使用可能な制約
次の制約を使用するポリシーを指定できます。
マネージド制約
サービス | 制約 | 説明 |
---|---|---|
Identity and Access Management | サービス アカウント キーの作成を無効化 | この制約を適用すると、サービス アカウント キーの作成がブロックされます。constraints/iam.managed.disableServiceAccountKeyCreation |
Identity and Access Management | サービス アカウント キー アップロードの無効化 | このブール型制約が「True」に設定されているサービス アカウントに公開鍵をアップロードできるようにする機能は、このブール型制約により無効になります。 デフォルトでは、ユーザーは Cloud IAM の役割と権限に基づいて公開鍵をサービス アカウントにアップロードできます。 constraints/iam.managed.disableServiceAccountKeyUpload |
複数の Google Cloud サービスでサポートされる制約
制約 | 説明 | サポートされている接頭辞 |
---|---|---|
許可されたワーカープール(Cloud Build) | このリスト型制約は、Cloud Build を使用してビルドを実行するための許可された Cloud Build ワーカープールのセットを定義します。この制約が適用されると、許可された値のいずれかに一致するワーカープールでビルドすることが要求されます。 デフォルトでは、Cloud Build はすべてのワーカープールを使用できます。 ワーカープールの許可リストの形式は、
constraints/cloudbuild.allowedWorkerPools |
"is:" 、"under:" |
Google Cloud Platform - リソース ロケーションの制限 | このリスト型制約は、ロケーション ベースの Google Cloud リソースを作成できる一連のロケーションを定義します。重要: このページの情報は、顧客データ(Google が Google Cloud Platform サービスを提供することに同意した契約に定義されており、https://cloud.google.com/terms/services の Google Cloud Platform サービス概要に記載されている)に対する、Google Cloud Platform のデータの保管場所に関する義務を説明するものではありません。顧客がデータの保管場所を選択できる Google Cloud Platform サービスのリストについては、データ所在地がある Google Cloud Platform サービス(https://cloud.google.com/terms/data-residency)をご覧ください。 デフォルトでは、任意のロケーションにリソースを作成できます。サポートされているサービスの完全なリストについては、https://cloud.google.com/resource-manager/docs/organization-policy/defining-locations-supported-services をご覧ください。 この制約に関するポリシーでは、許可または拒否するロケーションとして、 asia や europe などのマルチリージョン、us-east1 や europe-west1 などのリージョンを指定できます。マルチリージョンを許可または拒否しても、それらに含まれるすべてのサブロケーションまで許可または拒否されることにはなりません。たとえば、ポリシーで us マルチリージョン(一部のストレージ サービスなどのマルチリージョン リソースを指す)が拒否されていても、リージョン ロケーション us-east1 には依然としてリソースを作成できます。一方、in:us-locations グループは us リージョン内のすべてのロケーションを含み、すべてのリージョンをブロックするために使用できます。値グループを使用してポリシーを定義することをおすすめします。 値グループ(リソースのロケーションを簡単に定義できるようにするために Google によってキュレートされた、ロケーションのコレクション)を指定できます。組織のポリシーで値グループを使用するには、エントリの先頭に文字列 in: を付加し、その後に値グループを配置します。たとえば、米国内にのみ存在するリソースを作成するには、使用可能な値のリストに in:us-locations を設定します。ロケーション ポリシーで suggested_value フィールドが使用されている場合は、リージョンを指定する必要があります。指定した値がリージョンの場合は、ゾーンリソースの UI にこのリージョン内のすべてのゾーンが事前に入力されます。constraints/gcp.resourceLocations |
"is:" 、"in:" |
CMEK 用の KMS CryptoKey を提供できるプロジェクトを制限する | このリスト型制約は、リソースの作成時に顧客管理の暗号鍵(CMEK)を提供するために使用できるプロジェクトを定義します。この制約を [Allow ] に設定した場合(これらのプロジェクトからの CMEK 鍵のみを許可する場合)、他のプロジェクトの CMEK 鍵を使用して、新規に作成されるリソースを保護できなくなります。この制約の値は、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、または projects/PROJECT_ID の形式で指定する必要があります。この制約を適用するサポート対象のサービスは次のとおりです。
Deny またはDeny All ] に設定することはできません。この制約が遡って適用されることはありません。許可されていないプロジェクトからの KMS CryptoKey を持つ既存の CMEK Google Cloud リソースは、手動で再構成または再作成して、この制約を適用する必要があります。constraints/gcp.restrictCmekCryptoKeyProjects |
"is:" 、"under:" |
CMEK を使用せずにリソースを作成できるサービスを制限する | このリスト型制約は、顧客管理の暗号鍵(CMEK)を必要とするサービスを定義します。この制約を Deny に設定した場合(CMEK を使用しないリソース作成を認めない場合)、指定するサービスでは、新規に作成されるリソースを CMEK 鍵で保護する必要があります。この制約で設定できるサポート対象のサービスは次のとおりです。
Deny All ] に設定することはできません。この制約を [Allow ] に設定することはできません。この制約が遡って適用されることはありません。CMEK がない既存の Google Cloud リソースは、手動で再構成または再作成して、この制約を適用する必要があります。constraints/gcp.restrictNonCmekServices |
"is:" |
リソース サービスの使用を制限する | この制約は、組織、フォルダ、プロジェクト内で使用できる一連の Google Cloud リソース サービス(compute.googleapis.com や storage.googleapis.com など)を定義します。 デフォルトでは、すべての Google Cloud リソース サービスが許可されています。 詳しくは、https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources をご覧ください。 constraints/gcp.restrictServiceUsage |
"is:" |
TLS バージョンを制限する | この制約は、この制約が適用される組織、フォルダ、またはプロジェクト、あるいはそのリソースのリソース階層内での子で使用できない TLS バージョンのセットを定義します。 デフォルトでは、すべての TLS バージョンが許可されます。TLS バージョンは拒否リストでのみ指定でき、 TLS_VERSION_1 または TLS_VERSION_1_1 の形式で指定する必要があります。この制約は、TLS を使用するリクエストにのみ適用されます。暗号化されていないリクエストの制限には使用されません。 詳しくは、https://cloud.google.com/assured-workloads/docs/restrict-tls-versions をご覧ください。 constraints/gcp.restrictTLSVersion |
"is:" |
リージョン リソースでの Identity-Aware Proxy(IAP)の有効化を無効にする | このブール型制約を適用すると、リージョン リソースで Identity-Aware Proxy を有効にできなくなります。グローバル リソースでの IAP の有効化は、この制約で制限されることはありません。 デフォルトでは、リージョン リソースで IAP を有効にすることができます。 constraints/iap.requireRegionalIapWebDisabled |
"is:" |
許可される Google Cloud API とサービスを制限する | このリスト型制約は、このリソースで有効にできるサービスと、そのサービスの API を制限します。デフォルトでは、すべてのサービスが許可されます。 サービスの拒否リストは、以下のリストから指定する必要があります。現在、この制約を介した API を明示的に有効にすることはできません。このリストにない API を指定すると、エラーが発生します。 この制約が遡って適用されることはありません。この制約が適用された時点でサービスがリソース上ですでに有効になっている場合、サービスは有効のままです。 constraints/serviceuser.services |
"is:" |
特定のサービスの制約
サービス | 制約 | 説明 | サポートされている接頭辞 |
---|---|---|---|
Vertex AI Workbench | Vertex AI Workbench のノートブックとインスタンスのアクセスモードを定義する | このリスト型制約は、適用される Vertex AI Workbench のノートブックとインスタンスに対して許可されるアクセスのモードを定義します。許可リストまたは拒否リストでは、service-account モードで複数のユーザーの指定、またはsingle-user モードでシングル ユーザー アクセスの指定を行えます。許可または拒否するアクセスモードを明示的に表示する必要があります。constraints/ainotebooks.accessMode |
"is:" |
Vertex AI Workbench | 新しい Vertex AI Workbench インスタンスでファイルのダウンロードを無効にする | このブール型制約を適用すると、ファイル ダウンロード オプションを有効にした状態では Vertex AI Workbench インスタンスを作成できなくなります。デフォルトでは、任意の Vertex AI Workbench インスタンスでファイル ダウンロード オプションを有効にできます。 constraints/ainotebooks.disableFileDownloads |
"is:" |
Vertex AI Workbench | 新しい Vertex AI Workbench ユーザー管理のノートブックとインスタンスで root アクセスを無効にする | このブール型制約を適用すると、新しく作成された Vertex AI Workbench ユーザー管理のノートブックとインスタンスで、ルートアクセスを有効にできなくなります。デフォルトでは、Vertex AI Workbench ユーザー管理のノートブックとインスタンスで root アクセスを有効にできます。constraints/ainotebooks.disableRootAccess |
"is:" |
Vertex AI Workbench | 新しい Vertex AI Workbench インスタンスでターミナルを無効にする | このブール型制約を適用すると、ターミナルが有効な状態で Vertex AI Workbench インスタンスを作成できなくなります。デフォルトでは、Vertex AI Workbench インスタンスでターミナルを有効にすることができます。 constraints/ainotebooks.disableTerminal |
"is:" |
Vertex AI Workbench | Vertex AI Workbench の新しいユーザー管理ノートブックに関する環境オプションを制限する | このリスト型制約は、新しい Vertex AI Workbench のユーザー管理ノートブックを作成するときにユーザーが選択できる VM とコンテナ イメージのオプションを定義します。許可または拒否するオプションは、明示的に指定する必要があります。 VM インスタンスの想定される形式は ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE です。IMAGE_TYPE は、image-family または image-name に置き換えます。例: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu 、ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 。コンテナ イメージの想定形式は ainotebooks-container/CONTAINER_REPOSITORY:TAG です。例: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest 、ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48 。constraints/ainotebooks.environmentOptions |
"is:" |
Vertex AI Workbench | 新しい Vertex AI Workbench ユーザー管理のノートブックとインスタンスでは、自動定期アップグレードがひつようです。 | このブール型制約を適用する場合は、新しく作成された Vertex AI Workbench ユーザー管理のノートブックとインスタンスに自動アップグレード スケジュールを設定する必要があります。自動アップグレード スケジュールを設定するには、「notebook-upgrade-schedule」メタデータ フラグを使用して、自動アップグレードの cron スケジュールを指定します。例:「--metadata=notebook-upgrade-schedule="00 19 * * MON"」。constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
Vertex AI Workbench | 新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限する | このブール型制約を適用すると、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP から Vertex AI Workbench のノートブックとインスタンスにアクセスできます。 constraints/ainotebooks.restrictPublicIp |
"is:" |
Vertex AI Workbench | 新しい Vertex AI Workbench インスタンスで VPC ネットワークを制限する | このリスト型制約では、この制約が適用される新しい Vertex AI Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークを定義します。デフォルトでは、Vertex AI Workbench インスタンスは任意の VPC ネットワークを指定して作成できます。ネットワークの許可 / 拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、または projects/PROJECT_ID/global/networks/NETWORK_NAME という形式で識別される必要があります。constraints/ainotebooks.restrictVpcNetworks |
"is:" 、"under:" |
Vertex AI | Vertex AI で Google 独自の生成 AI モデルへのアクセスを定義します | このリスト型制約は、Vertex AI API での使用が許可される生成 AI モデルと機能のセットを定義します。許可リストの値は model_id:feature_family の形式にする必要があります。例: publishers/google/models/text-bison:predict このリスト型制約は、Google が所有する生成 AI モデルへのアクセスのみを制限するものであり、サードパーティが所有するモデルやオープンソースのモデルには影響しません。制約 vertexai.allowedModels を使用すると、Google が所有するモデル、サードパーティが所有するモデル、オープンソースのモデルなど、より広範なモデルセットへのアクセスを定義できます。デフォルトでは、すべてのモデルを Vertex AI API で使用できます。constraints/vertexai.allowedGenAIModels |
"is:" |
Vertex AI | Vertex AI のモデルへのアクセスを定義します | このリスト型制約は、Vertex AI API での使用が許可されるモデルと機能のセットを定義します。許可リストの値は「model_id:feature_family 」の形式にする必要があります(例: 「publishers/google/models/gemini-1.0-pro:predict 」)。デフォルトでは、すべてのモデルを Vertex AI API で使用できます。constraints/vertexai.allowedModels |
"is:" |
App Engine | ソースコードのダウンロードを無効にする | 以前に App Engine にアップロードされたソースコードのダウンロードを無効にします。 constraints/appengine.disableCodeDownload |
"is:" |
App Engine | ランタイム デプロイの除外(App Engine) | このリスト型制約は、サポート終了日以降にデプロイできる一連の App Engine スタンダード環境のレガシー ランタイム(Python 2.7、PHP 5.5、Java 8)を定義します。App Engine スタンダード環境のレガシー ランタイムのサポートは 2024 年 1 月 30 日に終了します。通常は、この日付以降にレガシー ランタイムを使用したアプリケーションのデプロイを試みてもブロックされます。詳しくは、App Engine スタンダード環境のランタイム サポート スケジュールをご覧ください。この制約を [許可] に設定すると、ランタイムの廃止日までの間、指定したレガシー ランタイムを App Engine スタンダード環境でデプロイできます。この制約を [すべて許可] に設定すると、ランタイムの廃止日までの間、すべてのレガシー ランタイムを App Engine スタンダード環境でデプロイできます。サポート終了日を過ぎたランタイムには、セキュリティ パッチおよびメンテナンス パッチが定期的に適用されなくなります。アプリケーションをアップグレードして、一般提供されているランタイム バージョンを使用することを強くおすすめします。 constraints/appengine.runtimeDeploymentExemption |
"is:" |
BigQuery | BigQuery Omni for Cloud AWS を無効にする | このブール型制約を True に設定した場合、ユーザーはこの制約が適用されている Amazon Web Services 上のデータを BigQuery Omni で処理できなくなります。constraints/bigquery.disableBQOmniAWS |
"is:" |
BigQuery | BigQuery Omni for Cloud Azure を無効にする | このブール型制約を True に設定した場合、ユーザーはこの制約が適用されている Microsoft Azure で BigQuery Omni を使用してデータを処理できなくなります。constraints/bigquery.disableBQOmniAzure |
"is:" |
Cloud Build | 許可された統合(Cloud Build) | このリスト型制約は、Google Cloud 外のサービスから Webhook の受信を介してビルドを実行するための許可された Cloud Build の統合を定義します。この制約が適用されると、許可された値のいずれかにホストが一致するサービスの Webhook のみが処理されます。 デフォルトでは、Cloud Build はアクティブなトリガーが 1 つ以上あるプロジェクトのすべての Webhook を処理します。 constraints/cloudbuild.allowedIntegrations |
"is:" |
Cloud Build | デフォルトのサービス アカウント作成を無効にする(Cloud Build) | このブール型制約を適用すると、従来の Cloud Build サービス アカウントを作成できなくなります。 constraints/cloudbuild.disableCreateDefaultServiceAccount |
"is:" |
Cloud Build | デフォルトのサービス アカウントを使用する(Cloud Build) | このブール型制約を適用すると、デフォルトで以前の Cloud Build サービス アカウントを使用できます。constraints/cloudbuild.useBuildServiceAccount |
"is:" |
Cloud Build | デフォルトで Compute Engine サービス アカウントを使用する(Cloud Build) | このブール型制約を適用すると、デフォルトで Compute Engine サービス アカウントを使用できます。constraints/cloudbuild.useComputeServiceAccount |
"is:" |
Cloud Deploy | Cloud Deploy サービスラベルを無効にする | このブール型制約が適用されると、Cloud Deploy はデプロイされるオブジェクトに対して Cloud Deploy 識別子ラベルを追加しなくなります。 デフォルトでは、リリースの作成時にデプロイされるオブジェクトに対して、Cloud Deploy リソースを識別するラベルが追加されます。 constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
Cloud Functions | 許可される上り(内向き)設定(Cloud Functions) | このリスト型制約は、Cloud Functions(第 1 世代)のデプロイにおいて許可される上り(内向き)設定を定義します。この制約が適用される場合、許可された値のいずれかに一致する Ingress の設定が関数に必要です。 デフォルトでは、Cloud Functions は任意の上り(内向き)設定を使用できます。 上り(内向き)設定は、許可リストで IngressSettings 列挙型の値を使用して指定する必要があります。Cloud Functions(第 2 世代)では、制約 constraints/run.allowedIngress を使用します。constraints/cloudfunctions.allowedIngressSettings |
"is:" |
Cloud Functions | 許可される VPC コネクタの下り(外向き)設定(Cloud Functions) | このリスト型制約は、Cloud Functions(第 1 世代)のデプロイにおいて許可される VPC コネクタの下り(外向き)設定を定義します。この制約が適用されると、Cloud Functions には許可された値の 1 つに一致する VPC コネクタ出力設定が必要になります。 デフォルトでは、Cloud Functions はすべての VPC コネクタの下り(外向き)設定を使用できます。 VPC コネクタの下り(外向き)設定は、 VpcConnectorEgressSettings 列挙型の値を使用して指定する必要があります。Cloud Functions(第 2 世代)では、制約 constraints/run.allowedVPCEgress を使用します。constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
Cloud Functions | VPC コネクタが必須(Cloud Functions) | このブール値制約により、Cloud Functions(第 1 世代)をデプロイするときに VPC コネクタを設定することが求められます。この制約が適用されると、Cloud Functions は VPC コネクタを指定する必要があります。 デフォルトでは、VPC コネクタを指定するのに Cloud Functions の関数をデプロイする必要はありません。 constraints/cloudfunctions.requireVPCConnector |
"is:" |
Cloud Functions | 許可される Cloud Functions の世代 | このリスト型制約は、新しい関数リソースの作成に使用できる一連の Cloud Functions の関数の世代を定義します。指定できる値は 1stGen 、2ndGen です。constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
Cloud KMS | 作成できる KMS CryptoKey のタイプを制限します。 | このリスト型制約は、特定の階層ノードの下に作成できる Cloud KMS 鍵タイプを定義します。この制約が適用されると、この組織のポリシー内に指定された KMS 鍵タイプのみを、関連する階層ノード内に作成できます。この組織のポリシーを設定すると、インポート ジョブと鍵バージョンの保護レベルにも影響があります。デフォルトでは、すべての鍵タイプが許可されます。指定できる値は SOFTWARE 、HSM 、EXTERNAL 、EXTERNAL_VPC です。拒否ポリシーは使用できません。constraints/cloudkms.allowedProtectionLevels |
"is:" |
Cloud KMS | 鍵の破棄を無効な鍵バージョンに制限する | このブール型制約を適用すると、無効な状態にある鍵バージョンの破棄のみが許可されます。デフォルトでは、有効な状態にある鍵バージョンと無効な状態にある鍵バージョンを破棄できます。この制約は、新規の鍵バージョンと既存の鍵バージョンの両方に適用されます。 constraints/cloudkms.disableBeforeDestroy |
"is:" |
Cloud KMS | 鍵ごとの破棄の最小期間 | このリスト型制約は、新しい鍵を作成するときにユーザーが指定できる最小破棄スケジュール期間(日数)を定義します。制約を適用した後に、破棄スケジュール期間がこの値より短い鍵を作成することはできません。デフォルトでは、インポート専用の鍵の破棄予定日までの最小期間は 0 日です。それ以外のすべての鍵の場合は 1 日です。 利用できる値は 1 つだけ指定できます。形式は in:1d 、in:7d 、in:15d 、in:30d 、in:60d 、in:90d 、または in:120d です。たとえば、constraints/cloudkms.minimumDestroyScheduledDuration が in:15d に設定されている場合、ユーザーは破棄予定日までの期間を 15 日以上の任意の期間(16 日や 31 日)に設定して鍵を作成できます。ただし、破棄予定日までの期間を 15 日未満(14 日など)に設定して鍵を作成することはできません。階層内の各リソースでは、破棄予定日までの最小期間を親のポリシーから継承したり、親のポリシーのものに置換したり、親のポリシーのものと結合したりできます。リソースのポリシーが親のポリシーと結合されている場合、リソースの最小破棄スケジュール期間の有効値は、リソースのポリシーで指定された値と親の有効な最小破棄スケジュール期間のどちらか低い方の値になります。たとえば、組織の最小破棄スケジュール期間が 7 日間で、子プロジェクトのポリシーが in:15d の値で「親と結合する」に設定されている場合、プロジェクトで有効な最小破棄スケジュールの長さは 7 日になります。constraints/cloudkms.minimumDestroyScheduledDuration |
"is:" 、"in:" |
Cloud Scheduler | ジョブに対して許可されるターゲット タイプ | このリスト型制約は、Cloud Scheduler ジョブで指定できるターゲット タイプ(App Engine HTTP、HTTP、Pub/Sub など)のリストを定義します。 デフォルトでは、すべてのジョブ ターゲットを指定できます。 指定できる値は、 APPENGINE 、HTTP 、PUBSUB です。constraints/cloudscheduler.allowedTargetTypes |
"is:" |
Cloud SQL | Cloud SQL インスタンスに対する承認済みネットワークを制限する | このブール型制約が True に設定されている Cloud SQL インスタンスへのプロキシを経由しないデータベース アクセスに関して、承認済みネットワークの追加が制限されます。この制約は遡って適用されません。承認済みネットワークがすでにある Cloud SQL インスタンスは、この制約の適用後も機能します。デフォルトでは、Cloud SQL インスタンスに承認済みネットワークを追加できます。 constraints/sql.restrictAuthorizedNetworks |
"is:" |
Cloud SQL | コンプライアンス要件を満たすために Cloud SQL における診断用および管理者権限のアクセス経路を無効にする。 | このポリシーは構成または変更しないでください。この制約は Assured Workloads のオンボーディング時に自動的に構成され、Assured Workloads における高度な規制管理にのみ使用されます。このブール型制約を適用すると、サポート性が一部損なわれ、Assured Workloads の高度な主権要件を満たさない、診断やその他のカスタマー サポート ユースケースのためのアクセス経路がすべて無効となります。 constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Cloud SQL | Cloud SQL インスタンスについて非準拠のワークロードを制限する。 | このポリシーは構成または変更しないでください。この制約は Assured Workloads のオンボーディング時に自動的に構成され、Assured Workloads における高度な規制管理にのみ使用されます。このブール型制約が適用されると、支持性の特性が多少損なわれ、プロビジョニングされたリソースが、Assured Workloads の高度な主権要件に厳密に従います。このポリシーは、既存のプロジェクトに適用されるという点で遡及的ですが、すでにプロビジョニングされているリソースには影響しません。すなわち、ポリシーの変更は、ポリシーの変更後に作成されたリソースにのみ反映されます。constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
Cloud SQL | Cloud SQL インスタンスに対するパブリック IP のアクセスを制限する | このブール型制約が True に設定されている Cloud SQL インスタンスに対するパブリック IP の構成が制限されます。この制約は遡って適用されません。パブリック IP アクセスがすでにある Cloud SQL インスタンスは、この制約の適用後も機能します。デフォルトでは、Cloud SQL インスタンスへのパブリック IP アクセスは許可されます。 constraints/sql.restrictPublicIp |
"is:" |
Google Cloud Marketplace | 一般公開マーケットプレイスを無効にする | このブール型制約を適用すると、組織内のすべてのユーザーに対して Google Cloud Marketplace が無効になります。デフォルトでは、組織に対して一般公開マーケットプレイスへのアクセスが有効になっています。このポリシーは、プライベート マーケットプレイスが有効になっている場合にのみ機能します(https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace)。 重要: 最適なエクスペリエンスのために、https://cloud.google.com/marketplace/docs/governance/strict-user-access で説明されているようにマーケットプレイスのユーザーアクセス制限機能を使用することをおすすめします。組織ポリシーを介することなく、組織でのマーケットプレイス不正使用を防止できます。 constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
Google Cloud Marketplace | マーケットプレイス サービスへのアクセスを制限する | このリスト型制約は、マーケットプレイス組織に対して許可されている一連のサービスを定義し、次のリストの値のみを含めることができます。
IAAS_PROCUREMENT を指定した場合、すべてのプロダクトで IaaS 調達ガバナンスのエクスペリエンスが有効になります。デフォルトでは、IaaS 調達ガバナンス エクスペリエンスは無効になっています。IAAS_PROCUREMENT ポリシーは、Cloud Marketplace に掲載されている SaaS プロダクト用の「調達をリクエスト」ガバナンス機能とは独立して機能します。注: PRIVATE_MARKETPLACE 値はサポートされなくなり、使用しても効果はありません。Google プライベート マーケットプレイスを有効にするには、https://cloud.google.com/marketplace/docs/governance/enable-private-marketplace をご覧ください。 constraints/commerceorggovernance.marketplaceServices |
"is:" |
Compute Engine | 許可された VLAN アタッチメント暗号化設定 | このリスト型制約は、新しい VLAN アタッチメントで許可される暗号化設定を定義します。 デフォルトでは、VLAN アタッチメントで任意の暗号化設定を使用できます。 暗号化された VLAN アタッチメントのみが作成されるようにするには、許可される値として IPSEC を設定します。 constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
Compute Engine | すべての IPv6 の使用を無効にする | このブール型制約を True に設定した場合、IPv6 の使用に関連するすべての Google Compute Engine リソースの作成または更新が無効になります。デフォル トでは、適切な Cloud IAM 権限を持つユーザーは誰でも、任意のプロジェクト、フォルダ、組織で IPv6 を使用する Google Compute Engine リソースを作成または更新できます。 この制約を設定すると、他の IPv6 に関連する組織制約( disableVpcInternalIpv6 、disableVpcExternalIpv6 、disableHybridCloudIpv6 など)よりも優先順位が高くなります。constraints/compute.disableAllIpv6 |
"is:" |
Compute Engine | Cloud Armor セキュリティ ポリシーの作成を無効にする | このブール型制約を適用すると、Cloud Armor セキュリティ ポリシーを作成できなくなります。 デフォルトでは、任意の組織、フォルダ、プロジェクトに Cloud Armor セキュリティ ポリシーを作成できます。 constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
Compute Engine | グローバル ロード バランシングを無効にする | このブール型制約は、グローバル ロード バランシング サービスの作成を無効にします。これを適用すると、グローバルな依存関係のないリージョン ロード バランシング サービスのみを作成できます。デフォルトでは、グローバル ロード バランシングを作成できます。constraints/compute.disableGlobalLoadBalancing |
"is:" |
Compute Engine | グローバル セルフマネージド SSL 証明書の作成を無効にする | このブール型制約を適用すると、グローバル セルフマネージド SSL 証明書を作成できなくなります。Google マネージド証明書またはリージョン セルフマネージド証明書の作成が、この制約によって無効になることはありません。 デフォルトでは、任意の組織、フォルダ、プロジェクトにグローバル セルフマネージド SSL 証明書を作成できます。 constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
Compute Engine | VM のシリアルポートへのグローバル アクセスを無効にする | このブール型制約により、制約が適用される組織、プロジェクト、フォルダに属する Compute Engine VM へのグローバル シリアルポート アクセスが無効になります。デフォルトでは、Compute Engine VM へのシリアルポート アクセスは、メタデータ属性を使用して VM 単位またはプロジェクト単位で有効にできます。この制約を適用すると、メタデータの属性にかかわらず、Compute Engine VM のグローバル・シリアルポート アクセスが無効になります。リージョン内のシリアルポート アクセスはこの制約による影響を受けません。すべてのシリアルポート アクセスを無効にするには、代わりに compute.disableSerialPortAccess 制約を使用します。constraints/compute.disableGlobalSerialPortAccess |
"is:" |
Compute Engine | Compute Engine メタデータのゲスト属性の無効化 | このブール型制約により、制約が True に設定されている組織、プロジェクト、フォルダに属する Compute Engine VM のゲスト属性への Compute Engine API アクセスが無効になります。デフォルトでは、Compute Engine API を使用して Compute Engine VM のゲスト属性にアクセスできます。 constraints/compute.disableGuestAttributesAccess |
"is:" |
Compute Engine | ハイブリッド クラウド IPv6 の使用の無効化 | このブール型制約を適用すると、stack_type が IPV4_IPV6 または IPV6_ONLY 、gatewayIpVersion が IPv6 の相互接続のアタッチメント、Cloud VPN ゲートウェイなどのハイブリッド クラウド リソースの作成と更新が無効になります。Cloud Router リソースに適用した場合、IPv6 Border Gateway Protocol(BGP)セッションを作成する機能、および IPv4 BGP セッションを介して IPv6 ルート交換を有効にする機能が無効になります。 デフォルトでは、適切な Cloud IAM アクセス許可を持つユーザーは、任意のプロジェクト、フォルダ、組織で stack_type が IPV4_IPV6 のハイブリッド クラウド リソースを作成または更新できます。constraints/compute.disableHybridCloudIpv6 |
"is:" |
Compute Engine | インスタンス データ アクセス API を無効にする | このポリシーは構成または変更しないでください。この制約は Assured Workloads のオンボーディング時に自動的に構成され、Assured Workloads における高度な規制管理にのみ使用されます。このブール型制約を適用すると、VM のシリアルポート出力にアクセスし、VM UI からスクリーンショットをキャプチャする GetSerialPortOutput API と GetScreenshot API が無効になります。constraints/compute.disableInstanceDataAccessApis |
"is:" |
Compute Engine | インターネット ネットワーク エンドポイント グループの無効化 | このブール型制約は、ユーザーが INTERNET_FQDN_PORT および INTERNET_IP_PORT の type でインターネット ネットワーク エンドポイント グループ(NEG)を作成できるかどうかを制限します。デフォルトでは、適切な IAM 権限を持つすべてのユーザーは、任意のプロジェクトでインターネット NEG を作成できます。 constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
Compute Engine | VM のネストされた仮想化を無効にする | このブール型制約により、制約が True に設定されている組織、プロジェクト、フォルダに属するすべての Compute Engine VM に対するハードウェア アクセラレーションによりネストされた仮想化は無効になります。デフォルトでは、Intel Haswell 以降の CPU プラットフォームで実行されているすべての Compute Engine VM に対して、ハードウェア アクセラレーションによりネストされた仮想化は許可されています。 constraints/compute.disableNestedVirtualization |
"is:" |
Compute Engine | FIPS 準拠のマシンタイプを強制適用する | このブール型制約を適用すると、FIPS 要件に準拠しない VM インスタンス タイプの作成が無効になります。 constraints/compute.disableNonFIPSMachineTypes |
"is:" |
Compute Engine | コンシューマ向け Private Service Connect の無効化 | このリスト型制約は、ユーザーが転送ルールを作成できない Private Service Connect エンドポイント タイプを定義します。この制約が適用されると、ユーザーはその Private Service Connect エンドポイント タイプに対する転送ルールを作成できなくなります。この制約が過去にさかのぼって適用されることはありません。 デフォルトでは、すべての Private Service Connect エンドポイント タイプに対して転送ルールを作成できます。 Private Service Connect エンドポイントの許可 / 拒否リストは、次のリストから指定する必要があります。
GOOGLE_APIS を使用すると、Google API にアクセスするための Private Service Connect 転送ルールの作成が制限されます。許可 / 拒否リストで SERVICE_PRODUCERS を使用すると、別の VPC ネットワーク内のサービスにアクセスするための Private Service Connect 転送ルールの作成が制限されます。constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
Compute Engine | VM シリアルポート アクセスを無効にする | このブール型制約により、制約が True に設定されている組織、プロジェクト、フォルダに属する Compute Engine VM へのシリアルポート アクセスが無効になります。デフォルトでは、Compute Engine VM へのシリアルポート アクセスは、メタデータ属性を使用して VM 単位またはプロジェクト単位で有効にできます。この制約を適用すると、メタデータの属性にかかわらず、Compute Engine VM のシリアルポート アクセスが無効になります。 constraints/compute.disableSerialPortAccess |
"is:" |
Compute Engine | Stackdriver への VM シリアルポート ロギングを無効化 | このブール型制約は、この制約が適用されている組織、プロジェクト、フォルダに属する Compute Engine VM から Stackdriver へのシリアルポート ロギングを無効にします。 デフォルトでは、Compute Engine VM のシリアルポート ロギングは無効になっており、メタデータ属性を使用して VM 単位またはプロジェクト単位で選択して有効にできます。この制約が適用されると、新しい VM が作成されるたびに、新しい Compute Engine VM に対するシリアルポート ロギングが無効になり、ユーザーは VM(旧または新)のメタデータ属性を True に変更できなくなります。シリアル ポート ロギングを無効にすると、それに依存する特定のサービス(Google Kubernetes Engine クラスタなど)が正しく機能しなくなるおそれがあります。この制約を適用する前に、プロジェクト内のプロダクトがシリアル ポート ロギングに依存していないことを確認してください。constraints/compute.disableSerialPortLogging |
"is:" |
Compute Engine | ブラウザでの SSH を無効にする | このブール型制約は、OS Login と App Engine フレキシブル環境 VM を使用する VM で、Cloud コンソールのブラウザでの SSH ツールを無効にします。この制約を適用すると、ブラウザでの SSH ボタンが無効になります。デフォルトでは、ブラウザでの SSH ツールの使用が許可されています。constraints/compute.disableSshInBrowser |
"is:" |
Compute Engine | VPC 外部 IPv6 の使用を無効にする | このブール型制約を True に設定した場合は、stack_type が IPV4_IPV6 であり、ipv6_access_type が EXTERNAL であるサブネットワークの作成または更新が無効になります。デフォルトでは、適切な Cloud IAM の権限を持つ任意のユーザーが、プロジェクト、フォルダ、組織で stack_type が IPV4_IPV6 であるサブネットワークを作成または更新できます。constraints/compute.disableVpcExternalIpv6 |
"is:" |
Compute Engine | VPC 内部 IPv6 使用を無効にする | このブール型制約を True に設定した場合は、stack_type が IPV4_IPV6 であり、ipv6_access_type が INTERNAL であるサブネットワークの作成または更新が無効になります。デフォルトでは、適切な Cloud IAM の権限を持つ任意のユーザーが、プロジェクト、フォルダ、組織で stack_type が IPV4_IPV6 であるサブネットワークを作成または更新できます。constraints/compute.disableVpcInternalIpv6 |
"is:" |
Compute Engine | コンプライアンス メモリ保護ワークロードに必要な設定を有効にする | このポリシーは構成または変更しないでください。この制約は Assured Workloads のオンボーディング時に自動的に構成され、Assured Workloads における高度な規制管理にのみ使用されます。この制約は、VM コアメモリへの潜在的なアクセス経路を除去するために必要な設定を制御します。この制約を適用すると、アクセス経路を無効にすることで VM コアメモリへのアクセスが制限されるとともに、エラーが発生したときの内部データ収集が制限されます。 constraints/compute.enableComplianceMemoryProtection |
"is:" |
Compute Engine | リージョンの割り当て情報を表示する list メソッドのフェイルオープン動作を無効にする | このブール型制約を適用すると、regions.list 、regions.get 、projects.get の各メソッドのサーバーサイド エラーにおけるフェイルオープン動作が無効になります。そのため、割り当て情報が利用できない場合、この制約が適用されるとこれらのメソッドは失敗します。デフォルトでは、これらのメソッドはサーバーサイド エラー時は成功し、割り当て情報が利用できない場合には警告メッセージを表示します。 constraints/compute.requireBasicQuotaInResponse |
"is:" |
Compute Engine | OS Config が必要 | このブール型制約を適用すると、すべての新しいプロジェクトで VM Manager(OS Config)が有効になります。新しいプロジェクトのすべての VM インスタンスで VM Manager が有効になります。この制約は、新規および既存のプロジェクトについて、プロジェクトまたはインスタンス レベルで VM Manager を無効にするメタデータ更新が行われるのを防ぎます。 Compute Engine プロジェクトでは、VM Manager はデフォルトで無効になっています。 constraints/compute.requireOsConfig |
"is:" |
Compute Engine | OS ログインが必須 | このブール型制約を true に設定した場合、新しく作成したすべてのプロジェクトで OS ログインが有効になります。新しいプロジェクトのすべての VM インスタンスで OS ログインが有効になります。この制約は、新規および既存のプロジェクトについて、プロジェクトまたはインスタンス レベルで OS ログインが無効なメタデータが更新されるのを防ぎます。Compute Engine プロジェクトでは、OS Login 機能はデフォルトで無効になっています。 ノードプール バージョン 1.20.5-gke.2000 以降を実行している限定公開クラスタ内の GKE インスタンスは、OS Login をサポートしています。現在、一般公開クラスタ内の GKE インスタンスは OS Login をサポートしていません。一般公開クラスタを実行しているプロジェクトにこの制約が適用される場合、そのプロジェクトで実行される GKE インスタンスが正しく機能しない可能性があります。 constraints/compute.requireOsLogin |
"is:" |
Compute Engine | Shielded VM | このブール型制約を True に設定した場合、すべての新しい Compute Engine VM インスタンスでは、セキュアブート、vTPM、整合性モニタリングのオプションが有効である Shielded ディスク イメージを使用する必要があります。必要に応じて、セキュアブートは作成後に無効にできます。既存の実行中のインスタンスは、引き続き通常どおり動作します。デフォルトでは、Compute Engine VM インスタンスを作成するために Shielded VM の機能を有効にする必要はありません。Shielded VM の機能により、VM には、検証可能な整合性と情報流出防止機能が追加されます。 constraints/compute.requireShieldedVm |
"is:" |
Compute Engine | SSL ポリシーを必須にする | このリスト型制約では、デフォルトの SSL ポリシーの使用を許可するターゲット SSL プロキシとターゲット HTTPS プロキシのセットを定義します。デフォルトでは、すべてのターゲット SSL プロキシとターゲット HTTPS プロキシにデフォルトの SSL ポリシーの使用が許可されます。この制約を適用した場合、新しいターゲット SSL プロキシとターゲット HTTPS プロキシで SSL ポリシーを指定する必要があります。この制約が遡って適用されることはありません。デフォルトの SSL ポリシーを使用する既存のターゲット プロキシに影響はありません。ターゲット SSL プロキシとターゲット HTTPS プロキシの許可/拒否リストは、次の形式で識別する必要があります。
constraints/compute.requireSslPolicy |
"is:" 、"under:" |
Compute Engine | VPC フローログの定義済みポリシーが必要 | このリスト型制約は、VPC フローログに対して適用できる、事前定義されたポリシーのセットを定義します。 デフォルトでは、各サブネットの任意の設定を使用して VPC フローログを構成できます。 この制約は、必要な最小限のサンプリング レートを使用して、スコープ内のすべてのサブネットワークのフローログを強制的に有効にします。 次の有効な値の中から 1 つまたは複数指定します。
constraints/compute.requireVpcFlowLogs |
"is:" |
Compute Engine | Cloud NAT の使用制限 | このリスト型制約は、Cloud NAT の使用を許可するサブネットワークのセットを定義します。デフォルトでは、すべてのサブネットワークで Cloud NAT を使用できます。サブネットワークの許可リストまたは拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、または projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME という形式で識別される必要があります。constraints/compute.restrictCloudNATUsage |
"is:" 、"under:" |
Compute Engine | プロジェクト間のバックエンド バケットとバックエンド サービスを制限する | このリスト型制約は、urlMap リソースがアタッチできる BackendBucket リソースと BackendService リソースを制限します。この制約は、urlMap リソースと同じプロジェクト内の BackendBucket および BackendService には適用されません。デフォルトでは、ユーザーが compute.backendService.use、compute.regionBackendServices.use、compute.backendBuckets.use のいずれかの権限を持っている限り、1 つのプロジェクト内の urlMap リソースは、同じ組織内の他のプロジェクトから互換性のある BackendBucket および BackendService を参照できます。競合を防ぐために、この制約は compute.restrictSharedVpcBackendServices 制約と一緒に使用しないことをおすすめします。許可リストまたは拒否リスト内のプロジェクト、フォルダ、組織リソースは、リソース階層でそれらの下にあるすべての BackendBucket および BackendService に影響します。許可リストまたは拒否リストには、プロジェクト、フォルダ、組織リソースのみを含めることができ、次の形式で指定する必要があります:
constraints/compute.restrictCrossProjectServices |
"is:" 、"under:" |
Compute Engine | Dedicated Interconnect の使用の制限 | このリスト型制約は、Dedicated Interconnect の使用を許可されている Compute Engine ネットワークのセットを定義します。デフォルトでは、ネットワークはすべての種類の Interconnect を使用できます。ネットワークの許可 / 拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、または projects/PROJECT_ID/global/networks/NETWORK_NAME という形式で識別される必要があります。constraints/compute.restrictDedicatedInterconnectUsage |
"is:" 、"under:" |
Compute Engine | ロードバランサの種類に基づいてロードバランサの作成を制限する | このリスト型制約は、組織、フォルダ、プロジェクトに対して作成可能な、一連のロードバランサのタイプを定義します。許可または拒否するすべてのロードバランサ タイプの一覧を明示的に指定する必要があります。デフォルトでは、すべての種類のロードバランサの作成が許可されています。 許可値または拒否値のリストは、ロードバランサの文字列名として識別される必要があります。また、次のリストにある値のみを含めることができます。
すべての内部または外部のロードバランサ タイプを含めるには、「in:」接頭辞に「INTERNAL」または「EXTERNAL」を続けて使用します。たとえば、「in:INTERNAL」を許可すると、上記のリストにある INTERNAL を含むすべてのロードバランサ タイプが許可されます。 constraints/compute.restrictLoadBalancerCreationForTypes |
"is:" 、"in:" |
Compute Engine | Confidential Computing 以外を制限する | このリスト型制約の拒否リストでは、Confidential Computing を有効にしてすべての新しいリソースを作成する必要がある一連のサービスを定義します。デフォルトでは、新しいリソースは Confidential Computing を使用する必要はありません。このリスト型制約の適用中は、リソースのライフサイクル全体で Confidential Computing を無効にすることはできません。既存のリソースは、引き続き通常どおり動作します。サービスの拒否リストは、API の文字列名として識別される必要があります。さらに、以下のリストにある明示的な拒否値のみを含めることができます。現在、API を明示的に許可する機能はサポートされていません。このリストにない API を明示的に拒否すると、エラーが発生します。サポートされている API のリスト: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
Compute Engine | Partner Interconnect の使用の制限 | このリスト型制約は、Partner Interconnect の使用が許可されている Compute Engine ネットワークのセットを定義します。デフォルトでは、ネットワークはすべての種類の Interconnect を使用できます。ネットワークの許可 / 拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、または projects/PROJECT_ID/global/networks/NETWORK_NAME という形式で識別される必要があります。constraints/compute.restrictPartnerInterconnectUsage |
"is:" 、"under:" |
Compute Engine | 許可される Private Service Connect コンシューマの制限 | このリスト型制約は、プロデューサーの組織またはプロジェクト内のサービス アタッチメントに接続できる組織、フォルダ、プロジェクトを定義します。許可リストまたは拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、または under:projects/PROJECT_ID の形式で指定する必要があります。デフォルトでは、すべての接続が許可されます。 constraints/compute.restrictPrivateServiceConnectConsumer |
"is:" 、"under:" |
Compute Engine | 許可される Private Service Connect プロデューサーを制限する | このリスト型制約は、Private Service Connect コンシューマが接続できるサービス アタッチメントを定義します。この制約は、Private Service Connect のエンドポイントまたはバックエンドが参照するサービス アタッチメントの組織、フォルダ、またはプロジェクト リソースに基づき、エンドポイントまたはバックエンドのデプロイをブロックします。許可リストまたは拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、または under:projects/PROJECT_ID の形式で指定する必要があります。デフォルトでは、すべての接続が許可されます。 constraints/compute.restrictPrivateServiceConnectProducer |
"is:" 、"under:" |
Compute Engine | IP アドレスの種類に基づいてプロトコル転送を制限する | このリスト型制約は、ユーザーが作成できるターゲット インスタンスを持つプロトコル転送ルール オブジェクトのタイプを定義します。この制約が適用される場合、ターゲット インスタンスを持つ新しい転送ルール オブジェクトは、指定されたタイプに基づいて、内部 IP アドレスまたは外部 IP アドレスに限定されます。許可または拒否するタイプは、明示的に指定する必要があります。デフォルトでは、ターゲット インスタンスで内部および外部プロトコル転送ルール オブジェクトの両方を作成できます。 許可または拒否される値のリストには、以下のリストの値のみを含めることができます。
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
Compute Engine | 共有 VPC バックエンド サービスを制限する | このリスト型制約は、適格リソースで使用できる一連の共有 VPC バックエンド サービスを定義します。この制約は、同じプロジェクト内のリソースには適用されません。デフォルトでは、適格リソースは、すべての共有 VPC バックエンド サービスを使用できます。バックエンド サービスの許可 / 拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME 、または projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME の形式で指定する必要があります。この制約は遡って適用されることはありません。constraints/compute.restrictSharedVpcBackendServices |
"is:" 、"under:" |
Compute Engine | 共有 VPC ホスト プロジェクトの制限 | このリスト型制約は、このリソースと同じ位置かその下にあるプロジェクトで接続先にできる、一連の共有 VPC ホスト プロジェクトを定義します。デフォルトでは、プロジェクトは同じ組織内の任意のホスト プロジェクトに接続して、サービス プロジェクトになることができます。許可リストまたは拒否リスト内のプロジェクト、フォルダ、組織は、リソース階層でそれらの下にあるすべてのオブジェクトに影響を及ぼします。また、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、または projects/PROJECT_ID の形式で指定する必要があります。constraints/compute.restrictSharedVpcHostProjects |
"is:" 、"under:" |
Compute Engine | 共有 VPC サブネットワークの制限 | このリスト型制約は、適格リソースで使用できる一連の共有 VPC サブネットワークを定義します。この制約は、同じプロジェクト内のリソースには適用されません。デフォルトでは、適格リソースはすべての共有 VPC サブネットワークを使用できます。サブネットワークの許可リストまたは拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、または projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME という形式で指定する必要があります。constraints/compute.restrictSharedVpcSubnetworks |
"is:" 、"under:" |
Compute Engine | VPC ピアリング使用量の制限 | このリスト型制約では、このプロジェクト、フォルダ、組織に属する VPC ネットワークとピアリングできる一連の VPC ネットワークを定義します。各ピアリング側にピアリング権限が必要です。デフォルトでは、あるネットワークのネットワーク管理者は、他のすべてのネットワークとピアリングできます。ネットワークの許可リストまたは拒否リストは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、または projects/PROJECT_ID/global/networks/NETWORK_NAME という形式で識別される必要があります。constraints/compute.restrictVpcPeering |
"is:" 、"under:" |
Compute Engine | VPN ピア IP の制限 | このリスト型制約は、VPN ピア IP として構成できる一連の有効な IP アドレスを定義します。デフォルトでは、すべての IP を VPC ネットワークの VPN ピア IP にすることができます。IP アドレスの許可リストや拒否リストは、IP_V4_ADDRESS または IP_V6_ADDRESS の形式で有効な IP アドレスとして指定する必要があります。constraints/compute.restrictVpnPeerIPs |
"is:" |
Compute Engine | 新しいプロジェクトの内部 DNS 設定をゾーン DNS のみに設定する | 「True」に設定すると、新しく作成したプロジェクトでゾーン DNS がデフォルトで使用されます。デフォルトではこの制約は「False」に設定され、新しく作成したプロジェクトでデフォルトの DNS タイプが使用されます。constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
Compute Engine | 共有予約オーナー プロジェクト | このリスト型制約は、組織内で共有予約を作成および所有できる一連のプロジェクトを定義します。共有予約はローカルの予約に似ていますが、オーナー プロジェクト以外に、リソース階層にある他の Compute Engine プロジェクトからも使用可能であるという点が異なります。共有予約にアクセスをできるプロジェクトのリストは、projects/PROJECT_NUMBER または under:projects/PROJECT_NUMBER の形式にする必要があります。constraints/compute.sharedReservationsOwnerProjects |
"is:" 、"under:" |
Compute Engine | デフォルト ネットワークの作成をスキップ | このブール値制約を True に設定した場合、Google Cloud Platform プロジェクト リソースの作成時に、デフォルトのネットワークと関連リソースの作成がスキップされます。デフォルトでは、プロジェクトの作成時にデフォルトのネットワークと補助的リソースが自動的に作成されます。constraints/compute.skipDefaultNetworkCreation |
"is:" |
Compute Engine | Compute ストレージ リソースの使用制限(Compute Engine のディスク、イメージ、スナップショット) | このリスト型制約は、Compute Engine のストレージ リソースの使用を許可される一連のプロジェクトを定義します。デフォルトでは、適切な Cloud IAM アクセス許可を持つユーザーは誰でも Compute Engine のリソースにアクセスできます。この制約を使用する場合、ユーザーには Cloud IAM のアクセス許可が必要であり、リソースへのアクセスが制約で制限されていてはなりません。 許可リストまたは拒否リストで指定するプロジェクト、フォルダ、組織は、 under:projects/PROJECT_ID 、under:folders/FOLDER_ID 、under:organizations/ORGANIZATION_ID の形式である必要があります。constraints/compute.storageResourceUseRestrictions |
"is:" 、"under:" |
Compute Engine | 信頼できるイメージ プロジェクトを定義する | このリスト型制約は、Compute Engine のイメージ保存やディスク インスタンス化に使用できる一連のプロジェクトを定義します。 デフォルトでは、イメージを公開で共有しているかユーザーと明示的に共有している任意のプロジェクト内のイメージから、インスタンスを作成できます。 パブリッシャー プロジェクトの許可リストまたは拒否リストは、 projects/PROJECT_ID の形式の文字列である必要があります。この制約がアクティブな場合は、信頼できるプロジェクト内のイメージのみが、新しいインスタンスのブートディスクのソースとして許可されます。constraints/compute.trustedImageProjects |
"is:" |
Compute Engine | VM IP 転送の制限 | このリスト型制約は、IP 転送を有効にできる一連の VM インスタンスを定義します。デフォルトでは、すべての VM がすべての仮想ネットワークで IP 転送を有効にすることができます。VM インスタンスは、under:organizations/ORGANIZATION_ID 、under:folders/FOLDER_ID 、under:projects/PROJECT_ID 、または projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME の形式で指定する必要があります。この制約は遡って適用されることはありません。constraints/compute.vmCanIpForward |
"is:" 、"under:" |
Compute Engine | VM インスタンス用に許可される外部 IP を定義する | このリスト型制約は、外部 IP アドレスの使用が許可されている一連の Compute Engine VM インスタンスを定義します。 デフォルトでは、すべての VM インスタンスで外部 IP アドレスの使用が許可されます。 VM インスタンスの許可リストまたは拒否リストは、 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess という形式の VM インスタンス名で識別する必要があります。 |
"is:" |
Compute Engine | グローバル リソースでの Identity-Aware Proxy(IAP)の有効化を無効にする | このブール型制約を適用すると、グローバル リソースで Identity-Aware Proxy を有効にできなくなります。リージョン リソースでの IAP の有効化は、この制約で制限されることはありません。 デフォルトでは、グローバル リソースで IAP を有効にすることができます。 constraints/iap.requireGlobalIapWebDisabled |
"is:" |
Google Kubernetes Engine | GKE における診断用および管理用のアクセス経路を無効にする。 | このポリシーは構成または変更しないでください。この制約は Assured Workloads のオンボーディング時に自動的に構成され、Assured Workloads における高度な規制管理にのみ使用されます。このブール型制約を適用すると、Assured Workloads の要件に準拠しない、診断やその他のカスタマー サポート ユースケースのアクセス経路がすべて無効となります。 constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Dataform | Dataform のリポジトリの git リモートを制限する | このリスト型制約は、Dataform プロジェクトのリポジトリで通信できる一連のリモートを定義します。すべてのリモートとの通信をブロックするには、値を Deny all に設定します。この制約は過去に遡って適用され、違反している既存のリポジトリに対する通信はブロックされます。エントリは、Dataform で指定された形式と同じ形式の信頼できるリモートへのリンクである必要があります。デフォルトでは、Dataform プロジェクトのリポジトリは任意のリモートと通信できます。 constraints/dataform.restrictGitRemotes |
"is:" |
Datastream | Datastream - パブリック接続方法のブロック | デフォルトでは、Datastream 接続プロファイルはパブリックまたはプライベート接続方法で作成できます。この組織ポリシーにブール型制約が適用される場合、接続プロファイルの作成に使用できるのはプライベート接続方法(VPC ピアリングなど)のみです。constraints/datastream.disablePublicConnectivity |
"is:" |
重要な連絡先 | ドメインで制限された連絡先 | このリスト型制約は、[重要な連絡先] に追加できるメールアドレスのドメインのセットを定義します。 デフォルトでは、すべてのドメインのメールアドレスを [重要な連絡先] に追加できます。 許可リストまたは拒否リストには、 @example.com という形式の 1 つまたは複数のドメインを指定する必要があります。この制約が有効で、許可されている値で構成されている場合、許可されたドメインのリスト内のいずれかのエントリとサフィックスが一致するメールアドレスのみが、Essential Contacts に追加されます。この制約は既存の連絡先の更新や削除には影響しません。 constraints/essentialcontacts.allowedContactDomains |
"is:" |
重要な連絡先 | プロジェクトのセキュリティの連絡先を無効にする | このブール型制約が適用されると、組織のポリシーの管理者が、組織レベルまたはフォルダレベルで割り当てられた連絡先のみがセキュリティ通知を受信できるようにします。具体的には、この制約を適用すると、連絡先にプロジェクト リソースも親として含まれている場合、プロジェクト オーナーと連絡先管理者は、SECURITY や ALL カテゴリを含む notification_category_subscriptions フィールドに重要な連絡先を作成、更新できなくなります。constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
Firestore | インポート / エクスポート用に必要な Firestore サービス エージェント | このブール型制約を適用する場合は、Firestore のインポートとエクスポートで Firestore サービス エージェントを使用する必要があります。 Firestore のインポートとエクスポートは、デフォルトで App Engine サービス アカウントを使用している場合があります。 今後、Firestore はインポートとエクスポートに App Engine サービス アカウントを使用しなくなり、すべてのアカウントが Firestore サービス エージェントに移行する必要があります。移行後は、この制約は不要になります。 constraints/firestore.requireP4SAforImportExport |
"is:" |
Cloud Healthcare | Cloud Healthcare API の Cloud Logging を無効にする | このブール型制約を適用すると、Cloud Healthcare API の Cloud Logging が無効になります。 監査ログはこの制約の影響を受けません。 制約が適用される前に Cloud Healthcare API 向けに生成された Cloud ログは削除されず、引き続きアクセス可能です。 constraints/gcp.disableCloudLogging |
"is:" |
Identity and Access Management | OAuth 2.0 アクセス トークンの存続期間を最大 12 時間延長することを許可する | このリスト型制約は、存続期間が最大 12 時間の OAuth 2.0 アクセス トークンを付与できる一連のサービス アカウントを定義します。デフォルトでは、これらのアクセス トークンの最大存続期間は 1 時間です。 サービス アカウントの許可リストまたは拒否リストには、1 つ以上のサービス アカウントのメールアドレスを指定する必要があります。 constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
Identity and Access Management | ドメインで制限された共有 | このリスト型制約は、プリンシパルを IAM ポリシーに追加できる 1 つ以上の Cloud Identity または Google Workspace のお客様 ID を定義します。 デフォルトでは、すべてのユーザー ID を IAM ポリシーに追加できます。この制約で定義できるのは、許可する値のみです。拒否する値は定義できません。 この制約が有効な場合、IAM ポリシーに追加できるのは、許可されたお客様 ID に属するプリンシパルのみです。 Google サービスとの相互運用のために、お客様 ID としてこのリストに google.com を追加する必要はありません。google.com を追加すると、Google の従業員や非本番環境用システムとの共有が許可されるため、Google の従業員とデータを共有する場合にのみ追加します。 constraints/iam.allowedPolicyMemberDomains |
"is:" |
Identity and Access Management | Audit Logging の除外を無効にする | このブール型制約を適用すると、監査ログから追加のプリンシパルが除外されなくなります。この制約は、制約を適用する前に存在していた監査ログでの除外には影響しません。constraints/iam.disableAuditLoggingExemption |
"is:" |
Identity and Access Management | プロジェクト間サービス アカウントの使用の無効化 | 適用した場合、サービス アカウントは、そのサービス アカウントと同じプロジェクトで実行中のジョブ(VM、関数など)にのみ(ServiceAccountUser ロールを使用して)デプロイできます。constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
Identity and Access Management | サービス アカウント作成の無効化 | このブール型制約が True に設定されている場合、サービス アカウントの作成が無効になります。 デフォルトでは、ユーザーは Cloud IAM の役割と権限に基づいてサービス アカウントを作成できます。 constraints/iam.disableServiceAccountCreation |
"is:" |
Identity and Access Management | サービス アカウント キーの作成を無効化 | このブール型制約を適用すると、サービス アカウントの外部キーと Cloud Storage の HMAC キーの作成が無効になります。 デフォルトでは、ユーザーは Cloud IAM のロールと権限に基づいてサービス アカウントの外部鍵を作成できます。 constraints/iam.disableServiceAccountKeyCreation |
"is:" |
Identity and Access Management | サービス アカウント キー アップロードの無効化 | このブール型制約が「True」に設定されているサービス アカウントに公開鍵をアップロードできるようにする機能は、このブール型制約により無効になります。 デフォルトでは、ユーザーは Cloud IAM の役割と権限に基づいて公開鍵をサービス アカウントにアップロードできます。 constraints/iam.disableServiceAccountKeyUpload |
"is:" |
Identity and Access Management | Workload Identity クラスタ作成の無効化 | このブール型制約を True に設定した場合、すべての新しい GKE クラスタでは作成時に Workload Identity が無効である必要があります。Workload Identity がすでに有効である既存の GKE クラスタは、引き続き通常どおり動作します。デフォルトでは、すべての GKE クラスタに対して Workload Identity を有効にできます。constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
Identity and Access Management | サービス アカウント キーの有効期限(時間) | このリスト型制約は、サービス アカウント キーの有効期間として許可される最大の期間を定義します。デフォルトでは、作成されたキーに有効期間はありません。 許可される期間の単位は「時間」で、以下に示すリストのいずれかの値を指定します。許容値を 1 つだけ指定できます。拒否値はサポートされません。このリストにない期間を指定すると、エラーが発生します。
inheritFromParent=false を設定する必要があります。この制約を親ポリシーと結合することはできません。制約が遡って適用されることはなく、既存のキーは変更されません。constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
Identity and Access Management | サービス アカウント キーの漏洩レスポンス | このリスト型制約は、サービス アカウント キーが公開されていることを Google が検出した場合の対応を定義します。設定されていない場合、デフォルトは DISABLE_KEY で説明されている動作になります。指定できる値は DISABLE_KEY 、WAIT_FOR_ABUSE です。このリストに明示的に含まれていない値は使用できません。許可する値は 1 つだけ指定できます。拒否する値は指定できません。DISABLE_KEY 値を許可すると、公開されているサービス アカウント キーが自動的に無効になり、監査ログにエントリが作成されます。WAIT_FOR_ABUSE 値を許可すると、この保護はオプトアウトされます。公開されているサービス アカウント キーが自動的に無効になることはありません。ただし、Google Cloud は、漏洩したサービス アカウント キーがプラットフォームに悪影響を及ぼすような方法で使用された場合に、そのキーを無効にすることがありますが、そのことを保証するものではありません。この制約を適用するには、Google Cloud コンソールで親ポリシーを置き換えるように設定するか、gcloud CLI を使用する場合はポリシー ファイルで inheritFromParent=false を設定します。この制約を親ポリシーと結合することはできません。 constraints/iam.serviceAccountKeyExposureResponse |
"is:" |
Identity and Access Management | Cloud IAM での Workload Identity 連携用に構成できる AWS アカウント | Cloud IAM での Workload Identity 連携用に構成できる AWS アカウント ID のリスト。constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
Identity and Access Management | Cloud IAM のワークロード向けに許可されている外部の ID プロバイダ | Cloud IAM 内のワークロード認証用に構成可能な ID プロバイダ。URI/URL により指定します。constraints/iam.workloadIdentityPoolProviders |
"is:" |
Anthos Service Mesh マネージド コントロール プレーン。 | Anthos Service Mesh マネージド コントロール プレーンの許可済み VPC Service Controls モード | この制約によって、新しい Anthos Service Mesh マネージド コントロール プレーンのプロビジョニング時に設定できる VPC Service Controls モードが決まります。有効な値は「NONE」と「COMPATIBLE」です。constraints/meshconfig.allowedVpcscModes |
"is:" |
Cloud Pub/Sub | Pub/Sub メッセージの転送中リージョンの制約を適用する | このブール型制約を適用すると、すべての新しい Pub/Sub トピックの作成時に MessageStoragePolicy::enforce_in_transit が true に設定されます。これによりお客様のデータは、トピックのメッセージ ストレージ ポリシーで指定された、許可されるリージョン内でのみ転送されます。constraints/pubsub.enforceInTransitRegions |
"is:" |
Resource Manager | 共有 VPC プロジェクト リーエンの削除を制限 | このブール型制約を True に設定すると、組織レベルの権限なしで共有 VPC ホスト プロジェクト リーエンを削除できるユーザーが制限されます。デフォルトでは、リーエンの更新権限を持つすべてのユーザーに共有 VPC ホスト プロジェクト リーエンの削除が許可されます。この制約を適用するには、組織レベルで権限を付与する必要があります。 constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
Resource Manager | プロジェクト間サービス アカウントのリーエンの削除の制限 | このブール型制約が「適用」された場合、ユーザーは組織レベルの権限がなければ、プロジェクト間サービス アカウントのリーエンを削除できなくなります。デフォルトでは、リーエンの更新権限を持つすべてのユーザーがプロジェクト間サービス アカウントのリーエンを削除できます。この制約を適用するには、組織レベルで権限を付与する必要があります。constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
Resource Manager | リソースクエリの公開設定を制限する | このリスト型制約を組織リソースに適用すると、この制約が適用される組織のドメインのユーザーに関して、リスト取得と検索のメソッドで返される Google Cloud リソースのセットが定義されます。これを使用すると、リソース選択ツール、検索、[リソースの管理] ページなど、Cloud Console のさまざまな部分に表示されるリソースを制限できます。この制約は組織レベルのみで評価されます。許可リストまたは拒否リストで指定する値は、under:organizations/ORGANIZATION_ID の形式である必要があります。constraints/resourcemanager.accessBoundaries |
"is:" 、"under:" |
Resource Manager | 組織間の移動には有効なサービスの許可リストが必要 | このリスト型制約は、サービスが有効になっているプロジェクトで組織間の移動が可能かどうかを確認するチェックとして機能します。サポートされているサービスが有効になっているリソースには、この制約を適用する必要があります。また、そのサポートされているサービスが、組織間での移動が可能となるよう、許可された値に含まれていることも必要です。サポートされている使用可能なサービス用に許可されている値の現在のリストは次のとおりです。
この制約により、constraints/resourcemanager.allowedExportDestinations をさらに制御できます。この list_constraint はデフォルトでは空であり、エクスポート対象のリソースでサポートされているサービスが有効になっていない限り、組織間の移動はブロックされません。この制約により、別の組織への移動の際に特に注意を要する機能を使用して、リソースを細かく制御できます。デフォルトでは、サポートされているサービスが有効になっているリソースは、組織間で移動できません。 constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
Resource Manager | リソースのエクスポートが許可されている宛先 | このリスト型制約は、リソースを移動できる外部組織を定義し、他のすべての組織へのすべての移動を拒否します。デフォルトでは、組織間でリソースを移動することはできません。この制約をリソースに適用すると、そのリソースは制約で明示的に許可されている組織にのみ移動できます。組織内の移動には、この制約は適用されません。移動オペレーションでは、通常のリソース移動と同じ IAM 権限が引き続き必要になります。許可リストまたは拒否リストで指定する値は、under:organizations/ORGANIZATION_ID の形式である必要があります。constraints/resourcemanager.allowedExportDestinations |
"is:" 、"under:" |
Resource Manager | リソースのインポートを許可されている送信元 | このリスト型制約は、リソースのインポートが可能な外部組織を定義し、他のすべての組織からのすべての移動を拒否します。デフォルトでは、組織間でリソースを移動することはできません。この制約をリソースに適用する場合、このリソースで直接インポートしたリソースを、この制約で明示的に許可する必要があります。組織内の移動には、この制約は適用されません。移動オペレーションでは、通常のリソース移動と同じ IAM 権限が引き続き必要になります。許可リストまたは拒否リストで指定する値は、under:organizations/ORGANIZATION_ID の形式である必要があります。constraints/resourcemanager.allowedImportSources |
"is:" 、"under:" |
Cloud Run | 許可される Binary Authorization ポリシー(Cloud Run) | このリスト型制約は、Cloud Run リソースに指定できる Binary Authorization ポリシー名のセットを定義します。デフォルト ポリシーを許可または禁止するには、値「default」を使用します。1 つ以上のカスタム プラットフォームのポリシーを許可または禁止するには、そのような各ポリシーのリソース ID を個別に追加する必要があります。constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
Cloud Run | 許可される上り(内向き)設定(Cloud Run) | このリスト型制約は、Cloud Run サービスに対して許可される上り(内向き)設定を定義します。この制約が適用されると、許可された値のいずれかに一致する上り(内向き)設定がサービスで必要になります。この制約に従わない上り(内向き)設定がある既存の Cloud Run サービスは、サービスの上り(内向き)設定がこの制約に従うように変更されるまで、引き続き更新できます。サービスがこの制約に従うようになると、サービスはこの制約で許可されている上り(内向き)設定のみを使用できます。 デフォルトでは、Cloud Run サービスは任意の上り(内向き)設定を使用できます。 許可リストには、サポートされている上り(内向き)設定値( all 、internal 、internal-and-cloud-load-balancing )を含める必要があります。constraints/run.allowedIngress |
"is:" |
Cloud Run | 許可される VPC 下り(外向き)設定(Cloud Run) | このリスト型制約は、Cloud Run リソースに指定できる VPC 下り(外向き)設定を定義します。この制約が適用されると、Cloud Run リソースはサーバーレス VPC アクセス コネクタまたはダイレクト VPC 下り(外向き)を有効にしてデプロイする必要があり、VPC 下り(外向き)設定は使用できる値のいずれかに一致している必要があります。 デフォルトでは、Cloud Run のリソースは VPC 下り(外向き)設定を、サポートされている任意の値に設定できます。 許可リストには、サポートされている VPC 下り(外向き)設定の値( private-ranges-only と all-traffic )を含める必要があります。既存の Cloud Run サービスでは、新しいリビジョンはすべてこの制約に従う必要があります。この制約に従わないトラフィックを処理するリビジョンの既存のサービスは、この制約に従わないリビジョンに引き続きトラフィックを移行できます。サービスのすべてのトラフィックが、この制約に従ったリビジョンによって処理されると、それ以降のトラフィックの移行では、この制約に従うリビジョンにのみトラフィックを移行する必要があります。 constraints/run.allowedVPCEgress |
"is:" |
Service Consumer Management | デフォルトのサービス アカウントに対する IAM ロールの自動付与の無効化 | このブール型制約を適用すると、プロジェクトで作成されたデフォルト の App Engine サービス アカウントと Compute Engine サービス アカウントは、アカウント作成時にプロジェクトの IAM ロールを自動的に付与しなくなります。 デフォルトでは、これらのサービス アカウントには作成時に編集者のロールが自動的に付与されます。 constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
Cloud Spanner | コンプライアンス ワークロードの高度なサービス管理を有効にする | このポリシーは構成または変更しないでください。この制約は Assured Workloads のオンボーディング時に自動的に構成され、Assured Workloads における高度な規制管理にのみ使用されます。このブール型制約が適用されると、支持性の特性が多少損なわれ、プロビジョニングされたリソースが、Assured Workloads の高度な主権要件に厳密に従います。このポリシーは、既存のプロジェクトに適用されますが、すでにプロビジョニングされているリソースには影響しません。つまり、ポリシーを変更した場合、その変更内容はポリシー変更後に作成されたリソースにのみ反映されます。 constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
Cloud Spanner | ロケーションが選択されていない場合は、Cloud Spanner マルチリージョンを無効にします | このポリシーは構成または変更しないでください。この制約は Assured Workloads のオンボーディング時に自動的に構成され、Assured Workloads における高度な規制管理にのみ使用されます。このブール型制約を適用すると、ロケーションが選択されている場合を除き、マルチリージョン インスタンス構成を使用した Spanner インスタンスを作成できなくなります。現在のところ Cloud Spanner ではロケーションの選択はサポートされていないため、マルチリージョンはすべて禁止されます。将来的に、Spanner では、ユーザーがマルチリージョンのロケーションを選択する機能を提供する予定です。この制約が遡って適用されることはありません。作成済みの Spanner インスタンスは影響を受けません。 constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
Cloud Storage | Google Cloud Platform - 詳細な監査ロギングモード | 詳細な監査ロギングモードが適用されている場合は、リクエストとレスポンスの両方が Cloud Audit Logs に含まれます。この機能を変更すると、反映されるまで 10 分ほどかかることがあります。SEC Rule 17a-4(f)、CFTC Rule 1.31(c)-(d)、FINRA Rule 4511(c) などのコンプライアンスが目標である場合は、この組織ポリシーをバケットロックと連携して使用することを強くおすすめします。現時点では、このポリシーは Cloud Storage のみでサポートされています。constraints/gcp.detailedAuditLoggingMode |
"is:" |
Cloud Storage | 公開アクセスの防止を適用する | 公開アクセスの防止を適用して、Cloud Storage データが一般に公開されないようにします。このガバナンス ポリシーは、既存のリソースや将来のリソースが公共のインターネットを介してアクセスされないように、allUsers と allAuthenticatedUsers にアクセス権を付与する ACL と IAM 権限を無効にしてブロックします。組織全体(推奨)、特定のプロジェクト、特定のフォルダにこのポリシーを適用することによって、データが公開されないようにできます。このポリシーは、一般公開につながる既存の権限をオーバーライドします。このポリシーを有効にすると、既存のバケットとオブジェクトに対する公開アクセスが取り消されます。この制約の適用を変更した場合のリソースへの影響の詳細については、https://cloud.google.com/storage/docs/public-access-prevention をご覧ください。 constraints/storage.publicAccessPrevention |
"is:" |
Cloud Storage | Cloud Storage - 認証タイプを制限する | この制約は、Cloud Storage で組織のストレージ リソースへのアクセスが制限される認証タイプを定義します。サポートされる値は、USER_ACCOUNT_HMAC_SIGNED_REQUESTS と SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS です。両方を含める場合は in:ALL_HMAC_SIGNED_REQUESTS を使用します。constraints/storage.restrictAuthTypes |
"is:" 、"in:" |
Cloud Storage | 保持ポリシー期間(秒) | このリスト型制約は、Cloud Storage バケットに設定できる保持ポリシーの期間を定義します。 デフォルトでは、組織のポリシーが指定されない場合、任意の期間の保持ポリシーを Cloud Storage バケットに格納できます。 許可期間のリストは、保持ポリシーを秒単位で表す、0 より大きい正の整数値として指定される必要があります。 組織リソース内のバケットに対する挿入、更新、またはパッチ オペレーションには、制約と一致する保持ポリシー期間を設定する必要があります。 この制約は遡って適用されることはありません。新しい組織ポリシーが適用されても、既存のバケットの保持ポリシーは変更されず有効なままです。 constraints/storage.retentionPolicySeconds |
"is:" |
Cloud Storage | 暗号化されていない HTTP アクセスを制限する | このブール型制約を適用すると、すべてのストレージ リソースへの HTTP(暗号化なし)アクセスが明示的に拒否されます。デフォルトでは、Cloud Storage XML API は暗号化されていない HTTP アクセスを許可します。Cloud Storage JSON API、gRPC、Cloud コンソールでは、Cloud Storage リソースへの暗号化された HTTP アクセスのみが許可されます。constraints/storage.secureHttpTransport |
"is:" |
Cloud Storage | Cloud Storage - 削除(復元可能)ポリシーの保持期間(秒) | この制約は、この制約の対象の Cloud Storage バケットに設定された削除(復元可能)ポリシーの許容保持期間を定義します。この制約が適用されるバケットへの挿入、更新、パッチ適用オペレーションには、制約と一致する削除(復元可能)ポリシー期間が存在する必要があります。新しい組織のポリシーが適用されても、既存のバケットの削除(復元可能)ポリシーは変更されず有効なままです。デフォルトでは、組織のポリシーが指定されない場合、任意の期間の削除(復元可能)ポリシーを Cloud Storage バケットに設定できます。 constraints/storage.softDeletePolicySeconds |
"is:" |
Cloud Storage | 均一なバケットレベルのアクセスの適用 | このブール型制約を True に設定すると、バケットで、均一なバケットレベルのアクセスを使用することが必須となります。組織リソース内に新規作成するバケットでは、均一なバケットレベルのアクセスを有効にする必要があります。組織リソース内の既存バケットで、均一なバケットレベルのアクセスを無効にすることはできません。この制約は遡って適用されることはありません。均一なバケットレベルのアクセスが無効になっている既存のバケットでは、無効なままです。この制約のデフォルト値は False です。均一なバケットレベルのアクセスでは、バケット内の Cloud Storage オブジェクトに割り当てられた ACL の評価は無効になります。そのため、IAM ポリシーによってのみ、これらのバケット内のオブジェクトへのアクセス権が付与されます。 constraints/storage.uniformBucketLevelAccess |
"is:" |
入門ガイド
個別の制約を使用する方法については、以下をご覧ください。
制約 | 入門ガイド |
---|---|
constraints/cloudbuild.allowedIntegrations |
組織のポリシーに基づくゲートビルド |
constraints/cloudfunctions.allowedIngressSettings |
VPC Service Controls を使用する |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
VPC Service Controls を使用する |
constraints/cloudfunctions.requireVPCConnector |
VPC Service Controls を使用する |
constraints/gcp.restrictNonCmekServices |
CMEK の組織のポリシー |
constraints/gcp.restrictCmekCryptoKeyProjects |
CMEK の組織のポリシー |
constraints/gcp.restrictTLSVersion |
TLS バージョンの制限 |
constraints/compute.restrictPrivateServiceConnectConsumer constraints/compute.restrictPrivateServiceConnectProducer |
Private Service Connect コンシューマーのセキュリティを管理する |
constraints/compute.restrictCloudNATUsage |
Cloud NAT の使用制限 |
constraints/compute.restrictLoadBalancerCreationForTypes |
Cloud Load Balancing の制約 |
constraints/compute.restrictProtocolForwardingCreationForTypes |
プロトコル転送の制約 |
constraints/compute.restrictDedicatedInterconnectUsage constraints/compute.restrictPartnerInterconnectUsage |
Cloud Interconnect の使用の制限 |
constraints/compute.restrictVpnPeerIPs |
Cloud VPN トンネルを経由したピア IP アドレスの制限 |
constraints/compute.trustedImageProjects |
イメージへのアクセスの制限 |
constraints/compute.vmExternalIpAccess |
VM の外部 IP アクセスの無効化 |
constraints/compute.requireVpcFlowLogs |
VPC フローログの組織のポリシーに関する制約 |
constraints/dataform.restrictGitRemotes |
リモート リポジトリを制限する |
constraints/gcp.restrictServiceUsage |
リソース使用量の制限 |
constraints/iam.allowedPolicyMemberDomains |
ドメイン別の ID の制限 |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
OAuth 2.0 アクセス トークンの存続時間を延長する |
constraints/iam.disableCrossProjectServiceAccountUsage |
サービス アカウントの別のプロジェクト内のリソースへのアタッチ |
constraints/iam.disableServiceAccountCreation |
サービス アカウントの作成の制限 |
constraints/iam.disableServiceAccountKeyCreation |
サービス アカウント キーの作成の制限 |
constraints/iam.disableServiceAccountKeyUpload |
サービス アカウント キーのアップロードを制限する |
constraints/iam.disableWorkloadIdentityClusterCreation |
Workload Identity クラスタの作成を制限する |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
サービス アカウントの別のプロジェクト内のリソースへのアタッチ |
constraints/gcp.detailedAuditLoggingMode constraints/storage.retentionPolicySeconds constraints/storage.uniformBucketLevelAccess constraints/storage.publicAccessPrevention |
Cloud Storage の組織のポリシーに関する制約 |
constraints/gcp.disableCloudLogging |
Cloud Logging を無効にする |
constraints/gcp.resourceLocations |
リソース ロケーションの制限 |
constraints/resourcemanager.accessBoundaries |
ユーザーのプロジェクト公開設定の制限 |
constraints/run.allowedIngress |
VPC Service Controls を使用する |
constraints/run.allowedVPCEgress |
VPC Service Controls を使用する |
constraints/constraints/vertexai.allowedModels |
Model Garden モデルへのアクセスを制御する |
詳細
組織ポリシーの基本コンセプトの詳細については、以下をご覧ください。
組織ポリシーの概要を読む。
制約について読む。
組織ポリシーを作成して制約を使用する方法について読む。
階層評価の仕組みについて読む。