Ressourcennutzung für Arbeitslasten einschränken
Auf dieser Seite wird erläutert, wie Sie Einschränkungen für nicht konforme
Ressourcen in Assured Workloads-Ordnern. Standardmäßig werden die
Kontrollpaket bestimmt, welche
Produkte unterstützt werden, daher
welche Ressourcen genutzt werden können. Diese Funktion wird durch das
Einschränkung der Organisationsrichtlinie gcp.restrictServiceUsage
die beim Erstellen automatisch auf den Ordner angewendet wird.
Hinweise
Erforderliche IAM-Rollen
Zum Ändern von Einschränkungen der Ressourcennutzung muss dem Aufrufer eine entsprechende Berechtigung erteilt werden IAM-Berechtigungen (Identity and Access Management) mithilfe einer vordefinierte Rolle, die breiteren Berechtigungen oder benutzerdefinierte Rolle, die beschränkt ist auf die mindestens erforderlichen Berechtigungen haben.
Für die Ziel-Arbeitslast sind die folgenden Berechtigungen erforderlich:
assuredworkloads.workload.updateorgpolicy.policy.set
Diese Berechtigungen sind in den folgenden beiden Rollen enthalten:
- Assured Workloads-Administrator
(
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter
(
roles/assuredworkloads.editor)
Weitere Informationen finden Sie unter IAM-Rollen. Informationen zu Rollen für Assured Workloads.
Einschränkungen der Ressourcennutzung aktivieren
Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu aktivieren. Mit diesem Befehl werden Einschränkungen auf den Assured Workloads-Ordner in gemäß den unterstützten Diensten des Kontrollpakets:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:
TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Wenn das Google Cloud SDK in Ihrer Umgebung installiert ist und Sie authentifiziert haben, können Sie den Befehl
gcloud auth print-access-tokenverwenden:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: Das gewünschte Dienstendpunkt, Beispiel:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: Die eindeutige Kennung der Google Cloud-Organisation, z. B.:
12321311WORKLOAD_LOCATION: Der Standort der Arbeitslast, zum Beispiel:
us-central1WORKLOAD_ID: Die eindeutige Kennzeichnung der Arbeitslast, zum Beispiel:
00-c25febb1-f3c1-4f19-8965-a25
Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen: folgendes Beispiel:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Wenn der Vorgang erfolgreich war, ist die Antwort leer.
Einschränkung zur Ressourcennutzung deaktivieren
Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu deaktivieren: Mit diesem Befehl werden alle Dienst- und Ressourceneinschränkungen für die Assured Workloads-Ordner:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:
TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Wenn das Google Cloud SDK in Ihrer Umgebung installiert ist und Sie authentifiziert haben, können Sie den Befehl
gcloud auth print-access-tokenverwenden:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: Das gewünschte Dienstendpunkt, Beispiel:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: Die eindeutige ID der Google Cloud Organisation, z. B.:
12321311WORKLOAD_LOCATION: Der Standort der Arbeitslast, zum Beispiel:
us-central1WORKLOAD_ID: Die eindeutige Kennzeichnung der Arbeitslast, zum Beispiel:
00-c25febb1-f3c1-4f19-8965-a25
Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen: folgendes Beispiel:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Wenn der Vorgang erfolgreich war, ist die Antwort leer.
Unterstützte und nicht unterstützte Produkte
Die Tabellen in diesem Abschnitt enthalten unterstützte und nicht unterstützte Produkte für verschiedene Kontrollpakete. Wenn Sie die Standardressourcennutzung aktivieren können nur die unterstützten Produkte verwendet werden. Wenn Sie Folgendes deaktivieren: Ressourcennutzung eingeschränkt sind, können sowohl unterstützte als auch nicht unterstützte Produkte verwendet.
FedRAMP Moderate
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | AI Platform Training und Prediction API |
FedRAMP High
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Criminal Justice Information Services (CJIS)
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Impact Level 4 (IL4)
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regionen und Support in den USA
| Endpunkt | Unterstützte Produkte | Nicht unterstützte Produkte | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Dienstendpunkte
In diesem Abschnitt werden die API-Endpunkte aufgeführt, die nach der Aktivierung nicht blockiert werden Beschränkung der Ressourcennutzung.
| API-Name | Endpunkt-URL |
|---|---|
| Cloud Asset API | cloudasset.googleapis.com |
| Cloud Logging API | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| Cloud Monitoring API | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| Security Token Service API | sts.googleapis.com |
| Identity and Access Management API | iam.googleapis.com |
| Cloud Resource Manager API | cloudresourcemanager.googleapis.com |
| Advisory Notifications API | advisorynotifications.googleapis.com |
| IAM Service Account Credentials API | iamcredentials.googleapis.com |
| Organization Policy Service API | orgpolicy.googleapis.com |
| Policy Troubleshooter API | policytroubleshooter.googleapis.com |
| Netzwerktelemetrie-API | networktelemetry.googleapis.com |
| Service Usage API | serviceusage.googleapis.com |
| Service Networking API | servicenetworking.googleapis.com |
| Cloud Billing API | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| Identity Toolkit API | identitytoolkit.googleapis.com |
| Access Context Manager API | accesscontextmanager.googleapis.com |
| Service Consumer Management API | serviceconsumermanagement.googleapis.com |
Nächste Schritte
- Weitere Informationen finden Sie in der Liste der Dienste, die die Einschränkung der Ressourcennutzung nicht unterstützen.
- Weitere Informationen zu unterstützten Produkten für jedes Kontrollpaket.