Restringir o uso de recursos para cargas de trabalho
Esta página explica como ativar ou desativar restrições para
recursos nas pastas do Assured Workloads. Por padrão, o pacote de controle de cada pasta
determina quais
produtos têm suporte,
determinando quais recursos podem ser usados. Essa funcionalidade é aplicada pela
restrição da política da organização gcp.restrictServiceUsage,
que é aplicada automaticamente à pasta quando ela é criada.
Antes de começar
Papéis do IAM obrigatórios
Para modificar as restrições de uso de recursos, o autor da chamada precisa receber permissões do Identity and Access Management (IAM) usando um papel predefinido que inclua um conjunto mais amplo de permissões ou um papel personalizado restrito ao mínimo de permissões necessárias.
As seguintes permissões são necessárias no destino carga de trabalho:
assuredworkloads.workload.updateorgpolicy.policy.set
Essas permissões estão incluídas nos dois papéis a seguir:
- Administrador do Assured Workloads
(
roles/assuredworkloads.admin) - Editor do Assured Workloads
(
roles/assuredworkloads.editor)
Consulte os papéis do IAM para saber mais informações sobre os papéis do Assured Workloads.
Ativar restrições de uso de recursos
Para ativar a restrição de uso de recursos em uma carga de trabalho, execute o comando a seguir. Esse comando aplica restrições à pasta do Assured Workloads no de acordo com os serviços suportados do pacote de controle:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os seguintes valores de marcador pelos seus próprios valores:
TOKEN: o token de autenticação da solicitação, por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se você tiver o SDK do Google Cloud instalado no seu ambiente e estiver autenticado, use o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: o endpoint de serviço, Por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo do Google Cloud organização, por exemplo:
12321311WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25
Depois de substituir os valores de marcador de posição, sua solicitação vai ficar parecida com o exemplo abaixo:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se bem-sucedido, a resposta vai estar vazia.
Desativar restrição de uso de recursos
Para desativar a restrição de uso de recursos para uma carga de trabalho, execute o comando a seguir. Esse comando remove efetivamente todas as restrições de serviços e recursos do Pasta do Assured Workloads:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os valores dos marcadores de posição a seguir pelos seus próprios:
TOKEN: o token de autenticação da solicitação, por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se você tiver o SDK do Google Cloud instalado no seu ambiente e estiver autenticado, use o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: o endpoint de serviço desejado, por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo da organização do Google Cloud, por exemplo,
12321311WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25
Depois de substituir os valores de marcador de posição, sua solicitação vai ficar parecida com o exemplo abaixo:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se bem-sucedido, a resposta vai estar vazia.
Produtos compatíveis e incompatíveis
As tabelas nesta seção incluem produtos aceitos e não compatíveis para pacotes de controle. Se você ativar as restrições de uso de recursos padrão, somente os produtos com suporte poderão ser usados. Se você desativar restrições de uso de recursos, os produtos com e sem suporte poderão ser usados.
FedRAMP de nível médio
| Endpoint | Produtos compatíveis | Produtos não aceitos |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | Treinamento do AI Platform e API Prediction |
FedRAMP de nível alto
| Endpoint | Produtos compatíveis | Produtos sem suporte | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA
| Endpoint | Produtos compatíveis | Produtos sem suporte | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Nível de impacto 4 (IL4)
| Endpoint | Produtos compatíveis | Produtos sem suporte | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regiões e suporte dos EUA
| Endpoint | Produtos compatíveis | Produtos sem suporte | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Endpoints de Serviço
Esta seção lista os endpoints da API que não são bloqueados depois que você ativa a restrição de uso de recursos.
| Nome da API | URL do endpoint |
|---|---|
| API Cloud Asset | cloudasset.googleapis.com |
| API Cloud Logging | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| API Cloud Monitoring | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| API Security Token Service | sts.googleapis.com |
| API Identity and Access Management | iam.googleapis.com |
| API Cloud Resource Manager | cloudresourcemanager.googleapis.com |
| API Advisory Notifications | advisorynotifications.googleapis.com |
| API IAM Service Account Credentials | iamcredentials.googleapis.com |
| API Organization Policy Service | orgpolicy.googleapis.com |
| API Policy Troubleshooter | policytroubleshooter.googleapis.com |
| API Network Telemetry | networktelemetry.googleapis.com |
| API Service Usage | serviceusage.googleapis.com |
| API Service Networking | servicenetworking.googleapis.com |
| Cloud Billing API | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| API Identity Toolkit | identitytoolkit.googleapis.com |
| API Access Context Manager | accesscontextmanager.googleapis.com |
| API Service Consumer Management | serviceconsumermanagement.googleapis.com |
A seguir
- Veja a lista de serviços que não são compatíveis com a restrição de uso de recursos.
- Saiba quais produtos são aceitos para cada pacote de controle.