Limitare l'utilizzo delle risorse per i carichi di lavoro
Questa pagina spiega come attivare o disattivare le limitazioni per le risorse non conformi nelle cartelle Assured Workloads. Per impostazione predefinita,
di controllo determina quali
prodotti sono supportati, pertanto
determinare quali risorse possono essere utilizzate. Questa funzionalità viene applicata
Vincolo dei criteri dell'organizzazione gcp.restrictServiceUsage
che viene automaticamente applicato
alla cartella al momento della creazione.
Prima di iniziare
Ruoli IAM richiesti
Per modificare le limitazioni di utilizzo delle risorse, all'utente che effettua la chiamata devono essere concesse le autorizzazioni Identity and Access Management (IAM) utilizzando un ruolo predefinito che include un insieme più ampio di autorizzazioni o un ruolo personalizzato limitato alle autorizzazioni minime necessarie.
Sul lavoro di destinazione sono richieste le seguenti autorizzazioni:
assuredworkloads.workload.updateorgpolicy.policy.set
Queste autorizzazioni sono incluse nei seguenti due ruoli:
- Amministratore Assured Workloads
(
roles/assuredworkloads.admin) - Editor Assured Workloads
(
roles/assuredworkloads.editor)
Per saperne di più, consulta i ruoli IAM. informazioni sui ruoli per Assured Workloads.
Attivare le restrizioni per l'utilizzo delle risorse
Per abilitare la limitazione dell'utilizzo delle risorse per un carico di lavoro, esegui questo comando. Questo comando applica limitazioni alla cartella Assured Workloads in base ai servizi supportati dal pacchetto di controllo:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Sostituisci i seguenti valori segnaposto con i tuoi:
TOKEN: il token di autenticazione per la richiesta, ad esempio:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se hai installato Google Cloud SDK nel tuo ambiente e con l'autenticazione, puoi utilizzare il comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: l'endpoint del servizio desiderato, ad esempio:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: l'identificatore univoco dell'organizzazione Google Cloud, ad esempio:
12321311WORKLOAD_LOCATION: la posizione del carico di lavoro, ad esempio:
us-central1WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio:
00-c25febb1-f3c1-4f19-8965-a25
Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe essere simile alla nell'esempio seguente:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
In caso di esito positivo, la risposta sarà vuota.
Disabilita limitazione di utilizzo delle risorse
Per disattivare la limitazione dell'utilizzo delle risorse per un carico di lavoro, esegui il seguente comando. Questo comando rimuove in modo efficace tutte le restrizioni di servizi e risorse nella Cartella Assured Workloads:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Sostituisci i seguenti valori segnaposto con i tuoi:
TOKEN: il token di autenticazione per la richiesta, ad esempio:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se hai installato Google Cloud SDK nel tuo ambiente e con l'autenticazione, puoi utilizzare il comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: l'endpoint del servizio desiderato, ad esempio:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: l'identificatore univoco di Google Cloud organizzazione, ad esempio:
12321311WORKLOAD_LOCATION: la posizione del carico di lavoro, ad esempio:
us-central1WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio:
00-c25febb1-f3c1-4f19-8965-a25
Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe essere simile alla nell'esempio seguente:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
In caso di esito positivo, la risposta sarà vuota.
Prodotti supportati e non supportati
Le tabelle di questa sezione includono prodotti supportati e non supportati per pacchetti di controlli. Se attivi le limitazioni predefinite per l'utilizzo delle risorse, potrai utilizzare solo i prodotti supportati. Se disattivi all'uso delle risorse, è possibile utilizzare prodotti supportati e non in uso.
FedRAMP Moderate
| Endpoint | Prodotti supportati | Prodotti non supportati |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | API AI Platform Training and Prediction |
FedRAMP High
| Endpoint | Prodotti supportati | Prodotti non supportati | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Criminal Justice Information Services (CJIS)
| Endpoint | Prodotti supportati | Prodotti non supportati | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Impact Level 4 (IL4)
| Endpoint | Prodotti supportati | Prodotti non supportati | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regioni e assistenza negli Stati Uniti
| Endpoint | Prodotti supportati | Prodotti non supportati | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Endpoint di servizio
Questa sezione elenca gli endpoint API che non vengono bloccati dopo l'abilitazione limitazione all'utilizzo delle risorse.
| Nome API | URL endpoint |
|---|---|
| API Cloud Asset | cloudasset.googleapis.com |
| API Cloud Logging | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| API Cloud Monitoring | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| API Security Token Service | sts.googleapis.com |
| API Identity and Access Management | iam.googleapis.com |
| API Cloud Resource Manager | cloudresourcemanager.googleapis.com |
| API Advisory Notifications | advisorynotifications.googleapis.com |
| API IAM Service Account Credentials | iamcredentials.googleapis.com |
| API Organization Policy Service | orgpolicy.googleapis.com |
| API Policy Troubleshooting | policytroubleshooter.googleapis.com |
| API Network Telemetry | networktelemetry.googleapis.com |
| API Service Usage | serviceusage.googleapis.com |
| API Service Networking | servicenetworking.googleapis.com |
| API Cloud Billing | cloudbilling.googleapis.com |
| API Service Management | servicemanagement.googleapis.com |
| API Identity Toolkit | identitytoolkit.googleapis.com |
| API Access Context Manager | accesscontextmanager.googleapis.com |
| API Service Consumer Management | serviceconsumermanagement.googleapis.com |
Passaggi successivi
- Consulta l'elenco dei servizi che non supportano le limitazioni di utilizzo delle risorse.
- Scopri quali prodotti sono supportati per ogni pacchetto di controllo.