Membatasi penggunaan resource untuk workload

Halaman ini menjelaskan cara mengaktifkan atau menonaktifkan batasan untuk resource yang tidak mematuhi kebijakan di folder Assured Workloads. Secara default, paket kontrol setiap folder menentukan produk yang didukung, sehingga menentukan resource mana yang dapat digunakan. Fungsi ini diterapkan oleh batasan kebijakan organisasi gcp.restrictServiceUsage yang otomatis diterapkan di folder saat dibuat.

Sebelum memulai

Peran IAM yang diperlukan

Untuk mengubah batasan penggunaan resource, pemanggil harus diberi izin Identity and Access Management (IAM) menggunakan peran standar yang mencakup sekumpulan izin yang lebih luas, atau peran khusus yang dibatasi pada izin minimum yang diperlukan.

Izin berikut diperlukan pada workload target:

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

Izin ini tercakup dalam dua peran berikut:

  • Administrator Assured Workloads (roles/assuredworkloads.admin)
  • Editor Assured Workloads (roles/assuredworkloads.editor)

Lihat peran IAM guna mengetahui informasi selengkapnya tentang peran untuk Assured Workloads.

Mengaktifkan batasan penggunaan resource

Untuk mengaktifkan batasan penggunaan resource pada beban kerja, jalankan perintah berikut. Perintah ini menerapkan pembatasan pada folder Assured Workloads sesuai dengan layanan yang didukung paket kontrol:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

  • TOKEN: Token autentikasi untuk permintaan, misalnya: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Jika Anda telah menginstal Google Cloud SDK di lingkungan Anda dan melakukan autentikasi, Anda dapat menggunakan perintah gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: Endpoint layanan yang diinginkan, misalnya: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: ID unik organisasi Google Cloud, misalnya: 12321311

  • WORKLOAD_LOCATION: Lokasi beban kerja, misalnya: us-central1

  • WORKLOAD_ID: ID unik beban kerja, misalnya: 00-c25febb1-f3c1-4f19-8965-a25

Setelah mengganti nilai placeholder, permintaan Anda akan terlihat seperti contoh berikut:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Jika berhasil, respons akan kosong.

Nonaktifkan batasan penggunaan resource

Untuk menonaktifkan batasan penggunaan resource pada beban kerja, jalankan perintah berikut. Perintah ini secara efektif menghapus semua pembatasan layanan dan resource pada folder Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

  • TOKEN: Token autentikasi untuk permintaan, misalnya: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

    Jika Anda telah menginstal Google Cloud SDK di lingkungan Anda dan melakukan autentikasi, Anda dapat menggunakan perintah gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: Endpoint layanan yang diinginkan, misalnya: https://us-central1-assuredworkloads.googleapis.com

  • ORGANIZATION_ID: ID unik organisasi Google Cloud, misalnya: 12321311

  • WORKLOAD_LOCATION: Lokasi beban kerja, misalnya: us-central1

  • WORKLOAD_ID: ID unik beban kerja, misalnya: 00-c25febb1-f3c1-4f19-8965-a25

Setelah mengganti nilai placeholder, permintaan Anda akan terlihat seperti contoh berikut:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Jika berhasil, respons akan kosong.

Produk yang didukung dan tidak didukung

Tabel di bagian ini mencakup produk yang didukung dan tidak didukung untuk berbagai paket kontrol. Jika Anda mengaktifkan pembatasan penggunaan resource default, hanya produk yang didukung yang dapat digunakan. Jika Anda menonaktifkan batasan penggunaan resource, produk yang didukung dan tidak didukung dapat digunakan.

FedRAMP Menengah

Endpoint Produk yang didukung Produk yang tidak didukung
aiplatform.googleapis.com Vertex AI AI Platform Training dan Prediction API

FedRAMP Tinggi

Endpoint Produk yang didukung Produk yang tidak didukung
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform Training dan Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

Layanan Informasi Peradilan Pidana (CJIS)

Endpoint Produk yang didukung Produk yang tidak didukung
accesscontextmanager.googleapis.com
Kontrol Layanan VPC
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Impact Level 4 (IL4)

Endpoint Produk yang didukung Produk yang tidak didukung
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform Training dan Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Dukungan dan Region Amerika Serikat

Endpoint Produk yang didukung Produk yang tidak didukung
accesscontextmanager.googleapis.com
Kontrol Layanan VPC
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Endpoint Service

Bagian ini mencantumkan endpoint API yang tidak diblokir setelah Anda mengaktifkan pembatasan penggunaan resource.

Nama API URL Endpoint
Cloud Asset API cloudasset.googleapis.com
Cloud Logging API logging.googleapis.com
Service Control servicecontrol.googleapis.com
Cloud Monitoring API monitoring.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
Security Token Service API sts.googleapis.com
Identity and Access Management API iam.googleapis.com
API Cloud Resource Manager cloudresourcemanager.googleapis.com
API Pemberitahuan Insiden advisorynotifications.googleapis.com
IAM Service Account Credentials API iamcredentials.googleapis.com
API Layanan Kebijakan Organisasi orgpolicy.googleapis.com
API Pemecah Masalah Kebijakan policytroubleshooter.googleapis.com
API Telemetri Jaringan networktelemetry.googleapis.com
Service Usage API serviceusage.googleapis.com
Service Networking API servicenetworking.googleapis.com
Cloud Billing API cloudbilling.googleapis.com
Service Management API servicemanagement.googleapis.com
Identity Toolkit API identitytoolkit.googleapis.com
API Pengelola Konteks Akses accesscontextmanager.googleapis.com
Service Consumer Management API serviceconsumermanagement.googleapis.com

Langkah selanjutnya