Limiter l'utilisation des ressources pour les charges de travail

Cette page explique comment activer ou désactiver les restrictions pour les produits non conformes dans les dossiers Assured Workloads. Par défaut, l'espace de stockage le package de contrôle détermine produits sont acceptés, donc pour déterminer quelles ressources peuvent être utilisées. Cette fonctionnalité est appliquée par la contrainte de règle d'administration gcp.restrictServiceUsage qui est automatiquement appliquée au dossier lors de sa création.

Avant de commencer

Rôles IAM requis

Pour modifier les restrictions d'utilisation des ressources, l'appelant doit disposer d'autorisations IAM (Identity and Access Management) à l'aide d'un rôle prédéfini qui comprend un ensemble d'autorisations plus étendu, ou d'un rôle personnalisé qui est limité aux autorisations minimales nécessaires.

Les autorisations suivantes sont requises sur la charge de travail cible :

• assuredworkloads.workload.update
• orgpolicy.policy.set

Ces autorisations sont incluses dans les deux rôles suivants :

• Administrateur Assured Workloads (roles/assuredworkloads.admin)
• Éditeur Assured Workloads (roles/assuredworkloads.editor)

Pour en savoir plus sur les rôles pour Assured Workloads, consultez la page Rôles IAM.

Activer les restrictions d'utilisation des ressources

Pour activer la restriction d'utilisation des ressources pour une charge de travail, exécutez la commande suivante. Cette commande applique des restrictions au dossier Assured Workloads dans conformément aux services compatibles du package de contrôle:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Remplacez les valeurs d'espace réservé suivantes par les vôtres:

• TOKEN : jeton d'authentification de la requête, par exemple : ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si Google Cloud SDK est installé dans votre environnement authentifié, vous pouvez utiliser la commande gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: valeur souhaitée point de terminaison du service, Par exemple: https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID: identifiant unique de l'instance Google Cloud organisation (par exemple, 12321311)

• WORKLOAD_LOCATION: emplacement de la charge de travail. Par exemple: us-central1

• WORKLOAD_ID: identifiant unique de la charge de travail, par exemple: 00-c25febb1-f3c1-4f19-8965-a25

Une fois que vous avez remplacé les valeurs des espaces réservés, votre requête doit ressembler à l'exemple l'exemple suivant:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si la requête aboutit, la réponse sera vide.

Désactiver la restriction d'utilisation des ressources

Pour désactiver la restriction d'utilisation des ressources pour une charge de travail, exécutez la commande suivante. Cette commande supprime toutes les restrictions liées aux services et aux ressources Dossier Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Remplacez les valeurs d'espace réservé suivantes par les vôtres:

• TOKEN : jeton d'authentification de la requête, par exemple : ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si le SDK Google Cloud est installé dans votre environnement et que vous êtes authentifié, vous pouvez utiliser la commande gcloud auth print-access-token : -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: valeur souhaitée point de terminaison du service, Par exemple: https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID: identifiant unique de l'instance Google Cloud organisation (par exemple, 12321311)

• WORKLOAD_LOCATION: emplacement de la charge de travail. Par exemple: us-central1

• WORKLOAD_ID: identifiant unique de la charge de travail, par exemple: 00-c25febb1-f3c1-4f19-8965-a25

Une fois que vous avez remplacé les valeurs des espaces réservés, votre requête doit ressembler à l'exemple l'exemple suivant:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si la requête aboutit, la réponse sera vide.

Produits compatibles et non compatibles

Les tableaux de cette section présentent les produits compatibles et non compatibles pour divers packages de contrôle. Si vous activez l'utilisation par défaut des ressources des restrictions, seuls les produits compatibles peuvent être utilisés. Si vous désactivez des restrictions d'utilisation des ressources, les produits compatibles et non compatibles peuvent être utilisé.

Niveau d'impact modéré du FedRAMP

Niveau d'impact élevé du FedRAMP

Criminal Justice Information Services (CJIS)

Niveau d'impact 4 (IL4)

Régions et assistance aux États-Unis

Points de terminaison d'un service

Cette section liste les points de terminaison de l'API qui ne sont pas bloqués après l'activation restriction d'utilisation des ressources.

Étape suivante

• Consultez la liste des services non compatibles avec la restriction d'utilisation des ressources.
• Découvrez les produits compatibles pour chaque package de contrôle.