機構政策限制

本頁面提供您可為 Cloud NAT 設定的機構政策限制相關資訊。

網路管理員可以建立 Cloud NAT 設定,並指定哪些子網路 (子網路) 可以使用閘道。根據預設,管理員建立的子網路或可使用 Cloud NAT 設定的子網路,皆不受限制。

機構政策管理員 (roles/orgpolicy.policyAdmin) 可以使用 constraints/compute.restrictCloudNATUsage 限制,限制哪些子網路可使用 Cloud NAT。

您可以在機構政策中建立及強制執行機構限制。

事前準備

IAM 權限

  • 建立限制的使用者必須具備 roles/orgpolicy.policyAdmin 角色。
  • 如果使用共用虛擬私人雲端,使用者角色必須位於主專案中。

機構政策背景

如果您之前未使用過機構政策限制,請先參閱下列說明文件:

規劃限制

您可以在資源階層的以下層級建立 allowdeny 限制:

  • 機構
  • 資料夾
  • 專案
  • 子網路

根據預設,在節點建立的限制會由所有子節點繼承。不過,特定資料夾的機構政策管理員可以決定該資料夾是否要繼承父項,因此繼承並非自動作業。詳情請參閱「瞭解階層評估」一文中的「繼承」。

限制不會溯及既往。即使現有設定違反限制條件,仍可繼續運作。

限制包含 allowdeny 設定。

允許和拒絕值之間的互動

  • 如果已設定 restrictCloudNatUsage 限制,但未指定 allowedValuesdeniedValues,則系統會允許所有項目。
  • 如果已設定 allowedValues,但未設定 deniedValues,則系統會拒絕 allowedValues 中未指定的所有項目。
  • 如果已設定 deniedValues,但未設定 allowedValues,則系統會允許 deniedValues 中未指定的所有項目。
  • 如果同時設定 allowedValuesdeniedValues,系統會拒絕 allowedValues 中未指定的所有項目。
  • 如果兩個值相互衝突,則以 deniedValues 為優先。

子網路和閘道之間的互動

限制不會阻止子網路使用 NAT 閘道。相反地,限制會防止建立閘道或子網路,以免設定違反限制。

範例 1:嘗試建立違反 deny 規則的子網路

  1. 區域中已有閘道。
  2. 閘道會設為允許區域中的所有子網路使用。
  3. 區域中只有一個子網路 (subnet-1)。
  4. 建立限制,讓只有 subnet-1 可以使用閘道。
  5. 管理員無法在該區域的該網路中建立更多子網路。這項限制可避免建立使用閘道的子網路。如果有新的子網路,機構政策管理員可以將這些子網路新增至允許的子網路清單。

示例 2:嘗試建立違反 deny 規則的閘道

  1. 區域中有兩個子網路 (subnet-1subnet-2)。
  2. 存在限制,只允許 subnet-1 使用閘道。
  3. 管理員無法建立可開放給該區域所有子網路的閘道。相反地,他們必須建立只提供 subnet-1 的閘道,或是由機構政策管理員將 subnet-2 新增至允許的子網路清單。

建立限制條件

如要建立具有特定限制的機構政策,請參閱「使用限制」。

後續步驟