Diese Seite bietet einen Überblick über die Einschränkung der RessourcendienstnutzungOrganisationsrichtlinieneinschränkung, mit der Unternehmensadministratoren steuern können, welche Google Cloud-Dienste in ihrer Google Cloud-Ressourcenhierarchie verwendet werden können. Diese Einschränkung kann nur für Dienste erzwungen werden, deren Ressourcen direkte Nachfolger einer Organisation, eines Ordners oder einer Projektressource sind. Beispiel: Compute Engine und Cloud Storage.
Die Einschränkung Ressourcendienstnutzung einschränken schließt bestimmte Dienste aus, die für Google Cloud-Produkte erforderlich sind, z. B. Identity and Access Management (IAM), Cloud Logging und Cloud Monitoring. Eine Liste der Cloud-Ressourcendienste, die von dieser Einschränkung unterstützt werden, finden Sie unter Von der Ressourcennutzung unterstützte Dienste einschränken.
Administratoren können diese Einschränkung verwenden, um hierarchische Einschränkungen für zulässige Google Cloud-Ressourcendienste in einem Ressourcencontainer wie einer Organisation, einem Ordner oder einem Projekt zu definieren. Sie können beispielsweise storage.googleapis.com im Projekt X zulassen oder compute.googleapis.com im Ordner Y ablehnen.
Die Einschränkung Ressourcendienstnutzung einschränken kann auf zwei Arten verwendet werden:
Sperrliste: Alle Ressourcen eines Dienstes, der nicht abgelehnt wird, sind zulässig.
Zulassungsliste: Ressourcen eines nicht zulässigen Dienstes werden abgelehnt.
Die Einschränkung Ressourcendienstnutzung einschränken steuert den Laufzeitzugriff auf alle im Geltungsbereich befindlichen Ressourcen. Wenn die Organisationsrichtlinie, die diese Einschränkung enthält, aktualisiert wird, gilt sie sofort für den gesamten Zugriff auf alle Ressourcen im Bereich der Richtlinie mit Eventual Konsistenz.
Wir empfehlen Administratoren, Aktualisierungen von Organisationsrichtlinien mit dieser Einschränkung sorgfältig zu verwalten. Sie können diese Richtlinienänderung sicherer einführen, indem Sie die Einschränkung mithilfe von Tags bedingt erzwingen. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.
Wenn ein Dienst durch diese Richtlinie eingeschränkt wird, werden einige Google Cloud-Dienste, die eine direkte Abhängigkeit vom eingeschränkten Dienst haben, ebenfalls eingeschränkt. Dies gilt nur für Dienste, die dieselben Kundenressourcen verwalten. Beispielsweise ist Google Kubernetes Engine (GKE) von Compute Engine abhängig. Wenn Compute Engine eingeschränkt ist, gilt das auch für GKE.
Einschränkung "Ressourcendienstnutzung einschränken" verwenden
Einschränkungen für Organisationsrichtlinien können auf Organisations-, Ordner- und Projektebene festgelegt werden. Jede Richtlinie gilt für alle Ressourcen in der zugehörigen Ressourcenhierarchie, kann aber in der Ressourcenhierarchie auf niedrigeren Ebenen überschrieben werden.
Weitere Informationen zur Richtlinienauswertung finden Sie unter Informationen zu Evaluierungen der Hierarchie.
Organisationsrichtlinie festlegen
Zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien müssen Sie die Rolle Administrator für Unternehmensrichtlinien haben.
Console
So legen Sie eine Organisationsrichtlinie fest, die die Einschränkung Ressourcendienstnutzung einschränken enthält:
- Rufen Sie in der Google Cloud Console die Seite „Organisationsrichtlinien“ auf.
Zu den Organisationsrichtlinien
Wählen Sie in der Projektauswahl oben in der Ansicht die Ressource aus, für die Sie die Richtlinie festlegen möchten.
Wählen Sie in der Tabelle der Organisationsrichtlinien die Option Ressourcendienstnutzung einschränken aus.
Klicken Sie auf Bearbeiten.
Wählen Sie unter Gilt für die Option Anpassen aus.
Wählen Sie unter Richtlinienerzwingung aus, wie die Übernahme auf diese Richtlinie angewendet werden soll.
Wenn Sie die Organisationsrichtlinie der übergeordneten Ressource übernehmen und die Richtlinie mit dieser zusammenführen möchten, wählen Sie Mit übergeordneter Ressource zusammenführen aus.
Wenn Sie vorhandene Organisationsrichtlinien überschreiben möchten, wählen Sie Ersetzen aus.
Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.
Wählen Sie unter Richtlinientyp die Option Ablehnen für eine Sperrliste oder Zulassen für eine Zulassungsliste aus.
Fügen Sie unter Benutzerdefinierte Werte der Liste den Dienst hinzu, den Sie blockieren oder zulassen möchten.
Wenn Sie beispielsweise Cloud Storage blockieren möchten, könnten Sie
storage.googleapis.comeingeben.Wenn Sie weitere Dienste hinzufügen möchten, klicken Sie auf Neuer Richtlinienwert.
Sehen Sie sich rechts auf der Seite die Zusammenfassung der Richtlinie an.
Klicken Sie auf Speichern, um die Richtlinie zu erzwingen.
gcloud
Organisationsrichtlinien können über die Google Cloud CLI festgelegt werden. Zum Erzwingen einer Organisationsrichtlinie, die die Einschränkung Ressourcendienstnutzung einschränken enthält, erstellen Sie zuerst eine YAML-Datei mit der zu aktualisierenden Richtlinie:
$ cat /tmp/policy.yaml
constraint: constraints/gcp.restrictServiceUsage
list_policy:
denied_values:
- file.googleapis.com
- bigquery.googleapis.com
- storage.googleapis.com
Führen Sie den folgenden Befehl aus, um diese Richtlinie für eine Ressource festzulegen:
gcloud beta resource-manager org-policies set-policy \
--project='PROJECT_ID' /tmp/policy.yaml
Wobei:
- PROJECT_ID ist die Projekt-ID der Ressource, für die Sie diese Organisationsrichtlinie erzwingen möchten.
Weitere Informationen zur Verwendung von Einschränkungen in Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.
Fehlermeldung
Wenn Sie eine Organisationsrichtlinie festlegen, um Dienst A in der Ressourcenhierarchie B abzulehnen, oder wenn ein Client versucht, Dienst A in Ressourcenhierarchie B zu verwenden, schlägt der Vorgang fehl. Es wird eine Fehlermeldung zurückgegeben, die den Grund für diesen Fehler beschreibt. Außerdem wird ein Audit-Log-Eintrag zur weiteren Überwachung, Benachrichtigung oder Fehlerbehebung generiert.
Beispiel für Fehlermeldung
Request is disallowed by organization's constraints/gcp.restrictServiceUsage constraint for projects/PROJECT_ID attempting to use service storage.googleapis.com.
Beispiele für Cloud-Audit-Logs
