此页面由 Cloud Translation API 翻译。

限制工作负载的资源用量

本页介绍了如何为 Assured Workloads 文件夹中的不合规资源启用或停用限制。默认情况下，每个文件夹的控制包决定了支持哪些产品，从而决定了可以使用哪些资源。此功能由 gcp.restrictServiceUsage 组织政策限制条件强制执行，该限制条件会在文件夹创建时自动应用于该文件夹。

准备工作

所需 IAM 角色

如需修改资源使用限制，必须向调用方授予 Identity and Access Management (IAM) 权限，预定义角色（其中包含一组更广泛的权限，或者自定义角色，该角色只能所需的最低权限。

目标需要以下权限 workload：

assuredworkloads.workload.update
orgpolicy.policy.set

以下两个角色拥有这些权限：

Assured Workloads Administrator (roles/assuredworkloads.admin)
Assured Workloads Editor (roles/assuredworkloads.editor)

如需详细了解 Assured Workloads 的角色，请参阅 IAM 角色。

启用资源用量限制

如需为工作负载启用资源用量限制，请运行以下命令：此命令会根据控制包支持的服务，对 Assured Workloads 文件夹应用限制：

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

将以下占位符值替换为您自己的值：

TOKEN：请求的身份验证令牌，例如：ya29.a0AfB_byDnQW7A2Vr5...tanw0427

如果您的环境中已安装 Google Cloud SDK 且已完成身份验证，您可以使用 gcloud auth print-access-token 命令：-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT：所需的服务端点例如： https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID：Google Cloud 的唯一标识符组织，例如：12321311
WORKLOAD_LOCATION：工作负载的位置，例如：us-central1
WORKLOAD_ID：工作负载的唯一标识符，例如：00-c25febb1-f3c1-4f19-8965-a25

替换占位值后，您的请求应类似于示例：

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

如果成功，响应将为空。

停用资源用量限制

如需停用工作负载的资源用量限制，请运行以下命令。此命令可有效地移除 Assured Workloads 文件夹：

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

将以下占位符值替换为您自己的值：

TOKEN：请求的身份验证令牌，例如：ya29.a0AfB_byDnQW7A2Vr5...tanw0427

如果您的环境中已安装 Google Cloud SDK 且已完成身份验证，您可以使用 gcloud auth print-access-token 命令：-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT：所需的服务端点，例如：https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID：Google Cloud 的唯一标识符组织，例如：12321311
WORKLOAD_LOCATION：工作负载的位置，例如：us-central1
WORKLOAD_ID：工作负载的唯一标识符，例如：00-c25febb1-f3c1-4f19-8965-a25

替换占位值后，您的请求应类似于示例：

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

如果成功，响应将为空。

支持和不支持的产品

本部分的表格包含支持和不支持的商品，各种控制软件包如果您启用默认的资源用量则只能使用受支持的产品。如果您停用资源用量限制，则受支持和不受支持的产品都可以。

FedRAMP 中等风险级别

端点	支持的产品	不支持的产品
`aiplatform.googleapis.com`	Vertex AI	AI Platform Training and Prediction API

FedRAMP 高风险级别

端点支持的产品不受支持的产品

compute.googleapis.com


Compute Engine
Persistent Disk


AI Platform Training and Prediction API
Cloud CDN
虚拟私有云
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

刑事司法信息服务 (CJIS)

端点支持的产品不受支持的产品

accesscontextmanager.googleapis.com


VPC Service Controls


Access Context Manager

compute.googleapis.com


虚拟私有云
Persistent Disk
Compute Engine


Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

影响级别 4 (IL4)

端点支持的产品不受支持的产品

compute.googleapis.com


Compute Engine
Persistent Disk


AI Platform Training and Prediction API
Cloud CDN
虚拟私有云
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

美国区域和支持

端点支持的产品不受支持的产品

accesscontextmanager.googleapis.com


VPC Service Controls


Access Context Manager

compute.googleapis.com


虚拟私有云
Persistent Disk
Compute Engine


Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

Service 端点

本部分列出了启用 API 后不会被屏蔽的 API 端点。资源使用限制

API 名称	端点网址
Cloud Asset API	`cloudasset.googleapis.com`
Cloud Logging API	`logging.googleapis.com`
Service Control	`servicecontrol.googleapis.com`
Cloud Monitoring API	`monitoring.googleapis.com`
Google Cloud Observability	`stackdriver.googleapis.com`
Security Token Service API	`sts.googleapis.com`
Identity and Access Management API	`iam.googleapis.com`
Cloud Resource Manager API	`cloudresourcemanager.googleapis.com`
Advisory Notifications API	`advisorynotifications.googleapis.com`
IAM 服务账号凭据 API	`iamcredentials.googleapis.com`
Organization Policy Service API	`orgpolicy.googleapis.com`
Policy Troubleshooter API	`policytroubleshooter.googleapis.com`
Network Telemetry API	`networktelemetry.googleapis.com`
Service Usage API	`serviceusage.googleapis.com`
Service Networking API	`servicenetworking.googleapis.com`
Cloud Billing API	`cloudbilling.googleapis.com`
Service Management API	`servicemanagement.googleapis.com`
Identity Toolkit API	`identitytoolkit.googleapis.com`
Access Context Manager API	`accesscontextmanager.googleapis.com`
Service Consumer Management API	`serviceconsumermanagement.googleapis.com`

后续步骤

请参阅不支持资源使用限制的服务列表。
了解哪些产品受支持每个控制包