Ressourcennutzung für Arbeitslasten einschränken

Auf dieser Seite wird erläutert, wie Sie Einschränkungen für nicht konforme Ressourcen in Assured Workloads-Ordnern. Standardmäßig werden die Kontrollpaket bestimmt, welche Produkte unterstützt werden, daher welche Ressourcen genutzt werden können. Diese Funktion wird durch das Einschränkung der Organisationsrichtlinie gcp.restrictServiceUsage die beim Erstellen automatisch auf den Ordner angewendet wird.

Hinweise

Erforderliche IAM-Rollen

Zum Ändern von Einschränkungen der Ressourcennutzung muss dem Aufrufer eine entsprechende Berechtigung erteilt werden IAM-Berechtigungen (Identity and Access Management) mithilfe einer vordefinierte Rolle, die breiteren Berechtigungen oder benutzerdefinierte Rolle, die beschränkt ist auf die mindestens erforderlichen Berechtigungen haben.

Für die Ziel-Arbeitslast sind die folgenden Berechtigungen erforderlich:

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

Diese Berechtigungen sind in den folgenden beiden Rollen enthalten:

  • Assured Workloads-Administrator (roles/assuredworkloads.admin)
  • Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)

Weitere Informationen finden Sie unter IAM-Rollen. Informationen zu Rollen für Assured Workloads.

Einschränkungen der Ressourcennutzung aktivieren

Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu aktivieren. Mit diesem Befehl werden Einschränkungen auf den Assured Workloads-Ordner in gemäß den unterstützten Diensten des Kontrollpakets:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

  • TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Wenn das Google Cloud SDK in Ihrer Umgebung installiert ist und Sie authentifiziert haben, können Sie den Befehl gcloud auth print-access-token verwenden: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: Das gewünschte Dienstendpunkt, Beispiel: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud-Organisation, z. B.: 12321311

  • WORKLOAD_LOCATION: Der Standort der Arbeitslast, zum Beispiel: us-central1

  • WORKLOAD_ID: Die eindeutige Kennzeichnung der Arbeitslast, zum Beispiel: 00-c25febb1-f3c1-4f19-8965-a25

Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen: folgendes Beispiel:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Wenn der Vorgang erfolgreich war, ist die Antwort leer.

Einschränkung zur Ressourcennutzung deaktivieren

Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu deaktivieren: Mit diesem Befehl werden alle Dienst- und Ressourceneinschränkungen für die Assured Workloads-Ordner:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

  • TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Wenn das Google Cloud SDK in Ihrer Umgebung installiert ist und Sie authentifiziert haben, können Sie den Befehl gcloud auth print-access-token verwenden: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: Das gewünschte Dienstendpunkt, Beispiel: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: Die eindeutige ID der Google Cloud Organisation, z. B.: 12321311

  • WORKLOAD_LOCATION: Der Standort der Arbeitslast, zum Beispiel: us-central1

  • WORKLOAD_ID: Die eindeutige Kennzeichnung der Arbeitslast, zum Beispiel: 00-c25febb1-f3c1-4f19-8965-a25

Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen: folgendes Beispiel:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Wenn der Vorgang erfolgreich war, ist die Antwort leer.

Unterstützte und nicht unterstützte Produkte

Die Tabellen in diesem Abschnitt enthalten unterstützte und nicht unterstützte Produkte für verschiedene Kontrollpakete. Wenn Sie die Standardressourcennutzung aktivieren können nur die unterstützten Produkte verwendet werden. Wenn Sie Folgendes deaktivieren: Ressourcennutzung eingeschränkt sind, können sowohl unterstützte als auch nicht unterstützte Produkte verwendet.

FedRAMP Moderate

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
aiplatform.googleapis.com Vertex AI AI Platform Training und Prediction API

FedRAMP High

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform Training und Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen

Criminal Justice Information Services (CJIS)

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Impact Level 4 (IL4)

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform Training und Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Regionen und Support in den USA

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Dienstendpunkte

In diesem Abschnitt werden die API-Endpunkte aufgeführt, die nach der Aktivierung nicht blockiert werden Beschränkung der Ressourcennutzung.

API-Name Endpunkt-URL
Cloud Asset API cloudasset.googleapis.com
Cloud Logging API logging.googleapis.com
Service Control servicecontrol.googleapis.com
Cloud Monitoring API monitoring.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
Security Token Service API sts.googleapis.com
Identity and Access Management API iam.googleapis.com
Cloud Resource Manager API cloudresourcemanager.googleapis.com
Advisory Notifications API advisorynotifications.googleapis.com
IAM Service Account Credentials API iamcredentials.googleapis.com
Organization Policy Service API orgpolicy.googleapis.com
Policy Troubleshooter API policytroubleshooter.googleapis.com
Netzwerktelemetrie-API networktelemetry.googleapis.com
Service Usage API serviceusage.googleapis.com
Service Networking API servicenetworking.googleapis.com
Cloud Billing API cloudbilling.googleapis.com
Service Management API servicemanagement.googleapis.com
Identity Toolkit API identitytoolkit.googleapis.com
Access Context Manager API accesscontextmanager.googleapis.com
Service Consumer Management API serviceconsumermanagement.googleapis.com

Nächste Schritte