Limita l'utilizzo delle risorse per i carichi di lavoro
Questa pagina spiega come abilitare o disabilitare le limitazioni per le risorse non conformi nelle cartelle di Assured Workloads. Per impostazione predefinita, il pacchetto di controllo di ogni cartella determina i prodotti supportati, determinando così le risorse che possono essere utilizzate. Questa funzionalità viene applicata dal vincolo del criterio dell'organizzazione gcp.restrictServiceUsage applicato automaticamente alla cartella al momento della creazione.
Prima di iniziare
Ruoli IAM richiesti
Per modificare i limiti di utilizzo delle risorse, al chiamante deve essere concessa l'autorizzazione IAM (Identity and Access Management) utilizzando un ruolo predefinito che include un insieme più ampio di autorizzazioni o un ruolo personalizzato limitato alle autorizzazioni minime necessarie.
Sono necessarie le seguenti autorizzazioni sul carico di lavoro di destinazione:
assuredworkloads.workload.updateorgpolicy.policy.set
Queste autorizzazioni sono incluse nei due ruoli seguenti:
- Amministratore di Assured Workloads (
roles/assuredworkloads.admin) - Editor di Assured Workloads (
roles/assuredworkloads.editor)
Per ulteriori informazioni sui ruoli per Assured Workloads, consulta Ruoli IAM.
Abilita limitazioni di utilizzo delle risorse
Per abilitare la limitazione di utilizzo delle risorse per un carico di lavoro, esegui questo comando. Questo comando applica limitazioni alla cartella Assured Workloads in base ai servizi supportati del pacchetto di controllo:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Sostituisci i seguenti valori segnaposto con i tuoi:
TOKEN: il token di autenticazione per la richiesta, ad esempio:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se Google Cloud SDK è installato nel tuo ambiente e hai eseguito l'autenticazione, puoi utilizzare il comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: l'endpoint di servizio desiderato, ad esempio:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: l'identificatore univoco dell'organizzazione Google Cloud, ad esempio:
12321311WORKLOAD_LOCATION: la località del carico di lavoro, ad esempio:
us-central1WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio:
00-c25febb1-f3c1-4f19-8965-a25
Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe essere simile al seguente esempio:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se l'operazione va a buon fine, la risposta sarà vuota.
Disabilita limitazione di utilizzo delle risorse
Per disabilitare la limitazione di utilizzo delle risorse per un carico di lavoro, esegui questo comando. Questo comando rimuove in modo efficace tutte le restrizioni relative a servizi e risorse sulla cartella Assured Workloads:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Sostituisci i seguenti valori segnaposto con i tuoi:
TOKEN: il token di autenticazione per la richiesta, ad esempio:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se Google Cloud SDK è installato nel tuo ambiente e hai eseguito l'autenticazione, puoi utilizzare il comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: l'endpoint di servizio desiderato, ad esempio:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: l'identificatore univoco dell'organizzazione Google Cloud, ad esempio:
12321311WORKLOAD_LOCATION: la località del carico di lavoro, ad esempio:
us-central1WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio:
00-c25febb1-f3c1-4f19-8965-a25
Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe essere simile al seguente esempio:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se l'operazione va a buon fine, la risposta sarà vuota.
Prodotti supportati e non supportati
Le tabelle in questa sezione includono prodotti supportati e non supportati per vari pacchetti di controllo. Se abiliti le restrizioni predefinite di utilizzo delle risorse, possono essere utilizzati solo i prodotti supportati. Se disabiliti i limiti di utilizzo delle risorse, è possibile utilizzare sia i prodotti supportati che quelli non supportati.
FedRAMP Moderate
| Endpoint | Prodotti supportati | Prodotti non supportati |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | API AI Platform Training and Prediction |
FedRAMP High
| Endpoint | Prodotti supportati | Prodotti non supportati | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Criminal Justice Information Services (CJIS)
| Endpoint | Prodotti supportati | Prodotti non supportati | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Livello di impatto 4 (IL4)
| Endpoint | Prodotti supportati | Prodotti non supportati | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regioni e assistenza negli Stati Uniti
| Endpoint | Prodotti supportati | Prodotti non supportati | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Endpoint di servizio
Questa sezione elenca gli endpoint API che non sono bloccati dopo l'abilitazione della limitazione di utilizzo delle risorse.
| Nome API | URL endpoint |
|---|---|
| API Cloud Asset | cloudasset.googleapis.com |
| API Cloud Logging | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| API Cloud Monitoring | monitoring.googleapis.com |
| Osservabilità di Google Cloud | stackdriver.googleapis.com |
| API Security Token Service | sts.googleapis.com |
| API Identity and Access Management | iam.googleapis.com |
| API Cloud Resource Manager | cloudresourcemanager.googleapis.com |
| API Advisory Notifications | advisorynotifications.googleapis.com |
| API IAM Service Account Credentials | iamcredentials.googleapis.com |
| API Organization Policy Service | orgpolicy.googleapis.com |
| API Policy Troubleshooting | policytroubleshooter.googleapis.com |
| API Network Telemetry | networktelemetry.googleapis.com |
| API Service Usage | serviceusage.googleapis.com |
| API Service Networking | servicenetworking.googleapis.com |
| API Cloud Billing | cloudbilling.googleapis.com |
| API Service Management | servicemanagement.googleapis.com |
| API Identity Toolkit | identitytoolkit.googleapis.com |
| API Access Context Manager | accesscontextmanager.googleapis.com |
| API Service Consumer Management | serviceconsumermanagement.googleapis.com |
Passaggi successivi
- Consulta l'elenco dei servizi che non supportano le restrizioni di utilizzo delle risorse.
- Scopri quali prodotti sono supportati per ogni pacchetto di controllo.