Restringe el uso de recursos para las cargas de trabajo
En esta página, se explica cómo habilitar o inhabilitar las restricciones para los recursos que no cumplen con las políticas en las carpetas de Assured Workloads. De forma predeterminada, el nombre de cada carpeta
de control determina qué
productos admitidos, por lo que
determinar qué recursos se pueden usar. Esta funcionalidad se aplica de manera forzosa por la
Restricción de la política de la organización de gcp.restrictServiceUsage
que se aplica automáticamente en la carpeta cuando se crea.
Antes de comenzar
Roles de IAM obligatorios
Para modificar las restricciones de uso de recursos, se debe otorgar al emisor permisos de Identity and Access Management (IAM) con un función predefinida que incluya un conjunto más amplio de permisos o una rol personalizado restringido los permisos mínimos necesarios.
Se requieren los siguientes permisos en el destino carga de trabajo:
assuredworkloads.workload.update
orgpolicy.policy.set
Estos permisos están incluidos en las siguientes dos funciones:
- Administrador de Assured Workloads
(
roles/assuredworkloads.admin
) - Editor de Assured Workloads
(
roles/assuredworkloads.editor
)
Consulta Roles de IAM para obtener más información sobre los roles de Assured Workloads.
Habilita las restricciones de uso de recursos
Para habilitar la restricción del uso de recursos para una carga de trabajo, ejecuta el siguiente comando. Este comando aplica restricciones en la carpeta de Assured Workloads en según los servicios compatibles del paquete de control:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Reemplaza los siguientes valores de marcador de posición por los tuyos:
TOKEN: El token de autenticación para la solicitud, por ejemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
Si tienes instalado el SDK de Google Cloud en tu entorno y estás autenticado, puedes usar el comando
gcloud auth print-access-token
:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: Es el extremo de servicio deseado, por ejemplo:
https://us-central1-assuredworkloads.googleapis.com
.ORGANIZATION_ID: Es el identificador único de la instancia de Google Cloud. organización, por ejemplo:
12321311
WORKLOAD_LOCATION: Es la ubicación de la carga de trabajo, por ejemplo:
us-central1
.WORKLOAD_ID: Es el identificador único de la carga de trabajo, por ejemplo:
00-c25febb1-f3c1-4f19-8965-a25
Después de reemplazar los valores de marcador de posición, tu solicitud debería ser similar al siguiente ejemplo:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Si se realiza correctamente, la respuesta estará vacía.
Inhabilita la restricción del uso de recursos
Para inhabilitar la restricción del uso de recursos en una carga de trabajo, ejecuta el siguiente comando. Este comando quita de forma eficaz todas las restricciones de servicios y recursos de la carpeta de cargas de trabajo seguras:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Reemplaza los siguientes valores de marcador de posición por los tuyos:
TOKEN: El token de autenticación para la solicitud, por ejemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
Si tienes instalado el SDK de Google Cloud en tu entorno y estás autenticados, puedes usar el comando
gcloud auth print-access-token
:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: El valor deseado extremo de servicio, por ejemplo:
https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: El identificador único de la organización de Google Cloud, por ejemplo:
12321311
WORKLOAD_LOCATION: Es la ubicación de la carga de trabajo, por ejemplo:
us-central1
.WORKLOAD_ID: Es el identificador único de la carga de trabajo, por ejemplo:
00-c25febb1-f3c1-4f19-8965-a25
Después de reemplazar los valores de marcador de posición, tu solicitud debería ser similar al siguiente ejemplo:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Si se ejecuta de forma correcta, la respuesta estará vacía.
Productos compatibles y no compatibles
En las tablas de esta sección, se incluyen los productos compatibles y no compatibles con varios paquetes de control. Si habilitas el uso predeterminado de recursos restricciones, solo se podrán usar los productos admitidos. Si inhabilitas de uso de recursos, tanto los productos compatibles como los no admitidos que se usan.
FedRAMP Moderate
Extremo | Productos compatibles | Productos no admitidos |
---|---|---|
aiplatform.googleapis.com |
Vertex AI | API de entrenamiento y predicción de AI Platform |
FedRAMP High
Extremo | Productos compatibles | Productos no admitidos | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Servicios de Información de la Justicia Penal (CJIS)
Extremo | Productos compatibles | Productos no admitidos | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Nivel de impacto 4 (IL4)
Extremo | Productos compatibles | Productos no admitidos | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regiones de EE.UU. y compatibilidad
Extremo | Productos compatibles | Productos no admitidos | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Extremos del servicio
En esta sección, se enumeran los extremos de la API que no están bloqueados después de habilitar la restricción de uso de recursos.
Nombre de la API | URL del extremo |
---|---|
API de Cloud Asset | cloudasset.googleapis.com |
API de Cloud Logging | logging.googleapis.com |
Control de servicios | servicecontrol.googleapis.com |
API de Cloud Monitoring | monitoring.googleapis.com |
Google Cloud Observability | stackdriver.googleapis.com |
API del servicio de token de seguridad | sts.googleapis.com |
API de Identity and Access Management | iam.googleapis.com |
API de Cloud Resource Manager | cloudresourcemanager.googleapis.com |
API de Notificaciones de aviso | advisorynotifications.googleapis.com |
API de IAM Service Account Credentials | iamcredentials.googleapis.com |
API del Servicio de políticas de la organización | orgpolicy.googleapis.com |
API de Policy Troubleshooter | policytroubleshooter.googleapis.com |
API de Telemetría de red | networktelemetry.googleapis.com |
API de Service Usage | serviceusage.googleapis.com |
API de Service Networking | servicenetworking.googleapis.com |
API de Cloud Billing | cloudbilling.googleapis.com |
API de Administración de servicios | servicemanagement.googleapis.com |
API de Identity Toolkit | identitytoolkit.googleapis.com |
API de Access Context Manager | accesscontextmanager.googleapis.com |
API de Administración de consumidores de servicios | serviceconsumermanagement.googleapis.com |
¿Qué sigue?
- Consulta la lista de servicios que no admiten la restricción del uso de recursos.
- Obtén información sobre los productos compatibles para cada paquete de control.