Limitazione dell'utilizzo delle risorse

Questa pagina fornisce una panoramica del vincolo del criterio dell'organizzazione Limita l'utilizzo dei servizi delle risorse, che consente agli amministratori aziendali di controllare quali servizi Google Cloud possono essere utilizzati all'interno della loro gerarchia delle risorse Google Cloud. Questo vincolo può essere applicato solo ai servizi con risorse che sono i discendenti diretti di un'organizzazione, una cartella o una risorsa del progetto. ad esempio Compute Engine e Cloud Storage.

Il vincolo Limita l'utilizzo dei servizi delle risorse esclude e non funziona con determinati servizi che sono dipendenze essenziali per i prodotti Google Cloud, come Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring. Per l'elenco dei servizi di risorse cloud supportati da questo vincolo, vedi Limitazione dei servizi supportati per l'utilizzo delle risorse.

Gli amministratori possono utilizzare questo vincolo per definire restrizioni gerarchiche per i servizi di risorse Google Cloud consentiti all'interno di un container di risorse, ad esempio un'organizzazione, una cartella o un progetto. Ad esempio, consenti storage.googleapis.com all'interno del progetto X o rifiuta compute.googleapis.com nella cartella Y.

Il vincolo Limita l'utilizzo del servizio delle risorse può essere utilizzato in due modi che si escludono a vicenda:

  • Lista bloccata: le risorse di qualsiasi servizio non negato sono consentite.

  • Lista consentita: le risorse di qualsiasi servizio non consentito vengono negate.

Il vincolo Limita l'utilizzo del servizio delle risorse controlla l'accesso in fase di runtime a tutte le risorse nell'ambito. Quando il criterio dell'organizzazione contenente questo vincolo viene aggiornato, viene applicato immediatamente a tutti gli accessi a tutte le risorse nell'ambito del criterio, con coerenza finale.

Consigliamo agli amministratori di gestire con attenzione gli aggiornamenti dei criteri dell'organizzazione che contengono questo vincolo. Puoi implementare in modo più sicuro questa modifica del criterio utilizzando i tag per applicare il vincolo in modo condizionale. Per ulteriori informazioni, consulta Impostazione di un criterio dell'organizzazione con tag.

Quando un servizio è limitato da questo criterio, verranno limitati anche alcuni servizi Google Cloud che hanno una dipendenza diretta dal servizio limitato. Questo vale solo per i servizi che gestiscono le stesse risorse dei clienti. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza da Compute Engine. Quando Compute Engine è limitato, anche GKE è limitato.

Utilizzo del vincolo Limita l'utilizzo del servizio risorse

I vincoli dei criteri dell'organizzazione possono essere impostati a livello di organizzazione, cartella e progetto. Ogni criterio si applica a tutte le risorse all'interno della corrispondente gerarchia delle risorse, ma può essere sostituito a livelli inferiori nella gerarchia delle risorse.

Per ulteriori informazioni sulla valutazione dei criteri, consulta Informazioni sulla valutazione della gerarchia.

Impostazione del criterio dell'organizzazione

Per impostare, modificare o eliminare un criterio dell'organizzazione, devi avere il ruolo Amministratore criteri organizzazione.

Console

Per impostare un criterio dell'organizzazione che includa un vincolo di limitazione dell'utilizzo del servizio delle risorse, segui questi passaggi:

  1. Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.

Vai a Criteri dell'organizzazione

  1. Nel selettore dei progetti nella parte superiore dello schermo, seleziona la risorsa per cui vuoi impostare il criterio.

  2. Nella tabella dei criteri dell'organizzazione, seleziona Limita l'utilizzo del servizio risorse.

  3. Fai clic su Modifica.

  4. Nella sezione Applicabile a, seleziona Personalizza.

  5. In Applicazione dei criteri, scegli come applicare l'ereditarietà a questo criterio.

    1. Se vuoi ereditare il criterio dell'organizzazione della risorsa padre e unirlo a questa, seleziona Unisci con padre.

    2. Se vuoi eseguire l'override dei criteri dell'organizzazione esistenti, seleziona Sostituisci.

  6. In Valori criterio, seleziona Personalizzato.

  7. In Tipo di criterio, seleziona Rifiuta per la lista bloccata o Consenti per quella lista consentita.

  8. In Valori personalizzati, aggiungi all'elenco il servizio che vuoi bloccare o consentire.

    1. Ad esempio, per bloccare Cloud Storage, puoi inserire storage.googleapis.com.

    2. Per aggiungere altri servizi, fai clic su Nuovo valore del criterio.

    Inserimento dei valori del servizio nell'elenco dei servizi rifiutati

  9. Sul lato destro della pagina, consulta il riepilogo delle norme.

  10. Per applicare il criterio, fai clic su Salva.

gcloud

I criteri dell'organizzazione possono essere impostati tramite Google Cloud CLI. Per applicare un criterio dell'organizzazione che includa il vincolo Limita l'utilizzo del servizio risorse, crea prima un file YAML con il criterio da aggiornare:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
   rules:
   - values:
       deniedValues:
       - file.googleapis.com
       - bigquery.googleapis.com
       - storage.googleapis.com

Sostituisci ORGANIZATION_ID con l'ID della risorsa dell'organizzazione. Per impostare questo criterio su una risorsa, esegui questo comando:

gcloud beta resource-manager org-policies set-policy \
  --project='PROJECT_ID' /tmp/policy.yaml

Sostituisci PROJECT_ID con l'ID progetto della risorsa su cui vuoi applicare questo criterio dell'organizzazione.

Per saperne di più sull'utilizzo dei vincoli nei criteri dell'organizzazione, consulta Utilizzo dei vincoli.

Limitazione delle risorse senza tag

Puoi utilizzare tag e criteri dell'organizzazione condizionali per limitare le risorse che non utilizzano un determinato tag. Se imposti un criterio dell'organizzazione su una risorsa che limita i servizi e lo rende condizionale alla presenza di un tag, nessuna risorsa figlio derivata da quella risorsa può essere utilizzata, a meno che non sia stata contrassegnata con tag. In questo modo, le risorse devono essere configurate in conformità con il piano di governance prima di poter essere utilizzate.

Per limitare le risorse di organizzazioni, cartelle o progetti senza tag, puoi utilizzare l'operatore logico ! in una query condizionale durante la creazione del criterio dell'organizzazione.

Ad esempio, per consentire l'utilizzo di sqladmin.googleapis.com solo nei progetti con il tag sqladmin=enabled, puoi creare un criterio dell'organizzazione che nega sqladmin.googleapis.com per i progetti che non hanno il tag sqladmin=enabled.

  1. Crea un tag che identifica se alle risorse è stata applicata la governance adeguata. Ad esempio, potresti creare un tag con la chiave sqlAdmin e il valore enabled per indicare che questa risorsa deve consentire l'utilizzo dell'API Cloud SQL Admin. Ad esempio:

    Creazione di una chiave e di un valore tag

  2. Fai clic sul nome del tag appena creato. Per creare una condizione, nei passaggi successivi devi avere il nome con spazio dei nomi della chiave tag, elencato in Percorso chiave tag.

  3. Crea un criterio dell'organizzazione Limita l'utilizzo del servizio risorse a livello di risorsa dell'organizzazione per negare l'accesso all'API Cloud SQL Admin. Ad esempio:

    Creazione di un criterio dell'organizzazione per la limitazione delle risorse

  4. Aggiungi una condizione al criterio dell'organizzazione riportato sopra, specificando che il criterio viene applicato in caso di assenza del tag di governance. L'operatore logico NOT non è supportato dal generatore di condizioni, quindi questa condizione deve essere incorporata nell'editor delle condizioni. Ad esempio:

    Creare un criterio dell'organizzazione condizionale

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Ora, il tag sqlAdmin=enabled deve essere associato o ereditato da un progetto prima che gli sviluppatori possano utilizzare l'API Cloud SQL Admin con il progetto.

Per ulteriori informazioni sulla creazione di criteri condizionali dell'organizzazione, consulta Impostazione di un criterio dell'organizzazione con tag.

Crea un criterio dell'organizzazione di prova

Un criterio dell'organizzazione di prova è un tipo di criterio dell'organizzazione in cui le violazioni del criterio vengono registrate da un controllo, ma le azioni in violazione non vengono rifiutate. Puoi creare un criterio dell'organizzazione di prova utilizzando il vincolo Limita l'utilizzo del servizio delle risorse per monitorare l'impatto sulla tua organizzazione prima di applicare il criterio attivo. Per ulteriori informazioni, consulta Creare un criterio dell'organizzazione di prova.

Messaggio di errore

Se imposti un criterio dell'organizzazione per negare il servizio A nella gerarchia delle risorse B, l'operazione non va a buon fine quando un client tenta di utilizzare il servizio A nella gerarchia di risorse B. Viene restituito un errore che descrive il motivo dell'errore. Inoltre, viene generata una voce AuditLog per ulteriori monitoraggio, avvisi o debug.

Esempio di messaggio di errore

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Esempi di audit log di Cloud

Screenshot di esempio di una voce di log di controllo