Restringir o uso de recursos para cargas de trabalho
Nesta página, explicamos como ativar ou desativar restrições para recursos
sem compliance em pastas do Assured Workloads. Por padrão, o pacote de controle de cada pasta determina quais produtos são compatíveis, determinando assim quais recursos podem ser usados. Essa funcionalidade é aplicada pela
restrição da política da organização gcp.restrictServiceUsage,
que é aplicada automaticamente na pasta quando ela é criada.
Antes de começar
Papéis do IAM obrigatórios
Para modificar as restrições de uso de recursos, o autor da chamada precisa receber permissões do Identity and Access Management (IAM, na sigla em inglês) usando um papel predefinido que inclua um conjunto mais amplo de permissões ou um papel personalizado restrito às permissões mínimas necessárias.
As permissões a seguir são necessárias na carga de trabalho de destino:
assuredworkloads.workload.updateorgpolicy.policy.set
Essas permissões estão incluídas nos dois papéis a seguir:
- Administrador do Assured Workloads
(
roles/assuredworkloads.admin) - Editor do Assured Workloads
(
roles/assuredworkloads.editor)
Consulte Papéis do IAM para mais informações sobre os papéis do Assured Workloads.
Ativar restrições de uso de recursos
Para ativar a restrição de uso de recursos para uma carga de trabalho, execute o comando a seguir. Este comando aplica restrições à pasta do Assured Workloads de acordo com os serviços com suporte do pacote de controle:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os seguintes valores de marcador pelos seus próprios valores:
TOKEN: o token de autenticação da solicitação. Por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se você tiver o SDK Google Cloud instalado no seu ambiente e estiver autenticado, use o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: o endpoint de serviço desejado, por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo da organização do Google Cloud, por exemplo:
12321311WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25.
Depois de substituir os valores do marcador, sua solicitação será semelhante ao exemplo a seguir:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se for bem-sucedida, a resposta ficará vazia.
Desativar restrição de uso de recursos
Para desativar a restrição de uso de recursos para uma carga de trabalho, execute o comando a seguir. Esse comando remove efetivamente todas as restrições de serviços e recursos na pasta "Assured Workloads":
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os seguintes valores de marcador pelos seus próprios valores:
TOKEN: o token de autenticação da solicitação. Por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se você tiver o SDK Google Cloud instalado no seu ambiente e estiver autenticado, use o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: o endpoint de serviço desejado, por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo da organização do Google Cloud, por exemplo:
12321311WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25.
Depois de substituir os valores do marcador, sua solicitação será semelhante ao exemplo a seguir:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se for bem-sucedida, a resposta ficará vazia.
Produtos com e sem suporte
As tabelas nesta seção incluem produtos com e sem suporte para vários pacotes de controle. Se você ativar as restrições padrão de uso de recursos, apenas os produtos compatíveis poderão ser usados. Se você desativar as restrições de uso de recursos, será possível usar os produtos com e sem suporte.
FedRAMP de nível médio
| Endpoint | Produtos com suporte | Produtos não aceitos |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | Treinamento do AI Platform e API Prediction |
FedRAMP de nível alto
| Endpoint | Produtos com suporte | Produtos não aceitos | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA
| Endpoint | Produtos com suporte | Produtos não aceitos | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Nível 4 de impacto (IL4)
| Endpoint | Produtos com suporte | Produtos não aceitos | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regiões e suporte dos EUA
| Endpoint | Produtos com suporte | Produtos não aceitos | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Endpoints de Serviço
Nesta seção, listamos os endpoints da API que não são bloqueados depois que você ativa a restrição de uso de recursos.
| Nome da API | URL do endpoint |
|---|---|
| API Cloud Asset | cloudasset.googleapis.com |
| API Cloud Logging | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| API Cloud Monitoring | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| API Security Token Service | sts.googleapis.com |
| API Identity and Access Management | iam.googleapis.com |
| API Cloud Resource Manager | cloudresourcemanager.googleapis.com |
| API Advisory Notifications | advisorynotifications.googleapis.com |
| API IAM Service Account Credentials | iamcredentials.googleapis.com |
| API Organization Policy Service | orgpolicy.googleapis.com |
| API Policy Troubleshooter | policytroubleshooter.googleapis.com |
| API Network Telemetry | networktelemetry.googleapis.com |
| API Service Usage | serviceusage.googleapis.com |
| API Service Networking | servicenetworking.googleapis.com |
| Cloud Billing API | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| API Identity Toolkit | identitytoolkit.googleapis.com |
| API Access Context Manager | accesscontextmanager.googleapis.com |
| API Service Consumer Management | serviceconsumermanagement.googleapis.com |
A seguir
- Veja a lista de serviços que não são compatíveis com a restrição de uso de recursos.
- Saiba quais produtos são compatíveis com cada pacote de controle.