Ressourcennutzung für Arbeitslasten einschränken

Auf dieser Seite wird erläutert, wie Sie Einschränkungen für nicht konforme Ressourcen in Assured Workloads-Ordnern aktivieren oder deaktivieren. Standardmäßig wird im Steuerpaket jedes Ordners festgelegt, welche Produkte unterstützt und damit welche Ressourcen verwendet werden können. Diese Funktion wird durch die gcp.restrictServiceUsage-Einschränkung der Organisationsrichtlinie erzwungen, die beim Erstellen des Ordners automatisch angewendet wird.

Hinweise

Erforderliche IAM-Rollen

Zum Ändern von Einschränkungen der Ressourcennutzung muss dem Aufrufer die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) entweder über eine vordefinierte Rolle mit einer größeren Anzahl von Berechtigungen oder über eine benutzerdefinierte Rolle mit den minimal erforderlichen Berechtigungen gewährt werden.

Für die Ziel-Arbeitslast sind die folgenden Berechtigungen erforderlich:

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

Diese Berechtigungen sind in den folgenden zwei Rollen enthalten:

  • Assured Workloads-Administrator (roles/assuredworkloads.admin)
  • Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)

Weitere Informationen zu Rollen für Assured Workloads finden Sie unter IAM-Rollen.

Einschränkungen für die Ressourcennutzung aktivieren

Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu aktivieren: Mit diesem Befehl werden Einschränkungen auf den Assured Workloads-Ordner gemäß den unterstützten Diensten des Steuerpakets angewendet:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

  • TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Wenn Sie das Google Cloud SDK in Ihrer Umgebung installiert haben und authentifiziert sind, können Sie den Befehl gcloud auth print-access-token verwenden: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B.: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud Organisation, z. B.: 12321311

  • WORKLOAD_LOCATION: Der Speicherort der Arbeitslast, z. B.: us-central1

  • WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B.: 00-c25febb1-f3c1-4f19-8965-a25

Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Bei Erfolg ist die Antwort leer.

Einschränkung zur Ressourcennutzung deaktivieren

Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu deaktivieren: Mit diesem Befehl werden alle Dienst- und Ressourceneinschränkungen für den Ordner „Assured Workloads“ entfernt:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

  • TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Wenn Sie das Google Cloud SDK in Ihrer Umgebung installiert haben und authentifiziert sind, können Sie den Befehl gcloud auth print-access-token verwenden: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B.: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud Organisation, z. B.: 12321311

  • WORKLOAD_LOCATION: Der Speicherort der Arbeitslast, z. B.: us-central1

  • WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B.: 00-c25febb1-f3c1-4f19-8965-a25

Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Bei Erfolg ist die Antwort leer.

Unterstützte und nicht unterstützte Produkte

Die Tabellen in diesem Abschnitt enthalten unterstützte und nicht unterstützte Produkte für verschiedene Steuerpakete. Wenn Sie die Standardeinschränkungen für die Ressourcennutzung aktivieren, können nur die unterstützten Produkte verwendet werden. Wenn Sie die Einschränkungen der Ressourcennutzung deaktivieren, können sowohl unterstützte als auch nicht unterstützte Produkte verwendet werden.

FedRAMP Moderate

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
aiplatform.googleapis.com Vertex AI AI Platform Training und Prediction API

FedRAMP High

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform Training und Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen

Criminal Justice Information Services (CJIS)

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Impact Level 4 (IL4)

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform Training und Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Regionen und Support in den USA

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Dienstendpunkte

In diesem Abschnitt werden die API-Endpunkte aufgeführt, die nicht blockiert werden, nachdem Sie die Einschränkung zur Ressourcennutzung aktiviert haben.

API-Name Endpunkt-URL
Cloud Asset API cloudasset.googleapis.com
Cloud Logging API logging.googleapis.com
Service Control servicecontrol.googleapis.com
Cloud Monitoring API monitoring.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
Security Token Service API sts.googleapis.com
Identity and Access Management API iam.googleapis.com
Cloud Resource Manager API cloudresourcemanager.googleapis.com
Advisory Notifications API advisorynotifications.googleapis.com
IAM Service Account Credentials API iamcredentials.googleapis.com
Organization Policy Service API orgpolicy.googleapis.com
Policy Troubleshooter API policytroubleshooter.googleapis.com
Netzwerktelemetrie-API networktelemetry.googleapis.com
Service Usage API serviceusage.googleapis.com
Service Networking API servicenetworking.googleapis.com
Cloud Billing API cloudbilling.googleapis.com
Service Management API servicemanagement.googleapis.com
Identity Toolkit API identitytoolkit.googleapis.com
Access Context Manager API accesscontextmanager.googleapis.com
Service Consumer Management API serviceconsumermanagement.googleapis.com

Nächste Schritte