Ressourcennutzung für Arbeitslasten einschränken

Auf dieser Seite wird erläutert, wie Sie Einschränkungen für nicht konforme Ressourcen in Assured Workloads-Ordnern aktivieren oder deaktivieren. Standardmäßig bestimmt das Kontrollpaket jedes Ordners, welche Produkte unterstützt werden, und damit bestimmt, welche Ressourcen verwendet werden können. Diese Funktion wird durch die Einschränkung der Organisationsrichtlinie gcp.restrictServiceUsage erzwungen, die beim Erstellen des Ordners automatisch auf den Ordner angewendet wird.

Hinweise

Erforderliche IAM-Rollen

Zum Ändern von Einschränkungen der Ressourcennutzung müssen dem Aufrufer IAM-Berechtigungen (Identity and Access Management) gewährt werden. Dazu muss er entweder eine vordefinierte Rolle mit einem umfassenderen Satz von Berechtigungen oder eine benutzerdefinierte Rolle verwenden, die auf die unbedingt erforderlichen Berechtigungen beschränkt ist.

Die folgenden Berechtigungen sind für die Zielarbeitslast erforderlich:

• assuredworkloads.workload.update
• orgpolicy.policy.set

Diese Berechtigungen sind in den folgenden beiden Rollen enthalten:

• Assured Workloads-Administrator (roles/assuredworkloads.admin)
• Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)

Weitere Informationen zu Rollen für Assured Workloads finden Sie unter IAM-Rollen.

Nutzungsbeschränkungen für Ressourcen aktivieren

Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu aktivieren. Mit diesem Befehl werden Einschränkungen auf den Assured Workloads-Ordner in Übereinstimmung mit den unterstützten Diensten des Steuerpakets angewendet:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen Werte:

• TOKEN: Das Authentifizierungstoken für die Anfrage, z. B. ya29.a0AfB_byDnQW7A2Vr5...tanw0427.

  Wenn das Google Cloud SDK in Ihrer Umgebung installiert ist und authentifiziert sind, können Sie den Befehl gcloud auth print-access-token verwenden: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B. https://us-central1-assuredworkloads.googleapis.com.

• ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud-Organisation, z. B. 12321311.

• WORKLOAD_LOCATION: Der Standort der Arbeitslast, z. B. us-central1.

• WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B. 00-c25febb1-f3c1-4f19-8965-a25.

Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Wenn der Vorgang erfolgreich war, ist die Antwort leer.

Einschränkung zur Ressourcennutzung deaktivieren

Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu deaktivieren. Mit diesem Befehl werden alle Dienst- und Ressourceneinschränkungen für den Ordner Assured Workloads entfernt:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen Werte:

• TOKEN: Das Authentifizierungstoken für die Anfrage, z. B. ya29.a0AfB_byDnQW7A2Vr5...tanw0427.

  Wenn das Google Cloud SDK in Ihrer Umgebung installiert ist und authentifiziert sind, können Sie den Befehl gcloud auth print-access-token verwenden: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B. https://us-central1-assuredworkloads.googleapis.com.

• ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud-Organisation, z. B. 12321311.

• WORKLOAD_LOCATION: Der Standort der Arbeitslast, z. B. us-central1.

• WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B. 00-c25febb1-f3c1-4f19-8965-a25.

Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Wenn der Vorgang erfolgreich war, ist die Antwort leer.

Unterstützte und nicht unterstützte Produkte

Die Tabellen in diesem Abschnitt enthalten unterstützte und nicht unterstützte Produkte für verschiedene Steuerpakete. Wenn Sie die Standardeinschränkungen für die Ressourcennutzung aktivieren, können nur die unterstützten Produkte verwendet werden. Wenn Sie Nutzungsbeschränkungen für Ressourcen deaktivieren, können sowohl unterstützte als auch nicht unterstützte Produkte verwendet werden.

FedRAMP Moderate

Endpunkt	Produkte, für die Supportleistungen genutzt werden können	Nicht unterstützte Produkte
aiplatform.googleapis.com	Vertex AI	AI Platform Training und Prediction API

FedRAMP High

Endpunkt	Produkte, für die Supportleistungen genutzt werden können	Nicht unterstützte Produkte
compute.googleapis.com	Compute Engine Persistent Disk	AI Platform Training und Prediction API Cloud CDN Virtual Private Cloud Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Netzwerkdienststufen

Criminal Justice Information Services (CJIS)

Endpunkt	Produkte, für die Supportleistungen genutzt werden können	Nicht unterstützte Produkte
accesscontextmanager.googleapis.com	VPC Service Controls	Access Context Manager
compute.googleapis.com	Virtual Private Cloud Persistent Disk Compute Engine	Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Netzwerkdienststufen
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

Impact Level 4 (IL4)

Endpunkt	Produkte, für die Supportleistungen genutzt werden können	Nicht unterstützte Produkte
compute.googleapis.com	Compute Engine Persistent Disk	AI Platform Training und Prediction API Cloud CDN Virtual Private Cloud Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Netzwerkdienststufen
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

Regionen und Support in den USA

Endpunkt	Produkte, für die Supportleistungen genutzt werden können	Nicht unterstützte Produkte
accesscontextmanager.googleapis.com	VPC Service Controls	Access Context Manager
compute.googleapis.com	Virtual Private Cloud Persistent Disk Compute Engine	Cloud CDN Cloud Interconnect Cloud Load Balancing Cloud NAT Cloud Router Cloud VPN Google Cloud Armor Netzwerkdienststufen
cloudkms.googleapis.com	Cloud Key Management Service	Cloud HSM

Dienstendpunkte

In diesem Abschnitt werden die API-Endpunkte aufgeführt, die nach dem Aktivieren der Einschränkung der Ressourcennutzung nicht blockiert werden.

Nächste Schritte

• Weitere Informationen finden Sie in der Liste der Dienste, die die Einschränkung der Ressourcennutzung nicht unterstützen.
• Informationen zu den unterstützten Produkten