Limitazione dell'utilizzo delle risorse

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina fornisce una panoramica dell'limitazione dei criteri dell'organizzazione a vincolo dei criteri dell'organizzazione, che consente agli amministratori aziendali di controllare quali servizi Google Cloud possono essere utilizzati all'interno della propria gerarchia delle risorse di Google Cloud. Questo vincolo può essere applicato solo ai servizi con risorse che sono i discendenti diretti di un'organizzazione, una cartella o una risorsa di progetto. Ad esempio, Compute Engine e Cloud Storage.

Il vincolo Limita l'utilizzo dei servizi di risorse esclude e non funziona con determinati servizi che sono dipendenze essenziali per i prodotti Google Cloud, come Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring. Per l'elenco dei servizi di risorse del cloud supportati da questo vincolo, consulta Limitazione dei servizi di utilizzo delle risorse supportati.

Gli amministratori possono utilizzare questo vincolo per definire restrizioni gerarchiche per i servizi di risorse Google Cloud consentiti all'interno di un contenitore di risorse, ad esempio un'organizzazione, una cartella o un progetto. Ad esempio, consenti storage.googleapis.com all'interno del progetto X o rifiuta compute.googleapis.com nella cartella Y.

Il vincolo Limita l'utilizzo del servizio di risorse può essere utilizzato in due modi che si escludono a vicenda:

  • Lista bloccata: sono consentite le risorse di qualsiasi servizio non negato.

  • Lista consentita: le risorse di qualsiasi servizio non consentito vengono rifiutate.

Il vincolo Limita l'utilizzo del servizio di risorse controlla l'accesso al runtime a tutte le risorse nell'ambito. Quando il criterio dell'organizzazione contenente questo vincolo viene aggiornato, viene applicato immediatamente a tutti gli accessi a tutte le risorse nell'ambito del criterio, con coerenza finale.

Consigliamo agli amministratori di gestire attentamente gli aggiornamenti dei criteri dell'organizzazione contenenti questo vincolo. Puoi implementare in modo più sicuro questa modifica dei criteri utilizzando i tag per applicare il vincolo in modo condizionale. Per maggiori informazioni, consulta Impostare un criterio dell'organizzazione con i tag.

Quando un servizio è limitato da questo criterio, verranno limitati anche alcuni servizi Google Cloud che hanno una dipendenza diretta dal servizio limitato. Questo vale solo per i servizi che gestiscono le stesse risorse per i clienti. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza da Compute Engine. Quando Compute Engine è limitato, viene applicato anche GKE.

Utilizzo del vincolo Limita utilizzo del servizio risorse

I vincoli dei criteri dell'organizzazione possono essere impostati a livello di organizzazione, cartella e progetto. Ogni criterio viene applicato a tutte le risorse all'interno della gerarchia di risorse corrispondente, ma può essere sostituito a livelli inferiori nella gerarchia delle risorse.

Per ulteriori informazioni sulla valutazione dei criteri, consulta la sezione Informazioni sulla valutazione della gerarchia.

Impostazione del criterio dell'organizzazione

Per impostare, modificare o eliminare un criterio dell'organizzazione, devi disporre del ruolo di Amministratore criteri dell'organizzazione.

Console

Per impostare un criterio dell'organizzazione che includa un vincolo Limita l'utilizzo del servizio di risorse, procedi come segue:

  1. Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.

Vai a Criteri dell'organizzazione

  1. Nel selettore dei progetti nella parte superiore dello schermo, seleziona la risorsa per cui vuoi impostare il criterio.

  2. Nella tabella dei criteri dell'organizzazione, seleziona Limita l'utilizzo del servizio di risorse.

  3. Fai clic su Modifica.

  4. Nella sezione Applicabile a, seleziona Personalizza.

  5. In Applicazione delle norme, scegli come applicare l'ereditarietà a questo criterio.

    1. Se vuoi ereditare il criterio dell'organizzazione della risorsa padre e unirla a questa, seleziona Unisci con l'elemento principale.

    2. Se vuoi eseguire l'override dei criteri dell'organizzazione esistenti, seleziona Sostituisci.

  6. In Valori criterio, seleziona Personalizzato.

  7. In Tipo di criterio, seleziona Rifiuta per la lista bloccata o Consenti per la lista consentita.

  8. In Valori personalizzati, aggiungi il servizio da bloccare o consentire dall'elenco.

    1. Ad esempio, per bloccare Cloud Storage, puoi inserire storage.googleapis.com.

    2. Per aggiungere altri servizi, fai clic su Nuovo valore del criterio.

    Inserimento dei valori del servizio nell'elenco degli utenti rifiutati

  9. Sul lato destro della pagina, esamina il riepilogo delle norme.

  10. Per applicare il criterio, fai clic su Salva.

gcloud

I criteri dell'organizzazione possono essere impostati tramite Google Cloud CLI. Per applicare un criterio dell'organizzazione che include il vincolo Limita l'utilizzo del servizio di risorse, crea prima un file YAML con il criterio da aggiornare:

$ cat /tmp/policy.yaml
constraint: constraints/gcp.restrictServiceUsage
  list_policy:
  denied_values:
    - file.googleapis.com
    - bigquery.googleapis.com
    - storage.googleapis.com

Per impostare questo criterio su una risorsa, esegui il comando seguente :

gcloud beta resource-manager org-policies set-policy \
    --project='PROJECT_ID' /tmp/policy.yaml

Dove:

  • PROJECT_ID è l'ID progetto della risorsa su cui vuoi applicare questo criterio dell'organizzazione.

Per scoprire come utilizzare i vincoli nei criteri dell'organizzazione, consulta Utilizzo dei vincoli.

Messaggio di errore

Se imposti un criterio dell'organizzazione per negare il servizio A all'interno della gerarchia delle risorse B, quando un client tenta di utilizzare il servizio A nella gerarchia delle risorse B, l'operazione non riesce. Viene restituito un errore che descrive il motivo di questo errore. Inoltre, viene generata una voce AuditLog per ulteriori monitoraggio, avvisi o debug.

Esempio di messaggio di errore

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Esempi di audit log di Cloud

Screenshot dell'esempio di voce di log di controllo