Limitare l'utilizzo delle risorse per i carichi di lavoro

Questa pagina spiega come attivare o disattivare le limitazioni per le risorse non conformi nelle cartelle Assured Workloads. Per impostazione predefinita, di controllo determina quali prodotti sono supportati, pertanto determinare quali risorse possono essere utilizzate. Questa funzionalità viene applicata Vincolo dei criteri dell'organizzazione gcp.restrictServiceUsage che viene automaticamente applicato alla cartella al momento della creazione.

Prima di iniziare

Ruoli IAM richiesti

Per modificare le limitazioni di utilizzo delle risorse, all'utente che effettua la chiamata devono essere concesse le autorizzazioni Identity and Access Management (IAM) utilizzando un ruolo predefinito che include un insieme più ampio di autorizzazioni o un ruolo personalizzato limitato alle autorizzazioni minime necessarie.

Sul lavoro di destinazione sono richieste le seguenti autorizzazioni:

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

Queste autorizzazioni sono incluse nei seguenti due ruoli:

  • Amministratore Assured Workloads (roles/assuredworkloads.admin)
  • Editor Assured Workloads (roles/assuredworkloads.editor)

Per saperne di più, consulta i ruoli IAM. informazioni sui ruoli per Assured Workloads.

Attivare le restrizioni per l'utilizzo delle risorse

Per abilitare la limitazione dell'utilizzo delle risorse per un carico di lavoro, esegui questo comando. Questo comando applica limitazioni alla cartella Assured Workloads in base ai servizi supportati dal pacchetto di controllo:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Sostituisci i seguenti valori segnaposto con i tuoi:

  • TOKEN: il token di autenticazione per la richiesta, ad esempio: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Se hai installato Google Cloud SDK nel tuo ambiente e con l'autenticazione, puoi utilizzare il comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: l'endpoint del servizio desiderato, ad esempio: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: l'identificatore univoco dell'organizzazione Google Cloud, ad esempio: 12321311

  • WORKLOAD_LOCATION: la posizione del carico di lavoro, ad esempio: us-central1

  • WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio: 00-c25febb1-f3c1-4f19-8965-a25

Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe essere simile alla nell'esempio seguente:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

In caso di esito positivo, la risposta sarà vuota.

Disabilita limitazione di utilizzo delle risorse

Per disattivare la limitazione dell'utilizzo delle risorse per un carico di lavoro, esegui il seguente comando. Questo comando rimuove in modo efficace tutte le restrizioni di servizi e risorse nella Cartella Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Sostituisci i seguenti valori segnaposto con i tuoi:

  • TOKEN: il token di autenticazione per la richiesta, ad esempio: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Se hai installato Google Cloud SDK nel tuo ambiente e con l'autenticazione, puoi utilizzare il comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: l'endpoint del servizio desiderato, ad esempio: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: l'identificatore univoco di Google Cloud organizzazione, ad esempio: 12321311

  • WORKLOAD_LOCATION: la posizione del carico di lavoro, ad esempio: us-central1

  • WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio: 00-c25febb1-f3c1-4f19-8965-a25

Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe essere simile alla nell'esempio seguente:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

In caso di esito positivo, la risposta sarà vuota.

Prodotti supportati e non supportati

Le tabelle di questa sezione includono prodotti supportati e non supportati per pacchetti di controlli. Se attivi le limitazioni predefinite per l'utilizzo delle risorse, potrai utilizzare solo i prodotti supportati. Se disattivi all'uso delle risorse, è possibile utilizzare prodotti supportati e non in uso.

FedRAMP Moderate

Endpoint Prodotti supportati Prodotti non supportati
aiplatform.googleapis.com Vertex AI API AI Platform Training and Prediction

FedRAMP High

Endpoint Prodotti supportati Prodotti non supportati
compute.googleapis.com
Compute Engine
Persistent Disk
API AI Platform Training and Prediction
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Router Cloud
Cloud VPN
Google Cloud Armor
Network Service Tiers

Criminal Justice Information Services (CJIS)

Endpoint Prodotti supportati Prodotti non supportati
accesscontextmanager.googleapis.com
Controlli di servizio VPC
Gestore contesto accesso
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Router Cloud
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Impact Level 4 (IL4)

Endpoint Prodotti supportati Prodotti non supportati
compute.googleapis.com
Compute Engine
Persistent Disk
API AI Platform Training and Prediction
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Router Cloud
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Regioni e assistenza negli Stati Uniti

Endpoint Prodotti supportati Prodotti non supportati
accesscontextmanager.googleapis.com
Controlli di servizio VPC
Gestore contesto accesso
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Router Cloud
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Endpoint di servizio

Questa sezione elenca gli endpoint API che non vengono bloccati dopo l'abilitazione limitazione all'utilizzo delle risorse.

Nome API URL endpoint
API Cloud Asset cloudasset.googleapis.com
API Cloud Logging logging.googleapis.com
Service Control servicecontrol.googleapis.com
API Cloud Monitoring monitoring.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
API Security Token Service sts.googleapis.com
API Identity and Access Management iam.googleapis.com
API Cloud Resource Manager cloudresourcemanager.googleapis.com
API Advisory Notifications advisorynotifications.googleapis.com
API IAM Service Account Credentials iamcredentials.googleapis.com
API Organization Policy Service orgpolicy.googleapis.com
API Policy Troubleshooting policytroubleshooter.googleapis.com
API Network Telemetry networktelemetry.googleapis.com
API Service Usage serviceusage.googleapis.com
API Service Networking servicenetworking.googleapis.com
API Cloud Billing cloudbilling.googleapis.com
API Service Management servicemanagement.googleapis.com
API Identity Toolkit identitytoolkit.googleapis.com
API Access Context Manager accesscontextmanager.googleapis.com
API Service Consumer Management serviceconsumermanagement.googleapis.com

Passaggi successivi