Restringir a utilização de pontos finais

Esta página oferece uma vista geral da restrição da política da organização Restrict Endpoint Usage , que permite aos administradores empresariais controlar que pontos finais da Google Cloud API podem ser usados na respetiva hierarquia de Google Cloud recursos.

Os administradores podem usar esta restrição para definir restrições hierárquicas nos pontos finais da API permitidos, como pontos finais globais, de localização ou regionais. Google Cloud Por exemplo, pode configurar um projeto para recusar pedidos ao ponto final bigquery.googleapis.comglobal, mas permitir pedidos ao ponto final LOCATION-biguery.googleapis.comlocacional. Ao restringir a utilização de pontos finais da API global, as organizações podem cumprir os requisitos de conformidade garantindo que apenas são utilizados pontos finais regionais ou de localização permitidos.

A restrição de utilização de pontos finais é definida através de uma lista de exclusões, o que permite pedidos a pontos finais da API de quaisquer serviços suportados que não sejam explicitamente negados.

Esta restrição controla o acesso em tempo de execução a todos os recursos no âmbito. Quando a política de organização que contém esta restrição é atualizada, aplica-se imediatamente a todos os recursos no âmbito da política, com consistência eventual.

Recomendamos que os administradores geram cuidadosamente as atualizações das políticas da organização que contenham esta restrição. Por exemplo, deve considerar definir a política no modo de execução de ensaio para monitorizar o impacto de uma alteração de política nos seus fluxos de trabalho existentes antes de ser aplicada.

Tipos de pontos finais da API

Um ponto final da API (ou ponto final do serviço) é um URL que especifica o endereço de rede de um serviço de API, como bigquery.googleapis.com. Google Cloud Google Cloud Os serviços permitem o acesso a recursos através de diferentes tipos de pontos finais de API, incluindo pontos finais globais, de localização e regionais. O suporte para cada tipo depende do serviço.

• Os pontos finais da API global não especificam a localização no nome do anfitrião do URL. Por exemplo:

  • storage.googleapis.com
  • content-bigqueryconnection.googleapis.com
  • bigquerydatatransfer.mtls.googleapis.com
  • logging.googleapis.com

  Estes pontos finais com âmbito global fornecem pontos finais de serviço altamente disponíveis que terminam a sessão TLS o mais próximo possível do cliente, o que minimiza a latência quando serve chamadas API de uma população de clientes dispersa através da Internet.

• Os pontos finais da API de localização especificam a localização no nome do anfitrião do URL. Por exemplo:

  • us-storage.googleapis.com
  • content-us-west3-bigqueryconnection.googleapis.com
  • us-west1-bigquerydatatransfer.mtls.googleapis.com
  • us-central1-logging.googleapis.com

  Estes pontos finais de localização oferecem vantagens aos clientes que requerem a utilização de serviços específicos da localização e querem garantir que os dados em trânsito permanecem numa localização específica quando acedidos através de conetividade privada.

• Os pontos finais da API regional especificam a localização como um subdomínio. Por exemplo:

  • storage.us-east2.rep.googleapis.com
  • content-bigqueryconnection.us-west3.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.mtls.googleapis.com
  • logging.us-central1.rep.googleapis.com

  Estes pontos finais regionais oferecem as maiores vantagens aos clientes que requerem a utilização de serviços específicos da localização e querem ter formas de garantir que os dados em trânsito permanecem numa localização específica quando acedidos através da conetividade privada ou da Internet pública.

Limitações

A restrição Restrict Endpoint Usage controla a capacidade de usar pontos finais da API específicos para aceder aos seus recursos. Não deve ser confundido com outras restrições semelhantes, como:

• Restrição de localização de recursos, que controla onde os recursos podem ou não ser criados.
• Restrição de utilização do serviço de recursos, que controla os serviços de recursos que podem ser usados.

Para evitar a quebra da infraestrutura de publicação existente, deve testar qualquer nova política de organização em projetos e pastas de não produção e, em seguida, aplicar a política gradualmente na sua organização.

Esta restrição aplica-se a um subconjunto específico de produtos e tipos de recursos. Para ver uma lista dos serviços suportados e detalhes sobre o comportamento de cada serviço, consulte a secção Pontos finais da API suportados.

Para compromissos de armazenamento de dados, consulte os Google Cloud Termos de Utilização e os Termos Específicos do Serviço. As políticas da organização que contêm a restrição Restringir a utilização de pontos finais não são compromissos de residência de dados.

Definir a política da organização

Para definir, alterar ou eliminar uma política da organização, tem de ter a função de administrador da política da organização.

As restrições da política da organização podem ser definidas ao nível da organização, da pasta e do projeto. Cada política aplica-se a todos os recursos na respetiva hierarquia de recursos correspondente, mas pode ser substituída em níveis inferiores na hierarquia de recursos.

Para mais informações acerca da avaliação de políticas, consulte o artigo Compreender a avaliação da hierarquia.

A restrição Restrict Endpoint Usage é um tipo de restrição de lista. Pode adicionar e remover pontos finais das listas denied_values da restrição.

constraint: constraints/gcp.restrictEndpointUsage
listPolicy:
    deniedValues:
    - storage.googleapis.com
    - content-bigqueryreservation.googleapis.com
    - bigquerystorage.mtls.googleapis.com
    - logging.googleapis.com

gcloud resource-manager org-policies set-policy \
--RESOURCE_TYPE='RESOURCE_ID' /tmp/policy.yaml

constraint: constraints/gcp.restrictEndpointUsage
etag: CKCRl6oGEPjG-tMB
listPolicy:
  deniedValues:
  - storage.googleapis.com
  - content-bigqueryreservation.googleapis.com
  - bigquerystorage.mtls.googleapis.com
  - logging.googleapis.com
updateTime: '2023-11-04T04:29:20.444507Z'

Se um pedido a um ponto final da API recusado tentar aceder a um recurso, o pedido vai falhar e é devolvido um erro que descreve o motivo desta falha.

Crie uma política da organização no modo de execução de ensaio

Uma política da organização no modo de execução de ensaio é um tipo de política da organização em que as violações da política são registadas em auditoria, mas as ações que violam a política não são negadas. Pode criar uma política de organização no modo de teste usando a restrição Restrict Endpoint Usage para monitorizar como afetaria a sua organização antes de aplicar a política em direto. Para mais informações, consulte o artigo Crie uma política de organização no modo de teste.

Mensagem de erro

Se definir uma política da organização para recusar um ponto final, as operações que usam esse ponto final na hierarquia de recursos falham. É devolvido um erro que descreve o motivo desta falha. Além disso, é gerada uma entrada no registo de auditoria para monitorização, alertas ou depuração adicionais.

Exemplo de mensagem de erro

No exemplo seguinte, um pedido curl que usa o ponto final da API storage.googleapis.com falha devido à aplicação da política:

curl -X GET \
-H "Authorization: Bearer OAUTH2_TOKEN" \
-o "SAVE_TO_LOCATION" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media"

Access to projects/foo-123 through endpoint storage.googleapis.com was denied by
the constraints/gcp.restrictEndpointUsage organization policy constraint. To
access this resource, please use an allowed endpoint.

Exemplo de entrada de registo de auditoria

A entrada de registo de auditoria do exemplo seguinte demonstra quando o acesso a um recurso é recusado:

{
  logName: "projects/my-projectid/logs/cloudaudit.googleapis.com%2Fpolicy"
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    status: {
      code: 7
      message: "Access to projects/my-projectid through endpoint bigquery.googleapis.com was denied by the constraints/gcp.restrictEndpointUsage organization policy constraint. To access this resource, please use an allowed endpoint."
    }
    serviceName: "bigquery.googleapis.com"
    methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll"
    resourceName: "projects/my-projectid"
    authenticationInfo: {
      principalEmail: "user_or_service_account@example.com"
    }
  }
  requestMetadata: {
    callerIp: "123.123.123.123"
  }
  policyViolationInfo: {
    orgPolicyViolationInfo: {
      violationInfo: [
        {
          constraint: "constraints/gcp.restrictEndpointUsage"
          checkedValue: "bigquery.googleapis.com"
          policyType: LIST_CONSTRAINT
        }
      ]
    }
  }
  resource: {
    type: "audited_resource"
    labels: {
      project_id: "224034263908"
      method: "google.cloud.bigquery.v2.TableDataService.InsertAll"
      service: "bigquery.googleapis.com"
    }
  }
  severity: "ERROR"
  timestamp: "2024-12-05T01:15:30.332519510Z"
  receiveTimestamp: "2024-08-15T17:55:01.159788588Z"
  insertId: "42"
}

Pontos finais da API suportados

Os seguintes pontos finais da API são suportados pela restrição Restrict Endpoint Usage:

Grupos de valores

Os grupos de valores são coleções de grupos e pontos finais da API organizados pela Google para oferecer uma forma mais simples de definir as restrições dos seus pontos finais. Os grupos de valores incluem muitos pontos finais da API relacionados e são expandidos ao longo do tempo pela Google sem necessidade de alterar a política da sua organização para acomodar os novos pontos finais.

Para usar grupos de valores na sua política da organização, prefixe as entradas com a string in:. Para mais informações sobre a utilização de prefixos de valores, consulte o artigo Usar restrições. Os nomes dos grupos são validados na chamada para definir a política da organização. A utilização de um nome de grupo inválido faz com que a definição da política falhe.

A tabela seguinte contém a lista atual de grupos disponíveis: