Restricciones de las políticas de organización

Restricciones disponibles

Puedes especificar políticas que usen las siguientes restricciones.

Restricciones gestionadas

Servicio(s) Restricción Descripción
Compute Engine Inhabilitar atributos de invitados de los metadatos de Compute Engine Cuando se aplica esta restricción, se inhabilita el acceso a la API de Compute Engine para los atributos de invitado de las VMs de Compute Engine.
De forma predeterminada, puedes acceder a los atributos de invitados de las VM de Compute Engine con la API de Compute Engine.
Puedes permitir que determinadas instancias de VM usen atributos de invitado. Para ello, primero debes aplicar etiquetas para marcar las instancias. Después, al aplicar la política, usa reglas condicionales basadas en valores de etiquetas para excluir esas instancias de la aplicación de la política.
constraints/compute.managed.disableGuestAttributesAccess
Compute Engine Inhabilitar virtualización anidada de VMs Esta restricción booleana inhabilita la virtualización anidada acelerada por hardware en todas las VMs de Compute Engine que pertenecen a la organización, al proyecto o a la carpeta en los que se haya aplicado la restricción.True
De forma predeterminada, la virtualización anidada acelerada por hardware está permitida en todas las VMs de Compute Engine que se ejecutan en plataformas de CPU Intel Haswell o posteriores.

constraints/compute.managed.disableNestedVirtualization
Compute Engine Inhabilitar acceso al puerto serie de las VM Cuando se aplica esta restricción, se inhabilita el acceso al puerto serie de las VMs de Compute Engine. De forma predeterminada, los clientes pueden habilitar el acceso al puerto serie de las VMs de Compute Engine en cada VM, zona o proyecto mediante atributos de metadatos. Puedes permitir que determinadas instancias de VM habiliten el acceso al puerto serie. Para ello, primero debes aplicar etiquetas para marcar las instancias y, después, al aplicar la política, usar reglas condicionales basadas en valores de etiquetas para excluir esas instancias de la aplicación de la política.
constraints/compute.managed.disableSerialPortAccess
Compute Engine Inhabilitar registro al puerto serie de las VM a Stackdriver Cuando se aplica esta restricción, se inhabilita el almacenamiento de registros del puerto serie en Stackdriver desde las VMs de Compute Engine.
De forma predeterminada, el almacenamiento de registros del puerto serie está inhabilitado en las VMs de Compute Engine y se puede habilitar en cada VM o proyecto de manera específica mediante atributos de metadatos. Si se inhabilita el registro del puerto serie, es posible que algunos servicios que dependen de él, como los clústeres de Google Kubernetes Engine, no funcionen correctamente. Antes de aplicar esta restricción, compruebe que los productos de su proyecto no dependan del registro del puerto serie. Puede permitir que instancias de VM específicas usen el registro del puerto serie. Para ello, primero debe aplicar etiquetas para marcar las instancias y, a continuación, al aplicar la política, usar reglas condicionales basadas en valores de etiquetas para excluir esas instancias de la aplicación de la política.
constraints/compute.managed.disableSerialPortLogging
Compute Engine Restringe el uso del DNS interno global (gDNS) en proyectos que tengan la configuración de DNS ZonalOnly. Cuando se aplica esta restricción, se limita el uso de gDNS. Esta restricción inhabilita la creación de VMs de gDNS y la actualización de VMs para usar gDNS. No se bloqueará la reversión de un proyecto de zDNS a gDNS, pero se aplicará la infracción de la política durante las invocaciones posteriores de la API Instance.
constraints/compute.managed.disallowGlobalDns
Compute Engine Requiere configuración del SO Cuando se aplica esta restricción, es necesario habilitar VM Manager (OS Config) en todos los proyectos nuevos. En los proyectos nuevos o ya creados, esta restricción evita las actualizaciones de metadatos que inhabiliten VM Manager a nivel de proyecto, de zona de proyecto o de instancia. Puedes permitir que determinadas instancias de VM inhabiliten Gestor de VMs. Para ello, primero debes aplicar etiquetas para marcar las instancias. Después, al aplicar la política, usa reglas condicionales basadas en valores de etiquetas para excluir esas instancias de la aplicación.
constraints/compute.managed.requireOsConfig
Compute Engine Requiere OS Login Cuando se aplica esta restricción, se debe habilitar OS Login en todos los proyectos creados recientemente. En los proyectos nuevos o ya creados, esta restricción evita las actualizaciones de metadatos que inhabiliten OS Login a nivel de proyecto, de zona de proyecto o de instancia. Puede permitir que determinadas instancias de VM inhabiliten el inicio de sesión del SO. Para ello, primero debe aplicar etiquetas para marcar las instancias y, a continuación, al aplicar la política, usar reglas condicionales basadas en valores de etiquetas para excluir esas instancias de la aplicación.
constraints/compute.managed.requireOsLogin
Compute Engine Restringe el uso del reenvío de protocolos Esta restricción te permite limitar los tipos de implementaciones de reenvío de protocolos (internas o externas) que se pueden crear en tu organización. Para configurar la restricción, especifica una lista de elementos permitidos del tipo de despliegue de reenvío de protocolos que se va a permitir. La lista de permitidos solo puede incluir los siguientes valores:
  • INTERNAL
  • EXTERNO
. Por ejemplo, si la lista de permitidos se define como INTERNAL, tus usuarios solo podrán configurar el reenvío de protocolos internos. Es decir, las reglas de reenvío asociadas a instancias de destino se limitan al esquema de balanceo de carga INTERNAL y solo pueden usar direcciones IP internas.
constraints/compute.managed.restrictProtocolForwardingCreationForTypes
Compute Engine Restringir el reenvío de IPs de VMs Esta restricción define si las instancias de VM de Compute Engine pueden habilitar el reenvío de IPs. De forma predeterminada, si no se especifica ninguna política, cualquier VM puede habilitar el reenvío de IPs en cualquier red virtual. Si se aplica, esta restricción denegará la creación o actualización de instancias de VM con el reenvío de IPs habilitado. Puede permitir que determinadas instancias de VM habiliten el reenvío de IP. Para ello, primero debe aplicar etiquetas para marcar las instancias y, a continuación, al aplicar la política, usar reglas condicionales basadas en valores de etiquetas para excluir esas instancias de la aplicación.
constraints/compute.managed.vmCanIpForward
Compute Engine Restringir IPs externas de instancias de VM Esta restricción define si las instancias de VM de Compute Engine pueden usar direcciones IP externas IPv4. De forma predeterminada, todas las instancias de VM pueden usar direcciones IP externas. Si se aplica, esta restricción denegará la creación o actualización de instancias de VM con direcciones IP externas IPv4. Esta restricción no limitará el uso de direcciones IP externas IPv6. Puedes permitir que determinadas instancias de VM usen direcciones IP externas IPv4. Para ello, primero aplica etiquetas para marcar las instancias y, a continuación, cuando apliques la política, usa reglas condicionales basadas en valores de etiquetas para excluir esas instancias de la aplicación.
constraints/compute.managed.vmExternalIpAccess
Google Kubernetes Engine Requiere habilitar la autorización binaria para los clústeres de GKE. Habilita la autorización binaria al crear o actualizar clústeres de GKE. Para obtener más información, consulta https://cloud.google.com/binary-authorization/docs/setting-up.
constraints/container.managed.enableBinaryAuthorization
Google Kubernetes Engine Requiere habilitar Grupos de Google para el control de acceso basado en roles en clústeres de GKE. Habilita Grupos de Google para el control de acceso basado en roles al crear o actualizar clústeres de GKE. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/google-groups-rbac.
constraints/container.managed.enableGoogleGroupsRBAC
Google Kubernetes Engine Requiere habilitar la implementación obligatoria de la política de red en los clústeres de GKE. Habilita el uso de NetworkPolicies de Kubernetes habilitando la aplicación de la política de red o GKE Dataplane V2. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/network-policy o https://cloud.google.com/kubernetes-engine/docs/how-to/dataplane-v2.
constraints/container.managed.enableNetworkPolicy
Google Kubernetes Engine Requerir la habilitación de las notificaciones de boletines de seguridad en los clústeres de GKE. Habilita las notificaciones de boletines de seguridad al crear o actualizar clústeres de GKE. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-notifications#securitybulletin
constraints/container.managed.enableSecurityBulletinNotifications.
Google Kubernetes Engine Requiere habilitar Workload Identity Federation para GKE. Habilita Workload Identity Federation para GKE al crear o actualizar clústeres. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity.
constraints/container.managed.enableWorkloadIdentityFederation
Google Kubernetes Engine No permitir el uso de la cuenta de servicio predeterminada de Compute Engine como cuenta de servicio del grupo de nodos. No uses la cuenta de servicio predeterminada de Compute Engine como cuenta de servicio del clúster o del pool de nodos. Usa una cuenta de servicio de IAM con el número mínimo de privilegios necesarios. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa
constraints/container.managed.disallowDefaultComputeServiceAccount.
Google Kubernetes Engine Requerir el uso únicamente del endpoint basado en DNS para acceder a los clústeres de GKE. Habilita el endpoint basado en DNS para acceder al plano de control de GKE e inhabilita los endpoints basados en IP al crear o actualizar clústeres. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#dns-based-endpoint.
constraints/container.managed.enableControlPlaneDNSOnlyAccess
Google Kubernetes Engine Requiere habilitar nodos privados en clústeres de GKE. Habilita los nodos privados al crear o actualizar clústeres y grupos de nodos de GKE. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/latest/network-isolation#configure-cluster-networking.
constraints/container.managed.enablePrivateNodes
Google Kubernetes Engine Requiere habilitar el cifrado de secretos autogestionados en clústeres de GKE. Habilita el cifrado de secretos con claves autogestionadas al crear o actualizar clústeres de GKE. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/encrypting-secrets.
constraints/container.managed.enableSecretsEncryption
Google Kubernetes Engine Requiere inhabilitar las vinculaciones de RBAC a identidades del sistema en clústeres de GKE. Inhabilita los ClusterRoleBindings y RoleBindings no predeterminados que hagan referencia a las identidades del sistema system:anonymous, system:authenticated o system:unauthenticated al crear o actualizar clústeres de GKE. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/best-practices/rbac#prevent-default-group-usage
constraints/container.managed.disableRBACSystemBindings.
Google Kubernetes Engine Requerir la habilitación de nodos blindados en clústeres de GKE Exige que los nodos blindados permanezcan habilitados. Los nodos de GKE blindados proporcionan una identidad e integridad de nodos sólidas y verificables para aumentar la seguridad de los nodos de GKE. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/shielded-gke-nodes
constraints/container.managed.enableShieldedNodes.
Google Kubernetes Engine Requerir la inhabilitación del puerto de solo lectura de kubelet no seguro en clústeres de GKE Requerir que el puerto de solo lectura de kubelet no seguro (10255) permanezca inhabilitado. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/disable-kubelet-readonly-port
constraints/container.managed.disableInsecureKubeletReadOnlyPort.
Google Kubernetes Engine Requerir que la autenticación con certificado de cliente esté inhabilitada No habilites manualmente el método antiguo de autenticación de certificados de cliente. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/api-server-authentication#disabling_authentication_with_a_client_certificate
constraints/container.managed.disableLegacyClientCertificateIssuance.
Google Kubernetes Engine Requerir que Cloud Logging esté habilitado en los clústeres de GKE Exige que todos los clústeres de GKE usen al menos la configuración predeterminada de Cloud Logging. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#stackdriver_logging.
constraints/container.managed.enableCloudLogging
Google Kubernetes Engine Requerir que el control de acceso basado en atributos esté inhabilitado Rechaza las solicitudes para habilitar el control de acceso basado en atributos (ABAC) en clústeres de GKE. El control de acceso basado en atributos (ABAC) es un método de autenticación antiguo que está inhabilitado de forma predeterminada en todos los clústeres nuevos. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#leave_abac_disabled.
constraints/container.managed.disableABAC
Google Kubernetes Engine Requerir que el controlador de admisión DenyServiceExternalIPs esté habilitado Requerir que el controlador de admisión DenyServiceExternalIPs permanezca habilitado en los clústeres de GKE. Para obtener más información, consulta https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster#deny_external_IPs.
constraints/container.managed.denyServiceExternalIPs
Gestión de Identidades y Accesos Restringir los miembros de políticas permitidos en las políticas de gestión de identidades y accesos de permiso Esta restricción define los conjuntos de entidades principales de la organización a los que se pueden conceder roles de gestión de identidades y accesos en tu organización.
Si especificas un conjunto de principales de una organización, se podrán asignar roles en tu organización a todas las identidades asociadas a esa organización (incluidas las cuentas de Workspace, los grupos de Workspace, las cuentas de servicio, las identidades de grupos de usuarios, las identidades de grupos de cargas de trabajo y los agentes de servicio). Tu conjunto de principales de la organización no tiene permiso automáticamente y debe incluirse como conjunto de principales permitidos.
Puedes especificar miembros concretos mediante el prefijo de tipo de principal (por ejemplo, `user:` o `serviceAccount:`) para concederles a ellos y a los alias asociados roles en tu organización.
Si se aplica esta restricción, se puede bloquear la creación de recursos de carpetas debido a la concesión automática de los roles Administrador de carpetas y Editor de carpetas, así como la creación de recursos de proyectos debido a la concesión automática del rol Propietario.
constraints/iam.managed.allowedPolicyMembers
Gestión de Identidades y Accesos Inhabilitar creación de cuentas de servicio Esta restricción booleana inhabilita la creación de cuentas de servicio donde esté aplicada.
De forma predeterminada, los usuarios pueden crear cuentas de servicio según sus roles y permisos de Cloud IAM.

constraints/iam.managed.disableServiceAccountCreation
Gestión de Identidades y Accesos Bloquear las vinculaciones de claves de API de cuentas de servicio Cuando se aplica, se inhabilita la creación de claves de API asociadas a cuentas de servicio.
constraints/iam.managed.disableServiceAccountApiKeyCreation
Gestión de Identidades y Accesos Evitar que las cuentas de servicio predeterminadas tengan roles básicos con privilegios Cuando se aplica esta restricción, se impide que nadie conceda el rol Editor (roles/editor) o el rol Propietario (roles/owner) a las cuentas de servicio predeterminadas de Compute Engine y App Engine en ningún momento. Para obtener más información sobre las cuentas de servicio predeterminadas, consulta https://cloud.google.com/iam/help/service-accounts/default. Si se aplica esta restricción, no se asignará automáticamente el rol Editor (roles/editor) a las cuentas de servicio predeterminadas. Esto puede provocar problemas de permisos en los servicios que usen estas cuentas de servicio. Para saber qué roles debes asignar a cada cuenta de servicio, consulta https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.
constraints/iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts
Gestión de Identidades y Accesos Inhabilitar creación de claves de cuentas de servicio Cuando se aplica esta restricción, se bloquea la creación de claves de cuentas de servicio.
constraints/iam.managed.disableServiceAccountKeyCreation
Gestión de Identidades y Accesos Inhabilitar la subida de claves de cuentas de servicio Esta restricción booleana inhabilita la función que permite subir claves públicas a las cuentas de servicio donde esté aplicada.
De forma predeterminada, los usuarios pueden subir claves públicas a las cuentas de servicio según sus roles y permisos de Cloud IAM.
constraints/iam.managed.disableServiceAccountKeyUpload
Contactos esenciales Restringir dominios de contacto Esta restricción define el conjunto de dominios permitidos que pueden tener las direcciones de correo añadidas a Contactos esenciales.
De forma predeterminada, se pueden añadir direcciones de correo de cualquier dominio a Contactos de emergencia.
La lista allowedDomains debe especificar uno o varios dominios con el formato @example.com. Si se aplica esta restricción, solo se podrán añadir a Contactos Esenciales las direcciones de correo que tengan un sufijo que coincida con una de las entradas de la lista de dominios permitidos.
Esta restricción no afecta a la actualización ni a la eliminación de contactos.
constraints/essentialcontacts.managed.allowedContactDomains
Cloud Run Requerir comprobación del invocador de IAM para los servicios de Cloud Run Cuando se aplica, esta restricción requiere que la comprobación del invocador de gestión de identidades y accesos esté habilitada en los servicios de Cloud Run.
Si no se aplica esta restricción, puedes definir el campo service.invoker_iam_disabled (versión 2) o la anotación run.googleapis.com/invoker-iam-disabled (versión 1) en los servicios de Cloud Run como True. También se puede conseguir un resultado similar concediendo el permiso run.routes.invoke a allUsers. Para obtener más información, consulta https://cloud.google.com/run/docs/securing/managing-access#make-service-public y https://cloud.google.com/run/docs/securing/security.
constraints/run.managed.requireInvokerIam
Compute Engine Bloquear las funciones de vista previa de Compute Engine Esta restricción asegura que las actualizaciones de las funciones de vista previa se bloqueen a menos que se permitan explícitamente. Puedes controlar qué funciones de vista previa se pueden actualizar especificándolas individualmente en tu proyecto. Solo permite acceder a esas funciones de vista previa en tu organización. El ámbito actual se limita al acceso a la API Compute Alpha.
constraints/compute.managed.blockPreviewFeatures
Compute Engine Configuración de cifrado de vinculación de VLAN permitida La restricción de esta lista define la configuración de cifrado permitida para las nuevas vinculaciones de VLAN.
De forma predeterminada, las vinculaciones de VLAN pueden usar cualquier configuración de cifrado.
Asigna el valor IPSEC para obligar a crear solo vinculaciones de VLAN cifradas.
constraints/compute.managed.allowedVlanAttachmentEncryption
Cloud Pub/Sub Inhabilita las transformaciones de mensajes únicos (SMTs) de temas No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, los temas de Pub/Sub no pueden definir transformaciones de mensajes únicos (SMTs).
constraints/pubsub.managed.disableTopicMessageTransforms
Cloud Pub/Sub Inhabilita las transformaciones de mensajes únicos de suscripción (SMTs) No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, las suscripciones de Pub/Sub no pueden definir transformaciones de mensajes únicos (SMTs).
constraints/pubsub.managed.disableSubscriptionMessageTransforms

Restricciones admitidas por varios servicios de Google Cloud

Restricción Descripción Prefijos admitidos
Grupos de trabajadores permitidos (Cloud Build) La restricción de esta lista define el conjunto de grupos de trabajadores de Cloud Build permitidos para realizar compilaciones con Cloud Build. Cuando se aplique esta restricción, las compilaciones deberán realizarse en un grupo de trabajadores que coincida con uno de los valores permitidos.
De forma predeterminada, Cloud Build puede usar cualquier grupo de trabajadores.
La lista permitida de grupos de trabajadores debe tener el siguiente formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


constraints/cloudbuild.allowedWorkerPools 		"is:", "under:"
Restricción de ubicación de recursos de Google Cloud Platform La restricción de esta lista define el conjunto de ubicaciones en las que se pueden crear recursos de Google Cloud basados en la ubicación. Importante: La información de esta página no describe los compromisos de Google Cloud Platform sobre la ubicación de los datos de los clientes (tal como se definen en el contrato en virtud del cual Google ha aceptado proporcionar servicios de Google Cloud Platform y se describen en el resumen de servicios de Google Cloud Platform, disponible en https://cloud.google.com/terms/services). Para consultar la lista de servicios de Google Cloud Platform en los que los clientes pueden seleccionar la ubicación de los Datos del Cliente, consulta Servicios de Google Cloud Platform con residencia de datos en https://cloud.google.com/terms/data-residency.
De forma predeterminada, se pueden crear recursos en cualquier ubicación. Para ver una lista completa de los servicios admitidos, consulta https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services.
Las políticas de esta restricción pueden especificar multirregiones (como asia y europe) y regiones (como us-east1 o europe-west1) en las que se pueden o no se pueden crear recursos. El hecho de permitir o denegar una multirregión no implica que también se permitan o denieguen todas las sububicaciones incluidas. Por ejemplo, aunque la política excluya la multirregión us (que hace referencia a recursos multirregionales, como algunos servicios de almacenamiento), se podrán crear recursos en la ubicación regional us-east1. Por otro lado, el grupo in:us-locations contiene todas las ubicaciones de la región us y se puede usar para bloquear todas las regiones.
Te recomendamos que uses grupos de valores para definir la política.
Puedes especificar grupos de valores, es decir, conjuntos de ubicaciones que selecciona Google para definir las ubicaciones de los recursos de manera sencilla. Para aplicarlos en tu política de organización, incluye el prefijo in: en las entradas, seguido del grupo de valores.
Por ejemplo, para crear recursos que se encuentren físicamente en EE. UU., incluye in:us-locations en la lista de valores permitidos.
Si se usa el campo suggested_value en una política de ubicación, este debe indicar una región. Si el valor que se especifica es una región, es posible que una UI de los recursos de zona rellene previamente cualquier zona de la región.
constraints/gcp.resourceLocations 		"is:", "in:"
Restringir los proyectos que pueden proporcionar CryptoKeys de KMS para la CMEK La restricción de esta lista define qué proyectos se pueden usar para proporcionar claves de encriptado gestionadas por el cliente (CMEK) al crear recursos. Si se asigna el valor Allow a esta restricción (es decir, solo se permiten claves CMEK de estos proyectos), se asegura de que no se puedan usar claves CMEK de otros proyectos para proteger los recursos recién creados. Los valores de esta restricción deben especificarse en forma de under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID. Los servicios admitidos que aplican esta restricción son los siguientes:
  • aiplatform.googleapis.com
  • alloydb.googleapis.com
  • apigee.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudtasks.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • contactcenterinsights.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataform.googleapis.com
  • datafusion.googleapis.com
  • dataplex.googleapis.com
  • dataproc.googleapis.com
  • dialogflow.googleapis.com
  • discoveryengine.googleapis.com
  • documentai.googleapis.com
  • eventarc.googleapis.com
  • file.googleapis.com
  • firestore.googleapis.com
  • gkebackup.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • looker.googleapis.com
  • netapp.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • redis.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • securesourcemanager.googleapis.com
  • spanner.googleapis.com
  • speech.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • workstations.googleapis.com
La aplicación de esta restricción puede ampliarse con el tiempo para incluir servicios adicionales. Tenga cuidado al aplicar esta restricción a proyectos, carpetas u organizaciones en los que se utilicen servicios compatibles y no compatibles. No se permite asignar el valor Deny o Deny All a esta restricción. Esta restricción no se aplica con carácter retroactivo. Los recursos de Google Cloud con CMEK que tengan claves criptográficas de KMS de proyectos no permitidos deben volver a configurarse o crearse manualmente para que se apliquen las políticas.
constraints/gcp.restrictCmekCryptoKeyProjects 		"is:", "under:"
Restringir el uso de los endpoints La restricción de esta lista define el conjunto de endpoints de la API de Google Cloud que se pueden usar para acceder a los recursos de una organización, una carpeta o un proyecto.
Esta restricción se puede usar para bloquear el acceso a los recursos de Google Cloud a través de endpoints de API globales, lo que obliga a usar endpoints regionales o de ubicación. Por ejemplo, si se especifica bigquery.googleapis.com en la lista de denegación de esta política, las solicitudes a bigquery.googleapis.com/... fallarán, pero las solicitudes a {location}-bigquery.googleapis.com/... se completarán correctamente.
De forma predeterminada, se permite el acceso a todos los endpoints de la API Google Cloud.
La lista de endpoints denegados debe proceder de la lista que se indica más abajo. Si intentas guardar la lista denegada con otros valores, se producirá un error.
Para obtener más información, incluida la lista de valores de restricción válidos, consulta la guía del usuario sobre cómo restringir el uso de endpoints.

constraints/gcp.restrictEndpointUsage 		"is:", "in:"
Restringir qué servicios pueden crear recursos sin CMEK Esta restricción de lista define qué servicios requieren claves de encriptado gestionadas por el cliente (CMEK). Si se define esta restricción como Deny (es decir, se deniega la creación de recursos sin CMEK), los recursos que se creen en los servicios especificados deberán estar protegidos por una clave CMEK. Los servicios admitidos que se pueden definir en esta restricción son los siguientes:
  • aiplatform.googleapis.com
  • alloydb.googleapis.com
  • apigee.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigquerydatatransfer.googleapis.com
  • bigtable.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudtasks.googleapis.com
  • composer.googleapis.com
  • compute.googleapis.com
  • contactcenterinsights.googleapis.com
  • container.googleapis.com
  • dataflow.googleapis.com
  • dataform.googleapis.com
  • datafusion.googleapis.com
  • dataplex.googleapis.com
  • dataproc.googleapis.com
  • dialogflow.googleapis.com
  • discoveryengine.googleapis.com
  • documentai.googleapis.com
  • eventarc.googleapis.com
  • file.googleapis.com
  • firestore.googleapis.com
  • gkebackup.googleapis.com
  • integrations.googleapis.com
  • logging.googleapis.com
  • looker.googleapis.com
  • netapp.googleapis.com
  • notebooks.googleapis.com
  • pubsub.googleapis.com
  • redis.googleapis.com
  • run.googleapis.com
  • secretmanager.googleapis.com
  • securesourcemanager.googleapis.com
  • spanner.googleapis.com
  • speech.googleapis.com
  • sqladmin.googleapis.com
  • storage.googleapis.com
  • storagetransfer.googleapis.com
  • workstations.googleapis.com
No se permite asignar el valor Deny All a esta restricción. No se permite asignar el valor Allow a esta restricción. Esta restricción no se aplica con carácter retroactivo. Los recursos de Google Cloud que no usen CMEK deben volver a configurarse o crearse manualmente para asegurar que se apliquen las medidas.
constraints/gcp.restrictNonCmekServices 		"is:"
Restringir el uso del servicio de recursos Esta restricción define el conjunto de servicios de recursos de Google Cloud que se pueden usar en una organización, una carpeta o un proyecto, como compute.googleapis.com y storage.googleapis.com.
De forma predeterminada, se permiten todos los servicios de recursos de Google Cloud.
Para obtener más información, consulta https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources.

constraints/gcp.restrictServiceUsage 		"is:"
Restringir conjuntos de cifrado TLS La restricción de esta lista define el conjunto de paquetes de cifrado TLS que se pueden usar para acceder a los recursos de una organización, una carpeta o un proyecto donde se aplique esta restricción.
De forma predeterminada, se permiten todos los paquetes de cifrado TLS. Los paquetes de cifrado TLS se pueden especificar como una lista de permitidos o una lista de denegados, y deben identificarse por su nombre. Por ejemplo, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256.También puedes especificar grupos de valores, es decir, colecciones de conjuntos de cifrado que selecciona Google para definir la restricción de forma sencilla. Para aplicarlos en tu política de organización, incluye el prefijo in: en las entradas, seguido del grupo de valores. Por ejemplo, in:CNSA-2.0-recommended-ciphers.
Esta restricción solo se aplica a las solicitudes que usan TLS. No se usará para restringir solicitudes sin cifrar.
Para obtener más información, consulta la guía del usuario sobre cómo restringir conjuntos de cifrado TLS.

constraints/gcp.restrictTLSCipherSuites 		"is:", "in:"
Restringir versiones de TLS Esta restricción define el conjunto de versiones de TLS que no se pueden usar en la organización, la carpeta o el proyecto donde se aplica esta restricción, ni en ninguno de los elementos secundarios de ese recurso en la jerarquía de recursos.
De forma predeterminada, se permiten todas las versiones de TLS. Las versiones de TLS solo se pueden especificar en la lista de denegación y deben identificarse con el formato TLS_VERSION_1 o TLS_VERSION_1_1.
Esta restricción solo se aplica a las solicitudes que usan TLS. No se usará para restringir solicitudes sin cifrar.
Para obtener más información, consulta https://cloud.google.com/assured-workloads/docs/restrict-tls-versions.
constraints/gcp.restrictTLSVersion 		"is:"
Inhabilitar la habilitación de Identity-Aware Proxy (IAP) en recursos regionales Cuando se aplica esta restricción booleana, se inhabilita la activación de Identity-Aware Proxy en los recursos regionales. Esta restricción no impide habilitar IAP en recursos globales.
De forma predeterminada, se permite habilitar IAP en recursos regionales.
constraints/iap.requireRegionalIapWebDisabled 		"is:"
Restricción de los servicios y las API permitidos de Google Cloud La restricción de esta lista restringe el conjunto de servicios y sus API que se pueden habilitar en este recurso. De manera predeterminada, se permiten todos los servicios.
La lista de servicios denegados debe provenir de la lista siguiente. En este momento, no es posible permitir APIs explícitamente. Si se especifica una API que no esté en esta lista, se producirá un error.
Esta restricción no se aplica con carácter retroactivo. Si un servicio ya está habilitado en un recurso cuando se aplica esta restricción, seguirá estándolo.

constraints/serviceuser.services 		"is:"

Restricciones de servicios específicos

Servicio(s) Restricción Descripción Prefijos admitidos
Vertex AI Workbench Definir el modo de acceso para cuadernos e instancias de Vertex AI Workbench La restricción de esta lista define los modos de acceso permitidos a los cuadernos e instancias de Vertex AI Workbench en los que se aplica. En la lista de permitidos o denegados se pueden especificar varios usuarios con el modo service-account o el acceso de un solo usuario con el modo single-user. Se debe indicar explícitamente el modo de acceso donde se permita o se deniegue dicha creación.
constraints/ainotebooks.accessMode 		"is:"
Vertex AI Workbench Inhabilitar las descargas de archivos en nuevas instancias de Vertex AI Workbench Cuando se aplica esta restricción booleana, se impide la creación de instancias de Vertex AI Workbench con la opción de descarga de archivos habilitada. De forma predeterminada, la opción de descarga de archivos se puede habilitar en cualquier instancia de Vertex AI Workbench.
constraints/ainotebooks.disableFileDownloads 		"is:"
Vertex AI Workbench Inhabilitar el acceso root en las nuevas instancias y cuadernos gestionados por el usuario de Vertex AI Workbench Cuando se aplica esta restricción booleana, se impide que se habilite el acceso de superusuario en las instancias y los notebooks administrados por el usuario de Vertex AI Workbench que se creen. De forma predeterminada, los notebooks y las instancias administrados por el usuario de Vertex AI Workbench pueden tener habilitado el acceso de superusuario.
constraints/ainotebooks.disableRootAccess 		"is:"
Vertex AI Workbench Inhabilitar la terminal en las nuevas instancias de Vertex AI Workbench Cuando se aplica esta restricción booleana, se impide la creación de instancias de Vertex AI Workbench con el terminal habilitado. De forma predeterminada, el terminal se puede habilitar en las instancias de Vertex AI Workbench.
constraints/ainotebooks.disableTerminal 		"is:"
Vertex AI Workbench Restringir las opciones de entorno en los nuevos cuadernos gestionados por el usuario de Vertex AI Workbench La restricción de esta lista define las opciones de imagen de VM y de contenedor que puede seleccionar un usuario al crear nuevos notebooks gestionados por el usuario de Vertex AI Workbench. Se deben indicar explícitamente las opciones donde se permita o se deniegue dicha creación.
El formato esperado para las instancias de VM es ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE. Sustituye IMAGE_TYPE por image-family o image-name. Ejemplos: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu, ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615.
El formato esperado para las imágenes de contenedor será ainotebooks-container/CONTAINER_REPOSITORY:TAG. Ejemplos: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest, ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48.
constraints/ainotebooks.environmentOptions 		"is:"
Vertex AI Workbench Requerir actualizaciones automáticas programadas en los nuevos cuadernos e instancias gestionados por el usuario de Vertex AI Workbench Cuando se aplica esta restricción booleana, los notebooks y las instancias gestionados por el usuario de Vertex AI Workbench que se creen deben tener programada una actualización automática. La programación de la actualización automática se puede definir mediante la marca de metadatos `notebook-upgrade-schedule` para especificar una programación cron de las actualizaciones automáticas. Por ejemplo: `--metadata=notebook-upgrade-schedule="00 19 * * MON"`.
constraints/ainotebooks.requireAutoUpgradeSchedule 		"is:"
Vertex AI Workbench Restringir el acceso a IP públicas en nuevos cuadernos e instancias de Vertex AI Workbench Cuando se aplica esta restricción booleana, se restringe el acceso a IP públicas a los notebooks e instancias de Vertex AI Workbench creados recientemente. De forma predeterminada, las IPs públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench.
constraints/ainotebooks.restrictPublicIp 		"is:"
Vertex AI Workbench Restringir las redes VPC en las nuevas instancias de Vertex AI Workbench La restricción de esta lista define las redes de VPC que puede seleccionar un usuario al crear instancias de Vertex AI Workbench en las que se aplique esta restricción. De forma predeterminada, se puede crear una instancia de Vertex AI Workbench con cualquier red de VPC. La lista de redes permitidas o denegadas debe identificarse con el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/ainotebooks.restrictVpcNetworks 		"is:", "under:"
Vertex AI Definir el acceso a los modelos de IA generativa propietarios de Google en Vertex AI La restricción de esta lista define el conjunto de modelos y funciones de IA generativa que se pueden usar en las APIs de Vertex AI. Los valores de la lista de permitidos deben tener el formato model_id:feature_family. Por ejemplo, publishers/google/models/text-bison:predict. Esta restricción de lista solo limita el acceso a los modelos de IA generativa propietarios de Google y no afecta a los modelos propietarios de terceros ni a los modelos de código abierto. La restricción vertexai.allowedModels se puede usar para definir el acceso a un conjunto más amplio de modelos, incluidos los modelos propietarios de Google, los modelos propietarios de terceros y los modelos de software libre. De forma predeterminada, todos los modelos se pueden usar en las APIs de Vertex AI.
constraints/vertexai.allowedGenAIModels 		"is:"
Vertex AI Definir el acceso a los modelos en Vertex AI La restricción de esta lista define el conjunto de modelos y funciones que se pueden usar en las APIs de Vertex AI. Los valores de la lista de permitidos deben seguir el formato "model_id:feature_family", por ejemplo, "publishers/google/models/gemini-1.0-pro:predict". De forma predeterminada, todos los modelos se pueden usar en las APIs de Vertex AI.
constraints/vertexai.allowedModels 		"is:"
Vertex AI Inhabilitar la fundamentación con la Búsqueda de Google en las APIs de IA generativa Esta restricción booleana, cuando se aplica, inhabilita la función de acotación con la Búsqueda de Google en las APIs de IA generativa. La función está habilitada de forma predeterminada.
constraints/vertexai.disableGenAIGoogleSearchGrounding 		"is:"
App Engine Inhabilitar la descarga del código fuente Inhabilita las descargas de código del código fuente subido anteriormente a App Engine.
constraints/appengine.disableCodeDownload 		"is:"
App Engine Exención de despliegue de tiempo de ejecución (App Engine) La restricción de esta lista define el conjunto de entornos de ejecución antiguos de App Engine Standard (Python 2.7, PHP 5.5 y Java 8) que se pueden usar en las implementaciones después de la fecha de finalización del ciclo de asistencia. Los entornos de ejecución antiguos del entorno estándar de App Engine llegarán al final del ciclo de asistencia el 30 de enero del 2024. Por lo general, los intentos de implementar aplicaciones con runtimes antiguos después de esta fecha se bloquearán. Consulta la programación de asistencia de los entornos de ejecución estándar de App Engine. Si asignas el valor "Permitir" a esta restricción, se desbloquearán los despliegues de App Engine estándar para los tiempos de ejecución antiguos que especifiques hasta la fecha de retirada del tiempo de ejecución. Si asignas el valor "Permitir todo" a esta restricción, se desbloquearán los despliegues del entorno estándar de App Engine para todos los tiempos de ejecución antiguos hasta la fecha de retirada del tiempo de ejecución. Los tiempos de ejecución que han llegado al final del periodo de asistencia no reciben parches de seguridad ni de mantenimiento rutinarios. Te recomendamos encarecidamente que actualices tus aplicaciones para que usen una versión de tiempo de ejecución de disponibilidad general.
constraints/appengine.runtimeDeploymentExemption 		"is:"
BigQuery Inhabilitar BigQuery Omni para Cloud AWS Si esta restricción booleana se define como True, los usuarios no podrán usar BigQuery Omni para procesar datos en Amazon Web Services cuando se aplique esta restricción.
constraints/bigquery.disableBQOmniAWS 		"is:"
BigQuery Inhabilitar BigQuery Omni para Cloud Azure Si esta restricción booleana se define como True, los usuarios no podrán usar BigQuery Omni para procesar datos en Microsoft Azure, donde se aplica esta restricción.
constraints/bigquery.disableBQOmniAzure 		"is:"
Cloud Build Integraciones permitidas (Cloud Build) La restricción de esta lista define las integraciones de Cloud Build permitidas para realizar compilaciones recibiendo webhooks de servicios externos a Google Cloud. Cuando se aplique esta restricción, solo se procesarán los webhooks de los servicios cuyo host coincida con uno de los valores permitidos.
De forma predeterminada, Cloud Build procesa todos los webhooks de los proyectos que tienen al menos un activador LIVE.
constraints/cloudbuild.allowedIntegrations 		"is:"
Cloud Build Inhabilitar la creación de cuentas de servicio predeterminadas (Cloud Build) Cuando se aplica esta restricción booleana, no se crea la cuenta de servicio antigua de Cloud Build.
constraints/cloudbuild.disableCreateDefaultServiceAccount 		"is:"
Cloud Build Usar la cuenta de servicio predeterminada (Cloud Build) Esta restricción booleana, cuando se aplica, permite que se use de forma predeterminada la cuenta de servicio antigua de Cloud Build.
constraints/cloudbuild.useBuildServiceAccount 		"is:"
Cloud Build Usar la cuenta de servicio de Compute Engine de forma predeterminada (Cloud Build) Cuando se aplica esta restricción booleana, se puede usar la cuenta de servicio de Compute Engine de forma predeterminada.
constraints/cloudbuild.useComputeServiceAccount 		"is:"
Cloud Deploy Inhabilitar etiquetas de servicio de Cloud Deploy Cuando se aplica esta restricción booleana, Cloud Deploy no añade etiquetas de identificador de Cloud Deploy a los objetos desplegados.
De forma predeterminada, se añaden etiquetas que identifican los recursos de Cloud Deploy a los objetos desplegados durante la creación de la versión.
constraints/clouddeploy.disableServiceLabelGeneration 		"is:"
Cloud Functions Configuración de entrada permitida (Cloud Functions) La restricción de esta lista define la configuración de entrada permitida para desplegar una función de Cloud Functions (1.ª gen.). Cuando se aplique esta restricción, las funciones de Cloud Functions deberán contar con una configuración de entrada que coincida con uno de los valores permitidos.
De forma predeterminada, Cloud Functions puede utilizar cualquier configuración de entrada. La configuración de entrada
se debe especificar en la lista de permitidas usando los valores de la enumeración IngressSettings. La enumeración tiene el valor predeterminado INGRESS_SETTINGS_UNSPECIFIED. El enum debe cambiarse a otro valor para poder usarlo en una política de organización.
En Cloud Functions (2.ª gen.), usa la restricción constraints/run.allowedIngress.

constraints/cloudfunctions.allowedIngressSettings 		"is:"
Cloud Functions Configuración de salida del conector de VPC permitida (Cloud Functions) La restricción de esta lista define la configuración de salida del conector de VPC permitida para desplegar una función de Cloud Functions (1.ª gen.). Cuando se aplique esta restricción, las funciones deberán contar con una configuración de salida del conector de VPC que coincida con uno de los valores permitidos.
De forma predeterminada, las funciones de Cloud Functions pueden utilizar cualquier configuración de salida del conector de VPC.
La configuración de salida del conector de VPC se debe especificar en la lista de permitidas usando los valores de la enumeración VpcConnectorEgressSettings. El valor predeterminado de la enumeración, VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED, no se admite y, si se incluye en una política, se produce un error.
En Cloud Functions (2.ª gen.), usa la restricción constraints/run.allowedVPCEgress.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings 		"is:"
Cloud Functions Requiere el conector VPC (Cloud Functions) Esta restricción booleana obliga a configurar un conector de VPC al desplegar una función de Cloud Functions (1.ª gen.). Cuando se aplique la restricción, las funciones deberán especificar un conector de VPC.
De forma predeterminada, no es necesario indicar un conector de VPC para desplegar una función de Cloud Functions.

constraints/cloudfunctions.requireVPCConnector 		"is:"
Cloud Functions Generaciones de Cloud Functions permitidas La restricción de esta lista define el conjunto de generaciones de Cloud Functions permitidas que se pueden usar para crear recursos de funciones. Los valores válidos son 1stGen y 2ndGen.
constraints/cloudfunctions.restrictAllowedGenerations 		"is:"
Cloud KMS Restringe los tipos de claves criptográficas de KMS que se pueden crear. La restricción de esta lista define los tipos de claves de Cloud KMS que se pueden crear en un nodo de jerarquía determinado. Cuando se aplique esta restricción, solo se podrán crear los tipos de claves de KMS especificados en esta política de la organización en el nodo de jerarquía asociado. Configurar esta política de la organización también afectará al nivel de protección de las tareas de importación y las versiones de claves. De forma predeterminada, se permiten todos los tipos de claves. Los valores válidos son SOFTWARE, HSM, EXTERNAL y EXTERNAL_VPC. No se permiten las políticas de denegación.
constraints/cloudkms.allowedProtectionLevels 		"is:"
Cloud KMS Restringir la eliminación de claves a las versiones de clave inhabilitadas Esta restricción booleana, cuando se aplica, solo permite la destrucción de versiones de claves que estén inhabilitadas. De forma predeterminada, se pueden eliminar las versiones de claves que están habilitadas y las que están inhabilitadas. Cuando se aplica esta restricción, se aplica tanto a las versiones de clave nuevas como a las que ya existen.
constraints/cloudkms.disableBeforeDestroy 		"is:"
Cloud KMS Duración mínima de la eliminación programada por clave La restricción de esta lista define la duración mínima programada de destrucción en días que puede especificar el usuario al crear una clave. Después de aplicar la restricción, no se podrán crear claves con una duración programada para la destrucción inferior a este valor. De forma predeterminada, la duración mínima programada para destruir todas las claves es de 1 día, excepto en el caso de las claves de solo importación, que es de 0 días.
Solo se puede especificar un valor permitido en el formato in:1d, in:7d, in:15d, in:30d, in:60d, in:90d o in:120d. Por ejemplo, si constraints/cloudkms.minimumDestroyScheduledDuration se define como in:15d, los usuarios pueden crear claves con una duración programada de eliminación superior a 15 días, como 16 o 31 días. Sin embargo, los usuarios no pueden crear claves con una duración programada de eliminación inferior a 15 días, como 14 días. En cada recurso de la jerarquía, la duración mínima programada para la eliminación se puede heredar, reemplazar o combinar con la política del elemento superior. Cuando la política del recurso se combina con la de su elemento superior, el valor efectivo de la duración mínima programada de eliminación del recurso es el más bajo entre el valor especificado en la política del recurso y la duración mínima programada de eliminación efectiva del elemento superior. Por ejemplo, si una organización tiene una duración mínima programada para la destrucción de 7 días y, en un proyecto secundario, la política se define como "Combinar con el elemento superior" con un valor de in:15d, la duración mínima programada para la destrucción efectiva en el proyecto es de 7 días.
constraints/cloudkms.minimumDestroyScheduledDuration 		"is:", "in:"
Cloud Scheduler Tipos de segmentación permitidos para los trabajos La restricción de esta lista define la lista de tipos de destino (por ejemplo, HTTP de App Engine, HTTP o Pub/Sub) permitidos para las tareas de Cloud Scheduler.
De forma predeterminada, se permiten todos los objetivos de empleo.
Los valores válidos son APPENGINE, HTTP y PUBSUB.
constraints/cloudscheduler.allowedTargetTypes 		"is:"
Cloud SQL Restringir las redes autorizadas en las instancias de Cloud SQL Esta restricción booleana restringe que se añadan redes autorizadas a instancias de Cloud SQL en las que se haya aplicado para el acceso a bases de datos sin proxy.True La restricción no tiene carácter retroactivo y, por lo tanto, las instancias de Cloud SQL que ya tengan redes autorizadas seguirán funcionando aunque se aplique.
De forma predeterminada, es posible añadir redes autorizadas a las instancias de Cloud SQL.

constraints/sql.restrictAuthorizedNetworks 		"is:"
Cloud SQL Inhabilita las vías de acceso de diagnóstico y administración en Cloud SQL para cumplir los requisitos de cumplimiento. No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, se verán afectados ciertos aspectos de la asistencia y se inhabilitarán todas las rutas de acceso para diagnósticos y otros casos prácticos de asistencia al cliente que no cumplan los requisitos de soberanía avanzados de Assured Workloads.
constraints/sql.restrictNoncompliantDiagnosticDataAccess 		"is:"
Cloud SQL Restringe las cargas de trabajo que no cumplan los requisitos de las instancias de Cloud SQL. No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Cuando se aplique esta restricción booleana, se verán afectados ciertos aspectos de la compatibilidad y los recursos aprovisionados seguirán estrictamente los requisitos de soberanía avanzada de Assured Workloads. Esta política es retroactiva, ya que se aplicará a los proyectos actuales, pero no afectará a los recursos que ya se hayan aprovisionado. Es decir, las modificaciones de la política solo se reflejarán en los recursos creados después de que se modifique la política.
constraints/sql.restrictNoncompliantResourceCreation 		"is:"
Cloud SQL Restringir el acceso a IP públicas en instancias de Cloud SQL Esta restricción booleana restringe la configuración de IP públicas en las instancias de Cloud SQL en las que se haya aplicado la restricción.True La restricción no tiene carácter retroactivo, así que las instancias de Cloud SQL que ya tengan acceso a IP públicas seguirán funcionando aunque se aplique la restricción.
De forma predeterminada, las instancias de Cloud SQL pueden acceder a IP públicas.

constraints/sql.restrictPublicIp 		"is:"
Google Cloud Marketplace Inhabilitar el mercado público Cuando se aplica esta restricción booleana, se desactiva Google Cloud Marketplace para todos los usuarios de la organización. De forma predeterminada, el acceso público a Marketplace está activado en la organización. Esta política solo funciona cuando Private Marketplace está habilitado (https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace).
Importante: Para disfrutar de una experiencia óptima, te recomendamos que uses la función de restricciones de acceso de usuarios de Marketplace, tal como se describe en https://cloud.google.com/marketplace/docs/governance/strict-user-access, para evitar el uso no autorizado de Marketplace en tu organización, en lugar de hacerlo a través de esta política de organización.
constraints/commerceorggovernance.disablePublicMarketplace 		"is:"
Google Cloud Marketplace Restringir el acceso a los servicios de Marketplace Esta restricción de lista define el conjunto de servicios permitidos para las organizaciones del mercado y solo puede incluir valores de la lista que se incluye más abajo:
  • PRIVATE_MARKETPLACE
  • IAAS_PROCUREMENT
Si el IAAS_PROCUREMENT está en la lista de valores permitidos, la experiencia de gestión de compras de IaaS se habilita para todos los productos. De forma predeterminada, la experiencia de gobernanza de la adquisición de IaaS está desactivada. La política IAAS_PROCUREMENT funciona de forma independiente de la función de gobernanza de solicitudes de adquisición, que es específica para los productos SaaS que figuran en Cloud Marketplace.

Nota: El valor PRIVATE_MARKETPLACE ya no se admite y su uso no tiene ningún efecto. Para activar Google Private Marketplace, debes seguir las instrucciones que se indican en https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace.
constraints/commerceorggovernance.marketplaceServices 		"is:"
Compute Engine Configuración de cifrado de vinculación de VLAN permitida La restricción de esta lista define la configuración de cifrado permitida para las nuevas vinculaciones de VLAN.
De forma predeterminada, las vinculaciones de VLAN pueden usar cualquier configuración de cifrado.
Asigna el valor IPSEC para obligar a crear solo vinculaciones de VLAN cifradas.
constraints/compute.allowedVlanAttachmentEncryption 		"is:"
Compute Engine Inhabilitar todo el uso de IPv6 Cuando se define como True, esta restricción booleana inhabilita la creación o la actualización de cualquier recurso de Google Compute Engine implicado en el uso de IPv6.
De forma predeterminada, cualquier usuario con los permisos de Cloud IAM adecuados puede crear o actualizar recursos de Google Compute Engine con uso de IPv6 en cualquier proyecto, carpeta u organización.
Si se define, esta restricción tendrá mayor prioridad que otras restricciones de organización de IPv6, como disableVpcInternalIpv6, disableVpcExternalIpv6 y disableHybridCloudIpv6.
constraints/compute.disableAllIpv6 		"is:"
Compute Engine Inhabilitar la creación de políticas de seguridad de Cloud Armor Cuando se aplica esta restricción booleana, se inhabilita la creación de nuevas políticas de seguridad globales de Cloud Armor, así como la adición o actualización de reglas a las políticas de seguridad globales de Cloud Armor. Esta restricción no limita la eliminación de reglas ni la eliminación, la descripción o la enumeración de políticas de seguridad globales de Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de la aplicación de esta restricción seguirán vigentes.
De forma predeterminada, puedes crear o actualizar políticas de seguridad de Cloud Armor en cualquier organización, carpeta o proyecto.
constraints/compute.disableGlobalCloudArmorPolicy 		"is:"
Compute Engine Inhabilitar el balanceo de carga global Esta restricción booleana inhabilita la creación de productos de balanceo de carga global. Cuando se aplica, solo se pueden crear productos de balanceo de carga regionales sin dependencias globales. De manera predeterminada, se permite la creación de balanceo de carga global.
constraints/compute.disableGlobalLoadBalancing 		"is:"
Compute Engine Inhabilitar la creación de certificados SSL autogestionados globales Cuando se aplica esta restricción booleana, se inhabilita la creación de certificados SSL autogestionados globales. Esta restricción no inhabilita la creación de certificados autogestionados regionales o gestionados por Google.
De forma predeterminada, puedes crear certificados SSL autogestionados globales en cualquier organización, carpeta o proyecto.
constraints/compute.disableGlobalSelfManagedSslCertificate 		"is:"
Compute Engine Inhabilitar el acceso global a los puertos serie de las VMs Esta restricción booleana inhabilita el acceso global al puerto serie de las VMs de Compute Engine que pertenecen a la organización, al proyecto o a la carpeta en los que se haya aplicado la restricción. De forma predeterminada, los clientes pueden habilitar el acceso al puerto serie de las VMs de Compute Engine en cada VM o proyecto de manera específica mediante atributos de metadatos. Si se aplica esta restricción, se inhabilitará el acceso global al puerto serie de las VMs de Compute Engine, independientemente de los atributos de metadatos. Esta restricción no afecta al acceso al puerto serie regional. Para inhabilitar todo el acceso a los puertos serie, usa la restricción compute.disableSerialPortAccess.
constraints/compute.disableGlobalSerialPortAccess 		"is:"
Compute Engine Inhabilitar atributos de invitados de los metadatos de Compute Engine Esta restricción booleana impide que la API de Compute Engine acceda a los atributos de invitado de las VMs de Compute Engine que pertenecen a la organización, al proyecto o a la carpeta en los que se haya aplicado la restricción.True
De forma predeterminada, puedes acceder a los atributos de invitados de las VM de Compute Engine con la API de Compute Engine.

constraints/compute.disableGuestAttributesAccess 		"is:"
Compute Engine Inhabilitar el uso de IPv6 en la nube híbrida Si se aplica esta restricción booleana, se inhabilita la creación o las actualizaciones de recursos de nube híbrida, como los adjuntos de Interconnect y las pasarelas Cloud VPN, con un stack_type de IPV4_IPV6 o IPV6_ONLY, o un gatewayIpVersion de IPv6.
Si se aplica a un recurso de Cloud Router, se inhabilitan la capacidad de crear sesiones del protocolo de puerta de enlace de frontera (BGP) IPv6 y la capacidad de habilitar el intercambio de rutas IPv6 a través de sesiones de BGP IPv4.
De forma predeterminada, cualquier usuario con los permisos de Cloud IAM adecuados puede crear o actualizar recursos de nube híbrida con stack_type de IPV4_IPV6 en proyectos, carpetas y organizaciones.
constraints/compute.disableHybridCloudIpv6 		"is:"
Compute Engine Inhabilitar las APIs de acceso a datos de instancias No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, se inhabilitan las APIs GetSerialPortOutput y GetScreenshot, que acceden a la salida del puerto serie de la VM y capturan capturas de pantalla de las interfaces de usuario de la VM.
constraints/compute.disableInstanceDataAccessApis 		"is:"
Compute Engine Inhabilitar los grupos de puntos finales de red de Internet Esta restricción booleana determina si un usuario puede crear grupos de puntos finales de red (NEG) de Internet con un type de INTERNET_FQDN_PORT y INTERNET_IP_PORT.
De forma predeterminada, los usuarios con los permisos de gestión de identidades y accesos adecuados pueden crear NEGs de Internet en cualquier proyecto.
constraints/compute.disableInternetNetworkEndpointGroup 		"is:"
Compute Engine Inhabilitar virtualización anidada de VMs Esta restricción booleana inhabilita la virtualización anidada acelerada por hardware en todas las VMs de Compute Engine que pertenecen a la organización, al proyecto o a la carpeta en los que se haya aplicado la restricción.True
De forma predeterminada, la virtualización anidada acelerada por hardware está permitida en todas las VMs de Compute Engine que se ejecutan en plataformas de CPU Intel Haswell o posteriores.

constraints/compute.disableNestedVirtualization 		"is:"
Compute Engine Implementar obligatoriamente tipos de máquinas que cumplan el estándar FIPS Cuando se aplica esta restricción booleana, se inhabilita la creación de tipos de instancias de VM que no cumplen los requisitos de FIPS.
constraints/compute.disableNonFIPSMachineTypes 		"is:"
Compute Engine Inhabilitar Private Service Connect para consumidores La restricción de esta lista define el conjunto de tipos de endpoints de Private Service Connect para los que los usuarios no pueden crear reglas de reenvío. Cuando se aplique esta restricción, los usuarios no podrán crear reglas de reenvío para el tipo de endpoint de Private Service Connect. Esta restricción no se aplica con carácter retroactivo.
De forma predeterminada, se pueden crear reglas de reenvío para cualquier tipo de endpoint de Private Service Connect.
La lista de puntos finales de Private Service Connect permitidos o denegados debe provenir de la lista siguiente:
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
Si se usa GOOGLE_APIS en la lista de elementos permitidos o denegados, se restringirá la creación de reglas de reenvío de Private Service Connect para acceder a las APIs de Google. Si usas SERVICE_PRODUCERS en la lista de elementos permitidos o denegados, se restringirá la creación de reglas de reenvío de Private Service Connect para acceder a servicios de otra red de VPC.
constraints/compute.disablePrivateServiceConnectCreationForConsumers 		"is:"
Compute Engine Inhabilitar acceso al puerto serie de las VM Esta restricción booleana inhabilita el acceso al puerto serie de las VMs de Compute Engine que pertenecen a la organización, al proyecto o a la carpeta en los que se haya aplicado la restricción.True
De forma predeterminada, los clientes pueden habilitar el acceso al puerto serie de las VMs de Compute Engine en cada VM o proyecto de manera específica mediante atributos de metadatos. Si se aplica esta restricción, se inhabilitará el acceso al puerto serie de las VMs de Compute Engine, independientemente de los atributos de metadatos.

constraints/compute.disableSerialPortAccess 		"is:"
Compute Engine Inhabilitar registro al puerto serie de las VM a Stackdriver Esta restricción booleana impide el almacenamiento de registros del puerto serie en Stackdriver desde las VM de Computer Engine que pertenecen a la organización, al proyecto o a la carpeta en los que se haya aplicado la restricción.
El almacenamiento de registros del puerto serie está inhabilitado en las VMs de Compute Engine de forma predeterminada y se puede habilitar en cada VM o proyecto de manera específica mediante atributos de metadatos. Al aplicar esta restricción, se inhabilita el almacenamiento de registros del puerto serie en las VM de Computer Engine siempre que se crea una nueva, y se impide que los usuarios cambien el atributo de metadatos de cualquier VM, tanto antigua como nueva, a True. Si se inhabilita el registro del puerto serie, es posible que algunos servicios que dependen de él, como los clústeres de Google Kubernetes Engine, no funcionen correctamente. Antes de aplicar esta restricción, compruebe que los productos de su proyecto no dependan del registro del puerto serie.
constraints/compute.disableSerialPortLogging 		"is:"
Compute Engine Inhabilitar SSH en el navegador Esta restricción booleana inhabilita la herramienta SSH en el navegador en Cloud Console para las VMs que usan el inicio de sesión del SO y las VMs del entorno flexible de App Engine. Cuando se aplica, el botón SSH en el navegador se inhabilita. De forma predeterminada, se permite usar la herramienta SSH en el navegador.
constraints/compute.disableSshInBrowser 		"is:"
Compute Engine Inhabilitar el uso de IPv6 externo de VPC Cuando se aplica esta restricción booleana (es decir, cuando su valor es True), se inhabilita la creación o actualización de subredes con un stack_type de IPV4_IPV6 y un ipv6_access_type de EXTERNAL.
De forma predeterminada, los usuarios con los permisos de Cloud IAM adecuados pueden crear o actualizar subredes con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización.
constraints/compute.disableVpcExternalIpv6 		"is:"
Compute Engine Inhabilitar el uso de IPv6 interno de VPC Cuando se aplica esta restricción booleana (es decir, cuando su valor es True), se inhabilita la creación o actualización de subredes con un stack_type de IPV4_IPV6 y un ipv6_access_type de INTERNAL.
De forma predeterminada, los usuarios con los permisos de Cloud IAM adecuados pueden crear o actualizar subredes con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización.
constraints/compute.disableVpcInternalIpv6 		"is:"
Compute Engine Habilita los ajustes necesarios para las cargas de trabajo de protección de memoria de cumplimiento No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Esta restricción controla los ajustes necesarios para eliminar las posibles rutas de acceso a la memoria principal de la VM. Cuando se aplica, limita la capacidad de acceder a la memoria principal de la VM inhabilitando las vías de acceso y restringe la recogida de datos internos cuando se produce un error.
constraints/compute.enableComplianceMemoryProtection 		"is:"
Compute Engine Inhabilitar el comportamiento de apertura en caso de fallo de los métodos de lista que muestran información sobre las cuotas de una región Cuando se aplica esta restricción booleana, se inhabilita el comportamiento de apertura en caso de fallo en el lado del servidor para los métodos regions.list, regions.get y projects.get. Esto significa que, si la información de la cuota no está disponible, estos métodos fallarán cuando se aplique la restricción. De forma predeterminada, estos métodos se completan correctamente cuando se produce un error en el servidor y muestran un mensaje de advertencia cuando la información de la cuota no está disponible.
constraints/compute.requireBasicQuotaInResponse 		"is:"
Compute Engine Requiere configuración del SO Cuando se aplica esta restricción booleana, se habilita VM Manager (Configuración del SO) en todos los proyectos nuevos. Todas las instancias de VM que se creen en proyectos nuevos tendrán VM Manager habilitado. En los proyectos nuevos o ya creados, esta restricción evita las actualizaciones de metadatos que inhabiliten VM Manager a nivel de proyecto o de instancia.
De forma predeterminada, VM Manager está inhabilitado en los proyectos de Compute Engine.
constraints/compute.requireOsConfig 		"is:"
Compute Engine Requiere OS Login Cuando se aplica esta restricción booleana (es decir, cuando su valor es true), se habilita OS Login en todos los proyectos creados recientemente. Todas las instancias de VM que se creen en proyectos nuevos tendrán OS Login habilitado. En los proyectos nuevos o ya creados, esta restricción evita las actualizaciones de metadatos que inhabiliten OS Login a nivel de proyecto o de instancia.
De forma predeterminada, la función OS Login está inhabilitada en los proyectos de Compute Engine.
Las instancias de GKE en clústeres privados que ejecutan versiones de grupos de nodos 1.20.5-gke.2000 y posteriores admiten OS Login. Las instancias de GKE de los clústeres públicos no admiten OS Login. Si la restricción se aplica a un proyecto que ejecuta clústeres públicos, es posible que las instancias de GKE que se ejecuten en él no funcionen correctamente.
constraints/compute.requireOsLogin 		"is:"
Compute Engine VM blindadas Si su valor es True, esta restricción booleana exige que todas las instancias de VM nuevas de Compute Engine usen imágenes de disco blindadas con las opciones de arranque seguro, vTPM y supervisión de integridad habilitadas. Si quieres, puedes inhabilitar el arranque seguro tras la creación. Las instancias que se estén ejecutando seguirán funcionando de la manera habitual.
De forma predeterminada, no es necesario habilitar las funciones de VM blindada para crear instancias de VM de Compute Engine. Las funciones de VM blindada aportan a tus VM integridad verificable y resistencia a la filtración externa.
constraints/compute.requireShieldedVm 		"is:"
Compute Engine Política de SSL obligatoria La restricción de esta lista define el conjunto de proxies SSL y HTTPS de destino que pueden usar la política de SSL predeterminada. De forma predeterminada, todos los proxies SSL y HTTPS de destino pueden usar la política de SSL predeterminada. Cuando se aplique esta restricción, los nuevos proxies SSL y HTTPS de destino deberán especificar una política de SSL. Esta restricción no se aplica con carácter retroactivo. Los proxies de destino que ya usen la política de SSL predeterminada no se verán afectados. La lista de proxies SSL y HTTPS de destino permitidos o denegados debe tener el siguiente formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/global/targetHttpsProxies/TARGET_PROXY_NAME
  • projects/PROJECT_ID/regions/REGION_NAME/targetHttpsProxies/TARGET_PROXY_NAME
  • projects/PROJECT_ID/global/targetSslProxies/TARGET_PROXY_NAME

constraints/compute.requireSslPolicy 		"is:", "under:"
Compute Engine Requerir políticas predefinidas para los registros de flujo de VPC La restricción de esta lista define el conjunto de políticas predefinidas que se pueden aplicar a los registros de flujo de VPC.
De forma predeterminada, los registros de flujo de VPC se pueden configurar con cualquier ajuste en cada subred.
Esta restricción obliga a habilitar los registros de flujo en todas las subredes del ámbito con una frecuencia de muestreo mínima obligatoria.
Especifica uno o varios de los siguientes valores válidos:
  • ESSENTIAL (permite valores >= 0,1 y < 0,5)
  • LIGHT (permite valores >= 0,5 y < 1,0)
  • COMPREHENSIVE (permite valores == 1.0)

constraints/compute.requireVpcFlowLogs 		"is:"
Compute Engine Restricción del uso de Cloud NAT Esta restricción de lista define el conjunto de subredes que pueden usar Cloud NAT. De forma predeterminada, todas las subredes pueden usar Cloud NAT. La lista de subredes permitidas o denegadas debe identificarse con el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage 		"is:", "under:"
Compute Engine Restringir los servicios y los segmentos de backend entre proyectos La restricción de esta lista limita los recursos BackendBucket y BackendService a los que se puede adjuntar un recurso urlMap. Esta restricción no se aplica a los BackendBuckets ni a los BackendServices que estén en el mismo proyecto que el recurso urlMap. De forma predeterminada, un recurso urlMap de un proyecto puede hacer referencia a recursos backendBuckets y BackendServices compatibles de otros proyectos de la misma organización, siempre que el usuario tenga el permiso compute.backendService.use, compute.regionBackendServices.use o compute.backendBuckets.use. Para evitar conflictos, le recomendamos que no use esta restricción con la restricción compute.restrictSharedVpcBackendServices. Los recursos de proyectos, carpetas y organizaciones que se añadan a la lista de permitidos o rechazados incluirán todos los BackendBuckets y BackendServices de menor nivel en la jerarquía de recursos. Solo se pueden incluir proyectos, carpetas y recursos de organización en la lista de permitidos o rechazados, y deben tener el siguiente formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/regions/REGION/backendbuckets/BACKEND_BUCKET_NAME
  • projects/PROJECT_ID/global/backendbuckets/BACKEND_BUCKET_NAME
  • projects/PROJECT_ID/regions/REGION/backendservices/BACKEND_SERVICE_NAME
  • projects/PROJECT_ID/global/backendservices/BACKEND_SERVICE_NAME

    • constraints/compute.restrictCrossProjectServices
"is:", "under:"
Compute Engine Restricción del uso de la interconexión dedicada La restricción de esta lista define el conjunto de redes de Compute Engine que pueden usar la interconexión dedicada. De manera predeterminada, las redes pueden usar cualquier tipo de interconexión. La lista de redes permitidas o denegadas debe identificarse con el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage 		"is:", "under:"
Compute Engine Restricción de creación de balanceadores de carga en función del tipo de balanceador de carga La restricción de esta lista define el conjunto de tipos de balanceador de carga que se pueden crear para una organización, una carpeta o un proyecto. Se deben indicar explícitamente todos los tipos de balanceador de carga donde se permita o se niegue dicha creación. De manera predeterminada, se permite la creación de todos los tipos de balanceador de carga.
La lista de valores permitidos o denegados debe identificarse como el nombre de la cadena de un balanceador de carga y solo puede incluir valores de la siguiente lista:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_INTERNAL_MANAGED_TCP_PROXY
  • REGIONAL_INTERNAL_MANAGED_TCP_PROXY
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS
  • GLOBAL_EXTERNAL_MANAGED_TCP_PROXY
  • GLOBAL_EXTERNAL_MANAGED_SSL_PROXY
  • REGIONAL_EXTERNAL_MANAGED_TCP_PROXY

    • Para incluir todos los tipos de balanceadores de carga internos o externos, usa el prefijo "in:" seguido de INTERNAL o EXTERNAL. Por ejemplo, si usas in:INTERNAL, se permitirán todos los tipos de balanceador de carga de la lista anterior que incluyan INTERNAL.
    constraints/compute.restrictLoadBalancerCreationForTypes     		"is:", "in:"
    Compute Engine Restringir los recursos de computación que no utilizan Confidential Computing La lista de denegación de esta restricción de lista define el conjunto de servicios que requieren que los recursos nuevos se creen con Confidential Computing habilitado. De forma predeterminada, no es necesario que los recursos nuevos usen Confidential Computing. Cuando se aplica esta restricción de la lista, no se puede inhabilitar Confidential Computing durante el ciclo de vida del recurso. Los recursos que ya tengas seguirán funcionando como hasta ahora. La lista de servicios denegados debe identificarse con el nombre de cadena de una API y solo puede los incluir valores denegados explícitamente de la lista que se incluye más abajo. En estos momentos, no es posible permitir APIs explícitamente. Si deniegas explícitamente API que no estén en esta lista, se producirá un error. Lista de APIs admitidas: [compute.googleapis.com, container.googleapis.com]
    constraints/compute.restrictNonConfidentialComputing     		"is:"
    Compute Engine Restricción del uso de Partner Interconnect La restricción de esta lista define el conjunto de redes de Compute Engine que pueden usar Partner Interconnect. De manera predeterminada, las redes pueden usar cualquier tipo de interconexión. La lista de redes permitidas o denegadas debe identificarse con el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictPartnerInterconnectUsage     		"is:", "under:"
    Compute Engine Restringir los consumidores de Private Service Connect permitidos La restricción de esta lista define las organizaciones, las carpetas y los proyectos que pueden conectarse a los acoplamientos de servicio de la organización o el proyecto de un productor. Las listas de elementos permitidos o denegados deben identificarse de la siguiente forma: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. De forma predeterminada, se permiten todas las conexiones.
    constraints/compute.restrictPrivateServiceConnectConsumer     		"is:", "under:"
    Compute Engine Restringir los productores de Private Service Connect permitidos Esta restricción de lista define a qué adjuntos de servicio pueden conectarse los consumidores de Private Service Connect. La restricción bloquea la implementación de puntos finales o backends de Private Service Connect en función del recurso de organización, carpeta o proyecto de la vinculación de servicio a la que hacen referencia los puntos finales o los backends. Las listas de elementos permitidos o denegados deben identificarse de la siguiente forma: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o under:projects/PROJECT_ID. De forma predeterminada, se permiten todas las conexiones.
    constraints/compute.restrictPrivateServiceConnectProducer     		"is:", "under:"
    Compute Engine Restringir el uso del reenvío de protocolos La restricción de esta lista define el tipo de objetos de reglas de reenvío de protocolos con instancia de destino que puede crear un usuario. Cuando se aplique esta restricción, los objetos de reglas de reenvío con instancia de destino se limitarán a direcciones IP internas o externas en función de los tipos especificados. Se deben indicar explícitamente los tipos donde se permita o se deniegue dicha creación. De manera predeterminada, se permite la creación de objetos de reglas de reenvío de protocolos con instancia de destino internos o externos.
    La lista de valores permitidos o denegados solo puede incluir valores de la siguiente lista:
    • INTERNAL
    • EXTERNO
    .
    constraints/compute.restrictProtocolForwardingCreationForTypes     		"is:"
    Compute Engine Restringir los servicios de backend de VPC compartida La restricción de esta lista define el conjunto de servicios de backend de VPC compartida que pueden utilizar los recursos aptos. Esta restricción no se aplica a los recursos que pertenecen al mismo proyecto. De forma predeterminada, los recursos aptos pueden utilizar cualquier servicio de backend de VPC compartida. La lista de servicios de backend permitidos o denegados debe especificarse con el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME o projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME. Esta restricción no es retroactiva.
    constraints/compute.restrictSharedVpcBackendServices     		"is:", "under:"
    Compute Engine Restringir los proyectos del host de la VPC compartida La restricción de esta lista define el conjunto de proyectos del host de la VPC compartida a los que se pueden vincular los proyectos que estén en el mismo nivel o en un nivel inferior que este recurso. De forma predeterminada, los proyectos pueden vincularse a cualquier proyecto del host en la misma organización y, por tanto, convertirse en un proyecto de servicio. Los proyectos, carpetas y organizaciones que se añadan a la lista de permitidos o rechazados incluirán todos los objetos de menor nivel en la jerarquía de recursos, y deberán tener el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.
    constraints/compute.restrictSharedVpcHostProjects     		"is:", "under:"
    Compute Engine Restringir las subredes VPC compartidas La restricción de esta lista define el conjunto de subredes de VPC compartidas que pueden utilizar los recursos aptos. Esta restricción no se aplica a los recursos que pertenecen al mismo proyecto. De forma predeterminada, los recursos aptos pueden utilizar cualquier subred de VPC compartida. La lista de subredes permitidas o rechazadas debe tener el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
    constraints/compute.restrictSharedVpcSubnetworks     		"is:", "under:"
    Compute Engine Restringir el uso del emparejamiento de VPC La restricción de esta lista define el conjunto de redes de VPC que se pueden emparejar con las del proyecto, la carpeta o la organización. Cada extremo de la interconexión debe tener permiso de interconexión. De forma predeterminada, el administrador de una red puede emparejarla con cualquier otra. La lista de redes permitidas o denegadas debe identificarse con el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
    constraints/compute.restrictVpcPeering     		"is:", "under:"
    Compute Engine Restringir IPs de pares de VPN La restricción de esta lista define el conjunto de direcciones IP válidas que se pueden configurar como IPs de pares de VPN. De forma predeterminada, cualquier IP puede ser una IP de par de VPN en una red VPC. La lista de direcciones IP permitidas o rechazadas debe contener direcciones IP válidas con el formato IP_V4_ADDRESS o IP_V6_ADDRESS.
    constraints/compute.restrictVpnPeerIPs     		"is:"
    Compute Engine Define la configuración de DNS interno de los nuevos proyectos como Solo DNS zonal. Si se le asigna el valor `True`, los proyectos que se creen usarán DNS zonal de forma predeterminada. De forma predeterminada, esta restricción tiene el valor `False` y los proyectos que se creen usarán el tipo de DNS predeterminado.
    constraints/compute.setNewProjectDefaultToZonalDNSOnly     		"is:"
    Compute Engine Proyectos propietarios de reservas compartidas La restricción de esta lista define el conjunto de proyectos que pueden crear y tener reservas compartidas en la organización. Una reserva compartida es similar a una reserva local, pero, en lugar de que solo la puedan usar los proyectos propietarios, pueden usarla otros proyectos de Compute Engine de la jerarquía de recursos. La lista de proyectos que pueden acceder a la reserva compartida debe tener el formato projects/PROJECT_NUMBER o under:projects/PROJECT_NUMBER.
    constraints/compute.sharedReservationsOwnerProjects     		"is:", "under:"
    Compute Engine Saltar creación de red predeterminada Si su valor es True, esta restricción booleana se saltará el paso de crear una red predeterminada y los recursos relacionados durante la creación de recursos de un proyecto de Google Cloud Platform. Ambos elementos se crean automáticamente durante dicha operación.

    constraints/compute.skipDefaultNetworkCreation     		"is:"
    Compute Engine Restricciones de uso de recursos de Compute Storage (discos, imágenes y capturas de Compute Engine) La restricción de esta lista define un conjunto de proyectos que pueden usar los recursos de almacenamiento de Compute Engine. De forma predeterminada, cualquier usuario con los permisos de Cloud IAM adecuados puede acceder a los recursos de Compute Engine. Cuando se usa esta restricción, los usuarios deben tener permisos de Cloud IAM y no deben tener restringido el acceso al recurso por la restricción.
    Los proyectos, las carpetas y las organizaciones que se especifiquen en las listas de permitidos o denegados deben tener el siguiente formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID o under:organizations/ORGANIZATION_ID.

    constraints/compute.storageResourceUseRestrictions     		"is:", "under:"
    Compute Engine Definir proyectos de imágenes de confianza La restricción de esta lista define el conjunto de proyectos que se pueden usar para el almacenamiento de imágenes y la creación de instancias de discos en Compute Engine.
    De forma predeterminada, las instancias se pueden crear a partir de imágenes de cualquier proyecto que comparta imágenes de forma pública o explícita con el usuario.
    La lista de proyectos de editores permitidos o rechazados debe contener cadenas con el formato projects/PROJECT_ID. Si esta restricción está activa, solo se permitirán imágenes de proyectos de confianza como origen de los discos de arranque de las instancias nuevas.

    constraints/compute.trustedImageProjects     		"is:"
    Compute Engine Restringir el reenvío de IPs de VMs La restricción de esta lista define el conjunto de instancias de VM que pueden habilitar el reenvío de IPs. De forma predeterminada, todas las VM pueden habilitar el reenvío de IPs en cualquier red virtual. Las instancias de VM deben especificarse con el formato under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Esta restricción no es retroactiva.
    constraints/compute.vmCanIpForward     		"is:", "under:"
    Compute Engine Definir IP externas permitidas para instancias de VM La restricción de esta lista define el conjunto de instancias de VM de Compute Engine que pueden usar direcciones IPv4 externas. Esta restricción no limita el uso de direcciones IPv6.
    De forma predeterminada, todas las instancias de VM pueden usar direcciones IPv4 e IPv6 externas.
    La lista de instancias de VM permitidas o denegadas debe identificarse por el nombre de la instancia de VM, con el siguiente formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
    constraints/compute.vmExternalIpAccess     		"is:"
    Compute Engine Inhabilitar la opción para habilitar Identity-Aware Proxy (IAP) en recursos globales Cuando se aplica esta restricción booleana, se inhabilita la activación de Identity-Aware Proxy en los recursos globales. Esta restricción no impide habilitar IAP en recursos regionales.
    De forma predeterminada, se permite habilitar IAP en recursos globales.
    constraints/iap.requireGlobalIapWebDisabled     		"is:"
    Google Kubernetes Engine Inhabilita las vías de acceso administrativo de diagnóstico en GKE. No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Cuando se aplica esta restricción booleana, se inhabilitan todas las rutas de acceso para diagnósticos y otros casos prácticos de asistencia que no cumplan los requisitos de Assured Workloads.
    constraints/container.restrictNoncompliantDiagnosticDataAccess     		"is:"
    Dataform Restringir los remotos de Git para los repositorios de Dataform La restricción de esta lista define un conjunto de remotos con los que pueden comunicarse los repositorios del proyecto de Dataform. Para bloquear la comunicación con todos los controles remotos, asigna el valor Deny all. Esta restricción es retroactiva y bloquea la comunicación de los repositorios que la infringen. Las entradas deben ser enlaces a remotos de confianza, con el mismo formato que se proporciona en Dataform.
    De forma predeterminada, los repositorios de los proyectos de Dataform pueden comunicarse con cualquier remoto.
    constraints/dataform.restrictGitRemotes     		"is:"
    Datastream Datastream - Bloquear métodos de conectividad públicos De forma predeterminada, los perfiles de conexión de Datastream se pueden crear con métodos de conectividad públicos o privados. Si se aplica la restricción booleana de esta política de organización, solo se podrán usar métodos de conectividad privada (por ejemplo, el emparejamiento de VPCs) para crear perfiles de conexión.
    constraints/datastream.disablePublicConnectivity     		"is:"
    Contactos esenciales Contactos restringidos al dominio La restricción de esta lista define el conjunto de dominios que pueden tener las direcciones de correo añadidas a Contactos esenciales.
    De forma predeterminada, se pueden añadir direcciones de correo de cualquier dominio a Contactos de emergencia.
    La lista de elementos permitidos o denegados debe especificar uno o varios dominios con el formato @example.com. Si esta restricción está activa y configurada con valores permitidos, solo se podrán añadir a Contactos esenciales las direcciones de correo que tengan un sufijo que coincida con una de las entradas de la lista de dominios permitidos.
    Esta restricción no afecta a la actualización ni a la eliminación de contactos.
    constraints/essentialcontacts.allowedContactDomains     		"is:"
    Contactos esenciales Inhabilitar los contactos de seguridad del proyecto Esta restricción booleana, cuando se aplica, permite a los administradores de políticas de la organización asegurarse de que solo los contactos asignados a nivel de organización o carpeta puedan recibir notificaciones de seguridad. En concreto, al aplicar esta restricción, se impide que los propietarios de proyectos y los administradores de contactos creen o actualicen un contacto esencial con un campo notification_category_subscriptions que contenga la categoría SECURITY o ALL, si el contacto también tiene un recurso de proyecto como elemento superior.
    constraints/essentialcontacts.disableProjectSecurityContacts     		"is:"
    Firestore Requerir el agente de servicio de Firestore para las importaciones y exportaciones Cuando se aplica esta restricción booleana, las importaciones y exportaciones de Firestore deben usar el agente de servicio de Firestore.
    De forma predeterminada, las importaciones y exportaciones de Firestore pueden usar la cuenta de servicio de App Engine.
    En el futuro, Firestore dejará de usar la cuenta de servicio de App Engine para las importaciones y exportaciones, y todas las cuentas deberán migrar al agente de servicio de Firestore. Después de ese momento, esta restricción ya no será necesaria.

    constraints/firestore.requireP4SAforImportExport     		"is:"
    Cloud Healthcare Inhabilitar Cloud Logging en la API de Cloud Healthcare Esta restricción booleana, cuando se aplica, inhabilita Cloud Logging para la API Cloud Healthcare.
    Esta restricción no afecta a los registros de auditoría.
    Los registros de Cloud que se hayan generado para la API Cloud Healthcare antes de que se implementase no se eliminan y todavía se puede acceder a ellos.

    constraints/gcp.disableCloudLogging     		"is:"
    Gestión de Identidades y Accesos Permiso para ampliar la duración de los tokens de acceso de OAuth 2.0 a un máximo de 12 horas La restricción de esta lista define el conjunto de cuentas de servicio al que se conceden tokens de acceso de OAuth 2.0 con una duración de 12 horas como máximo. De manera predeterminada, la duración máxima de estos tokens de acceso es de 1 hora.
    La lista de cuentas de servicio permitidas o denegadas debe especificar una o varias direcciones de correo electrónico de la cuenta de servicio.
    constraints/iam.allowServiceAccountCredentialLifetimeExtension     		"is:"
    Gestión de Identidades y Accesos Uso compartido restringido al dominio Esta restricción de lista define uno o varios IDs de cliente de Cloud Identity o Google Workspace cuyos principales se pueden añadir a las políticas de IAM.
    De forma predeterminada, se permite añadir todas las identidades de usuario a las políticas de IAM. En esta restricción solo se pueden definir valores permitidos. No se admiten valores denegados.
    Si esta restricción está activa, solo se podrán añadir a las políticas de IAM las entidades principales que pertenezcan a los IDs de cliente permitidos.
    No es necesario que añada el ID de cliente de google.com a esta lista para interoperar con los servicios de Google. Si añades google.com, podrás compartir contenido con empleados de Google y sistemas que no sean de producción, y solo deberías usarlo para compartir datos con empleados de Google.
    constraints/iam.allowedPolicyMemberDomains     		"is:"
    Gestión de Identidades y Accesos Inhabilitar la exención del registro de auditoría Esta restricción booleana, cuando se aplica, te impide eximir a otros principales del registro de auditoría. Esta restricción no afecta a las exenciones de registro de auditoría que existían antes de que la aplicaras.
    constraints/iam.disableAuditLoggingExemption     		"is:"
    Gestión de Identidades y Accesos Inhabilitar el uso de cuentas de servicio entre proyectos Cuando se aplica, las cuentas de servicio solo se pueden implementar (con el rol ServiceAccountUser) en trabajos (máquinas virtuales, funciones, etc.) que se ejecuten en el mismo proyecto que la cuenta de servicio.
    constraints/iam.disableCrossProjectServiceAccountUsage     		"is:"
    Gestión de Identidades y Accesos Inhabilitar creación de cuentas de servicio Esta restricción booleana inhabilita la creación de cuentas de servicio donde esté aplicada.
    De forma predeterminada, los usuarios pueden crear cuentas de servicio según sus roles y permisos de Cloud IAM.

    constraints/iam.disableServiceAccountCreation     		"is:"
    Gestión de Identidades y Accesos Inhabilitar creación de claves de cuentas de servicio Cuando se aplica esta restricción booleana, se inhabilita la creación de claves externas de cuentas de servicio y claves HMAC de Cloud Storage.
    De forma predeterminada, los usuarios pueden crear claves externas de cuentas de servicio según sus roles y permisos de Cloud IAM.
    constraints/iam.disableServiceAccountKeyCreation     		"is:"
    Gestión de Identidades y Accesos Inhabilitar la subida de claves a cuentas de servicio Esta restricción booleana inhabilita la función que permite subir claves públicas a las cuentas de servicio donde esté aplicada.
    De forma predeterminada, los usuarios pueden subir claves públicas a las cuentas de servicio según sus roles y permisos de Cloud IAM.
    constraints/iam.disableServiceAccountKeyUpload     		"is:"
    Gestión de Identidades y Accesos Inhabilitar la creación de clústeres de Workload Identity Cuando se aplica esta restricción booleana (es decir, cuando su valor es "True"), Workload Identity debe estar inhabilitado durante el proceso de creación de todos los clústeres nuevos de GKE. Los clústeres de GKE en los que esta función ya esté habilitada seguirán funcionando como hasta ahora. De manera predeterminada, Workload Identity puede habilitarse en cualquier clúster de GKE.
    constraints/iam.disableWorkloadIdentityClusterCreation     		"is:"
    Gestión de Identidades y Accesos Duración de la caducidad de la clave de cuenta de servicio en horas Esta restricción de lista define la duración máxima permitida para el vencimiento de las claves de cuentas de servicio. De forma predeterminada, las claves creadas no caducan nunca.
    La duración permitida se especifica en horas y debe proceder de la lista que aparece a continuación. Solo se puede especificar un valor permitido y no se admiten valores denegados. Si se especifica una duración que no esté en esta lista, se producirá un error.
    • 1h
    • 8h
    • 24h
    • 168h
    • 336h
    • 720h
    • 1440h
    • 2160h
    Para aplicar esta restricción, debes configurarla para que sustituya la política principal en la consola de Cloud o definir inheritFromParent=false en el archivo de política si usas la CLI de gcloud. Esta restricción no se puede combinar con una política superior. Esta restricción no se aplica con carácter retroactivo y no cambiará las claves que ya existan.
    constraints/iam.serviceAccountKeyExpiryHours     		"is:"
    Gestión de Identidades y Accesos Respuesta de exposición de claves de cuenta de servicio La restricción de esta lista define la respuesta que se da si Google detecta que una clave vinculada a una cuenta de servicio se ha expuesto públicamente. Entre las claves monitorizadas se incluyen las claves de cuenta de servicio de larga duración y las claves de API asociadas a una cuenta de servicio. Si no se define, se utiliza el comportamiento descrito en DISABLE_KEY de forma predeterminada.
    Los valores permitidos son DISABLE_KEY y WAIT_FOR_ABUSE. No se pueden usar valores que no formen parte explícitamente de esta lista. Solo se puede especificar un valor permitido y no se admiten valores denegados.
    Si se permite el valor DISABLE_KEY, se inhabilita automáticamente cualquier clave de cuenta de servicio expuesta públicamente y se crea una entrada en el registro de auditoría.
    Si se permite el valor WAIT_FOR_ABUSE, se inhabilita esta protección y no se inhabilitan automáticamente las claves de cuentas de servicio expuestas. Sin embargo, Google Cloud puede inhabilitar las claves de cuentas de servicio expuestas si se usan de formas que afecten negativamente a la plataforma, pero no se compromete a hacerlo.
    Para aplicar esta restricción, defínela para que sustituya a la política principal en la consola de Google Cloud o defina inheritFromParent=false en el archivo de política si usa la CLI de gcloud. Esta restricción no se puede combinar con una política superior.
    constraints/iam.serviceAccountKeyExposureResponse     		"is:"
    Gestión de Identidades y Accesos Cuentas de AWS permitidas que se pueden configurar para la federación de identidades de cargas de trabajo en Cloud IAM Lista de los IDs de cuentas de AWS que se pueden configurar para la federación de identidades de cargas de trabajo en Cloud IAM.
    constraints/iam.workloadIdentityPoolAwsAccounts     		"is:"
    Gestión de Identidades y Accesos Proveedores de identidades externos permitidos en cargas de trabajo de Cloud IAM Los proveedores de identidades que se pueden configurar para la autenticación de cargas de trabajo en Cloud IAM y que especifican las URLs y URIs.
    constraints/iam.workloadIdentityPoolProviders     		"is:"
    Plano de control gestionado de Anthos Service Mesh Modo de Controles de Servicio de VPC permitido para planos de control gestionados de Anthos Service Mesh Esta restricción determina qué modos de Controles de Servicio de VPC se pueden definir al aprovisionar un nuevo plano de control gestionado de Anthos Service Mesh. Los valores válidos son "NONE" y "COMPATIBLE".
    constraints/meshconfig.allowedVpcscModes     		"is:"
    Configuración del SO Gestor de VMs: restringe el uso de secuencias de comandos insertadas y archivos de salida Si su valor es "True", esta restricción booleana exige el cumplimiento de los requisitos de Assured Workloads restringiendo la creación o modificación de recursos de VM Manager que usen secuencias de comandos insertadas o archivos de salida binarios. En concreto, los campos "script" y "output_file_path" de los recursos OSPolicyAssignment y PolicyOrchestrator deben permanecer vacíos.
    constraints/osconfig.restrictInlineScriptAndOutputFileUsage     		"is:"
    Cloud Pub/Sub Aplicar regiones de tránsito para los mensajes de Pub/Sub Cuando se aplica esta restricción booleana, se asigna el valor true a MessageStoragePolicy::enforce_in_transit en todos los temas de Pub/Sub nuevos durante el proceso de creación. De esta forma, los datos de los clientes solo se transfieren dentro de las regiones permitidas especificadas en la política de almacenamiento de mensajes del tema.
    constraints/pubsub.enforceInTransitRegions     		"is:"
    Resource Manager Restringir retirada de bloqueos de proyectos de VPCs Esta restricción booleana limita el conjunto de usuarios que pueden retirar un bloqueo de un proyecto de host de VPC compartida sin permiso a nivel de organización cuando esta restricción tiene el valor True.
    De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede retirar una retención de un proyecto host de VPC compartida. Para aplicar esta restricción, se debe conceder el permiso a nivel de organización.
    constraints/compute.restrictXpnProjectLienRemoval     		"is:"
    Resource Manager Restringir la retirada de bloqueos de cuentas de servicio entre proyectos Esta restricción booleana, cuando se aplica, impide que los usuarios eliminen una retención de cuenta de servicio entre proyectos sin permiso a nivel de organización. De forma predeterminada, cualquier usuario que tenga permiso para actualizar retenciones puede quitar una retención de cuenta de servicio entre proyectos. Para aplicar esta restricción, se debe conceder el permiso a nivel de organización.
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval     		"is:"
    Resource Manager Restringir la visibilidad de las consultas de recursos Cuando se aplica esta restricción de lista a un recurso de organización, se define el conjunto de recursos de Google Cloud que se devuelven en los métodos de lista y de búsqueda para los usuarios del dominio de la organización en la que se aplica esta restricción. Se puede usar para limitar los recursos que se ven en varias partes de la consola de Cloud, como el selector de recursos, la búsqueda y la página Gestionar recursos. Ten en cuenta que esta restricción solo se evalúa a nivel de organización. Los valores especificados en las listas de permitidos o denegados deben tener el formato under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.accessBoundaries     		"is:", "under:"
    Resource Manager Requerir una lista de servicios habilitados para mover datos entre organizaciones Esta restricción de lista actúa como una comprobación para verificar que un proyecto con un servicio habilitado cumple los requisitos para moverse entre organizaciones. Para poder mover un recurso entre organizaciones, debe aplicarse esta restricción y el servicio compatible debe estar incluido en los valores permitidos. Esta es la lista actual de valores permitidos para los servicios admitidos que se pueden usar:
    • SHARED_VPC

    Esta restricción proporciona un control adicional a las restricciones/resourcemanager.allowedExportDestinations. Esta lista_constraint está vacía de forma predeterminada y no bloqueará los movimientos entre organizaciones a menos que se habilite un servicio compatible en el recurso que se va a exportar. Esta restricción permite tener un control más preciso sobre los recursos mediante funciones que requieren más precaución al trasladarse a otra organización. De forma predeterminada, un recurso con un servicio compatible habilitado no se puede mover entre organizaciones.
    constraints/resourcemanager.allowEnabledServicesForExport     		"is:"
    Resource Manager Destinos permitidos para exportar recursos La restricción de esta lista define el conjunto de organizaciones externas a las que se pueden mover los recursos y deniega todos los movimientos a todas las demás organizaciones. De forma predeterminada, los recursos no se pueden mover entre organizaciones. Si esta restricción se aplica a un recurso, el recurso solo se puede mover a organizaciones que estén permitidas explícitamente por esta restricción. Esta restricción no se aplica a los movimientos dentro de una organización. La operación de traslado seguirá requiriendo los mismos permisos de gestión de identidades y accesos que los traslados de recursos normales. Los valores especificados en las listas de permitidos o denegados deben tener el formato under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedExportDestinations     		"is:", "under:"
    Resource Manager Fuentes permitidas para importar recursos La restricción de esta lista define el conjunto de organizaciones externas desde las que se pueden importar recursos y deniega todos los movimientos de todas las demás organizaciones. De forma predeterminada, los recursos no se pueden mover entre organizaciones. Si esta restricción se aplica a un recurso, los recursos importados directamente en este recurso deben permitirse explícitamente mediante esta restricción. Esta restricción no se aplica a los movimientos dentro de una organización. La operación de traslado seguirá requiriendo los mismos permisos de gestión de identidades y accesos que los traslados de recursos normales. Los valores especificados en las listas de permitidos o denegados deben tener el formato under:organizations/ORGANIZATION_ID.
    constraints/resourcemanager.allowedImportSources     		"is:", "under:"
    Cloud Run Políticas de autorización binaria permitidas (Cloud Run) La restricción de esta lista define el conjunto de nombres de políticas de autorización binaria que se pueden especificar en un recurso de Cloud Run. Para permitir o denegar una política predeterminada, usa el valor `default`. Para permitir o denegar una o varias políticas de plataforma personalizadas, debes añadir por separado el ID de recurso de cada una de ellas.
    constraints/run.allowedBinaryAuthorizationPolicies     		"is:"
    Cloud Run Configuración de entrada permitida (Cloud Run) La restricción de esta lista define la configuración de entrada permitida para los servicios de Cloud Run. Cuando se aplique esta restricción, los servicios deberán contar con una configuración de entrada que coincida con uno de los valores permitidos. Los servicios de Cloud Run que ya tengan ajustes de acceso que infrinjan esta restricción se podrán seguir actualizando hasta que se cambien dichos ajustes para que cumplan la restricción. Una vez que un servicio cumpla esta restricción, solo podrá usar los ajustes de entrada permitidos por ella.
    De forma predeterminada, los servicios de Cloud Run pueden utilizar cualquier configuración de entrada.
    La lista permitida debe contener valores de configuración de entrada compatibles, que son all, internal y internal-and-cloud-load-balancing.

    constraints/run.allowedIngress     		"is:"
    Cloud Run Configuración de salida de VPC permitida (Cloud Run) La restricción de esta lista define la configuración de salida de VPC permitida que se puede especificar en un recurso de Cloud Run. Cuando se aplique esta restricción, los recursos de Cloud Run deberán desplegarse con un conector de Acceso a VPC sin servidor o con la salida de VPC directa habilitada, y la configuración de salida de VPC deberá coincidir con uno de los valores permitidos.
    De forma predeterminada, los recursos de Cloud Run pueden asignar a la configuración de salida de VPC cualquier valor admitido.
    La lista de permitidas debe contener valores de configuración de salida de VPC admitidos, que son private-ranges-only y all-traffic.

    En el caso de los servicios de Cloud Run, todas las revisiones nuevas deben cumplir esta restricción. Los servicios que ya tengan revisiones que sirvan tráfico y que incumplan esta restricción pueden seguir migrando tráfico a revisiones que incumplan esta restricción. Una vez que todo el tráfico de un servicio se haya atendido mediante revisiones que cumplan esta restricción, todas las migraciones de tráfico posteriores solo podrán migrar tráfico a revisiones que cumplan esta restricción.
    constraints/run.allowedVPCEgress     		"is:"
    Service Consumer Management Inhabilitar las concesiones automáticas de la gestión de identidades y accesos a las cuentas de servicio predeterminadas Cuando se aplica esta restricción booleana, no se concede automáticamente ningún rol de gestión de identidades y accesos del proyecto a ninguna cuenta de servicio predeterminada de App Engine y Compute Engine cuando se creen en tus proyectos.
    De forma predeterminada, estas cuentas de servicio reciben automáticamente el rol Editor cuando se crean. Para obtener información sobre las cuentas de servicio predeterminadas, consulta https://cloud.google.com/iam/help/service-accounts/default.
    Para saber qué roles debes asignar en lugar del rol Editor, consulta https://cloud.google.com/iam/help/service-accounts/troubleshoot-roles-default.
    constraints/iam.automaticIamGrantsForDefaultServiceAccounts     		"is:"
    Cloud Spanner Habilitar el control de servicios avanzado para cargas de trabajo de cumplimiento No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Cuando se aplique esta restricción booleana, se verán afectados ciertos aspectos de la compatibilidad y los recursos aprovisionados seguirán estrictamente los requisitos de soberanía avanzada de Assured Workloads. Esta política se aplicará a los proyectos actuales, pero no afectará a los recursos que ya se hayan aprovisionado. Es decir, las modificaciones de la política solo se reflejarán en los recursos creados después de que se modifique la política.
    constraints/spanner.assuredWorkloadsAdvancedServiceControls     		"is:"
    Cloud Spanner Inhabilitar la multirregión de Cloud Spanner si no se ha seleccionado ninguna ubicación No configure ni modifique esta política. Esta restricción se configura automáticamente durante la incorporación de Assured Workloads y solo está pensada para el control normativo avanzado de Assured Workloads. Esta restricción booleana, cuando se aplica, impide la creación de instancias de Spanner que usen una configuración de instancia multirregional a menos que se seleccione una ubicación. Actualmente, Cloud Spanner no admite la selección de la ubicación, por lo que no se permitirá ninguna multirregión. En el futuro, Spanner ofrecerá a los usuarios la función de seleccionar una ubicación para varias regiones. Esta restricción no se aplica con carácter retroactivo. Las instancias de Spanner que ya se hayan creado no se verán afectadas.
    constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected     		"is:"
    Cloud Storage Google Cloud Platform: modo de registro de auditoría detallado Cuando se aplica el modo de registro de auditoría detallado, la solicitud y la respuesta se incluyen en el registro de auditoría de Cloud. Los cambios en esta función pueden tardar hasta 10 minutos en surtir efecto. Se recomienda encarecidamente esta política de organización en coordinación el bloqueo de segmentos a la hora de procurar el cumplimiento de reglas como 17a-4(f) de la comisión de bolsa y valores (SEC), 1.31(c)-(d) de la comisión de mercados futuros y opciones (CFTC) y 4511(c) de la autoridad regulatoria del sector financiero (FINRA). Esta política solo se admite en Cloud Storage.
    constraints/gcp.detailedAuditLoggingMode     		"is:"
    Cloud Storage Aplicar la prevención del acceso público Protege tus datos de Cloud Storage frente a la exposición pública aplicando la prevención de acceso público. Esta política de control impide que se pueda acceder a los recursos actuales y futuros a través de la red pública de Internet. Para ello, inhabilita y bloquea las listas de control de acceso y los permisos de gestión de identidades y accesos que conceden acceso a allUsers y allAuthenticatedUsers. Aplica esta política a toda la organización (opción recomendada), a proyectos específicos o a carpetas concretas para asegurarte de que no se expongan datos públicamente.
    Esta política anula los permisos públicos que ya haya. El acceso público se revocará para los segmentos y objetos que ya existan después de habilitar esta política. Para obtener más información sobre los efectos de cambiar la aplicación de esta restricción en los recursos, consulta https://cloud.google.com/storage/docs/public-access-prevention.
    constraints/storage.publicAccessPrevention     		"is:"
    Cloud Storage Cloud Storage: restringir los tipos de autenticación La restricción define el conjunto de tipos de autenticación cuyo acceso a los recursos de almacenamiento de la organización en Cloud Storage se restringirá. Los valores posibles son USER_ACCOUNT_HMAC_SIGNED_REQUESTS y SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS. Usa in:ALL_HMAC_SIGNED_REQUESTS para incluir ambos.
    constraints/storage.restrictAuthTypes     		"is:", "in:"
    Cloud Storage Duración de la política de retención en segundos La restricción de esta lista define el conjunto de duraciones de las políticas de retención que se pueden definir en los segmentos de Cloud Storage.
    De forma predeterminada, si no se especifica ninguna política de la organización, un segmento de Cloud Storage puede tener una política de retención de cualquier duración.
    La lista de duraciones permitidas debe especificarse como un valor entero positivo mayor que cero, que representa la política de conservación en segundos.
    Cualquier operación de inserción, actualización o parche en un segmento del recurso de la organización debe tener una duración de la política de conservación que coincida con la restricción.
    Esta restricción no se aplica con carácter retroactivo. Cuando se aplica una nueva política de la organización, la política de retención de los segmentos ya creados no cambia y sigue siendo válida.

    constraints/storage.retentionPolicySeconds     		"is:"
    Cloud Storage Restringir el acceso HTTP sin cifrar Cuando se aplica esta restricción booleana, se deniega explícitamente el acceso HTTP (sin cifrar) a todos los recursos de almacenamiento. De forma predeterminada, la API XML de Cloud Storage permite el acceso HTTP sin cifrar. Ten en cuenta que la API JSON de Cloud Storage, gRPC y la consola de Cloud solo permiten el acceso HTTP cifrado a los recursos de Cloud Storage.
    constraints/storage.secureHttpTransport     		"is:"
    Cloud Storage Cloud Storage: duración de la política de retención de eliminación no definitiva en segundos Esta restricción define las duraciones de retención permitidas para las políticas de eliminación no definitiva definidas en los segmentos de Cloud Storage en los que se aplique esta restricción. Cualquier operación de inserción, actualización o parche en un contenedor en el que se aplique esta restricción debe tener una duración de la política de eliminación suave que coincida con la restricción. Cuando se aplica una nueva política de la organización, la política de eliminación suave de los segmentos actuales no cambia y sigue siendo válida. De forma predeterminada, si no se especifica ninguna política de la organización, un segmento de Cloud Storage puede tener una política de eliminación no definitiva de cualquier duración.
    constraints/storage.softDeletePolicySeconds     		"is:"
    Cloud Storage Aplicar el acceso uniforme a nivel de segmento Esta restricción booleana exige que se use el acceso uniforme a nivel de segmento en los segmentos donde su valor sea True. Todos los segmentos nuevos del recurso de la organización deben tener habilitado ese tipo de acceso, y ninguno de los que hay disponibles actualmente puede inhabilitarlo.
    Esta restricción no tiene carácter retroactivo, así que el acceso uniforme a nivel de segmento no se habilitará en los segmentos disponibles que lo tengan inhabilitado. El valor predeterminado de esta restricción es False.
    El acceso uniforme a nivel de segmento inhabilita la evaluación de las LCA asignadas a los objetos de Cloud Storage del segmento. En consecuencia, solo las políticas de gestión de identidades y accesos conceden acceso a los objetos de estos segmentos.

    constraints/storage.uniformBucketLevelAccess     		"is:"

    Guías prácticas

    Para obtener más información sobre cómo usar las restricciones individuales, consulta los siguientes artículos:

    Restricción Guía práctica
    constraints/cloudbuild.allowedIntegrations Puerta de compilación basada en la política de organización
    constraints/cloudfunctions.allowedIngressSettings Configurar políticas de organización
    constraints/cloudfunctions.allowedVpcConnectorEgressSettings Configurar políticas de organización
    constraints/cloudfunctions.requireVPCConnector Configurar políticas de organización
    constraints/gcp.restrictNonCmekServices Políticas de organización de CMEK
    constraints/gcp.restrictCmekCryptoKeyProjects Políticas de organización de CMEK
    constraints/gcp.restrictEndpointUsage Restringir el uso de endpoints
    constraints/gcp.restrictTLSVersion Restringir versiones de TLS
    constraints/compute.requireOsConfig Habilitar la política de organización de configuración del SO
    constraints/compute.restrictPrivateServiceConnectConsumer
    constraints/compute.restrictPrivateServiceConnectProducer    		 Gestionar la seguridad de los consumidores de Private Service Connect
    constraints/compute.restrictCloudNATUsage Restricciones de las políticas de organización
    constraints/compute.restrictLoadBalancerCreationForTypes Restricciones de políticas de la organización para Cloud Load Balancing
    constraints/compute.restrictProtocolForwardingCreationForTypes Descripción general del reenvío de protocolos
    constraints/compute.restrictDedicatedInterconnectUsage
    constraints/compute.restrictPartnerInterconnectUsage    		 Restringir el uso de Cloud Interconnect
    constraints/compute.restrictVpnPeerIPs Restringir las direcciones IP de los pares a través de un túnel de Cloud VPN
    constraints/compute.trustedImageProjects Definir restricciones de acceso a imágenes
    constraints/compute.vmExternalIpAccess Restringir el acceso a IPs externas a instancias específicas
    constraints/compute.requireVpcFlowLogs Configurar restricciones de políticas de organización para los registros de flujo de VPC
    constraints/dataform.restrictGitRemotes Restringir repositorios remotos
    constraints/gcp.restrictServiceUsage Restringir el uso de recursos
    constraints/iam.allowedPolicyMemberDomains Restringir identidades por dominio
    constraints/iam.allowServiceAccountCredentialLifetimeExtension Ampliar la duración de los tokens de acceso de OAuth 2.0
    constraints/iam.disableCrossProjectServiceAccountUsage Configurar un recurso de otro proyecto
    constraints/iam.disableServiceAccountCreation Inhabilitar la creación de cuentas de servicio
    constraints/iam.disableServiceAccountKeyCreation Inhabilitar la creación de claves de cuentas de servicio
    constraints/iam.disableServiceAccountKeyUpload Inhabilitar la subida de claves a cuentas de servicio
    constraints/iam.disableWorkloadIdentityClusterCreation Inhabilitar la creación de clústeres de Workload Identity
    constraints/iam.managed.disableServiceAccountApiKeyCreation Habilitar la vinculación de claves a cuentas de servicio
    constraints/iam.restrictCrossProjectServiceAccountLienRemoval Configurar un recurso de otro proyecto
    constraints/gcp.detailedAuditLoggingMode
    constraints/storage.retentionPolicySeconds
    constraints/storage.uniformBucketLevelAccess
    constraints/storage.publicAccessPrevention    		 Restricciones de políticas de la organización para Cloud Storage
    constraints/gcp.disableCloudLogging Inhabilitar Cloud Logging en la API de Cloud Healthcare
    constraints/gcp.resourceLocations Restringir ubicaciones de recursos
    constraints/resourcemanager.accessBoundaries Restringir la visibilidad de los proyectos a los usuarios
    constraints/run.allowedIngress Restringir los ajustes de entrada permitidos
    constraints/run.allowedVPCEgress Restringir la configuración de salida de VPC permitida
    constraints/vertexai.allowedModels Controlar el acceso a los modelos de Model Garden

    Más información

    Para obtener más información sobre los conceptos básicos de la política de organización, consulta los siguientes artículos: