ワークロードのリソース使用量を制限する

このページでは、Assured Workloads フォルダで非準拠のリソースの制限を有効または無効にする方法について説明します。デフォルトでは、各フォルダのコントロール パッケージによってサポート対象のプロダクトが決定され、使用できるリソースが決定されます。この機能は、フォルダの作成時に自動的に適用される gcp.restrictServiceUsage 組織のポリシーの制約によって適用されます。

準備

必要な IAM のロール

リソース使用制限を変更するには、より広範な権限セットを含む事前定義ロール、または必要最小限の権限に制限されたカスタムロールのいずれかを使用して、呼び出し元に Identity and Access Management(IAM)権限を付与する必要があります。

ターゲット ワークロードには、次の権限が必要です。

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

これらの権限は、次の 2 個のロールに含まれています。

  • Assured Workloads 管理者roles/assuredworkloads.admin
  • Assured Workloads 編集者roles/assuredworkloads.editor

Assured Workloads のロールの詳細については、IAM のロールをご覧ください。

リソースの使用量制限を有効にする

ワークロードのリソース使用量の制限を有効にするには、次のコマンドを実行します。このコマンドは、コントロール パッケージのサポート対象サービスに従って、Assured Workloads フォルダに制限を適用します。

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

次のプレースホルダ値を独自の値に置き換えます。

  • TOKEN: リクエストの認証トークン(例: ya29.a0AfB_byDnQW7A2Vr5...tanw0427)。

    環境に Google Cloud SDK がインストールされ、認証されている場合は、gcloud auth print-access-token コマンド(-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \)を使用できます。

  • SERVICE_ENDPOINT: 目的のサービス エンドポイント。例: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例: 12321311

  • WORKLOAD_LOCATION: ワークロードのロケーション。例: us-central1

  • WORKLOAD_ID: ワークロードの一意の識別子(00-c25febb1-f3c1-4f19-8965-a25 など)。

プレースホルダ値を置換すると、リクエストは次の例のようになります。

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

成功すると、レスポンスは空になります。

リソースの使用量制限を無効にする

ワークロードのリソース使用量の制限を無効にするには、次のコマンドを実行します。 このコマンドは、Assured Workloads フォルダのすべてのサービスとリソースの制限を効果的に削除します。

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

次のプレースホルダ値を独自のものに置き換えます。

  • TOKEN: リクエストの認証トークン(例: ya29.a0AfB_byDnQW7A2Vr5...tanw0427)。

    環境に Google Cloud SDK がインストールされ、認証されている場合は、gcloud auth print-access-token コマンド(-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \)を使用できます。

  • SERVICE_ENDPOINT: 目的のサービス エンドポイント。例: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例: 12321311

  • WORKLOAD_LOCATION: ワークロードのロケーション。例: us-central1

  • WORKLOAD_ID: ワークロードの一意の識別子(00-c25febb1-f3c1-4f19-8965-a25 など)。

プレースホルダ値を置換すると、リクエストは次の例のようになります。

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

成功すると、レスポンスは空になります。

サポート対象のプロダクトとサポートされていないプロダクト

このセクションの表には、さまざまなコントロール パッケージでサポートされているプロダクトとサポートされていないプロダクトが記載されています。デフォルトのリソース使用量制限を有効にすると、サポートされているプロダクトのみを使用できます。リソースの使用量上限を無効にすると、サポートされているプロダクトとサポートされていないプロダクトの両方を使用できます。

FedRAMP Moderate

エンドポイント サポート対象プロダクト サポートされていない製品
aiplatform.googleapis.com Vertex AI AI Platform トレーニング API と予測 API

FedRAMP High

エンドポイント サポート対象プロダクト サポートされていない製品
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform トレーニング API と予測 API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

刑事司法情報サービス(CJIS)

エンドポイント サポート対象プロダクト サポートされていない製品
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

影響レベル 4(IL4)

エンドポイント サポート対象プロダクト サポートされていない製品
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform トレーニング API と予測 API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

米国リージョンとサポート

エンドポイント サポート対象プロダクト サポートされていない製品
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Service エンドポイント

このセクションでは、リソースの使用量上限を有効にした後にブロックされない API エンドポイントの一覧を示します。

API 名 エンドポイント URL
Cloud Asset API cloudasset.googleapis.com
Cloud Logging API logging.googleapis.com
Service Control servicecontrol.googleapis.com
Cloud Monitoring API monitoring.googleapis.com
Google Cloud のオブザーバビリティ stackdriver.googleapis.com
Security Token Service API sts.googleapis.com
Identity and Access Management API iam.googleapis.com
Cloud Resource Manager API cloudresourcemanager.googleapis.com
Advisory Notifications API advisorynotifications.googleapis.com
IAM Service Account Credentials API iamcredentials.googleapis.com
組織のポリシー サービスの API orgpolicy.googleapis.com
Policy Troubleshooter API policytroubleshooter.googleapis.com
Network Telemetry API networktelemetry.googleapis.com
Service Usage API serviceusage.googleapis.com
Service Networking API servicenetworking.googleapis.com
Cloud Billing API cloudbilling.googleapis.com
Service Management API servicemanagement.googleapis.com
Identity Toolkit API identitytoolkit.googleapis.com
Access Context Manager API accesscontextmanager.googleapis.com
Service Consumer Management API serviceconsumermanagement.googleapis.com

次のステップ