ワークロードのリソース使用量を制限する
このページでは、Assured Workloads フォルダで非準拠のリソースの制限を有効または無効にする方法について説明します。デフォルトでは、各フォルダのコントロール パッケージによってサポート対象のプロダクトが決定され、使用できるリソースが決定されます。この機能は、フォルダの作成時に自動的に適用される gcp.restrictServiceUsage
組織のポリシーの制約によって適用されます。
準備
必要な IAM のロール
リソース使用制限を変更するには、より広範な権限セットを含む事前定義ロール、または必要最小限の権限に制限されたカスタムロールのいずれかを使用して、呼び出し元に Identity and Access Management(IAM)権限を付与する必要があります。
ターゲット ワークロードには、次の権限が必要です。
assuredworkloads.workload.update
orgpolicy.policy.set
これらの権限は、次の 2 個のロールに含まれています。
- Assured Workloads 管理者(
roles/assuredworkloads.admin
) - Assured Workloads 編集者(
roles/assuredworkloads.editor
)
Assured Workloads のロールの詳細については、IAM のロールをご覧ください。
リソースの使用量制限を有効にする
ワークロードのリソース使用量の制限を有効にするには、次のコマンドを実行します。このコマンドは、コントロール パッケージのサポート対象サービスに従って、Assured Workloads フォルダに制限を適用します。
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
次のプレースホルダ値を独自の値に置き換えます。
TOKEN: リクエストの認証トークン(例:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
)。環境に Google Cloud SDK がインストールされ、認証されている場合は、
gcloud auth print-access-token
コマンド(-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
)を使用できます。SERVICE_ENDPOINT: 目的のサービス エンドポイント。例:
https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例:
12321311
)WORKLOAD_LOCATION: ワークロードのロケーション。例:
us-central1
WORKLOAD_ID: ワークロードの一意の識別子(
00-c25febb1-f3c1-4f19-8965-a25
など)。
プレースホルダ値を置換すると、リクエストは次の例のようになります。
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
成功すると、レスポンスは空になります。
リソースの使用量制限を無効にする
ワークロードのリソース使用量の制限を無効にするには、次のコマンドを実行します。 このコマンドは、Assured Workloads フォルダのすべてのサービスとリソースの制限を効果的に削除します。
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
次のプレースホルダ値を独自のものに置き換えます。
TOKEN: リクエストの認証トークン(例:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
)。環境に Google Cloud SDK がインストールされ、認証されている場合は、
gcloud auth print-access-token
コマンド(-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
)を使用できます。SERVICE_ENDPOINT: 目的のサービス エンドポイント。例:
https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例:
12321311
)WORKLOAD_LOCATION: ワークロードのロケーション。例:
us-central1
WORKLOAD_ID: ワークロードの一意の識別子(
00-c25febb1-f3c1-4f19-8965-a25
など)。
プレースホルダ値を置換すると、リクエストは次の例のようになります。
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
成功すると、レスポンスは空になります。
サポート対象のプロダクトとサポートされていないプロダクト
このセクションの表には、さまざまなコントロール パッケージでサポートされているプロダクトとサポートされていないプロダクトが記載されています。デフォルトのリソース使用量制限を有効にすると、サポートされているプロダクトのみを使用できます。リソースの使用量上限を無効にすると、サポートされているプロダクトとサポートされていないプロダクトの両方を使用できます。
FedRAMP Moderate
エンドポイント | サポート対象プロダクト | サポートされていない製品 |
---|---|---|
aiplatform.googleapis.com |
Vertex AI | AI Platform トレーニング API と予測 API |
FedRAMP High
エンドポイント | サポート対象プロダクト | サポートされていない製品 | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
刑事司法情報サービス(CJIS)
エンドポイント | サポート対象プロダクト | サポートされていない製品 | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
影響レベル 4(IL4)
エンドポイント | サポート対象プロダクト | サポートされていない製品 | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
米国リージョンとサポート
エンドポイント | サポート対象プロダクト | サポートされていない製品 | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Service エンドポイント
このセクションでは、リソースの使用量上限を有効にした後にブロックされない API エンドポイントの一覧を示します。
API 名 | エンドポイント URL |
---|---|
Cloud Asset API | cloudasset.googleapis.com |
Cloud Logging API | logging.googleapis.com |
Service Control | servicecontrol.googleapis.com |
Cloud Monitoring API | monitoring.googleapis.com |
Google Cloud のオブザーバビリティ | stackdriver.googleapis.com |
Security Token Service API | sts.googleapis.com |
Identity and Access Management API | iam.googleapis.com |
Cloud Resource Manager API | cloudresourcemanager.googleapis.com |
Advisory Notifications API | advisorynotifications.googleapis.com |
IAM Service Account Credentials API | iamcredentials.googleapis.com |
組織のポリシー サービスの API | orgpolicy.googleapis.com |
Policy Troubleshooter API | policytroubleshooter.googleapis.com |
Network Telemetry API | networktelemetry.googleapis.com |
Service Usage API | serviceusage.googleapis.com |
Service Networking API | servicenetworking.googleapis.com |
Cloud Billing API | cloudbilling.googleapis.com |
Service Management API | servicemanagement.googleapis.com |
Identity Toolkit API | identitytoolkit.googleapis.com |
Access Context Manager API | accesscontextmanager.googleapis.com |
Service Consumer Management API | serviceconsumermanagement.googleapis.com |
次のステップ
- リソース使用量の制限をサポートしていないサービスのリストをご覧ください。
- 各コントロール パッケージでサポートされているプロダクトを確認する。