Restricciones de las políticas de la organización
En esta página, se proporciona información sobre las restricciones de la política de la organización que puedes configurar para Cloud NAT.
Los administradores de red pueden crear configuraciones de Cloud NAT y especificar qué subredes pueden usar la puerta de enlace. De forma predeterminada, no hay límites para las subredes que crea el administrador o cuáles pueden usar una configuración de Cloud NAT.
Un administrador de políticas de la organización (roles/orgpolicy.policyAdmin
) puede utilizar la restricción constraints/compute.restrictCloudNATUsage
para limitar las subredes que pueden usar Cloud NAT.
Crea y aplica restricciones de organización en una política de la organización.
Requisitos previos
Permisos de IAM
- La persona que crea las restricciones debe tener la función roles/orgpolicy.policyAdmin.
- Si se usa una VPC compartida, la función del usuario debe estar en el proyecto host.
Información general de la política de la organización
Si no has trabajado con restricciones de políticas de la organización, primero revisa la siguiente documentación:
Planifica tus restricciones
Puedes crear restricciones allow
o deny
en los siguientes niveles de la jerarquía de recursos:
- Organización
- Carpetas
- Proyecto
- Subred
De forma predeterminada, todos los nodos secundarios heredan la restricción creada en un nodo. Sin embargo, un administrador de políticas de la organización de una carpeta determinada puede decidir si esa carpeta determinada se hereda de sus superiores, por lo que la herencia no es automática. Para obtener más información, consulta Herencia en Información sobre la evaluación de la jerarquía.
Las restricciones no se aplican de forma retroactiva. Las configuraciones existentes siguen funcionando incluso si infringen las restricciones.
Las restricciones consisten en parámetros de configuración allow
y deny
.
Interacción entre valores permitidos y denegados
- Si se configura una restricción
restrictCloudNatUsage
, pero no se especificaallowedValues
nideniedValues
, se permite todo. - Si se configura
allowedValues
, pero nodeniedValues
, se rechaza todo lo que no se especifica enallowedValues
. - Si se configura
deniedValues
, pero noallowedValues
, se permite todo lo que no se especifique endeniedValues
. - Si están configurados
allowedValues
ydeniedValues
, se rechaza todo lo que no se especifica enallowedValues
. - Si dos valores entran en conflicto,
deniedValues
tiene prioridad.
Interacción entre subredes y puertas de enlace
Las restricciones no evitan que las subredes usen una puerta de enlace NAT. En cambio, las restricciones evita configuraciones que infringen la restricción, ya que impiden crear una puerta de enlace o una subred.
Ejemplo 1: Intenta crear una subred que infrinja una regla deny
- La puerta de enlace se encuentra en una región.
- La puerta de enlace está configurada para permitir que todas las subredes de una región la usen.
- Existe una sola subred (
subnet-1
) en la región. - Se crea una restricción para que solo
subnet-1
pueda usar la puerta de enlace. - Los administradores no pueden crear más subredes en esa red de la región. La restricción evita que se creen subredes que podrían usar la puerta de enlace. Si deben existir subredes nuevas, el administrador de políticas de la organización puede agregarlas a la lista de subredes permitidas.
Ejemplo 2: Intenta crear una puerta de enlace que infringe una regla deny
- Existen dos subredes (
subnet-1
ysubnet-2
) en una región. - Existe una restricción que solo permite que
subnet-1
use una puerta de enlace. - Los administradores no pueden crear una puerta de enlace que esté abierta para todas las subredes de la región. En su lugar, deben crear una puerta de enlace que solo entregue
subnet-1
, o que el administrador de políticas de la organización agreguesubnet-2
a la lista de subredes permitidas.
Crea tus restricciones
Para crear una política de la organización con una restricción en particular, consulta Usa restricciones.
¿Qué sigue?
- Obtén información para usar las políticas de la organización personalizadas.
- Configura una puerta de enlace de NAT pública.
- Configura una puerta de enlace NAT privada.