Restringe el uso de recursos para las cargas de trabajo

En esta página, se explica cómo habilitar o inhabilitar las restricciones para los recursos que no cumplen con las políticas en las carpetas de Assured Workloads. De forma predeterminada, el paquete de control de cada carpeta determina qué productos son compatibles y, por lo tanto, qué recursos se pueden usar. Esta funcionalidad se aplica mediante la restricción de la política de la organización gcp.restrictServiceUsage que se aplica automáticamente a la carpeta cuando se crea.

Antes de comenzar

Roles de IAM obligatorios

Para modificar las restricciones de uso de recursos, el emisor debe tener permisos de administración de identidades y accesos (IAM) mediante un rol predefinido que incluya un conjunto más amplio de permisos o un rol personalizado que esté restringido a los permisos mínimos necesarios.

Se requieren los siguientes permisos en la carga de trabajo de destino:

• assuredworkloads.workload.update
• orgpolicy.policy.set

Estos permisos se incluyen en los siguientes dos roles:

• Administrador de Assured Workloads (roles/assuredworkloads.admin)
• Editor de Assured Workloads (roles/assuredworkloads.editor)

Consulta Roles de IAM para obtener más información sobre los roles de Assured Workloads.

Habilita las restricciones de uso de recursos

Para habilitar la restricción del uso de recursos para una carga de trabajo, ejecuta el siguiente comando. Este comando aplica restricciones a la carpeta de Assured Workloads según los servicios compatibles del paquete de control:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Reemplaza los siguientes valores de marcador de posición por los tuyos:

• TOKEN: Es el token de autenticación de la solicitud, por ejemplo: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si tienes instalado el SDK de Google Cloud en tu entorno y estás autenticado, puedes usar el comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: Es el extremo de servicio deseado, por ejemplo: https://us-central1-assuredworkloads.googleapis.com.

• ORGANIZATION_ID: Es el identificador único de la organización Google Cloud, por ejemplo: 12321311.

• WORKLOAD_LOCATION: Es la ubicación de la carga de trabajo, por ejemplo: us-central1.

• WORKLOAD_ID: Es el identificador único de la carga de trabajo, por ejemplo: 00-c25febb1-f3c1-4f19-8965-a25

Después de reemplazar los valores de marcador de posición, tu solicitud debería ser similar al siguiente ejemplo:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si se realiza correctamente, la respuesta estará vacía.

Inhabilita la restricción del uso de recursos

Para inhabilitar la restricción de uso de recursos de una carga de trabajo, ejecuta el siguiente comando: Este comando quita de forma eficaz todas las restricciones de servicios y recursos de la carpeta de cargas de trabajo seguras:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Reemplaza los siguientes valores de marcador de posición por los tuyos:

• TOKEN: Es el token de autenticación de la solicitud, por ejemplo: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si tienes instalado el SDK de Google Cloud en tu entorno y estás autenticado, puedes usar el comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: Es el extremo de servicio deseado, por ejemplo: https://us-central1-assuredworkloads.googleapis.com.

• ORGANIZATION_ID: Es el identificador único de la organización Google Cloud, por ejemplo: 12321311.

• WORKLOAD_LOCATION: Es la ubicación de la carga de trabajo, por ejemplo: us-central1.

• WORKLOAD_ID: Es el identificador único de la carga de trabajo, por ejemplo: 00-c25febb1-f3c1-4f19-8965-a25

Después de reemplazar los valores de marcador de posición, tu solicitud debería ser similar al siguiente ejemplo:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si se realiza correctamente, la respuesta estará vacía.

Productos compatibles y no compatibles

En las tablas de esta sección, se incluyen los productos compatibles y no compatibles con varios paquetes de control. Si habilitas las restricciones de uso de recursos predeterminadas, solo se pueden usar los productos compatibles. Si inhabilitas las restricciones de uso de recursos, se pueden usar productos compatibles y no compatibles.

FedRAMP Moderate

FedRAMP High

Servicios de Información de la Justicia Penal (CJIS)

Nivel de impacto 4 (IL4)

Regiones de EE.UU. y compatibilidad

Extremos del servicio

En esta sección, se enumeran los extremos de la API que no están bloqueados después de habilitar la restricción de uso de recursos.

¿Qué sigue?

• Consulta la lista de servicios que no admiten la restricción del uso de recursos.
• Obtén información sobre los productos compatibles para cada paquete de control.