Restringe el uso de recursos para las cargas de trabajo
En este documento, se explica cómo habilitar o inhabilitar las restricciones que evitan el uso de recursos que no cumplan con varios regímenes de cumplimiento, como FedRAMP Moderate, FedRAMP High, Criminal Justice Information Services (CJIS) y más. Esta restricción está habilitada de forma predeterminada en forma de política de la organización para las carpetas que creas con Assured Workloads.
Antes de comenzar
- Obtén información sobre la política de restricción de uso de recursos (RUR).
- Asegúrate de tener el rol Administrador de Assured Workloads (
roles/assuredworkloads.admin) o Editor de Assured Workloads (roles/assuredworkloads.editor) de Identity and Access Management (IAM). Para obtener información sobre cómo otorgar estos roles, consulta Roles de Assured Workloads.
Habilita la restricción del uso de recursos
A fin de habilitar la restricción del uso de recursos para una carga de trabajo, ejecuta el siguiente comando:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_SERVICES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer {TOKEN}" -X POST \
"https://LOCATION-assuredworkloads.googleapis.com/v1beta1/organizations/ORG_ID/locations/LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Reemplaza lo siguiente:
- LOCATION: es la ubicación de la carga de trabajo.
- ORG_ID: el identificador único de la organización de Google Cloud.
- WORKLOAD_ID: el identificador único de la carga de trabajo.
Inhabilita la restricción del uso de recursos
Para inhabilitar la restricción de uso de recursos de una carga de trabajo, ejecuta el siguiente comando:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_SERVICES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer {TOKEN}" -X POST \
"https://LOCATION-assuredworkloads.googleapis.com/v1beta1/organizations/ORG_ID/locations/LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Reemplaza lo siguiente:
- LOCATION: es la ubicación de la carga de trabajo.
- ORG_ID: el identificador único de la organización de Google Cloud.
- WORKLOAD_ID: el identificador único de la carga de trabajo.
Limitaciones
En esta sección, se mencionan los productos y los extremos del servicio a los que no puedes restringir el acceso.
Productos que cumplen o no con las normas
En las tablas de esta sección, se mencionan los productos que cumplen o no con varios regímenes de cumplimiento. Si habilitas la restricción del uso de recursos, solo se pueden usar los productos compatibles. Si decides no habilitar esta función, se pueden usar productos que cumplan con las normas y productos que no cumplan con ellas.
FedRAMP Moderate
En la siguiente tabla, se mencionan productos de la misma API que cumplen con el régimen de cumplimiento de FedRAMP Moderate:
| Extremo | Productos que cumplen con las normas | Productos que no cumplen con las normas |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | API de entrenamiento y predicción de AI Platform |
FedRAMP High
En la siguiente tabla, se mencionan productos de la misma API que cumplen con el régimen de cumplimiento de FedRAMP High:
| Extremo | Productos que cumplen con las normas | Productos que no cumplen con las normas |
|---|---|---|
compute.googleapis.com |
Compute Engine Persistent Disk |
Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Niveles de servicio de red Nube privada virtual |
Servicios de Información de la Justicia Criminal (CJIS)
En la siguiente tabla, se mencionan productos de la misma API que cumplen o no cumplen con el régimen de cumplimiento de CJIS:
| Extremo | Productos que cumplen con las normas | Productos que no cumplen con las normas |
|---|---|---|
accesscontextmanager.googleapis.com |
Controles del servicio de VPC | Access Context Manager |
compute.googleapis.com |
Nube privada virtual Persistent Disk Compute Engine |
Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Niveles de servicio de red |
cloudkms.googleapis.com |
Cloud Key Management Service | Cloud HSM |
IL4
En la siguiente tabla, se mencionan productos de la misma API que cumplen con el régimen de cumplimiento de IL4:
| Extremo | Productos que cumplen con las normas | Productos que no cumplen con las normas |
|---|---|---|
compute.googleapis.com |
Compute Engine Persistent Disk |
Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Niveles de servicio de red Nube privada virtual |
cloudkms.googleapis.com |
Cloud Key Management Service | Cloud HSM |
Regiones de EE.UU. y asistencia
En la siguiente tabla, se mencionan productos de la misma API que cumplen o no con el acceso regional de EE.UU.:
| Extremo | Productos que cumplen con las normas | Productos que no cumplen con las normas |
|---|---|---|
accesscontextmanager.googleapis.com |
Controles del servicio de VPC | Access Context Manager |
compute.googleapis.com |
Nube privada virtual Persistent Disk Compute Engine |
Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Niveles de servicio de red |
cloudkms.googleapis.com |
Cloud Key Management Service | Cloud HSM |
Extremos del servicio
En esta sección, se enumeran las APIs que no están bloqueadas después de habilitar la restricción de uso de recursos.
| Nombre de la API | URL del extremo |
|---|---|
| API de Cloud Asset | cloudasset.googleapis.com |
| API de Cloud Logging | logging.googleapis.com |
| API de Service Control | servicecontrol.googleapis.com |
| API de Cloud Monitoring | monitoring.googleapis.com |
| API de Google Cloud's operations suite | stackdriver.googleapis.com |
| API del servicio de token de seguridad | sts.googleapis.com |
| API de Identity and Access Management | iam.googleapis.com |
| API de Resource Manager | cloudresourcemanager.googleapis.com |
| API de Notificaciones de aviso | advisorynotifications.googleapis.com |
| API de IAM Service Account Credentials | iamcredentials.googleapis.com |
| API del Servicio de políticas de la organización | orgpolicy.googleapis.com |
| API de Policy Troubleshooter | policytroubleshooter.googleapis.com |
| API de Telemetría de red | networktelemetry.googleapis.com |
| API de Service Usage | serviceusage.googleapis.com |
| API de Service Networking | servicenetworking.googleapis.com |
| API de Cloud Billing | cloudbilling.googleapis.com |
| API de Service Management | servicemanagement.googleapis.com |
| API de Identity Toolkit | identitytoolkit.googleapis.com |
| API de Access Context Manager | accesscontextmanager.googleapis.com |
| API de Service Consumer Management | serviceconsumermanagement.googleapis.com |
¿Qué sigue?
- Consulta la lista de productos y servicios que admiten varios regímenes de cumplimiento.
- Consulta la lista de servicios que no admiten la restricción del uso de recursos.
- Consulta las responsabilidades del cliente para garantizar el cumplimiento del FedRAMP en Google Cloud.