Limitare l'utilizzo delle risorse per i carichi di lavoro

Questa pagina spiega come attivare o disattivare le limitazioni per le risorse non conformi nelle cartelle Assured Workloads. Per impostazione predefinita, il pacchetto di controllo di ogni cartella determina quali prodotti sono supportati, quindi quali risorse possono essere utilizzate. Questa funzionalità viene applicata dal gcp.restrictServiceUsage vincolo del criterio dell'organizzazione che viene applicato automaticamente alla cartella al momento della creazione.

Prima di iniziare

Ruoli IAM obbligatori

Per modificare le limitazioni di utilizzo delle risorse, all'utente che effettua la chiamata devono essere concesse le autorizzazioni Identity and Access Management (IAM) utilizzando un ruolo predefinito che include un insieme più ampio di autorizzazioni o un ruolo personalizzato limitato alle autorizzazioni minime necessarie.

Sul lavoro di destinazione sono necessarie le seguenti autorizzazioni:

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

Queste autorizzazioni sono incluse nei seguenti due ruoli:

  • Amministratore Assured Workloads (roles/assuredworkloads.admin)
  • Editor di Assured Workloads (roles/assuredworkloads.editor)

Per ulteriori informazioni sui ruoli per Assured Workloads, consulta la sezione Ruoli IAM.

Attivare le restrizioni per l'utilizzo delle risorse

Per attivare la limitazione dell'utilizzo delle risorse per un carico di lavoro, esegui il seguente comando. Questo comando applica limitazioni alla cartella Assured Workloads in base ai servizi supportati dal pacchetto di controllo:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Sostituisci i seguenti valori segnaposto con i tuoi:

  • TOKEN: il token di autenticazione per la richiesta, ad esempio: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Se hai installato Google Cloud SDK nel tuo ambiente e hai eseguito l'autenticazione, puoi utilizzare il comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: l'endpoint del servizio desiderato, ad esempio: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: l'identificatore univoco dell' Google Cloud organizzazione, ad esempio: 12321311

  • WORKLOAD_LOCATION: la posizione del carico di lavoro, ad esempio: us-central1

  • WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio: 00-c25febb1-f3c1-4f19-8965-a25

Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe avere il seguente aspetto:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

In caso di esito positivo, la risposta sarà vuota.

Disattivare la limitazione dell'utilizzo delle risorse

Per disattivare la limitazione dell'utilizzo delle risorse per un carico di lavoro, esegui il seguente comando. Questo comando rimuove efficacemente tutte le limitazioni di servizi e risorse nella cartella Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Sostituisci i seguenti valori segnaposto con i tuoi:

  • TOKEN: il token di autenticazione per la richiesta, ad esempio: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Se hai installato Google Cloud SDK nel tuo ambiente e hai eseguito l'autenticazione, puoi utilizzare il comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: l'endpoint del servizio desiderato, ad esempio: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: l'identificatore univoco dell' Google Cloud organizzazione, ad esempio: 12321311

  • WORKLOAD_LOCATION: la posizione del carico di lavoro, ad esempio: us-central1

  • WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio: 00-c25febb1-f3c1-4f19-8965-a25

Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe avere il seguente aspetto:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

In caso di esito positivo, la risposta sarà vuota.

Prodotti supportati e non supportati

Le tabelle in questa sezione includono i prodotti supportati e non supportati per vari pacchetti di controllo. Se attivi le limitazioni predefinite per l'utilizzo delle risorse, potrai utilizzare solo i prodotti supportati. Se disattivi le limitazioni di utilizzo delle risorse, puoi utilizzare sia i prodotti supportati sia quelli non supportati.

FedRAMP Moderate

Endpoint Prodotti supportati Prodotti non supportati
aiplatform.googleapis.com Vertex AI API AI Platform Training and Prediction

FedRAMP High

Endpoint Prodotti supportati Prodotti non supportati
compute.googleapis.com
Compute Engine
Persistent Disk
API AI Platform Training and Prediction
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Router Cloud
Cloud VPN
Google Cloud Armor
Network Service Tiers

Criminal Justice Information Services (CJIS)

Endpoint Prodotti supportati Prodotti non supportati
accesscontextmanager.googleapis.com
Controlli di servizio VPC
Gestore contesto accesso
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Router Cloud
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Impact Level 4 (IL4)

Endpoint Prodotti supportati Prodotti non supportati
compute.googleapis.com
Compute Engine
Persistent Disk
API AI Platform Training and Prediction
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Router Cloud
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Regioni e assistenza negli Stati Uniti

Endpoint Prodotti supportati Prodotti non supportati
accesscontextmanager.googleapis.com
Controlli di servizio VPC
Gestore contesto accesso
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Router Cloud
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Endpoint di servizio

Questa sezione elenca gli endpoint API che non vengono bloccati dopo l'attivazione della limitazione dell'utilizzo delle risorse.

Nome API URL endpoint
API Cloud Asset cloudasset.googleapis.com
API Cloud Logging logging.googleapis.com
Service Control servicecontrol.googleapis.com
API Cloud Monitoring monitoring.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
API Security Token Service sts.googleapis.com
API Identity and Access Management iam.googleapis.com
API Cloud Resource Manager cloudresourcemanager.googleapis.com
API Advisory Notifications advisorynotifications.googleapis.com
API IAM Service Account Credentials iamcredentials.googleapis.com
API Organization Policy Service orgpolicy.googleapis.com
API Policy Troubleshooting policytroubleshooter.googleapis.com
API Network Telemetry networktelemetry.googleapis.com
API Service Usage serviceusage.googleapis.com
API Service Networking servicenetworking.googleapis.com
API Cloud Billing cloudbilling.googleapis.com
API Service Management servicemanagement.googleapis.com
API Identity Toolkit identitytoolkit.googleapis.com
API Access Context Manager accesscontextmanager.googleapis.com
API Service Consumer Management serviceconsumermanagement.googleapis.com

Passaggi successivi