Ressourcennutzung einschränken

Diese Seite bietet eine Übersicht über die Ressourcennutzungseinschränkung (RUR), die eine Governance-Richtlinie darstellt, mit der Unternehmensadministratoren steuern können, welche Google Cloud-Ressourcendienste in ihrer Google Cloud-Ressourcenhierarchie verwendet werden können. RUR gilt derzeit nur für Dienste, die direkt Kundenressourcen verwalten, wie z. B. Compute Engine und Cloud Storage. RUR schließt gemeinsam genutzte Google Cloud-Infrastrukturdienste wie Identity and Access Management (IAM), Cloud Logging und Cloud Monitoring aus.

Die RUR-Richtlinie ist als Organisationsrichtlinieneinschränkung mit dem Namen Ressourcendienstnutzung einschränken implementiert. Administratoren können diese Einschränkung verwenden, um hierarchische Einschränkungen für zulässige Google Cloud-Ressourcendienste innerhalb eines Ressourcencontainers wie einer Organisation, einem Ordner oder einem Projekt zu definieren. Lassen Sie beispielsweise storage.googleapis.com in Projekt X zu oder verweigern Sie compute.googleapis.com im Ordner Y.

Die Einschränkung Ressourcendienstnutzung einschränken kann auf zwei Arten verwendet werden:

  • Sperrliste: Alle Ressourcen eines Dienstes, der nicht abgelehnt wird, sind zulässig.

  • Zulassungsliste: Ressourcen eines nicht zulässigen Dienstes werden abgelehnt.

Eine Liste der Dienste, die diese Einschränkung unterstützen, finden Sie unter Unterstützte Dienste für die Einschränkung der Ressourcennutzung.

Die Einschränkung Ressourcendienstnutzung einschränken steuert den Laufzeitzugriff auf alle im Geltungsbereich befindlichen Ressourcen. Wenn eine RUR-Richtlinie aktualisiert wird, gilt sie sofort für den gesamten Zugriff auf alle Ressourcen im Geltungsbereich der Richtlinie. Wir empfehlen Administratoren, Updates für RUR-Richtlinien sorgfältig zu verwalten. Sie können diese Richtlinienänderung sicherer einführen, indem Sie Tags verwenden, um die Einschränkung bedingt zu erzwingen. Weitere Informationen finden Sie unter Organisationsrichtlinie mit Tags festlegen.

Einschränkung "Ressourcendienstnutzung einschränken" verwenden

RUR-Richtlinien sind Einschränkungen für Organisationsrichtlinien, die auf Organisations-, Ordner- und Projektebene festgelegt werden können. Jede Richtlinie gilt für alle Ressourcen innerhalb der entsprechenden Ressourcenhierarchie, kann aber auf einer niedrigeren Ebene in der Ressourcenhierarchie überschrieben werden.

Weitere Informationen zur Richtlinienauswertung finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Organisationsrichtlinie festlegen

Zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien müssen Sie die Rolle Administrator für Unternehmensrichtlinien haben.

Console

So legen Sie eine Organisationsrichtlinie fest, die die Einschränkung Ressourcendienstnutzung einschränken enthält:

  1. Rufen Sie in der Google Cloud Console die Seite „Organisationsrichtlinien“ auf.

Zu den Organisationsrichtlinien

  1. Wählen Sie in der Projektauswahl oben in der Ansicht die Ressource aus, für die Sie die Richtlinie festlegen möchten.

  2. Wählen Sie in der Tabelle der Organisationsrichtlinien die Option Ressourcendienstnutzung einschränken aus.

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie unter Gilt für die Option Anpassen aus.

  5. Wählen Sie unter Richtlinienerzwingung aus, wie die Übernahme auf diese Richtlinie angewendet werden soll.

    1. Wenn Sie die Organisationsrichtlinie der übergeordneten Ressource übernehmen und die Richtlinie mit dieser zusammenführen möchten, wählen Sie Mit übergeordneter Ressource zusammenführen aus.

    2. Wenn Sie vorhandene Organisationsrichtlinien überschreiben möchten, wählen Sie Ersetzen aus.

  6. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  7. Wählen Sie unter Richtlinientyp die Option Ablehnen für eine Sperrliste oder Zulassen für eine Zulassungsliste aus.

  8. Fügen Sie unter Benutzerdefinierte Werte der Liste den Dienst hinzu, den Sie blockieren oder zulassen möchten.

    1. Wenn Sie beispielsweise Filestore blockieren möchten, geben Sie file.googleapis.com ein.

    2. Wenn Sie weitere Dienste hinzufügen möchten, klicken Sie auf Neuer Richtlinienwert.

    Eingabe von Dienstwerten in die Ablehnungsliste

  9. Sehen Sie sich rechts auf der Seite die Zusammenfassung der Richtlinie an.

  10. Klicken Sie auf Speichern, um die Richtlinie zu erzwingen.

gcloud

Organisationsrichtlinien können über die Google Cloud-Befehlszeile festgelegt werden. Wenn Sie eine Organisationsrichtlinie erzwingen möchten, die die Einschränkung Nutzung von Ressourcendiensten einschränken enthält, erstellen Sie zuerst eine YAML-Datei mit der zu aktualisierenden Richtlinie:

$ cat /tmp/policy.yaml
constraint: constraints/gcp.restrictServiceUsage
  list_policy:
  denied_values:
    - file.googleapis.com
    - bigquery.googleapis.com
    - storage.googleapis.com

Führen Sie den folgenden Befehl aus, um diese Richtlinie für eine Ressource festzulegen:

gcloud beta resource-manager org-policies set-policy \
    --project='PROJECT_ID' /tmp/policy.yaml

Dabei gilt:

  • PROJECT_ID ist die Projekt-ID der Ressource, für die Sie diese Organisationsrichtlinie erzwingen möchten.

Weitere Informationen zur Verwendung von Einschränkungen in Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.

Fehlermeldung

Wenn Sie eine Organisationsrichtlinie festlegen, um Dienst A in der Ressourcenhierarchie B abzulehnen, oder wenn ein Client versucht, Dienst A in Ressourcenhierarchie B zu verwenden, schlägt der Vorgang fehl. Es wird eine Fehlermeldung zurückgegeben, die den Grund für diesen Fehler beschreibt. Außerdem wird ein Audit-Log-Eintrag zur weiteren Überwachung, Benachrichtigung oder Fehlerbehebung generiert.

Beispiel für Fehlermeldung

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/policy-violation-test attempting to use service
file.googleapis.com.

Beispiele für Cloud-Audit-Logs

Screenshot eines Beispiels für einen Audit-Logeintrag