Limitazione dell'utilizzo delle risorse

Questa pagina fornisce una panoramica della procedura per limitare l'utilizzo del servizio risorse. vincolo dei criteri dell'organizzazione, che permette agli amministratori aziendali di controllare I servizi Google Cloud possono essere usati all'interno nella gerarchia delle risorse. Questo vincolo può essere applicato in modo forzato solo ai servizi con Risorse che sono i discendenti diretti di un'organizzazione, una cartella o un progetto risorsa. ad esempio Compute Engine e Cloud Storage.

Il vincolo Limita l'utilizzo del servizio risorse esclude l'utilizzo del servizio e non funziona con determinati servizi che sono dipendenze essenziali per Google Cloud come Identity and Access Management (IAM), Cloud Logging e e configurazione in Cloud Monitoring. Per l'elenco dei servizi di risorse cloud supportati da questo vincolo, consulta Limitazione dell'utilizzo delle risorse per i servizi supportati.

Gli amministratori possono utilizzare questo vincolo per definire restrizioni gerarchiche relative i servizi di risorse di Google Cloud consentiti all'interno di un container di risorse, come un'organizzazione, una cartella o un progetto. Ad esempio, consenti storage.googleapis.com all'interno del progetto X o nega compute.googleapis.com nella cartella Y. Questo vincolo determina anche Disponibilità della console Google Cloud.

Il vincolo Limita l'utilizzo del servizio risorse può essere usato in due che si escludono a vicenda:

  • Lista bloccata: sono consentite le risorse di qualsiasi servizio non negato.

  • Lista consentita: le risorse di qualsiasi servizio non consentito sono negate.

Il vincolo Limita l'utilizzo del servizio risorse controlla il runtime e l'accesso a tutte le risorse nell'ambito. Quando il criterio dell'organizzazione che contiene viene aggiornato, si applica immediatamente a tutti gli accessi a tutte le risorse nell'ambito delle stesse, con coerenza finale.

Consigliamo agli amministratori di gestire con attenzione gli aggiornamenti ai criteri dell'organizzazione contenente questo vincolo. Puoi implementare in modo più sicuro questa modifica ai criteri utilizzando i tag per applicare il vincolo in modo condizionale. Per ulteriori informazioni, vedi Impostazione di un criterio dell'organizzazione con i tag.

Quando un servizio è limitato da questo criterio, alcuni servizi Google Cloud che hanno una dipendenza diretta dal servizio limitato saranno limitate beh. Questo vale solo per i servizi che gestiscono le stesse risorse del cliente. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza da Compute Engine. Se Compute Engine è limitato, GKE viene limitato.

Disponibilità della console Google Cloud

I servizi limitati nella console Google Cloud si comportano come segue:

  • Non puoi accedere a un prodotto utilizzando Menu .
  • I servizi limitati non vengono visualizzati nei risultati di ricerca della console Google Cloud.
  • Quando accedi alla pagina della console Google Cloud di un servizio limitato, ad esempio come da un link o un segnalibro; viene visualizzato un messaggio di errore.

Utilizzo del vincolo Limita l'utilizzo del servizio risorse

È possibile impostare vincoli dei criteri dell'organizzazione a livello di organizzazione, cartella a livello di progetto. Ogni criterio si applica a tutte le risorse all'interno dei suoi gerarchia delle risorse, ma può essere eseguito l'override a livelli inferiori nella risorsa nella gerarchia.

Per ulteriori informazioni sulla valutazione dei criteri, consulta Informazioni sulla valutazione della gerarchia.

Impostazione del criterio dell'organizzazione

Per impostare, modificare o eliminare un criterio dell'organizzazione, devi disporre del Ruolo Amministratore criteri organizzazione.

Console

Per impostare un criterio dell'organizzazione che includa un indirizzo Limita l'utilizzo del servizio risorse:

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Dal selettore di progetti, seleziona la risorsa su cui vuoi impostare criterio dell'organizzazione.

  3. Nella tabella dei criteri dell'organizzazione, seleziona Limita l'utilizzo del servizio risorse.

  4. Fai clic su Gestisci criterio.

  5. In Si applica a, seleziona Sostituisci criterio della risorsa padre.

  6. In Applicazione dei criteri, scegli come applicare l'ereditarietà a questo .

    1. Se vuoi ereditare il criterio dell'organizzazione della risorsa principale e unire questa risorsa a quella principale, seleziona Unisci con il padre.

    2. Se vuoi eseguire l'override di eventuali criteri dell'organizzazione esistenti, seleziona Sostituisci.

  7. Fai clic su Aggiungi una regola.

  8. In Valori criterio, seleziona Personalizzato.

  9. In Tipo di criterio, seleziona Rifiuta per la lista bloccata o Consenti per nella lista consentita.

  10. In Valori personalizzati, aggiungi il servizio che vuoi bloccare o che vuoi consentire dall'elenco.

    1. Ad esempio, per bloccare Cloud Storage, puoi inserire storage.googleapis.com.

    2. Per aggiungere altri servizi, fai clic su Aggiungi valore.

  11. Per applicare il criterio, fai clic su Imposta criterio.

gcloud

I criteri dell'organizzazione possono essere impostati tramite Google Cloud CLI. Per applicare Un criterio dell'organizzazione che includa la funzione Limita l'utilizzo del servizio risorse vincolo, crea prima un file YAML con il criterio da aggiornare:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
      deniedValues:
      - file.googleapis.com
      - bigquery.googleapis.com
      - storage.googleapis.com

Sostituisci ORGANIZATION_ID con l'ID della risorsa dell'organizzazione. Per impostare il criterio nell'organizzazione, esegui il comando seguente:

gcloud org-policies set-policy /tmp/policy.yaml

Per saperne di più sull'uso dei vincoli nei criteri dell'organizzazione, vedi Utilizzo dei vincoli.

Limitare le risorse non taggate

Puoi utilizzare i tag e i criteri di organizzazione condizionali per limitare le risorse che non utilizzano un determinato tag. Se imposti un criterio dell'organizzazione su una risorsa che limita i servizi e li rende condizionati alla presenza di un , nessuna risorsa figlio proveniente da questa risorsa può essere utilizzata a meno che non sono stati taggati. In questo modo, le risorse devono essere configurate in conformità con il tuo piano di governance prima di poter essere utilizzate.

Per limitare le risorse dell'organizzazione, della cartella o del progetto senza tag, puoi utilizzare Operatore logico ! in una query condizionale durante la creazione dell'organizzazione .

Ad esempio, per consentire l'utilizzo di sqladmin.googleapis.com solo nei progetti che contengono il tag sqladmin=enabled, puoi creare un criterio dell'organizzazione nega sqladmin.googleapis.com sui progetti che non hanno il tag sqladmin=enabled.

  1. Creare un tag che identifichi se le risorse hanno avuto una governance adeguata applicati. Ad esempio, puoi creare un tag con la chiave sqlAdmin e enabled, per indicare che questa risorsa deve consentire l'utilizzo l'API Cloud SQL Admin. Ad esempio:

    Creazione di una chiave e di un valore tag

  2. Fai clic sul nome del tag appena creato. Devi avere il nome con spazio dei nomi della chiave tag indicata in Percorso chiave tag nei passaggi successivi per creare .

  3. Crea un criterio dell'organizzazione Limita l'utilizzo del servizio risorse a livello della risorsa dell'organizzazione per negare l'accesso all'API Cloud SQL Admin. Ad esempio:

    Creazione di un criterio dell'organizzazione per la limitazione delle risorse

  4. Aggiungi una condizione al criterio dell'organizzazione precedente, specificando che il criterio viene applicata in modo forzato se il tag di governance non è presente. L'operatore logico NOT non è supportata dal generatore di condizioni, quindi deve essere creata nell'editor delle condizioni. Ad esempio:

    Creazione di un criterio dell'organizzazione condizionale

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Ora il tag sqlAdmin=enabled deve essere associato o ereditato da un progetto, prima che gli sviluppatori possano utilizzare l'API Cloud SQL Admin con il progetto.

Per saperne di più sulla creazione di criteri condizionali dell'organizzazione, consulta Impostazione di un criterio dell'organizzazione con i tag.

Crea un criterio dell'organizzazione in modalità dry run

Un criterio dell'organizzazione in modalità dry run è un tipo di criterio dell'organizzazione in cui le violazioni delle norme vengono sottoposte a un controllo, mentre le azioni che violano le norme non vengono negata. Puoi creare un criterio dell'organizzazione in modalità di prova utilizzando il vincolo Limita l'utilizzo del servizio della risorsa per monitorare l'impatto sulla tua organizzazione prima di applicare il criterio attivo. Per ulteriori informazioni, consulta Creare un criterio dell'organizzazione in modalità di prova.

Messaggio di errore

Se imposti un criterio dell'organizzazione per negare il servizio A all'interno della gerarchia di risorse B, quando un client tenta di utilizzare il servizio A all'interno della gerarchia di risorse B, l'operazione non va a buon fine. Viene restituito un errore che descrive il motivo di questo errore. Viene inoltre generata una voce AuditLog per un ulteriore monitoraggio, avvisi o debug.

Esempio di messaggio di errore

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Audit log Cloud di esempio

Screenshot di una voce dell'audit log di esempio