Ressourcennutzung für Arbeitslasten einschränken
Auf dieser Seite wird erläutert, wie Sie Einschränkungen für nicht konforme Ressourcen in Assured Workloads-Ordnern aktivieren oder deaktivieren. Standardmäßig wird im Steuerpaket jedes Ordners festgelegt, welche Produkte unterstützt und damit welche Ressourcen verwendet werden können. Diese Funktion wird durch die gcp.restrictServiceUsage-Einschränkung der Organisationsrichtlinie erzwungen, die beim Erstellen des Ordners automatisch angewendet wird.
Hinweise
Erforderliche IAM-Rollen
Zum Ändern von Einschränkungen der Ressourcennutzung muss dem Aufrufer die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) entweder über eine vordefinierte Rolle mit einer größeren Anzahl von Berechtigungen oder über eine benutzerdefinierte Rolle mit den minimal erforderlichen Berechtigungen gewährt werden.
Für die Ziel-Arbeitslast sind die folgenden Berechtigungen erforderlich:
assuredworkloads.workload.updateorgpolicy.policy.set
Diese Berechtigungen sind in den folgenden zwei Rollen enthalten:
- Assured Workloads-Administrator
(
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter
(
roles/assuredworkloads.editor)
Weitere Informationen zu Rollen für Assured Workloads finden Sie unter IAM-Rollen.
Einschränkungen für die Ressourcennutzung aktivieren
Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu aktivieren: Mit diesem Befehl werden Einschränkungen auf den Assured Workloads-Ordner gemäß den unterstützten Diensten des Steuerpakets angewendet:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:
TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Wenn Sie das Google Cloud SDK in Ihrer Umgebung installiert haben und authentifiziert sind, können Sie den Befehl
gcloud auth print-access-tokenverwenden:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B.:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: Die eindeutige Kennung der Google Cloud Organisation, z. B.:
12321311WORKLOAD_LOCATION: Der Speicherort der Arbeitslast, z. B.:
us-central1WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B.:
00-c25febb1-f3c1-4f19-8965-a25
Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Bei Erfolg ist die Antwort leer.
Einschränkung zur Ressourcennutzung deaktivieren
Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu deaktivieren: Mit diesem Befehl werden alle Dienst- und Ressourceneinschränkungen für den Ordner „Assured Workloads“ entfernt:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:
TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Wenn Sie das Google Cloud SDK in Ihrer Umgebung installiert haben und authentifiziert sind, können Sie den Befehl
gcloud auth print-access-tokenverwenden:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B.:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: Die eindeutige Kennung der Google Cloud Organisation, z. B.:
12321311WORKLOAD_LOCATION: Der Speicherort der Arbeitslast, z. B.:
us-central1WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B.:
00-c25febb1-f3c1-4f19-8965-a25
Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Bei Erfolg ist die Antwort leer.
Unterstützte und nicht unterstützte Produkte
Die Tabellen in diesem Abschnitt enthalten unterstützte und nicht unterstützte Produkte für verschiedene Steuerpakete. Wenn Sie die Standardeinschränkungen für die Ressourcennutzung aktivieren, können nur die unterstützten Produkte verwendet werden. Wenn Sie die Einschränkungen der Ressourcennutzung deaktivieren, können sowohl unterstützte als auch nicht unterstützte Produkte verwendet werden.
FedRAMP Moderate
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | AI Platform Training und Prediction API |
FedRAMP High
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Criminal Justice Information Services (CJIS)
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Impact Level 4 (IL4)
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regionen und Support in den USA
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Dienstendpunkte
In diesem Abschnitt werden die API-Endpunkte aufgeführt, die nicht blockiert werden, nachdem Sie die Einschränkung zur Ressourcennutzung aktiviert haben.
| API-Name | Endpunkt-URL |
|---|---|
| Cloud Asset API | cloudasset.googleapis.com |
| Cloud Logging API | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| Cloud Monitoring API | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| Security Token Service API | sts.googleapis.com |
| Identity and Access Management API | iam.googleapis.com |
| Cloud Resource Manager API | cloudresourcemanager.googleapis.com |
| Advisory Notifications API | advisorynotifications.googleapis.com |
| IAM Service Account Credentials API | iamcredentials.googleapis.com |
| Organization Policy Service API | orgpolicy.googleapis.com |
| Policy Troubleshooter API | policytroubleshooter.googleapis.com |
| Netzwerktelemetrie-API | networktelemetry.googleapis.com |
| Service Usage API | serviceusage.googleapis.com |
| Service Networking API | servicenetworking.googleapis.com |
| Cloud Billing API | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| Identity Toolkit API | identitytoolkit.googleapis.com |
| Access Context Manager API | accesscontextmanager.googleapis.com |
| Service Consumer Management API | serviceconsumermanagement.googleapis.com |
Nächste Schritte
- Weitere Informationen finden Sie in der Liste der Dienste, die die Einschränkung der Ressourcennutzung nicht unterstützen.
- Hier erfahren Sie, welche Produkte für jedes Steuerelementpaket unterstützt werden.