워크로드의 리소스 사용 제한
이 페이지에서는 Assured Workloads 폴더의 비준수 리소스에 대한 제한사항을 사용 설정 또는 사용 중지하는 방법을 설명합니다. 기본적으로 각 폴더의 제어 패키지에 따라 지원되는 제품이 달라지고 사용할 수 있는 리소스도 달라집니다. 이 기능은 폴더가 생성되면 폴더에 자동으로 적용되는 gcp.restrictServiceUsage 조직 정책 제약조건에 의해 적용됩니다.
시작하기 전에
필요한 IAM 역할
리소스 사용량 제한을 수정하려면 호출자에게 더 광범위한 권한 집합이 포함된 사전 정의된 역할이나 필요한 최소 권한으로 제한된 커스텀 역할을 사용하여 Identity and Access Management(IAM) 권한을 부여해야 합니다.
대상 워크로드에는 다음 권한이 필요합니다.
assuredworkloads.workload.updateorgpolicy.policy.set
이러한 권한은 다음 두 가지 역할에 포함되어 있습니다.
- Assured Workloads 관리자(
roles/assuredworkloads.admin) - Assured Workloads 편집자(
roles/assuredworkloads.editor)
Assured Workloads의 역할에 대한 자세한 내용은 IAM 역할을 참조하세요.
리소스 사용량 제한 사용 설정
워크로드의 리소스 사용량 제한을 사용 설정하려면 다음 명령어를 실행합니다. 이 명령어는 제어 패키지의 지원되는 서비스에 따라 Assured Workloads 폴더에 제한사항을 적용합니다.
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
다음 자리표시자 값을 직접 바꿉니다.
TOKEN: 요청의 인증 토큰입니다(예:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427).환경에 Google Cloud SDK가 설치되어 있고 인증되어 있는 경우
gcloud auth print-access-token명령어를 사용할 수 있습니다.-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: 원하는 서비스 엔드포인트입니다(예:
https://us-central1-assuredworkloads.googleapis.com).ORGANIZATION_ID: Google Cloud 조직의 고유 식별자입니다(예:
12321311).WORKLOAD_LOCATION: 워크로드의 위치입니다(예:
us-central1).WORKLOAD_ID: 워크로드의 고유 식별자입니다(예:
00-c25febb1-f3c1-4f19-8965-a25).
자리표시자 값을 바꾸고 나면 요청은 다음 예시와 비슷하게 표시됩니다.
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
성공한 경우 응답은 비어 있습니다.
리소스 사용량 제한 중지
워크로드의 리소스 사용량 제한을 중지하려면 다음 명령어를 실행합니다. 이 명령어는 Assured Workloads 폴더에서 모든 서비스 및 리소스 제한을 효과적으로 삭제합니다.
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
다음 자리표시자 값을 직접 바꿉니다.
TOKEN: 요청의 인증 토큰입니다(예:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427).환경에 Google Cloud SDK가 설치되어 있고 인증되어 있는 경우
gcloud auth print-access-token명령어를 사용할 수 있습니다.-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: 원하는 서비스 엔드포인트입니다(예:
https://us-central1-assuredworkloads.googleapis.com).ORGANIZATION_ID: Google Cloud 조직의 고유 식별자입니다(예:
12321311).WORKLOAD_LOCATION: 워크로드의 위치입니다(예:
us-central1).WORKLOAD_ID: 워크로드의 고유 식별자입니다(예:
00-c25febb1-f3c1-4f19-8965-a25).
자리표시자 값을 바꾸고 나면 요청은 다음 예시와 비슷하게 표시됩니다.
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
성공한 경우 응답은 비어 있습니다.
지원되는 제품 및 지원되지 않는 제품
이 섹션의 표에는 다양한 제어 패키지에 대해 지원되는 제품과 지원되지 않는 제품이 포함되어 있습니다. 기본 리소스 사용량 제한을 사용 설정하면 지원되는 제품만 사용할 수 있습니다. 리소스 사용량 제한을 사용 중지하면 지원되는 제품과 지원되지 않는 제품을 모두 사용할 수 있습니다.
FedRAMP 중간 수준
| 엔드포인트 | 지원 제품 | 지원되지 않는 제품 |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | AI Platform Training API 및 Prediction API |
FedRAMP High
| 엔드포인트 | 지원 제품 | 지원되지 않는 제품 | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
형사사법정보부(CJIS)
| 엔드포인트 | 지원 제품 | 지원되지 않는 제품 | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
영향 수준 4(IL4)
| 엔드포인트 | 지원 제품 | 지원되지 않는 제품 | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
미국 리전 및 지원
| 엔드포인트 | 지원 제품 | 지원되지 않는 제품 | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
서비스 엔드포인트
이 섹션에는 리소스 사용량 제한을 사용 설정한 후에도 차단되지 않은 API 엔드포인트가 나와 있습니다.
| API 이름 | 엔드포인트 URL |
|---|---|
| Cloud Asset API | cloudasset.googleapis.com |
| Cloud Logging API | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| Cloud Monitoring API | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| 보안 토큰 서비스 API | sts.googleapis.com |
| Identity and Access Management API | iam.googleapis.com |
| Cloud Resource Manager API | cloudresourcemanager.googleapis.com |
| Advisory Notifications API | advisorynotifications.googleapis.com |
| IAM Service Account Credentials API | iamcredentials.googleapis.com |
| Organization Policy Service API | orgpolicy.googleapis.com |
| Policy Troubleshooter API | policytroubleshooter.googleapis.com |
| Network Telemetry API | networktelemetry.googleapis.com |
| Service Usage API | serviceusage.googleapis.com |
| Service Networking API | servicenetworking.googleapis.com |
| Cloud Billing API | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| Identity Toolkit API | identitytoolkit.googleapis.com |
| Access Context Manager API | accesscontextmanager.googleapis.com |
| Service Consumer Management API | serviceconsumermanagement.googleapis.com |
다음 단계
- 리소스 사용량 제한을 지원하지 않는 서비스 목록 확인하기
- 각 제어 패키지에서 지원되는 제품 알아보기