Restringir o uso de recursos para cargas de trabalho

Esta página explica como ativar ou desativar restrições para recursos nas pastas do Assured Workloads. Por padrão, o pacote de controle de cada pasta determina quais produtos têm suporte, determinando quais recursos podem ser usados. Essa funcionalidade é aplicada pela restrição da política da organização gcp.restrictServiceUsage, que é aplicada automaticamente à pasta quando ela é criada.

Antes de começar

Papéis do IAM obrigatórios

Para modificar as restrições de uso de recursos, o autor da chamada precisa receber permissões do Identity and Access Management (IAM) usando um papel predefinido que inclua um conjunto mais amplo de permissões ou um papel personalizado restrito ao mínimo de permissões necessárias.

As seguintes permissões são necessárias no destino carga de trabalho:

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

Essas permissões estão incluídas nos dois papéis a seguir:

  • Administrador do Assured Workloads (roles/assuredworkloads.admin)
  • Editor do Assured Workloads (roles/assuredworkloads.editor)

Consulte os papéis do IAM para saber mais informações sobre os papéis do Assured Workloads.

Ativar restrições de uso de recursos

Para ativar a restrição de uso de recursos em uma carga de trabalho, execute o comando a seguir. Esse comando aplica restrições à pasta do Assured Workloads no de acordo com os serviços suportados do pacote de controle:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Substitua os seguintes valores de marcador pelos seus próprios valores:

  • TOKEN: o token de autenticação da solicitação, por exemplo: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Se você tiver o SDK do Google Cloud instalado no seu ambiente e estiver autenticado, use o comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: o endpoint de serviço, Por exemplo: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: o identificador exclusivo do Google Cloud organização, por exemplo: 12321311

  • WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo: us-central1

  • WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo: 00-c25febb1-f3c1-4f19-8965-a25

Depois de substituir os valores de marcador de posição, sua solicitação vai ficar parecida com o exemplo abaixo:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Se bem-sucedido, a resposta vai estar vazia.

Desativar restrição de uso de recursos

Para desativar a restrição de uso de recursos para uma carga de trabalho, execute o comando a seguir. Esse comando remove efetivamente todas as restrições de serviços e recursos do Pasta do Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Substitua os valores dos marcadores de posição a seguir pelos seus próprios:

  • TOKEN: o token de autenticação da solicitação, por exemplo: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Se você tiver o SDK do Google Cloud instalado no seu ambiente e estiver autenticado, use o comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: o endpoint de serviço desejado, por exemplo: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: o identificador exclusivo da organização do Google Cloud, por exemplo, 12321311

  • WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo: us-central1

  • WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo: 00-c25febb1-f3c1-4f19-8965-a25

Depois de substituir os valores de marcador de posição, sua solicitação vai ficar parecida com o exemplo abaixo:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Se bem-sucedido, a resposta vai estar vazia.

Produtos compatíveis e incompatíveis

As tabelas nesta seção incluem produtos aceitos e não compatíveis para pacotes de controle. Se você ativar as restrições de uso de recursos padrão, somente os produtos com suporte poderão ser usados. Se você desativar restrições de uso de recursos, os produtos com e sem suporte poderão ser usados.

FedRAMP de nível médio

Endpoint Produtos compatíveis Produtos não aceitos
aiplatform.googleapis.com Vertex AI Treinamento do AI Platform e API Prediction

FedRAMP de nível alto

Endpoint Produtos compatíveis Produtos sem suporte
compute.googleapis.com
Compute Engine
Persistent Disk
Treinamento do AI Platform e API Prediction
Cloud CDN
Nuvem privada virtual
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Níveis de serviço de rede

Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA

Endpoint Produtos compatíveis Produtos sem suporte
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Nuvem privada virtual
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Níveis de serviço de rede
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Nível de impacto 4 (IL4)

Endpoint Produtos compatíveis Produtos sem suporte
compute.googleapis.com
Compute Engine
Persistent Disk
Treinamento do AI Platform e API Prediction
Cloud CDN
Nuvem privada virtual
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Níveis de serviço de rede
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Regiões e suporte dos EUA

Endpoint Produtos compatíveis Produtos sem suporte
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Nuvem privada virtual
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Níveis de serviço de rede
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Endpoints de Serviço

Esta seção lista os endpoints da API que não são bloqueados depois que você ativa a restrição de uso de recursos.

Nome da API URL do endpoint
API Cloud Asset cloudasset.googleapis.com
API Cloud Logging logging.googleapis.com
Service Control servicecontrol.googleapis.com
API Cloud Monitoring monitoring.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
API Security Token Service sts.googleapis.com
API Identity and Access Management iam.googleapis.com
API Cloud Resource Manager cloudresourcemanager.googleapis.com
API Advisory Notifications advisorynotifications.googleapis.com
API IAM Service Account Credentials iamcredentials.googleapis.com
API Organization Policy Service orgpolicy.googleapis.com
API Policy Troubleshooter policytroubleshooter.googleapis.com
API Network Telemetry networktelemetry.googleapis.com
API Service Usage serviceusage.googleapis.com
API Service Networking servicenetworking.googleapis.com
Cloud Billing API cloudbilling.googleapis.com
Service Management API servicemanagement.googleapis.com
API Identity Toolkit identitytoolkit.googleapis.com
API Access Context Manager accesscontextmanager.googleapis.com
API Service Consumer Management serviceconsumermanagement.googleapis.com

A seguir