Halaman ini diterjemahkan oleh Cloud Translation API.

Membatasi penggunaan resource untuk workload

Halaman ini menjelaskan cara mengaktifkan atau menonaktifkan batasan untuk resource yang tidak mematuhi kebijakan di folder Assured Workloads. Secara default, paket kontrol setiap folder menentukan produk yang didukung, sehingga menentukan resource yang dapat digunakan. Fungsi ini diterapkan oleh batasan kebijakan organisasi gcp.restrictServiceUsage yang otomatis diterapkan pada folder saat dibuat.

Sebelum memulai

Peran IAM yang diperlukan

Untuk mengubah batasan penggunaan resource, pemanggil harus diberi izin Identity and Access Management (IAM) menggunakan peran bawaan yang menyertakan kumpulan izin yang lebih luas, atau peran khusus yang dibatasi untuk izin minimum yang diperlukan.

Izin berikut diperlukan di workload target:

assuredworkloads.workload.update
orgpolicy.policy.set

Izin ini disertakan dalam dua peran berikut:

Administrator Assured Workloads (roles/assuredworkloads.admin)
Assured Workloads Editor (roles/assuredworkloads.editor)

Lihat Peran IAM untuk mengetahui informasi selengkapnya tentang peran untuk Assured Workloads.

Mengaktifkan batasan penggunaan resource

Untuk mengaktifkan pembatasan penggunaan resource untuk workload, jalankan perintah berikut. Perintah ini menerapkan batasan pada folder Assured Workloads sesuai dengan layanan yang didukung paket kontrol:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

TOKEN: Token autentikasi untuk permintaan, misalnya: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

Jika telah menginstal Google Cloud SDK di lingkungan dan terautentikasi, Anda dapat menggunakan perintah gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: Endpoint layanan yang diinginkan, misalnya: https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: ID unik organisasi Google Cloud, misalnya: 12321311
WORKLOAD_LOCATION: Lokasi beban kerja, misalnya: us-central1
WORKLOAD_ID: ID unik beban kerja, misalnya: 00-c25febb1-f3c1-4f19-8965-a25

Setelah Anda mengganti nilai placeholder, permintaan Anda akan terlihat mirip dengan contoh berikut:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Jika berhasil, respons akan kosong.

Menonaktifkan batasan penggunaan resource

Untuk menonaktifkan pembatasan penggunaan resource untuk workload, jalankan perintah berikut. Perintah ini secara efektif menghapus semua pembatasan layanan dan resource di folder Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

TOKEN: Token autentikasi untuk permintaan, misalnya: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

Jika telah menginstal Google Cloud SDK di lingkungan dan terautentikasi, Anda dapat menggunakan perintah gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: Endpoint layanan yang diinginkan, misalnya: https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: ID unik organisasi Google Cloud, misalnya: 12321311
WORKLOAD_LOCATION: Lokasi beban kerja, misalnya: us-central1
WORKLOAD_ID: ID unik beban kerja, misalnya: 00-c25febb1-f3c1-4f19-8965-a25

Setelah Anda mengganti nilai placeholder, permintaan Anda akan terlihat mirip dengan contoh berikut:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Jika berhasil, respons akan kosong.

Produk yang didukung dan tidak didukung

Tabel di bagian ini mencakup produk yang didukung dan tidak didukung untuk berbagai paket kontrol. Jika Anda mengaktifkan batasan penggunaan resource default, hanya produk yang didukung yang dapat digunakan. Jika Anda menonaktifkan batasan penggunaan resource, produk yang didukung dan tidak didukung dapat digunakan.

FedRAMP Menengah

Endpoint	Produk yang didukung	Produk yang tidak didukung
`aiplatform.googleapis.com`	Vertex AI	AI Platform Training and Prediction API

FedRAMP Tinggi

Endpoint Produk yang didukung Produk yang tidak didukung

compute.googleapis.com


Compute Engine
Persistent Disk


AI Platform Training and Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

Criminal Justice Information Services (CJIS)

Endpoint Produk yang didukung Produk yang tidak didukung

accesscontextmanager.googleapis.com


Kontrol Layanan VPC


Access Context Manager

compute.googleapis.com


Virtual Private Cloud
Persistent Disk
Compute Engine


Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

Impact Level 4 (IL4)

Endpoint Produk yang didukung Produk yang tidak didukung

compute.googleapis.com


Compute Engine
Persistent Disk


AI Platform Training and Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

Dukungan dan Region Amerika Serikat

Endpoint Produk yang didukung Produk yang tidak didukung

accesscontextmanager.googleapis.com


Kontrol Layanan VPC


Access Context Manager

compute.googleapis.com


Virtual Private Cloud
Persistent Disk
Compute Engine


Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

Endpoint Service

Bagian ini mencantumkan endpoint API yang tidak diblokir setelah Anda mengaktifkan pembatasan penggunaan resource.

Nama API	URL Endpoint
Cloud Asset API	`cloudasset.googleapis.com`
Cloud Logging API	`logging.googleapis.com`
Service Control	`servicecontrol.googleapis.com`
Cloud Monitoring API	`monitoring.googleapis.com`
Google Cloud Observability	`stackdriver.googleapis.com`
Security Token Service API	`sts.googleapis.com`
Identity and Access Management API	`iam.googleapis.com`
Cloud Resource Manager API	`cloudresourcemanager.googleapis.com`
Advisory Notifications API	`advisorynotifications.googleapis.com`
IAM Service Account Credentials API	`iamcredentials.googleapis.com`
Organization Policy Service API	`orgpolicy.googleapis.com`
Policy Troubleshooter API	`policytroubleshooter.googleapis.com`
Network Telemetry API	`networktelemetry.googleapis.com`
Service Usage API	`serviceusage.googleapis.com`
Service Networking API	`servicenetworking.googleapis.com`
Cloud Billing API	`cloudbilling.googleapis.com`
Service Management API	`servicemanagement.googleapis.com`
Identity Toolkit API	`identitytoolkit.googleapis.com`
Access Context Manager API	`accesscontextmanager.googleapis.com`
Service Consumer Management API	`serviceconsumermanagement.googleapis.com`

Langkah selanjutnya

Lihat daftar layanan yang tidak mendukung pembatasan penggunaan resource.
Pelajari produk yang didukung untuk setiap paket kontrol.