Limitare l'utilizzo delle risorse per i carichi di lavoro
Questa pagina spiega come attivare o disattivare le limitazioni per le risorse non conformi nelle cartelle Assured Workloads. Per impostazione predefinita, il pacchetto di controllo di ogni cartella determina quali prodotti sono supportati, quindi quali risorse possono essere utilizzate. Questa funzionalità viene applicata dal
gcp.restrictServiceUsage
vincolo del criterio dell'organizzazione
che viene applicato automaticamente alla cartella al momento della creazione.
Prima di iniziare
Ruoli IAM obbligatori
Per modificare le limitazioni di utilizzo delle risorse, all'utente che effettua la chiamata devono essere concesse le autorizzazioni Identity and Access Management (IAM) utilizzando un ruolo predefinito che include un insieme più ampio di autorizzazioni o un ruolo personalizzato limitato alle autorizzazioni minime necessarie.
Sul lavoro di destinazione sono necessarie le seguenti autorizzazioni:
assuredworkloads.workload.update
orgpolicy.policy.set
Queste autorizzazioni sono incluse nei seguenti due ruoli:
- Amministratore Assured Workloads
(
roles/assuredworkloads.admin
) - Editor di Assured Workloads
(
roles/assuredworkloads.editor
)
Per ulteriori informazioni sui ruoli per Assured Workloads, consulta la sezione Ruoli IAM.
Attivare le restrizioni per l'utilizzo delle risorse
Per attivare la limitazione dell'utilizzo delle risorse per un carico di lavoro, esegui il seguente comando. Questo comando applica limitazioni alla cartella Assured Workloads in base ai servizi supportati dal pacchetto di controllo:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Sostituisci i seguenti valori segnaposto con i tuoi:
TOKEN: il token di autenticazione per la richiesta, ad esempio:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
Se hai installato Google Cloud SDK nel tuo ambiente e hai eseguito l'autenticazione, puoi utilizzare il comando
gcloud auth print-access-token
:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: l'endpoint del servizio desiderato, ad esempio:
https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: l'identificatore univoco dell' Google Cloud organizzazione, ad esempio:
12321311
WORKLOAD_LOCATION: la posizione del carico di lavoro, ad esempio:
us-central1
WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio:
00-c25febb1-f3c1-4f19-8965-a25
Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe avere il seguente aspetto:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
In caso di esito positivo, la risposta sarà vuota.
Disattivare la limitazione dell'utilizzo delle risorse
Per disattivare la limitazione dell'utilizzo delle risorse per un carico di lavoro, esegui il seguente comando. Questo comando rimuove efficacemente tutte le limitazioni di servizi e risorse nella cartella Assured Workloads:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Sostituisci i seguenti valori segnaposto con i tuoi:
TOKEN: il token di autenticazione per la richiesta, ad esempio:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
Se hai installato Google Cloud SDK nel tuo ambiente e hai eseguito l'autenticazione, puoi utilizzare il comando
gcloud auth print-access-token
:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: l'endpoint del servizio desiderato, ad esempio:
https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: l'identificatore univoco dell' Google Cloud organizzazione, ad esempio:
12321311
WORKLOAD_LOCATION: la posizione del carico di lavoro, ad esempio:
us-central1
WORKLOAD_ID: l'identificatore univoco del carico di lavoro, ad esempio:
00-c25febb1-f3c1-4f19-8965-a25
Dopo aver sostituito i valori segnaposto, la richiesta dovrebbe avere il seguente aspetto:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
In caso di esito positivo, la risposta sarà vuota.
Prodotti supportati e non supportati
Le tabelle in questa sezione includono i prodotti supportati e non supportati per vari pacchetti di controllo. Se attivi le limitazioni predefinite per l'utilizzo delle risorse, potrai utilizzare solo i prodotti supportati. Se disattivi le limitazioni di utilizzo delle risorse, puoi utilizzare sia i prodotti supportati sia quelli non supportati.
FedRAMP Moderate
Endpoint | Prodotti supportati | Prodotti non supportati |
---|---|---|
aiplatform.googleapis.com |
Vertex AI | API AI Platform Training and Prediction |
FedRAMP High
Endpoint | Prodotti supportati | Prodotti non supportati | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Criminal Justice Information Services (CJIS)
Endpoint | Prodotti supportati | Prodotti non supportati | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Impact Level 4 (IL4)
Endpoint | Prodotti supportati | Prodotti non supportati | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regioni e assistenza negli Stati Uniti
Endpoint | Prodotti supportati | Prodotti non supportati | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Endpoint di servizio
Questa sezione elenca gli endpoint API che non vengono bloccati dopo l'attivazione della limitazione dell'utilizzo delle risorse.
Nome API | URL endpoint |
---|---|
API Cloud Asset | cloudasset.googleapis.com |
API Cloud Logging | logging.googleapis.com |
Service Control | servicecontrol.googleapis.com |
API Cloud Monitoring | monitoring.googleapis.com |
Google Cloud Observability | stackdriver.googleapis.com |
API Security Token Service | sts.googleapis.com |
API Identity and Access Management | iam.googleapis.com |
API Cloud Resource Manager | cloudresourcemanager.googleapis.com |
API Advisory Notifications | advisorynotifications.googleapis.com |
API IAM Service Account Credentials | iamcredentials.googleapis.com |
API Organization Policy Service | orgpolicy.googleapis.com |
API Policy Troubleshooting | policytroubleshooter.googleapis.com |
API Network Telemetry | networktelemetry.googleapis.com |
API Service Usage | serviceusage.googleapis.com |
API Service Networking | servicenetworking.googleapis.com |
API Cloud Billing | cloudbilling.googleapis.com |
API Service Management | servicemanagement.googleapis.com |
API Identity Toolkit | identitytoolkit.googleapis.com |
API Access Context Manager | accesscontextmanager.googleapis.com |
API Service Consumer Management | serviceconsumermanagement.googleapis.com |
Passaggi successivi
- Consulta l'elenco dei servizi che non supportano la limitazione dell'utilizzo delle risorse.
- Scopri quali prodotti sono supportati per ogni pacchetto di controllo.