Ressourcennutzung für Arbeitslasten einschränken
Auf dieser Seite wird erläutert, wie Sie Einschränkungen für nicht konforme Ressourcen in Assured Workloads-Ordnern aktivieren oder deaktivieren. Standardmäßig bestimmt das Kontrollpaket jedes Ordners, welche Produkte unterstützt werden, und damit bestimmt, welche Ressourcen verwendet werden können. Diese Funktion wird durch die Einschränkung der Organisationsrichtlinie gcp.restrictServiceUsage
erzwungen, die beim Erstellen des Ordners automatisch auf den Ordner angewendet wird.
Hinweise
Erforderliche IAM-Rollen
Zum Ändern von Einschränkungen der Ressourcennutzung müssen dem Aufrufer IAM-Berechtigungen (Identity and Access Management) gewährt werden. Dazu muss er entweder eine vordefinierte Rolle mit einem umfassenderen Satz von Berechtigungen oder eine benutzerdefinierte Rolle verwenden, die auf die unbedingt erforderlichen Berechtigungen beschränkt ist.
Die folgenden Berechtigungen sind für die Zielarbeitslast erforderlich:
assuredworkloads.workload.update
orgpolicy.policy.set
Diese Berechtigungen sind in den folgenden beiden Rollen enthalten:
- Assured Workloads-Administrator
(
roles/assuredworkloads.admin
) - Assured Workloads-Bearbeiter
(
roles/assuredworkloads.editor
)
Weitere Informationen zu Rollen für Assured Workloads finden Sie unter IAM-Rollen.
Nutzungsbeschränkungen für Ressourcen aktivieren
Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu aktivieren. Mit diesem Befehl werden Einschränkungen auf den Assured Workloads-Ordner in Übereinstimmung mit den unterstützten Diensten des Steuerpakets angewendet:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen Werte:
TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
.Wenn das Google Cloud SDK in Ihrer Umgebung installiert ist und authentifiziert sind, können Sie den Befehl
gcloud auth print-access-token
verwenden:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B.
https://us-central1-assuredworkloads.googleapis.com
.ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud-Organisation, z. B.
12321311
.WORKLOAD_LOCATION: Der Standort der Arbeitslast, z. B.
us-central1
.WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B.
00-c25febb1-f3c1-4f19-8965-a25
.
Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Wenn der Vorgang erfolgreich war, ist die Antwort leer.
Einschränkung zur Ressourcennutzung deaktivieren
Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu deaktivieren. Mit diesem Befehl werden alle Dienst- und Ressourceneinschränkungen für den Ordner Assured Workloads entfernt:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen Werte:
TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
.Wenn das Google Cloud SDK in Ihrer Umgebung installiert ist und authentifiziert sind, können Sie den Befehl
gcloud auth print-access-token
verwenden:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B.
https://us-central1-assuredworkloads.googleapis.com
.ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud-Organisation, z. B.
12321311
.WORKLOAD_LOCATION: Der Standort der Arbeitslast, z. B.
us-central1
.WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B.
00-c25febb1-f3c1-4f19-8965-a25
.
Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Wenn der Vorgang erfolgreich war, ist die Antwort leer.
Unterstützte und nicht unterstützte Produkte
Die Tabellen in diesem Abschnitt enthalten unterstützte und nicht unterstützte Produkte für verschiedene Steuerpakete. Wenn Sie die Standardeinschränkungen für die Ressourcennutzung aktivieren, können nur die unterstützten Produkte verwendet werden. Wenn Sie Nutzungsbeschränkungen für Ressourcen deaktivieren, können sowohl unterstützte als auch nicht unterstützte Produkte verwendet werden.
FedRAMP Moderate
Endpunkt | Produkte, für die Supportleistungen genutzt werden können | Nicht unterstützte Produkte |
---|---|---|
aiplatform.googleapis.com |
Vertex AI | AI Platform Training und Prediction API |
FedRAMP High
Endpunkt | Produkte, für die Supportleistungen genutzt werden können | Nicht unterstützte Produkte | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Criminal Justice Information Services (CJIS)
Endpunkt | Produkte, für die Supportleistungen genutzt werden können | Nicht unterstützte Produkte | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Impact Level 4 (IL4)
Endpunkt | Produkte, für die Supportleistungen genutzt werden können | Nicht unterstützte Produkte | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regionen und Support in den USA
Endpunkt | Produkte, für die Supportleistungen genutzt werden können | Nicht unterstützte Produkte | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Dienstendpunkte
In diesem Abschnitt werden die API-Endpunkte aufgeführt, die nach dem Aktivieren der Einschränkung der Ressourcennutzung nicht blockiert werden.
API-Name | Endpunkt-URL |
---|---|
Cloud Asset API | cloudasset.googleapis.com |
Cloud Logging API | logging.googleapis.com |
Service Control | servicecontrol.googleapis.com |
Cloud Monitoring API | monitoring.googleapis.com |
Google Cloud Observability | stackdriver.googleapis.com |
Security Token Service API | sts.googleapis.com |
Identity and Access Management API | iam.googleapis.com |
Cloud Resource Manager API | cloudresourcemanager.googleapis.com |
Advisory Notifications API | advisorynotifications.googleapis.com |
IAM Service Account Credentials API | iamcredentials.googleapis.com |
Organization Policy Service API | orgpolicy.googleapis.com |
Policy Troubleshooter API | policytroubleshooter.googleapis.com |
Netzwerktelemetrie-API | networktelemetry.googleapis.com |
Service Usage API | serviceusage.googleapis.com |
Service Networking API | servicenetworking.googleapis.com |
Cloud Billing API | cloudbilling.googleapis.com |
Service Management API | servicemanagement.googleapis.com |
Identity Toolkit API | identitytoolkit.googleapis.com |
Access Context Manager API | accesscontextmanager.googleapis.com |
Service Consumer Management API | serviceconsumermanagement.googleapis.com |
Nächste Schritte
- Weitere Informationen finden Sie in der Liste der Dienste, die die Einschränkung der Ressourcennutzung nicht unterstützen.
- Informationen zu den unterstützten Produkten