Vincoli dei criteri dell'organizzazione

Questa pagina fornisce informazioni sui vincoli dei criteri dell'organizzazione che puoi configurare per Cloud NAT.

Gli amministratori di rete possono creare configurazioni Cloud NAT e specificare quali sottoreti (subnet) possono utilizzare il gateway. Per impostazione predefinita, non esistono limiti alle sottoreti create dall'amministratore o a quelle che possono utilizzare una configurazione Cloud NAT.

Un amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) può utilizzare il vincolo constraints/compute.restrictCloudNATUsage per limitare le sottoreti che possono utilizzare Cloud NAT.

Puoi creare e applicare vincoli organizzativi in un criterio dell'organizzazione.

Prerequisiti

Autorizzazioni IAM

  • La persona che crea le limitazioni deve disporre del ruolo roles/orgpolicy.policyAdmin.
  • Se utilizzi la Rete VPC condivisa, il ruolo utente deve trovarsi nel progetto host.

Sfondo dei criteri dell'organizzazione

Se non hai mai utilizzato i vincoli delle norme dell'organizzazione, consulta innanzitutto la seguente documentazione:

Pianificare i vincoli

Puoi creare vincoli allow o deny ai seguenti livelli della gerarchia delle risorse:

  • Organizzazione
  • Cartella
  • Progetto
  • Subnet

Per impostazione predefinita, una limitazione creata in un nodo viene ereditata da tutti i nodi secondari. Tuttavia, un amministratore delle norme dell'organizzazione per una determinata cartella può decidere se una determinata cartella eredita dalle cartelle principali, pertanto l'eredità non è automatica. Per ulteriori informazioni, consulta la sezione Eredità in Informazioni sulla valutazione della gerarchia.

I vincoli non vengono applicati in modo retroattivo. Le configurazioni esistenti continuano a funzionare anche se violano i vincoli.

I vincoli sono costituiti da impostazioni allow e deny.

Interazione tra valori consentiti e vietati

  • Se è configurato un vincolo restrictCloudNatUsage, ma non viene specificato né allowedValuesdeniedValues, è consentito tutto.
  • Se allowedValues è configurato e deniedValues non è configurato, tutto ciò che non è specificato in allowedValues viene negato.
  • Se deniedValues è configurato e allowedValues non è configurato, tutto ciò che non è specificato in deniedValues è consentito.
  • Se sono configurati sia allowedValues che deniedValues, tutto ciò che non è specificato in allowedValues viene negato.
  • Se due valori sono in conflitto, deniedValues ha la precedenza.

Interazione tra sottoreti e gateway

I vincoli non impediscono alle subnet di utilizzare un gateway NAT. I vincoli, invece, impediscono una configurazione che violerebbe il vincolo impedendo la creazione di un gateway o di una sottorete.

Esempio 1: tentativo di creare una subnet che viola una regola deny

  1. Esiste un gateway in una regione.
  2. Il gateway è configurato per consentire a tutte le subnet di una regione di utilizzarlo.
  3. Nella regione esiste una singola subnet (subnet-1).
  4. Viene creato un vincolo in modo che solo subnet-1 possa utilizzare il gateway.
  5. Gli amministratori non sono in grado di creare altre subnet nella rete in quella regione. Il vincolo impedisce la creazione di subnet che potrebbero essere in grado di utilizzare il gateway. Se le nuove subnet esistono, l'amministratore dei criteri dell'organizzazione può aggiungerle all'elenco delle subnet consentite.

Esempio 2: tentativo di creare un gateway che viola una regola deny

  1. In una regione esistono due subnet (subnet-1 e subnet-2).
  2. Esiste una limitazione che consente solo a subnet-1 di utilizzare un gateway.
  3. Gli amministratori non sono in grado di creare un gateway aperto a tutte le subnet nella regione. In alternativa, deve creare un gateway che serve solo subnet-1 oppure l'amministratore dei criteri dell'organizzazione deve aggiungere subnet-2 all'elenco delle sottoreti consentite.

Creazione dei vincoli

Per creare un criterio dell'organizzazione con un determinato vincolo, consulta Utilizzare i vincoli.

Passaggi successivi