Restringir o uso de recursos para cargas de trabalho
Esta página explica como ativar ou desativar restrições para
recursos nas pastas do Assured Workloads. Por padrão, o arquivo
de controle determina qual
produtos têm suporte, portanto
determinar quais recursos podem ser usados. Essa funcionalidade é aplicada pela
restrição da política da organização gcp.restrictServiceUsage,
que é aplicada automaticamente à pasta quando ela é criada.
Antes de começar
Papéis do IAM obrigatórios
Para modificar as restrições de uso de recursos, o autor da chamada precisa receber permissões do Identity and Access Management (IAM) usando um papel predefinido que inclua um conjunto mais amplo de permissões ou um papel personalizado restrito ao mínimo de permissões necessárias.
As seguintes permissões são necessárias no destino carga de trabalho:
assuredworkloads.workload.updateorgpolicy.policy.set
Essas permissões estão incluídas nos dois papéis a seguir:
- Administrador do Assured Workloads
(
roles/assuredworkloads.admin) - Editor do Assured Workloads
(
roles/assuredworkloads.editor)
Consulte os papéis do IAM para saber mais informações sobre os papéis do Assured Workloads.
Ativar restrições de uso de recursos
Para ativar a restrição de uso de recursos em uma carga de trabalho, execute o comando a seguir. Esse comando aplica restrições à pasta do Assured Workloads no de acordo com os serviços suportados do pacote de controle:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os seguintes valores de marcador pelos seus próprios valores:
TOKEN: o token de autenticação da solicitação, por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se você tiver o SDK Google Cloud instalado no seu ambiente e autenticado, use o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: o endpoint de serviço, Por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo do Google Cloud organização, por exemplo:
12321311WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25
Depois de substituir os valores do marcador de posição, sua solicitação deve ser semelhante à exemplo a seguir:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se bem-sucedido, a resposta ficará vazia.
Desativar restrição de uso de recursos
Para desativar a restrição de uso de recursos para uma carga de trabalho, execute o comando a seguir. Esse comando remove efetivamente todas as restrições de serviços e recursos do Pasta do Assured Workloads:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os seguintes valores de marcador pelos seus próprios valores:
TOKEN: o token de autenticação da solicitação, por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se você tiver o SDK Google Cloud instalado no seu ambiente e estiver autenticado, use o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: o endpoint de serviço, Por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo da organização do Google Cloud, por exemplo,
12321311WORKLOAD_LOCATION: o local da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25
Depois de substituir os valores do marcador de posição, sua solicitação deve ser semelhante à exemplo a seguir:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se bem-sucedido, a resposta vai estar vazia.
Produtos compatíveis e incompatíveis
As tabelas nesta seção incluem produtos compatíveis e incompatíveis para a vários pacotes de controle. Se você ativar o uso de recursos padrão restrições, somente os produtos compatíveis poderão ser usados. Se você desativar restrições de uso de recursos, os produtos com e sem suporte poderão ser usados.
FedRAMP de nível médio
| Endpoint | Produtos compatíveis | Produtos não aceitos |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | Treinamento do AI Platform e API Prediction |
FedRAMP de nível alto
| Endpoint | Produtos compatíveis | Produtos não aceitos | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA
| Endpoint | Produtos compatíveis | Produtos não aceitos | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Nível de impacto 4 (IL4)
| Endpoint | Produtos compatíveis | Produtos não aceitos | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Regiões e suporte dos EUA
| Endpoint | Produtos compatíveis | Produtos não aceitos | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Endpoints de Serviço
Nesta seção, listamos os endpoints de API que não serão bloqueados após a ativação. restrição de uso de recursos.
| Nome da API | URL do endpoint |
|---|---|
| API Cloud Asset | cloudasset.googleapis.com |
| API Cloud Logging | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| API Cloud Monitoring | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| API Security Token Service | sts.googleapis.com |
| API Identity and Access Management | iam.googleapis.com |
| API Cloud Resource Manager | cloudresourcemanager.googleapis.com |
| API Advisory Notifications | advisorynotifications.googleapis.com |
| API IAM Service Account Credentials | iamcredentials.googleapis.com |
| API Organization Policy Service | orgpolicy.googleapis.com |
| API Policy Troubleshooter | policytroubleshooter.googleapis.com |
| API Network Telemetry | networktelemetry.googleapis.com |
| API Service Usage | serviceusage.googleapis.com |
| API Service Networking | servicenetworking.googleapis.com |
| Cloud Billing API | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| API Identity Toolkit | identitytoolkit.googleapis.com |
| API Access Context Manager | accesscontextmanager.googleapis.com |
| API Service Consumer Management | serviceconsumermanagement.googleapis.com |
A seguir
- Veja a lista de serviços que não são compatíveis com a restrição de uso de recursos.
- Saiba quais produtos são aceitos para cada pacote de controle.