Limiter l'utilisation des ressources pour les charges de travail

Cette page explique comment activer ou désactiver les restrictions pour les ressources non conformes dans les dossiers Assured Workloads. Par défaut, le package de contrôle de chaque dossier détermine les produits compatibles et détermine ainsi les ressources pouvant être utilisées. Cette fonctionnalité est appliquée par la contrainte de règle d'administration gcp.restrictServiceUsage qui est automatiquement appliquée au dossier lors de sa création.

Avant de commencer

Rôles IAM requis

Pour modifier les restrictions d'utilisation des ressources, l'appelant doit disposer des autorisations IAM (Identity and Access Management) à l'aide d'un rôle prédéfini incluant un plus large ensemble d'autorisations, ou d'un rôle personnalisé limité aux autorisations minimales nécessaires.

Les autorisations suivantes sont requises sur la charge de travail cible:

• assuredworkloads.workload.update
• orgpolicy.policy.set

Ces autorisations sont incluses dans les deux rôles suivants:

• Administrateur Assured Workloads (roles/assuredworkloads.admin)
• Éditeur Assured Workloads (roles/assuredworkloads.editor)

Pour en savoir plus sur les rôles Assured Workloads, consultez la page Rôles IAM.

Activer les restrictions d'utilisation des ressources

Pour activer la restriction d'utilisation des ressources pour une charge de travail, exécutez la commande suivante. Cette commande applique des restrictions au dossier Assured Workloads conformément aux services compatibles du package de contrôle:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Remplacez les valeurs d'espace réservé suivantes par les vôtres:

• TOKEN: jeton d'authentification de la requête, par exemple : ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si Google Cloud SDK est installé dans votre environnement et que vous êtes authentifié, vous pouvez utiliser la commande gcloud auth print-access-token : -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: point de terminaison de service souhaité, par exemple : https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID : identifiant unique de l'organisation Google Cloud, par exemple 12321311

• WORKLOAD_LOCATION: emplacement de la charge de travail, par exemple : us-central1

• WORKLOAD_ID: identifiant unique de la charge de travail, par exemple : 00-c25febb1-f3c1-4f19-8965-a25

Une fois que vous avez remplacé les valeurs d'espace réservé, votre requête doit se présenter comme suit:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si la requête aboutit, la réponse est vide.

Désactiver la restriction d'utilisation des ressources

Pour désactiver la restriction d'utilisation des ressources pour une charge de travail, exécutez la commande suivante. Cette commande supprime de fait toutes les restrictions de services et de ressources sur le dossier Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Remplacez les valeurs d'espace réservé suivantes par les vôtres:

• TOKEN: jeton d'authentification de la requête, par exemple : ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si Google Cloud SDK est installé dans votre environnement et que vous êtes authentifié, vous pouvez utiliser la commande gcloud auth print-access-token : -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: point de terminaison de service souhaité, par exemple : https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID : identifiant unique de l'organisation Google Cloud, par exemple 12321311

• WORKLOAD_LOCATION: emplacement de la charge de travail, par exemple : us-central1

• WORKLOAD_ID: identifiant unique de la charge de travail, par exemple : 00-c25febb1-f3c1-4f19-8965-a25

Une fois que vous avez remplacé les valeurs d'espace réservé, votre requête doit se présenter comme suit:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si la requête aboutit, la réponse est vide.

Produits compatibles et non compatibles

Les tableaux de cette section incluent les produits compatibles et non compatibles avec différents packages de contrôle. Si vous activez les restrictions d'utilisation des ressources par défaut, seuls les produits compatibles peuvent être utilisés. Si vous désactivez les restrictions d'utilisation des ressources, vous pouvez utiliser des produits compatibles et non compatibles.

Niveau d'impact modéré du FedRAMP

Point de terminaison	Produits gérés par l'assistance	Produits non acceptés
aiplatform.googleapis.com	Vertex AI	API AI Platform Training and Prediction

Niveau d'impact élevé du FedRAMP

Point de terminaison	Produits gérés par l'assistance	Produits non acceptés
compute.googleapis.com	Compute Engine Persistent Disk	API AI Platform Training and Prediction Cloud CDN Cloud privé virtuel Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Niveaux de service réseau

Criminal Justice Information Services (CJIS)

Point de terminaison	Produits gérés par l'assistance	Produits non acceptés
accesscontextmanager.googleapis.com	d'utiliser VPC Service Controls	Access Context Manager
compute.googleapis.com	Cloud privé virtuel Persistent Disk Compute Engine	Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Niveaux de service réseau
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

Niveau d'impact 4 (IL4)

Point de terminaison	Produits gérés par l'assistance	Produits non acceptés
compute.googleapis.com	Compute Engine Persistent Disk	API AI Platform Training and Prediction Cloud CDN Cloud privé virtuel Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Niveaux de service réseau
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

Régions et assistance aux États-Unis

Point de terminaison	Produits gérés par l'assistance	Produits non acceptés
accesscontextmanager.googleapis.com	d'utiliser VPC Service Controls	Access Context Manager
compute.googleapis.com	Cloud privé virtuel Persistent Disk Compute Engine	Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Niveaux de service réseau
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

Points de terminaison d'un service

Cette section liste les points de terminaison de l'API qui ne sont pas bloqués après l'activation de la restriction d'utilisation des ressources.

Étapes suivantes

• Consultez la liste des services non compatibles avec la restriction d'utilisation des ressources.
• Découvrez les produits compatibles avec chaque package de contrôle.