Restringir o uso de recursos para cargas de trabalho
Esta página explica como ativar ou desativar restrições para recursos não compatíveis
nas pastas do Assured Workloads. Por padrão, o pacote de controle de cada pasta
determina quais
produtos são compatíveis, determinando quais recursos podem ser usados. Essa funcionalidade é aplicada pela
restrição da política da organização gcp.restrictServiceUsage,
que é aplicada automaticamente à pasta quando ela é criada.
Antes de começar
Papéis do IAM obrigatórios
Para modificar as restrições de uso de recursos, o autor da chamada precisa receber permissões do Identity and Access Management (IAM) usando um papel predefinido que inclua um conjunto mais amplo de permissões ou um papel personalizado restrito ao mínimo de permissões necessárias.
As permissões a seguir são necessárias na carga de trabalho de destino:
assuredworkloads.workload.updateorgpolicy.policy.set
Essas permissões estão incluídas nos dois papéis a seguir:
- Administrador do Assured Workloads
(
roles/assuredworkloads.admin) - Editor do Assured Workloads
(
roles/assuredworkloads.editor)
Consulte Papéis do IAM para mais informações sobre papéis do Assured Workloads.
Ativar restrições de uso de recursos
Para ativar a restrição de uso de recursos em uma carga de trabalho, execute o comando a seguir. Esse comando aplica restrições à pasta Assured Workloads de acordo com os serviços compatíveis do pacote de controle:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os valores dos marcadores de posição a seguir pelos seus próprios:
TOKEN: o token de autenticação da solicitação, por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se você tiver o SDK do Google Cloud instalado no seu ambiente e estiver autenticado, use o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: o endpoint de serviço desejado, por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo da organização Google Cloud, por exemplo,
12321311WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25
Depois de substituir os valores de marcador de posição, sua solicitação vai ficar parecida com o exemplo abaixo:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se bem-sucedido, a resposta vai estar vazia.
Desativar restrição de uso de recursos
Para desativar a restrição de uso de recursos em uma carga de trabalho, execute o comando a seguir. Esse comando remove todas as restrições de serviço e recurso na pasta Assured Workloads:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os valores dos marcadores de posição a seguir pelos seus próprios:
TOKEN: o token de autenticação da solicitação, por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se você tiver o SDK do Google Cloud instalado no seu ambiente e estiver autenticado, use o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: o endpoint de serviço desejado, por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo da organização Google Cloud, por exemplo,
12321311WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25
Depois de substituir os valores de marcador de posição, sua solicitação vai ficar parecida com o exemplo abaixo:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se bem-sucedido, a resposta vai estar vazia.
Produtos compatíveis e incompatíveis
As tabelas nesta seção incluem produtos compatíveis e não compatíveis com vários pacotes de controle. Se você ativar as restrições de uso de recursos padrão, somente os produtos com suporte poderão ser usados. Se você desativar as restrições de uso de recursos, os produtos com e sem suporte poderão ser usados.
FedRAMP de nível médio
| Endpoint | Produtos compatíveis | Produtos sem suporte |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | Treinamento do AI Platform e API Prediction |
FedRAMP de nível alto
| Endpoint | Produtos compatíveis | Produtos sem suporte | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA
| Endpoint | Produtos compatíveis | Produtos sem suporte | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Nível de impacto 4 (IL4)
| Endpoint | Produtos compatíveis | Produtos sem suporte | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regiões e suporte dos EUA
| Endpoint | Produtos compatíveis | Produtos sem suporte | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Endpoints de Serviço
Esta seção lista os endpoints da API que não são bloqueados depois que você ativa a restrição de uso de recursos.
| Nome da API | URL do endpoint |
|---|---|
| API Cloud Asset | cloudasset.googleapis.com |
| API Cloud Logging | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| API Cloud Monitoring | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| API Security Token Service | sts.googleapis.com |
| API Identity and Access Management | iam.googleapis.com |
| API Cloud Resource Manager | cloudresourcemanager.googleapis.com |
| API Advisory Notifications | advisorynotifications.googleapis.com |
| API IAM Service Account Credentials | iamcredentials.googleapis.com |
| API Organization Policy Service | orgpolicy.googleapis.com |
| API Policy Troubleshooter | policytroubleshooter.googleapis.com |
| API Network Telemetry | networktelemetry.googleapis.com |
| API Service Usage | serviceusage.googleapis.com |
| API Service Networking | servicenetworking.googleapis.com |
| Cloud Billing API | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| API Identity Toolkit | identitytoolkit.googleapis.com |
| API Access Context Manager | accesscontextmanager.googleapis.com |
| API Service Consumer Management | serviceconsumermanagement.googleapis.com |
A seguir
- Veja a lista de serviços que não são compatíveis com a restrição de uso de recursos.
- Saiba quais produtos são compatíveis com cada pacote de controle.