Batasan kebijakan organisasi

Halaman ini memberikan informasi tentang batasan kebijakan organisasi yang dapat Anda konfigurasi untuk Cloud NAT.

Administrator jaringan dapat membuat konfigurasi Cloud NAT dan menentukan subnetwork (subnet) yang dapat menggunakan gateway ini. Secara default, tidak ada batasan untuk subnet yang dibuat oleh administrator atau subnet mana yang dapat menggunakan konfigurasi Cloud NAT.

Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) dapat menggunakan batasan constraints/compute.restrictCloudNATUsage untuk membatasi subnet yang dapat menggunakan Cloud NAT.

Anda membuat dan menerapkan batasan organisasi dalam kebijakan organisasi.

Prasyarat

Izin IAM

  • Orang yang membuat batasan harus memiliki peran roles/orgpolicy.policyAdmin.
  • Jika menggunakan VPC Bersama, peran pengguna harus berada dalam project host.

Latar belakang kebijakan organisasi

Jika Anda belum pernah menangani batasan kebijakan organisasi sebelumnya, tinjau dokumentasi berikut terlebih dahulu:

Merencanakan kendala Anda

Anda dapat membuat batasan allow atau deny pada level hierarki resource berikut:

  • Organisasi
  • Folder
  • Project
  • Subnetwork

Secara default, batasan yang dibuat pada node diwarisi oleh semua node turunan. Namun, Administrator Kebijakan Organisasi untuk folder tertentu dapat memutuskan bahwa folder tertentu diwarisi dari induknya, sehingga pewarisan tidak bersifat otomatis. Untuk informasi selengkapnya, lihat Pewarisan di Memahami evaluasi hierarki.

Batasan tidak diterapkan secara surut. Konfigurasi yang ada akan terus berfungsi meskipun melanggar batasan.

Batasannya terdiri dari setelan allow dan deny.

Interaksi antara nilai yang diizinkan dan ditolak

  • Jika batasan restrictCloudNatUsage dikonfigurasi, tetapi allowedValues atau deniedValues tidak ditentukan, semuanya akan diizinkan.
  • Jika allowedValues dikonfigurasi dan deniedValues tidak dikonfigurasi, semua yang tidak ditentukan di allowedValues akan ditolak.
  • Jika deniedValues dikonfigurasi dan allowedValues tidak dikonfigurasi, semua yang tidak ditentukan dalam deniedValues akan diizinkan.
  • Jika allowedValues dan deniedValues dikonfigurasi, semua yang tidak ditentukan di allowedValues akan ditolak.
  • Jika dua nilai bertentangan, deniedValues akan diprioritaskan.

Interaksi antara subnet dan gateway

Batasan tidak mencegah subnet menggunakan gateway NAT. Sebaliknya, batasan mencegah konfigurasi yang akan melanggar batasan dengan mencegah pembuatan gateway atau subnet.

Contoh 1: Mencoba membuat subnet yang melanggar aturan deny

  1. Terdapat gateway di sebuah region.
  2. Gateway dikonfigurasi untuk mengizinkan semua subnet di suatu region untuk menggunakannya.
  3. Terdapat satu subnet (subnet-1) di region tersebut.
  4. Batasan dibuat sehingga hanya subnet-1 yang dapat menggunakan gateway.
  5. Administrator tidak dapat membuat lebih banyak subnet pada jaringan tersebut di region tersebut. Batasan ini mencegah pembuatan subnet yang dapat menggunakan gateway. Jika subnet baru harus ada, Administrator Kebijakan Organisasi dapat menambahkan subnet ini ke daftar subnet yang diizinkan.

Contoh 2: Mencoba membuat gateway yang melanggar aturan deny

  1. Ada dua subnet (subnet-1 dan subnet-2) di satu region.
  2. Terdapat batasan yang hanya mengizinkan subnet-1 untuk menggunakan gateway.
  3. Administrator tidak dapat membuat gateway yang terbuka untuk semua subnet di region tersebut. Sebagai gantinya, mereka harus membuat gateway yang hanya menayangkan subnet-1, atau Administrator Kebijakan Organisasi harus menambahkan subnet-2 ke daftar subnet yang diizinkan.

Membuat batasan Anda

Untuk membuat kebijakan organisasi dengan batasan tertentu, lihat Menggunakan batasan.

Langkah selanjutnya