Limitazione dell'utilizzo delle risorse

Questa pagina fornisce una panoramica del vincolo dei criteri dell'organizzazione Limita l'utilizzo dei servizi delle risorse, che consente agli amministratori aziendali di controllare quali servizi Google Cloud possono essere utilizzati all'interno della gerarchia delle risorse Google Cloud. Questo vincolo può essere applicato solo ai servizi con risorse che sono discendenti diretti di un'organizzazione, una cartella o una risorsa di progetto. ad esempio Compute Engine e Cloud Storage.

Il vincolo Limita l'utilizzo del servizio delle risorse esclude e non funziona con determinati servizi che sono dipendenze essenziali per i prodotti Google Cloud, come Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring. Per l'elenco dei servizi di risorse cloud supportati da questo vincolo, vedi Limitazione dei servizi supportati per l'utilizzo delle risorse.

Gli amministratori possono utilizzare questo vincolo per definire restrizioni gerarchiche sui servizi di risorse Google Cloud consentiti all'interno di un container di risorse, ad esempio un'organizzazione, una cartella o un progetto. Ad esempio, consenti storage.googleapis.com all'interno del progetto X o rifiuta compute.googleapis.com all'interno della cartella Y.

Il vincolo Limita l'utilizzo del servizio delle risorse può essere utilizzato in due modi che si escludono a vicenda:

  • Lista bloccata: le risorse di qualsiasi servizio non negato sono consentite.

  • Lista consentita: le risorse di tutti i servizi non consentiti sono negate.

Il vincolo Limita l'utilizzo del servizio delle risorse controlla l'accesso di runtime a tutte le risorse nell'ambito. Quando il criterio dell'organizzazione contenente questo vincolo viene aggiornato, si applica immediatamente a tutti gli accessi a tutte le risorse nell'ambito del criterio, con coerenza finale.

Consigliamo agli amministratori di gestire con attenzione gli aggiornamenti ai criteri dell'organizzazione che contengono questo vincolo. Puoi implementare questa modifica in modo più sicuro utilizzando i tag per applicare il vincolo in modo condizionale. Per maggiori informazioni, consulta Impostare un criterio dell'organizzazione con tag.

Quando un servizio è limitato da questo criterio, anche alcuni servizi Google Cloud che hanno una dipendenza diretta da quel servizio saranno limitati. Questo vale solo per i servizi che gestiscono le stesse risorse dei clienti. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza da Compute Engine. Quando Compute Engine è limitato, anche GKE è limitato.

Utilizzo del vincolo Limita l'utilizzo del servizio delle risorse

I vincoli dei criteri dell'organizzazione possono essere impostati a livello di organizzazione, cartella e progetto. Ogni criterio si applica a tutte le risorse all'interno della corrispondente gerarchia delle risorse, ma può essere sostituito a livelli inferiori nella gerarchia delle risorse.

Per ulteriori informazioni sulla valutazione dei criteri, consulta Informazioni sulla valutazione della gerarchia.

Impostazione del criterio dell'organizzazione

Per impostare, modificare o eliminare un criterio dell'organizzazione, devi avere il ruolo Amministratore criteri organizzazione.

Console

Per impostare un criterio dell'organizzazione che includa un vincolo Limita l'utilizzo del servizio delle risorse, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Dal selettore dei progetti, seleziona la risorsa per la quale vuoi impostare il criterio dell'organizzazione.

  3. Nella tabella dei criteri dell'organizzazione, seleziona Limita l'utilizzo del servizio delle risorse.

  4. Fai clic su Gestisci criterio.

  5. In Si applica a, seleziona Sostituisci criterio della risorsa principale.

  6. In Applicazione dei criteri, scegli come applicare l'ereditarietà a questo criterio.

    1. Se vuoi ereditare il criterio dell'organizzazione della risorsa padre e unirlo a questo, seleziona Unisci con padre.

    2. Se vuoi eseguire l'override dei criteri dell'organizzazione esistenti, seleziona Sostituisci.

  7. Fai clic su Aggiungi una regola.

  8. In Valori del criterio, seleziona Personalizzato.

  9. In Tipo di criterio, seleziona Rifiuta per la lista bloccata o Consenti per la lista consentita.

  10. In Valori personalizzati, aggiungi all'elenco il servizio che vuoi bloccare o consentire.

    1. Ad esempio, per bloccare Cloud Storage, puoi inserire storage.googleapis.com.

    2. Per aggiungere altri servizi, fai clic su Aggiungi valore.

  11. Per applicare il criterio, fai clic su Imposta criterio.

gcloud

I criteri dell'organizzazione possono essere impostati tramite Google Cloud CLI. Per applicare un criterio dell'organizzazione che includa il vincolo Limita l'utilizzo del servizio delle risorse, crea prima un file YAML con il criterio da aggiornare:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
   rules:
   - values:
       deniedValues:
       - file.googleapis.com
       - bigquery.googleapis.com
       - storage.googleapis.com

Sostituisci ORGANIZATION_ID con l'ID della risorsa dell'organizzazione. Per impostare questo criterio su una risorsa, esegui questo comando:

gcloud beta resource-manager org-policies set-policy \
  --project='PROJECT_ID' /tmp/policy.yaml

Sostituisci PROJECT_ID con l'ID progetto della risorsa su cui vuoi applicare questo criterio dell'organizzazione.

Per scoprire di più sull'utilizzo dei vincoli nei criteri dell'organizzazione, consulta Utilizzo dei vincoli.

Limitazione delle risorse senza tag

Puoi utilizzare i tag e i criteri condizionali dell'organizzazione per limitare le risorse che non utilizzano un determinato tag. Se imposti un criterio dell'organizzazione su una risorsa che limita i servizi e lo rende condizionale alla presenza di un tag, non è possibile utilizzare risorse figlio discese da quella risorsa, a meno che non siano state contrassegnate con tag. In questo modo, le risorse devono essere configurate in conformità con il piano di governance prima di poter essere utilizzate.

Per limitare le risorse di organizzazioni, cartelle o progetti senza tag, puoi utilizzare l'operatore logico ! in una query condizionale quando crei il criterio dell'organizzazione.

Ad esempio, per consentire l'utilizzo di sqladmin.googleapis.com solo nei progetti che hanno il tag sqladmin=enabled, puoi creare un criterio dell'organizzazione che nega sqladmin.googleapis.com sui progetti privi del tag sqladmin=enabled.

  1. Crea un tag che identifichi se alle risorse è stata applicata la governance adeguata. Ad esempio, potresti creare un tag con la chiave sqlAdmin e il valore enabled per indicare che questa risorsa deve consentire l'utilizzo dell'API Cloud SQL Admin. Ad esempio:

    Creazione di una chiave e un valore del tag

  2. Fai clic sul nome del tag appena creato. Per creare una condizione, devi avere il nome con spazio dei nomi della chiave tag, indicato in Percorso chiave tag nei passaggi successivi.

  3. Crea un criterio dell'organizzazione Limita l'utilizzo del servizio delle risorse a livello della risorsa dell'organizzazione per negare l'accesso all'API Cloud SQL Admin. Ad esempio:

    Creazione di un criterio dell'organizzazione per la limitazione delle risorse

  4. Aggiungi una condizione al criterio dell'organizzazione sopra riportato, specificando che il criterio viene applicato in assenza del tag di governance. L'operatore logico NOT non è supportato dal generatore di condizioni, quindi questa condizione deve essere incorporata nell'editor delle condizioni. Ad esempio:

    Creare un criterio dell'organizzazione condizionale

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Ora, il tag sqlAdmin=enabled deve essere associato a un progetto o ereditato da questi ultimi affinché gli sviluppatori possano utilizzare l'API Cloud SQL Admin con il progetto.

Per ulteriori informazioni sulla creazione di criteri condizionali dell'organizzazione, consulta Impostare un criterio dell'organizzazione con tag.

Crea un criterio dell'organizzazione in modalità di prova

Un criterio dell'organizzazione in modalità di prova è un tipo di criterio dell'organizzazione in cui le violazioni del criterio vengono registrate, ma le azioni in violazione non vengono negate. Puoi creare un criterio dell'organizzazione in modalità di prova utilizzando il vincolo Limita l'utilizzo del servizio delle risorse per monitorare l'impatto che potrebbe avere sulla tua organizzazione prima di applicare il criterio in tempo reale. Per maggiori informazioni, consulta Creare un criterio dell'organizzazione in modalità di prova.

Messaggio di errore

Se imposti un criterio dell'organizzazione per negare il servizio A nella gerarchia delle risorse B, quando un client tenta di utilizzare il servizio A nella gerarchia delle risorse B, l'operazione non va a buon fine. Viene restituito un errore che descrive il motivo dell'errore. Inoltre, viene generata una voce AuditLog per ulteriori monitoraggio, avvisi o debug.

Esempio di messaggio di errore

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Audit log Cloud di esempio

Screenshot di un esempio di voce di audit log