Restringir el uso de recursos para cargas de trabajo

En esta página se explica cómo habilitar o inhabilitar las restricciones de los recursos no conformes en las carpetas de Assured Workloads. De forma predeterminada, el paquete de control de cada carpeta determina qué productos se admiten y, por lo tanto, qué recursos se pueden usar. Esta función se aplica mediante la restricción de la política de organización gcp.restrictServiceUsage que se aplica automáticamente a la carpeta cuando se crea.

Antes de empezar

Roles de gestión de identidades y accesos necesarios

Para modificar las restricciones de uso de recursos, el llamante debe tener permisos de gestión de identidades y accesos (IAM) mediante un rol predefinido que incluya un conjunto más amplio de permisos o un rol personalizado que se limite a los permisos mínimos necesarios.

Se necesitan los siguientes permisos en la carga de trabajo de destino:

• assuredworkloads.workload.update
• orgpolicy.policy.set

Estos permisos están incluidos en los dos roles siguientes:

• Administrador de Assured Workloads (roles/assuredworkloads.admin)
• Editor de Assured Workloads (roles/assuredworkloads.editor)

Consulta los roles de gestión de identidades y accesos para obtener más información sobre los roles de Assured Workloads.

Habilitar restricciones de uso de recursos

Para habilitar la restricción del uso de recursos en una carga de trabajo, ejecuta el siguiente comando. Este comando aplica restricciones a la carpeta de Assured Workloads de acuerdo con los servicios admitidos del paquete de control:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Sustituye los siguientes valores de marcador de posición por los tuyos:

• TOKEN: el token de autenticación de la solicitud. Por ejemplo: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si tienes instalado el SDK de Google Cloud en tu entorno y estás autenticado, puedes usar el comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: el endpoint de servicio que quiera. Por ejemplo: https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID: identificador único de la organización Google Cloud. Por ejemplo: 12321311

• WORKLOAD_LOCATION: la ubicación de la carga de trabajo. Por ejemplo: us-central1

• WORKLOAD_ID: identificador único de la carga de trabajo. Por ejemplo: 00-c25febb1-f3c1-4f19-8965-a25

Después de sustituir los valores de marcador de posición, su solicitud debería ser similar a la del ejemplo siguiente:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si la solicitud se completa correctamente, la respuesta estará vacía.

Inhabilitar la restricción del uso de recursos

Para inhabilitar la restricción del uso de recursos de una carga de trabajo, ejecuta el siguiente comando. Este comando elimina todas las restricciones de servicios y recursos de la carpeta de Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Sustituye los siguientes valores de marcador de posición por los tuyos:

• TOKEN: el token de autenticación de la solicitud. Por ejemplo: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si tienes instalado el SDK de Google Cloud en tu entorno y estás autenticado, puedes usar el comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: el endpoint de servicio que quiera. Por ejemplo: https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID: identificador único de la organización Google Cloud. Por ejemplo: 12321311

• WORKLOAD_LOCATION: la ubicación de la carga de trabajo. Por ejemplo: us-central1

• WORKLOAD_ID: identificador único de la carga de trabajo. Por ejemplo: 00-c25febb1-f3c1-4f19-8965-a25

Después de sustituir los valores de marcador de posición, su solicitud debería ser similar a la del ejemplo siguiente:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si la solicitud se completa correctamente, la respuesta estará vacía.

Productos compatibles y no compatibles

Las tablas de esta sección incluyen productos compatibles y no compatibles para varios paquetes de control. Si habilitas las restricciones de uso de recursos predeterminadas, solo se podrán usar los productos admitidos. Si inhabilita las restricciones de uso de recursos, podrá usar tanto los productos compatibles como los no compatibles.

Límite de datos de FedRAMP Moderate

Límite de datos de FedRAMP High

Límite de datos para los servicios de información de justicia penal (CJIS)

Límite de datos para el nivel de impacto 4 (IL4)

Límite de datos y asistencia de EE. UU.

Puntos finales de servicio

En esta sección se enumeran los endpoints de API que no se bloquean después de habilitar la restricción de uso de recursos.

Siguientes pasos

• Consulta la lista de servicios que no admiten la restricción del uso de recursos.
• Consulta qué productos son compatibles con cada paquete de controles.