ワークロードのリソース使用量を制限する

このページでは、Assured Workloads フォルダで非準拠のリソースの制限を有効または無効にする方法について説明します。デフォルトでは、各フォルダのコントロール パッケージによってサポート対象のプロダクトが決定され、使用できるリソースが決定されます。この機能は、フォルダの作成時に自動的に適用される gcp.restrictServiceUsage 組織のポリシーの制約によって適用されます。

準備

必要な IAM のロール

リソース使用制限を変更するには、より広範な権限セットを含む事前定義ロール、または必要最小限の権限に制限されたカスタムロールのいずれかを使用して、呼び出し元に Identity and Access Management（IAM）権限を付与する必要があります。

ターゲット ワークロードには、次の権限が必要です。

• assuredworkloads.workload.update
• orgpolicy.policy.set

これらの権限は、次の 2 個のロールに含まれています。

• Assured Workloads 管理者（roles/assuredworkloads.admin）
• Assured Workloads 編集者（roles/assuredworkloads.editor）

Assured Workloads のロールの詳細については、IAM のロールをご覧ください。

リソースの使用量制限を有効にする

ワークロードのリソース使用量の制限を有効にするには、次のコマンドを実行します。このコマンドは、コントロール パッケージのサポート対象サービスに従って、Assured Workloads フォルダに制限を適用します。

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

次のプレースホルダ値を独自の値に置き換えます。

• TOKEN: リクエストの認証トークン（例: ya29.a0AfB_byDnQW7A2Vr5...tanw0427）。

  環境に Google Cloud SDK がインストールされ、認証されている場合は、gcloud auth print-access-token コマンド（-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \）を使用できます。

• SERVICE_ENDPOINT: 目的のサービス エンドポイント。例: https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID: Google Cloud 組織の一意の識別子（例: 12321311）

• WORKLOAD_LOCATION: ワークロードのロケーション。例: us-central1

• WORKLOAD_ID: ワークロードの一意の識別子（00-c25febb1-f3c1-4f19-8965-a25 など）。

プレースホルダ値を置換すると、リクエストは次の例のようになります。

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

成功すると、レスポンスは空になります。

リソースの使用量制限を無効にする

ワークロードのリソース使用量の制限を無効にするには、次のコマンドを実行します。 このコマンドは、Assured Workloads フォルダのすべてのサービスとリソースの制限を効果的に削除します。

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

次のプレースホルダ値を独自のものに置き換えます。

• TOKEN: リクエストの認証トークン（例: ya29.a0AfB_byDnQW7A2Vr5...tanw0427）。

  環境に Google Cloud SDK がインストールされ、認証されている場合は、gcloud auth print-access-token コマンド（-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \）を使用できます。

• SERVICE_ENDPOINT: 目的のサービス エンドポイント。例: https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID: Google Cloud 組織の一意の識別子（例: 12321311）

• WORKLOAD_LOCATION: ワークロードのロケーション。例: us-central1

• WORKLOAD_ID: ワークロードの一意の識別子（00-c25febb1-f3c1-4f19-8965-a25 など）。

プレースホルダ値を置換すると、リクエストは次の例のようになります。

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

成功すると、レスポンスは空になります。

サポート対象のプロダクトとサポートされていないプロダクト

このセクションの表には、さまざまなコントロール パッケージでサポートされているプロダクトとサポートされていないプロダクトが記載されています。デフォルトのリソース使用量制限を有効にすると、サポートされているプロダクトのみを使用できます。リソースの使用量上限を無効にすると、サポートされているプロダクトとサポートされていないプロダクトの両方を使用できます。

FedRAMP Moderate

エンドポイント	サポート対象プロダクト	サポートされていない製品
aiplatform.googleapis.com	Vertex AI	AI Platform トレーニング API と予測 API

FedRAMP High

エンドポイント	サポート対象プロダクト	サポートされていない製品
compute.googleapis.com	Compute Engine Persistent Disk	AI Platform トレーニング API と予測 API Cloud CDN Virtual Private Cloud Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Network Service Tiers

刑事司法情報サービス（CJIS）

エンドポイント	サポート対象プロダクト	サポートされていない製品
accesscontextmanager.googleapis.com	VPC Service Controls	Access Context Manager
compute.googleapis.com	Virtual Private Cloud Persistent Disk Compute Engine	Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Network Service Tiers
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

影響レベル 4（IL4）

エンドポイント	サポート対象プロダクト	サポートされていない製品
compute.googleapis.com	Compute Engine Persistent Disk	AI Platform トレーニング API と予測 API Cloud CDN Virtual Private Cloud Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Network Service Tiers
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

米国リージョンとサポート

エンドポイント	サポート対象プロダクト	サポートされていない製品
accesscontextmanager.googleapis.com	VPC Service Controls	Access Context Manager
compute.googleapis.com	Virtual Private Cloud Persistent Disk Compute Engine	Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Network Service Tiers
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

Service エンドポイント

このセクションでは、リソースの使用量上限を有効にした後にブロックされない API エンドポイントの一覧を示します。

次のステップ

• リソース使用量の制限をサポートしていないサービスのリストをご覧ください。
• 各コントロール パッケージでサポートされているプロダクトを確認する。