Limitazione dell'utilizzo delle risorse

Questa pagina fornisce una panoramica del vincolo delle norme dell'organizzazione per limitare l'utilizzo dei servizi delle risorse , che consente agli amministratori aziendali di controllare quali servizi Google Cloud possono essere utilizzati all'interno della gerarchia delle risorse di Google Cloud. Questo vincolo può essere applicato solo ai servizi con risorse che sono discendenti diretti di una risorsa di organizzazione, cartella o progetto. Ad esempio, Compute Engine e Cloud Storage.

Il vincolo Limita l'utilizzo del servizio della risorsa esclude e non funziona con alcuni servizi che sono dipendenze essenziali per i prodotti Google Cloud, come Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring. Per l'elenco dei servizi di risorse cloud supportati da questo vincolo, consulta Servizi supportati per la limitazione dell'utilizzo delle risorse.

Gli amministratori possono utilizzare questo vincolo per definire limitazioni gerarchiche per i servizi di risorse Google Cloud consentiti all'interno di un contenitore di risorse, ad esempio un'organizzazione, una cartella o un progetto. Ad esempio, consentistorage.googleapis.com all'interno del progetto X o nega compute.googleapis.com all'interno della cartella Y. Questo vincolo determina anche la disponibilità della console Google Cloud.

Il vincolo Limita utilizzo del servizio risorse può essere utilizzato in due modi mutuamente esclusivi:

  • Lista negativa: sono consentite le risorse di qualsiasi servizio che non è negato.

  • Lista consentita: le risorse di qualsiasi servizio non consentito vengono negate.

Il vincolo Limita utilizzo del servizio risorse controlla l'accesso in fase di runtime a tutte le risorse nell'ambito. Quando il criterio dell'organizzazione contenente questo vincolo viene aggiornato, viene applicato immediatamente a tutto l'accesso a tutte le risorse nell'ambito del criterio, con coerenza finale.

Consigliamo agli amministratori di gestire con attenzione gli aggiornamenti alle norme dell'organizzazione contenente questo vincolo. Puoi implementare questa modifica ai criteri in modo più sicuro utilizzando i tag per applicare il vincolo in modo condizionale. Per ulteriori informazioni, consulta Impostazione di un criterio dell'organizzazione con tag.

Quando un servizio è limitato da queste norme, alcuni servizi Google Cloud che dipendono direttamente dal servizio limitato saranno limitati anch'essi. Questo vale solo per i servizi che gestiscono le stesse risorse dei clienti. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza da Compute Engine. Quando Compute Engine è limitato, lo è anche GKE.