Ressourcennutzung einschränken

Diese Seite bietet einen Überblick über das Thema Nutzung von Ressourcendiensten einschränken. Einschränkung der Organisationsrichtlinie, mit der Unternehmensadministratoren festlegen können, Google Cloud-Dienste können in der Google Cloud Ressourcenhierarchie. Diese Einschränkung kann nur für Dienste erzwungen werden mit Ressourcen, die direkte Nachfolger einer Organisation, eines Ordners oder eines Projekts sind . Beispiele: Compute Engine und Cloud Storage.

Durch die Einschränkung Ressourcendienstnutzung einschränken wird Folgendes ausgeschlossen und funktioniert nicht: Bestimmte Dienste, die für Google Cloud unverzichtbar sind wie Identity and Access Management (IAM), Cloud Logging Cloud Monitoring Liste der unterstützten Cloud-Ressourcendienste durch diese Einschränkung Siehe Unterstützte Dienste zur Ressourcennutzung einschränken.

Administratoren können mit dieser Einschränkung hierarchische Einschränkungen für zulässige Google Cloud-Ressourcendienste in einem Ressourcencontainer, z. B. eine Organisation, ein Ordner oder ein Projekt. Lassen Sie beispielsweise storage.googleapis.com innerhalb von Projekt X oder compute.googleapis.com ablehnen im Ordner Y. Diese Einschränkung bestimmt auch Verfügbarkeit der Google Cloud Console.

Die Einschränkung Ressourcendienstnutzung einschränken kann auf zwei Arten verwendet werden:

  • Sperrliste: Alle Ressourcen eines Dienstes, der nicht abgelehnt wird, sind zulässig.

  • Zulassungsliste: Ressourcen eines nicht zulässigen Dienstes werden abgelehnt.

Die Einschränkung Ressourcendienstnutzung einschränken steuert den Laufzeitzugriff auf alle im Geltungsbereich befindlichen Ressourcen. Wenn die Organisationsrichtlinie, die diese -Einschränkung aktualisiert wird, gilt sie sofort für den gesamten Zugriff auf alle Ressourcen im Geltungsbereich der Richtlinie mit Eventual Consistency.

Wir empfehlen Administratoren, Aktualisierungen von Organisationsrichtlinien sorgfältig zu verwalten mit dieser Einschränkung. Sie können diese Richtlinienänderung sicherer einführen, indem Sie mithilfe von Tags die Einschränkung bedingt erzwingen. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Wenn ein Dienst durch diese Richtlinie eingeschränkt ist, die eine direkte Abhängigkeit vom eingeschränkten Dienst haben, gut. Dies gilt nur für Dienste, die dieselben Kundenressourcen verwalten. Google Kubernetes Engine (GKE) ist beispielsweise von Compute Engine abhängig. Wenn Compute Engine eingeschränkt ist, wird GKE auch eingeschränkt.

Verfügbarkeit der Google Cloud Console

In der Google Cloud Console verhalten sich eingeschränkte Dienste so:

  • Über die Schaltfläche Menü „“.
  • Eingeschränkte Dienste werden in den Suchergebnissen der Google Cloud Console nicht angezeigt.
  • Wenn Sie die Seite der Google Cloud Console eines eingeschränkten Dienstes aufrufen, z. B. z. B. über einen Link oder ein Lesezeichen, erscheint eine Fehlermeldung.

Einschränkung "Ressourcendienstnutzung einschränken" verwenden

Einschränkungen für Organisationsrichtlinien können für Organisation, Ordner und auf Projektebene. Jede Richtlinie gilt für alle Ressourcen innerhalb der Ressourcenhierarchie, kann aber auf niedrigeren Ebenen der Ressource überschrieben werden. Hierarchie.

Weitere Informationen zur Richtlinienauswertung finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Organisationsrichtlinie festlegen

Zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien müssen Sie die Rolle Administrator für Unternehmensrichtlinien haben.

Console

So legen Sie eine Organisationsrichtlinie fest, die die Einschränkung Ressourcendienstnutzung einschränken enthält:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie den Organisationsrichtlinie.

  3. Wählen Sie in der Tabelle der Organisationsrichtlinien die Option Ressourcendienstnutzung einschränken aus.

  4. Klicken Sie auf Richtlinie verwalten.

  5. Wählen Sie unter Gilt für die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  6. Wählen Sie unter Richtlinienerzwingung aus, wie die Übernahme auf diese Richtlinie angewendet werden soll.

    1. Wenn Sie die Organisationsrichtlinie der übergeordneten Ressource übernehmen und die Richtlinie mit dieser zusammenführen möchten, wählen Sie Mit übergeordneter Ressource zusammenführen aus.

    2. Wenn Sie vorhandene Organisationsrichtlinien überschreiben möchten, wählen Sie Ersetzen aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  9. Wählen Sie unter Richtlinientyp die Option Ablehnen für eine Sperrliste oder Zulassen für eine Zulassungsliste aus.

  10. Fügen Sie unter Benutzerdefinierte Werte der Liste den Dienst hinzu, den Sie blockieren oder zulassen möchten.

    1. Zum Blockieren von Cloud Storage könnten Sie beispielsweise Folgendes eingeben: storage.googleapis.com

    2. Wenn Sie weitere Dienste hinzufügen möchten, klicken Sie auf Wert hinzufügen.

  11. Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.

gcloud

Organisationsrichtlinien können über die Google Cloud CLI festgelegt werden. Um die Eine Organisationsrichtlinie, die die Einstellung Nutzung von Ressourcendiensten einschränken enthält erstellen Sie zuerst eine YAML-Datei mit der zu aktualisierenden Richtlinie:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
   rules:
   - values:
       deniedValues:
       - file.googleapis.com
       - bigquery.googleapis.com
       - storage.googleapis.com

Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisationsressource. Führen Sie den folgenden Befehl aus, um diese Richtlinie für eine Ressource festzulegen:

gcloud beta resource-manager org-policies set-policy \
  --project='PROJECT_ID' /tmp/policy.yaml

Ersetzen Sie PROJECT_ID durch den Projekt-ID der Ressource, für die Sie diese Organisationsrichtlinie erzwingen möchten.

Weitere Informationen zur Verwendung von Einschränkungen in Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.

Nicht getaggte Ressourcen einschränken

Mit Tags und bedingten Organisationsrichtlinien können Sie alle Ressourcen einschränken die kein bestimmtes Tag verwenden. Wenn Sie eine Organisationsrichtlinie für eine Ressource, die Dienste einschränkt und sie an das Vorhandensein einer enthalten, können nur untergeordnete Ressourcen, die von dieser Ressource abstammen, verwendet werden, wurden getaggt. Auf diese Weise müssen Ressourcen gemäß Ihren Governance-Plan, bevor sie verwendet werden können.

Zum Einschränken nicht getaggter Organisations-, Ordner- oder Projektressourcen können Sie die Der logische Operator ! in einer bedingten Abfrage beim Erstellen Ihrer Organisation .

Wenn Sie beispielsweise die Verwendung von sqladmin.googleapis.com nur in Projekten zulassen möchten mit dem Tag sqladmin=enabled können Sie eine Organisationsrichtlinie erstellen, die lehnt sqladmin.googleapis.com für Projekte ab, die das Tag nicht enthalten sqladmin=enabled.

  1. Tag erstellen gibt an, ob die Ressourcen angewendet. Sie könnten z. B. ein Tag mit dem Schlüssel sqlAdmin und dem Wert enabled, der angibt, dass diese Ressource die Verwendung von der Cloud SQL Admin API. Beispiel:

    Schlüssel und Wert für ein Tag erstellen

  2. Klicken Sie auf den Namen des neu erstellten Tags. Sie benötigen den Namespace-Namen des Tag-Schlüssels, der unter Pfad zum Tag-Schlüssel aufgeführt ist, in den nächsten Schritten zum Erstellen eines .

  3. Organisationsrichtlinie Ressourcendienstnutzung einschränken auf Ebene erstellen Ihrer Organisationsressource, um den Zugriff auf die Cloud SQL Admin API zu verweigern. Beispiel:

    Organisationsrichtlinie zum Einschränken von Ressourcen erstellen

  4. Fügen Sie der obigen Organisationsrichtlinie eine Bedingung hinzu und geben Sie an, dass die Richtlinie wird erzwungen, wenn das Governance-Tag nicht vorhanden ist. Der logische NOT-Operator wird vom Tool zur Bedingungserstellung nicht unterstützt, daher muss diese Bedingung erstellt werden im Bedingungseditor. Beispiel:

    Bedingte Organisationsrichtlinie erstellen

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Jetzt muss das sqlAdmin=enabled-Tag an ein Projekt angehängt oder von diesem übernommen werden. bevor Ihre Entwickler die Cloud SQL Admin API mit diesem Projekt verwenden können.

Weitere Informationen zum Erstellen bedingter Organisationsrichtlinien finden Sie unter Organisationsrichtlinie mit Tags festlegen

Organisationsrichtlinie im Probelaufmodus erstellen

Eine Organisationsrichtlinie im Probelaufmodus ist eine Art von Organisationsrichtlinie, bei der Verstöße gegen die Richtlinie werden protokolliert, abgelehnt. Sie können eine Organisationsrichtlinie im Probelaufmodus mit der Methode Einschränkung Ressourcendienstnutzung einschränken, um die Auswirkung zu überwachen in Ihrer Organisation, bevor Sie die Live-Richtlinie erzwingen. Weitere Informationen finden Sie unter Organisationsrichtlinie im Probelaufmodus erstellen

Fehlermeldung

Wenn Sie eine Organisationsrichtlinie festlegen, um Dienst A in der Ressourcenhierarchie B abzulehnen, oder wenn ein Client versucht, Dienst A in Ressourcenhierarchie B zu verwenden, schlägt der Vorgang fehl. Es wird eine Fehlermeldung zurückgegeben, die den Grund für diesen Fehler beschreibt. Außerdem wird ein Audit-Log-Eintrag zur weiteren Überwachung, Benachrichtigung oder Fehlerbehebung generiert.

Beispiel für Fehlermeldung

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Beispiele für Cloud-Audit-Logs

Screenshot eines Beispiels für einen Audit-Logeintrag