilita la creación de productos de balanceo de carga global. Cuando se aplica, solo se pueden crear productos de balanceo de carga regional sin dependencias globales.

  • Nombre: inhabilitar el balanceo de carga global
  • ID: constraints/compute.disableGlobalLoadBalancing

De forma predeterminada, los usuarios pueden crear productos de balanceo de carga global.

Para ver instrucciones de ejemplo sobre cómo usar esta restricción, consulta el artículo Configurar restricciones booleanas con políticas de organización.

Restringir los tipos de implementaciones de reenvío de protocolos

Usa una política de organización para restringir los tipos de implementaciones de reenvío de protocolos (internas o externas) que se pueden crear en tu organización. Define la siguiente restricción de la política de organización:

  • Nombre: Restricción del reenvío de protocolos en función del tipo de dirección IP
  • ID: constraints/compute.restrictProtocolForwardingCreationForTypes

Para configurar la restricción compute.restrictProtocolForwardingCreationForTypes, especifica una lista de elementos permitidos o una lista de elementos denegados del tipo de implementación de reenvío de protocolos que se va a permitir o denegar. La lista de valores permitidos o denegados solo puede incluir los siguientes valores:

  • INTERNAL
  • EXTERNAL

De forma predeterminada, las organizaciones recién creadas tienen esta política configurada para permitir solo el reenvío de protocolos INTERNAL. Es decir, las reglas de reenvío asociadas a instancias de destino solo pueden usar direcciones IP internas. Si quieres usar el reenvío de protocolos con direcciones IP externas o prohibir que los usuarios lo usen con direcciones IP internas, debes actualizar esta política de la organización.

Después de actualizar la política, los cambios se aplicarán cuando cree reglas de reenvío asociadas a instancias de destino. La restricción no se aplica retroactivamente a las configuraciones de reenvío de protocolos que ya existen.

Para ver instrucciones de ejemplo sobre cómo usar esta restricción, consulta Configurar restricciones de lista con políticas de organización.

Si intentas crear una implementación de reenvío de protocolos de un tipo que infringe la restricción, el intento fallará y se generará un mensaje de error. El mensaje de error tiene el siguiente formato:

Constraint constraints/compute.restrictProtocolForwardingCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule
projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Si define varias restricciones restrictProtocolForwardingCreationForTypes en diferentes niveles de recursos y asigna el valor true al campo inheritFromParent, las restricciones se aplicarán de forma jerárquica.

Aplicar restricciones de VPC compartida

Usa las siguientes políticas de la organización para restringir la forma en que los usuarios pueden configurar las implementaciones de VPC compartida.

Restringir los proyectos host de la VPC compartida

La restricción de esta lista te permite restringir los proyectos del host de la VPC compartida a los que se puede vincular un recurso.

  • Nombre: Restringir los proyectos host de la VPC compartida
  • ID: constraints/compute.restrictSharedVpcHostProjects

De forma predeterminada, los proyectos pueden vincularse a cualquier proyecto del host en la misma organización y, por tanto, convertirse en un proyecto de servicio. Cuando define la restricción compute.restrictSharedVpcHostProjects, puede especificar una lista de elementos permitidos o una lista de elementos no permitidos de proyectos host de las siguientes formas:

  • Especifica un proyecto con el siguiente formato:
    • projects/PROJECT_ID
  • Especifica un proyecto, una carpeta o una organización. La restricción se aplica a todos los proyectos del recurso especificado en la jerarquía de recursos. Utiliza el siguiente formato:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID

Para ver instrucciones de ejemplo sobre cómo usar esta restricción, consulta Configurar restricciones de lista con políticas de organización.

Restringir las subredes de VPC compartida

La restricción de esta lista define el conjunto de subredes de VPC compartidas que pueden utilizar los recursos que cumplen los requisitos pertinentes. Esta restricción no se aplica a los recursos que pertenecen al mismo proyecto.

  • Nombre: Restringir las subredes de VPC compartida
  • ID: constraints/compute.restrictSharedVpcSubnetworks

De forma predeterminada, los recursos aptos pueden utilizar cualquier subred de VPC compartida. Cuando configuras la restricción compute.restrictSharedVpcSubnetworks, especificas una lista restringida de subredes de las siguientes formas:

  • Especifique una subred con el siguiente formato:
    • projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME.
  • Especifica un proyecto, una carpeta o una organización. La restricción se aplica a todas las subredes del recurso especificado en la jerarquía de recursos. Utiliza el siguiente formato:
    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Para ver instrucciones de ejemplo sobre cómo usar esta restricción, consulta Configurar restricciones de lista con políticas de organización.

Restringir los servicios y los segmentos de backend entre proyectos

Puede usar esta restricción para limitar los servicios de backend y los segmentos de backend a los que puede hacer referencia un mapa de URLs. Esta restricción no se aplica a los servicios de backend ni a los segmentos de backend que pertenecen al mismo proyecto que el mapa de URLs.

  • Nombre: Restringir los servicios y los segmentos de backend entre proyectos
  • ID: constraints/compute.restrictCrossProjectServices

De forma predeterminada, un mapa de URLs de un proyecto puede hacer referencia a servicios de backend y a segmentos de backend compatibles de otros proyectos de la misma organización, siempre que el usuario que realice la acción tenga el permiso compute.backendServices.use, compute.regionBackendServices.use o compute.backendBuckets.use.

Para configurar la restricción restrictCrossProjectServices, puede especificar una lista de permitidos o una lista de denegados de servicios o segmentos de backend de las siguientes formas:

  • Especifica los servicios backend con el siguiente formato:

    • projects/PROJECT_ID/regions/REGION/backendservices/BACKEND_SERVICE_NAME
    • projects/PROJECT_ID/global/backendservices/BACKEND_SERVICE_NAME

  • Especifica los segmentos de backend con el siguiente formato:

    • projects/PROJECT_ID/regions/REGION/backendbuckets/BACKEND_BUCKET_NAME
    • projects/PROJECT_ID/global/backendbuckets/BACKEND_BUCKET_NAME

  • Especifica un proyecto, una carpeta o una organización. La restricción se aplica a todos los servicios de backend y segmentos de backend del recurso especificado en la jerarquía de recursos. Utiliza el siguiente formato:

    • under:organizations/ORGANIZATION_ID
    • under:folders/FOLDER_ID
    • under:projects/PROJECT_ID

Después de configurar una política de organización con esta restricción, la restricción entrará en vigor la próxima vez que uses el comando gcloud compute url-maps para adjuntar un servicio backend o un backend de almacenamiento a un mapa de URLs. La restricción no afecta de forma retroactiva a las referencias a servicios backend o a contenedores backend entre proyectos.

Esta restricción se aplica a todos los tipos de despliegue, incluida la VPC compartida. Para evitar conflictos, te recomendamos que no uses esta restricción y la restricción compute.restrictSharedVpcBackendServices que se describe en la siguiente sección.

Para ver instrucciones de ejemplo sobre cómo usar esta restricción, consulta Configurar restricciones de lista con políticas de organización.

Restringir los servicios de backend de VPC compartida

Puedes usar esta restricción para limitar los servicios de backend a los que puede hacer referencia un mapa de URLs en las implementaciones de VPC compartida que usen la referencia de servicios entre proyectos. Esta restricción no se aplica a los servicios de backend que pertenecen al mismo proyecto que el mapa de URLs.

  • Nombre: Restringir los servicios de backend de VPC compartida
  • ID: constraints/compute.restrictSharedVpcBackendServices

Te recomendamos que uses la restricción compute.restrictCrossProjectServices, que se describe en la sección anterior. La restricción compute.restrictCrossProjectServices se aplica a todos los tipos de implementaciones, ya sean de VPC compartida o de otro tipo, y a los backend buckets y a los servicios de backend.

Restringir la retirada de bloqueos de proyectos de VPC compartida

Esta restricción booleana limita el conjunto de usuarios que pueden quitar una retención de un proyecto de host de VPC compartida sin permiso a nivel de organización cuando esta restricción ya está definida como True.

  • Nombre: Restringir retirada de bloqueos de proyectos de VPCs
  • ID: constraints/compute.restrictXpnProjectLienRemoval

De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede retirar una retención de un proyecto host de VPC compartida. Para aplicar esta restricción, se debe conceder el permiso a nivel de organización.

Para ver instrucciones de ejemplo sobre cómo usar esta restricción, consulta el artículo Configurar restricciones booleanas con políticas de organización.

Restringir las funciones de TLS con restricciones personalizadas

Para cumplir los requisitos y restringir determinadas funciones de Seguridad de la Capa de Transporte (TLS), puedes crear la siguiente restricción de política de organización y usarla junto con restricciones personalizadas para recursos de política de SSL:

  • Nombre: política de requerimiento de SSL
  • ID: constraints/compute.requireSslPolicy

Si usas la restricción constraints/compute.requireSslPolicy junto con tus propias restricciones personalizadas para los campos de la política de SSL, puedes crear restricciones adaptadas a tus implementaciones. Por ejemplo, puedes hacer lo siguiente:

  • Mejorar la seguridad y cumplir los requisitos de cumplimiento restringiendo el uso de versiones anteriores de TLS (como 1.0 y 1.1) y de conjuntos de cifrado.
  • Mejora el rendimiento reduciendo el número de handshakes necesarios y mejorando la compatibilidad del balanceador de carga con los clientes.
  • Aplica una restricción a un nodo de recurso específico y a sus elementos secundarios. Por ejemplo, si deniegas la versión 1.0 de TLS en una organización, también se deniega en todas las carpetas y proyectos (elementos secundarios) que dependan de esa organización.

Para aplicar una política de SSL a un balanceador de carga de aplicaciones o a un balanceador de carga de red de proxy, debes asociarla al proxy HTTPS o al proxy SSL de destino del balanceador de carga.

Para actualizar las políticas de SSL, consulta el artículo sobre cómo actualizar las políticas de SSL asociadas a proxies de destino.

Configurar restricciones booleanas con políticas de organización

Consola

Para definir una política de organización desde la consola, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el campo Filtrar, busca la restricción por Nombre o por ID.
  3. Haz clic en el nombre de la restricción.
  4. Haz clic en Editar para modificar la restricción.
  5. En la página Editar, selecciona Personalizar.
  6. En Implementación obligatoria, selecciona una opción:
    • Para habilitar la aplicación obligatoria de esta restricción, selecciona Activada.
    • Para inhabilitar la aplicación de esta restricción, selecciona Desactivado.
  7. Después de hacer los cambios, haz clic en Guardar para aplicar los ajustes de la restricción.

Para obtener instrucciones detalladas sobre cómo personalizar políticas de organización mediante la consola de Google Cloud , consulta Personalizar políticas con restricciones booleanas.

gcloud

Para habilitar la aplicación de una restricción booleana en una política de organización, usa el comando gcloud resource-manager org-policies enable-enforce de la siguiente manera.

Para habilitar la restricción de la retirada de bloqueos de proyectos de VPC compartida, sigue estos pasos:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.restrictXpnProjectLienRemoval

Para inhabilitar el balanceo de carga global, sigue estos pasos:

gcloud resource-manager org-policies enable-enforce \
    --organization ORGANIZATION_ID \
    constraints/compute.disableGlobalLoadBalancing

Para obtener instrucciones detalladas sobre cómo trabajar con restricciones booleanas en gcloud, consulta el artículo sobre cómo usar restricciones.

Configurar restricciones de lista con políticas de organización

Consola

Para definir una política de organización desde la consola, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el campo Filtrar, busca la restricción por Nombre o por ID. Por ejemplo, para restringir los proyectos host de la VPC compartida, busca el ID: constraints/compute.restrictSharedVpcHostProjects.
  3. Haz clic en el nombre de la restricción.
  4. Haz clic en Editar para modificar la restricción.
  5. Para crear una política personalizada, seleccione Personalizar y especifique la lista de recursos permitidos o denegados. Para obtener instrucciones más detalladas sobre cómo personalizar las políticas de la organización mediante la consola Google Cloud , consulta el artículo Personalizar políticas de restricciones de listas.
  6. Después de hacer los cambios, haz clic en Guardar para aplicar los ajustes de la restricción.

gcloud

En esta sección se proporcionan algunos ejemplos de configuración para mostrar cómo crear y definir un archivo de políticas de la organización con una restricción de lista. Para obtener instrucciones más detalladas sobre cómo trabajar con restricciones de listas y políticas de la organización en gcloud, consulta Usar restricciones.

  1. Crea el archivo de política. Usa los siguientes ejemplos de configuración JSON para crear tu propio archivo de políticas en función de tus requisitos.

    • Restringir los tipos de balanceadores de carga

      • Permitir solo un subconjunto de balanceadores de carga

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "allowedValues": [
    "INTERNAL_TCP_UDP",
    "EXTERNAL_NETWORK_TCP_UDP"
  ]
}
}

      • Denegar todos los balanceadores de carga externos

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "deniedValues": [
    "in:EXTERNAL"
  ]
}
}

      • Denegar todos los balanceadores de carga

        {
"constraint": "constraints/compute.restrictLoadBalancerCreationForTypes",
"listPolicy": {
  "allValues": "DENY"
}
}

    • Restringir los tipos de reenvío de protocolos

      • Denegar todo el reenvío de protocolos

        {
"constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes",
"listPolicy": {
  "allValues": "DENY"
}
}

      • Permitir solo el reenvío de protocolos interno

        {
"constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes",
"listPolicy": {
  "deniedValues": [
    "EXTERNAL"
  ]
}
}

    • Restringir las configuraciones de VPC compartida

      • Restringir los proyectos host de la VPC compartida

        {
"constraint": "constraints/compute.restrictSharedVpcHostProjects",
"listPolicy": {
  "allowedValues": [
    "under:folders/FOLDER_ID",
    "under:projects/PROJECT_ID"
  ]
}
}

      • Restringir las subredes de VPC compartida

        {
"constraint": "constraints/compute.restrictSharedVpcSubnetworks",
"listPolicy": {
  "deniedValues": [
    "under:organizations/ORGANIZATION_ID",
    "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}
}

      • Restringir los servicios de backend de VPC compartida

        {
"constraint": "constraints/compute.restrictCrossProjectServices",
"listPolicy": {
  "allowedValues": [
    "under:folders/FOLDER_ID",
    "under:projects/PROJECT_ID",
    "projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME"
  ]
}
}

  2. Aplica la restricción a un recurso: una organización, una carpeta o un proyecto.

    En el caso de las organizaciones, ejecuta el siguiente comando:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --organization=ORGANIZATION_ID

    En el caso de las carpetas, ejecuta el siguiente comando:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --folder=FOLDER_ID

    En el caso de los proyectos, ejecuta el siguiente comando:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
    --project=PROJECT_ID

    Haz los cambios siguientes:

Configurar una política de organización para aplicar una política de SSL a proxies HTTPS y SSL de destino

Consola

Para definir una política de organización desde la consola, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el campo Filtrar, busca la restricción por Nombre o por ID.

  3. Haz clic en el nombre de la restricción.

  4. Haz clic en Editar para modificar la restricción.

  5. Para crear una política personalizada, selecciona Personalizar y especifica la lista de recursos permitidos o denegados.

  6. Después de hacer los cambios, haz clic en Guardar para aplicar los ajustes de la restricción.

gcloud

En esta sección se proporcionan algunos ejemplos de configuración que muestran cómo crear y definir un archivo de políticas de la organización con la restricción constraints/compute.requireSslPolicy.

  • Crea un archivo de política para inhabilitar el uso de políticas de SSL.

    {
  "constraint": "constraints/compute.requireSslPolicy",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  • Crea un archivo de política para aplicar una política de SSL a todos los proxies HTTPS y SSL de destino del recurso especificado en la jerarquía de recursos:

    {
  "constraint": "constraints/compute.requireSslPolicy",
  "listPolicy": {
    "allowedValues": [
      "under:folders/FOLDER_ID",
      "under:projects/PROJECT_ID"
    ]
  }
}

  • Aplica la restricción a los proxies HTTPS y SSL de destino: una organización, una carpeta o un proyecto.

    En el caso de las organizaciones, ejecuta el siguiente comando:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --organization=ORGANIZATION_ID

    En el caso de las carpetas, ejecuta el siguiente comando:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --folder=FOLDER_ID

    En el caso de los proyectos, ejecuta el siguiente comando:

    gcloud resource-manager org-policies set-policy PATH_TO_POLICY_FILE \
    --project=PROJECT_ID

    Haz los cambios siguientes:

  • Para obtener la política efectiva y verificar el comportamiento predeterminado del recurso (organización, carpeta o proyecto), ejecuta los siguientes comandos:

    Para organizaciones:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --organization=ORGANIZATION_ID

    En el caso de las carpetas:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --folder=FOLDER_ID

    En el caso de los proyectos:

    gcloud resource-manager org-policies describe compute.requireSslPolicy \
    --effective \
    --project=PROJECT_ID

  • Para eliminar la política del recurso (organización, carpeta o proyecto), ejecuta los siguientes comandos:

    Para organizaciones:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --organization=ORGANIZATION_ID

    En el caso de las carpetas:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --folder=FOLDER_ID

    En el caso de los proyectos:

    gcloud resource-manager org-policies delete compute.requireSslPolicy \
    --project=PROJECT_ID

Para configurar restricciones personalizadas, consulta Usar restricciones personalizadas.

Siguientes pasos