Limitazione dell'utilizzo delle risorse

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina fornisce una panoramica di restrizione sull'utilizzo delle risorse (RUR), un criterio di governance che consente agli amministratori aziendali di controllare quali servizi Google Cloud possono essere utilizzati all'interno della loro gerarchia di risorse Google Cloud. RUR può essere applicato solo a servizi con risorse che sono i discendenti diretti di un'organizzazione, una cartella o una risorsa di progetto. Ad esempio, Compute Engine e Cloud Storage.

RUR esclude e non funziona con alcuni servizi essenziali che sono dipendenti da prodotti Google Cloud, come Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring. Per l'elenco dei servizi di risorse cloud esclusi da questo vincolo, vedi Limitazione dei servizi non supportati per l'utilizzo delle risorse.

Il criterio RUR è implementato come un vincolo di criteri dell'organizzazione denominato Limita l'utilizzo del servizio di risorse. Gli amministratori possono utilizzare questo vincolo per definire le restrizioni gerarchiche sui servizi di risorse Google Cloud consentiti all'interno di un contenitore di risorse, ad esempio un'organizzazione, una cartella o un progetto. Ad esempio, consenti storage.googleapis.com all'interno del progetto X o rifiuta compute.googleapis.com nella cartella Y.

Il vincolo Limita l'utilizzo del servizio di risorse può essere utilizzato in due modi che si escludono a vicenda:

  • Lista bloccata: sono consentite le risorse di qualsiasi servizio non consentito.

  • Lista consentita - le risorse di qualsiasi servizio non consentito non sono consentite.

Il vincolo Limita utilizzo delle risorse controlla l'accesso al runtime a tutte le risorse nell'ambito. Quando un criterio RUR viene aggiornato, si applica immediatamente a tutti gli accessi a tutte le risorse nell'ambito del criterio, con coerenza finale.

Consigliamo agli amministratori di gestire con attenzione gli aggiornamenti dei criteri RUR. Puoi implementare in modo più sicuro questa modifica dei criteri utilizzando i tag per applicare in modo condizionale il vincolo. Per saperne di più, consulta Impostare un criterio dell'organizzazione con i tag.

Quando un servizio è limitato da questo criterio, saranno limitati anche alcuni servizi Google Cloud che hanno una dipendenza diretta dal servizio limitato. Si applica solo ai servizi che gestiscono le stesse risorse dei clienti. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza su Compute Engine. Quando Compute Engine è limitato, GKE è limitato.

Utilizzo del vincolo Limita utilizzo risorse del servizio

I criteri RUR sono vincoli dei criteri dell'organizzazione, che possono essere impostati a livello di organizzazione, cartella e progetto. Ogni criterio si applica a tutte le risorse all'interno della gerarchia delle risorse corrispondente, ma può essere sostituito ai livelli inferiori della gerarchia delle risorse.

Per ulteriori informazioni sulla valutazione dei criteri, consulta Informazioni sulla valutazione della gerarchia.

Impostazione del criterio dell'organizzazione

Per impostare, modificare o eliminare un criterio dell'organizzazione, devi disporre del ruolo di Amministratore criteri dell'organizzazione.

Console

Per impostare un criterio dell'organizzazione che include un vincolo di limitazione dell'utilizzo dei servizi di risorse:

  1. Vai alla pagina Criteri dell'organizzazione in Google Cloud Console.

Vai ai criteri dell'organizzazione

  1. Nel selettore di progetti nella parte superiore dello schermo, seleziona la risorsa per cui vuoi impostare il criterio.

  2. Nella tabella dei criteri dell'organizzazione, seleziona Limita l'utilizzo del servizio di risorse.

  3. Fai clic su Modifica.

  4. Nella sezione Applicabile a, seleziona Personalizza.

  5. In Applicazione delle norme, scegli come applicare l'ereditarietà a questo criterio.

    1. Se vuoi ereditare il criterio dell'organizzazione della risorsa principale e unirla a questa, seleziona Unisci con la risorsa principale.

    2. Se vuoi eseguire l'override dei criteri dell'organizzazione esistenti, seleziona Sostituisci.

  6. In Valori dei criteri, seleziona Personalizzato.

  7. In Tipo di criterio, seleziona Rifiuta per la lista bloccata o Consenti per la lista consentita.

  8. In Valori personalizzati, aggiungi il servizio che vuoi bloccare o consentire nell'elenco.

    1. Ad esempio, per bloccare Cloud Storage, puoi inserire storage.googleapis.com.

    2. Per aggiungere altri servizi, fai clic su Nuovo valore del criterio.

    Inserimento dei valori del servizio nell'elenco degli elementi non consentiti

  9. Sul lato destro della pagina, rivedi il riepilogo delle norme.

  10. Per applicare il criterio, fai clic su Salva.

gcloud

I criteri dell'organizzazione possono essere impostati tramite l'interfaccia a riga di comando di Google Cloud. Per applicare un criterio dell'organizzazione che include il vincolo Limita l'utilizzo dei servizi di risorse, crea prima un file YAML con il criterio da aggiornare:

$ cat /tmp/policy.yaml
constraint: constraints/gcp.restrictServiceUsage
  list_policy:
  denied_values:
    - file.googleapis.com
    - bigquery.googleapis.com
    - storage.googleapis.com

Per impostare questo criterio su una risorsa, esegui il comando seguente :

gcloud beta resource-manager org-policies set-policy \
    --project='PROJECT_ID' /tmp/policy.yaml

Dove:

  • PROJECT_ID è l'ID progetto della risorsa a cui vuoi applicare questo criterio dell'organizzazione.

Per saperne di più sull'uso dei vincoli nei criteri dell'organizzazione, vedi Utilizzo dei vincoli.

Messaggio di errore

Se imposti un criterio dell'organizzazione per rifiutare il servizio A nella gerarchia della risorsa B, quando un client prova a utilizzare il servizio A nella gerarchia delle risorse B, l'operazione non riesce. Viene restituito un errore che descrive il motivo dell'errore. Inoltre, viene generata una voce AuditLog per ulteriori operazioni di monitoraggio, avviso o debug.

Esempio di messaggio di errore

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Esempi di audit log di Cloud

Screenshot della voce di log di controllo di esempio