Limiter l'utilisation des ressources pour les charges de travail
Cette page explique comment activer ou désactiver les restrictions pour les ressources non conformes dans les dossiers Assured Workloads. Par défaut, le package de contrôle de chaque dossier détermine les produits compatibles, ce qui détermine les ressources pouvant être utilisées. Cette fonctionnalité est appliquée par la contrainte de règle d'administration gcp.restrictServiceUsage
qui est automatiquement appliquée au dossier lors de sa création.
Avant de commencer
Rôles IAM requis
Pour modifier les restrictions d'utilisation des ressources, l'appelant doit disposer d'autorisations Identity and Access Management (IAM) à l'aide d'un rôle prédéfini qui comprend un ensemble d'autorisations plus étendu, ou d'un rôle personnalisé qui est limité aux autorisations minimales nécessaires.
Les autorisations suivantes sont requises sur la charge de travail cible:
assuredworkloads.workload.update
orgpolicy.policy.set
Ces autorisations sont incluses dans les deux rôles suivants:
- Administrateur Assured Workloads
(
roles/assuredworkloads.admin
) - Éditeur Assured Workloads
(
roles/assuredworkloads.editor
)
Pour en savoir plus sur les rôles pour Assured Workloads, consultez la page Rôles IAM.
Activer les restrictions d'utilisation des ressources
Pour activer la restriction de l'utilisation des ressources pour une charge de travail, exécutez la commande suivante. Cette commande applique des restrictions au dossier Assured Workloads conformément aux services compatibles du package de contrôle:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Remplacez les valeurs d'espace réservé suivantes par les vôtres:
TOKEN: jeton d'authentification de la requête, par exemple :
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
Si le SDK Google Cloud est installé dans votre environnement et que vous êtes authentifié, vous pouvez utiliser la commande
gcloud auth print-access-token
:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: point de terminaison du service souhaité, par exemple :
https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: identifiant unique de l' Google Cloud organisation, par exemple:
12321311
WORKLOAD_LOCATION: emplacement de la charge de travail, par exemple :
us-central1
WORKLOAD_ID: identifiant unique de la charge de travail, par exemple :
00-c25febb1-f3c1-4f19-8965-a25
Une fois que vous avez remplacé les valeurs d'espace réservé, votre requête doit ressembler à l'exemple suivant:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Si l'opération réussit, la réponse est vide.
Désactiver la restriction d'utilisation des ressources
Pour désactiver la restriction d'utilisation des ressources pour une charge de travail, exécutez la commande suivante. Cette commande supprime efficacement toutes les restrictions de service et de ressources sur le dossier Assured Workloads:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Remplacez les valeurs d'espace réservé suivantes par les vôtres:
TOKEN: jeton d'authentification de la requête, par exemple :
ya29.a0AfB_byDnQW7A2Vr5...tanw0427
Si le SDK Google Cloud est installé dans votre environnement et que vous êtes authentifié, vous pouvez utiliser la commande
gcloud auth print-access-token
:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: point de terminaison du service souhaité, par exemple :
https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: identifiant unique de l' Google Cloud organisation, par exemple:
12321311
WORKLOAD_LOCATION: emplacement de la charge de travail, par exemple :
us-central1
WORKLOAD_ID: identifiant unique de la charge de travail, par exemple :
00-c25febb1-f3c1-4f19-8965-a25
Une fois que vous avez remplacé les valeurs d'espace réservé, votre requête doit ressembler à l'exemple suivant:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Si l'opération réussit, la réponse est vide.
Produits compatibles et non compatibles
Les tableaux de cette section incluent les produits compatibles et non compatibles pour divers packages de contrôle. Si vous activez les restrictions d'utilisation des ressources par défaut, seuls les produits compatibles peuvent être utilisés. Si vous désactivez les restrictions d'utilisation des ressources, vous pouvez utiliser à la fois des produits compatibles et non compatibles.
Niveau d'impact modéré du FedRAMP
Point de terminaison | Produits compatibles | Produits non compatibles |
---|---|---|
aiplatform.googleapis.com |
Vertex AI | API AI Platform Training and Prediction |
Niveau d'impact élevé du FedRAMP
Point de terminaison | Produits compatibles | Produits non compatibles | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Criminal Justice Information Services (CJIS)
Point de terminaison | Produits compatibles | Produits non compatibles | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Niveau d'impact 4 (IL4)
Point de terminaison | Produits compatibles | Produits non compatibles | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Régions et assistance aux États-Unis
Point de terminaison | Produits compatibles | Produits non compatibles | |||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Points de terminaison d'un service
Cette section liste les points de terminaison de l'API qui ne sont pas bloqués après l'activation de la restriction d'utilisation des ressources.
Nom de l'API | URL du point de terminaison |
---|---|
API Cloud Asset | cloudasset.googleapis.com |
API Cloud Logging | logging.googleapis.com |
Service Control | servicecontrol.googleapis.com |
API Cloud Monitoring | monitoring.googleapis.com |
Google Cloud Observability | stackdriver.googleapis.com |
API Security Token Service | sts.googleapis.com |
API Identity and Access Management | iam.googleapis.com |
API Cloud Resource Manager | cloudresourcemanager.googleapis.com |
API Advisory Notifications | advisorynotifications.googleapis.com |
API IAM Service Account Credentials | iamcredentials.googleapis.com |
API Organization Policy Service | orgpolicy.googleapis.com |
API Policy Troubleshooter | policytroubleshooter.googleapis.com |
API Network Telemetry | networktelemetry.googleapis.com |
API Service Usage | serviceusage.googleapis.com |
API Service Networking | servicenetworking.googleapis.com |
API Cloud Billing | cloudbilling.googleapis.com |
API Service Management | servicemanagement.googleapis.com |
API Identity Toolkit | identitytoolkit.googleapis.com |
API Access Context Manager | accesscontextmanager.googleapis.com |
API Service Consumer Management | serviceconsumermanagement.googleapis.com |
Étape suivante
- Consultez la liste des services qui ne sont pas compatibles avec la restriction d'utilisation des ressources.
- Découvrez les produits compatibles pour chaque package de contrôle.