Restrinja a utilização de recursos para cargas de trabalho
Esta página explica como ativar ou desativar restrições para recursos não conformes em pastas do Assured Workloads. Por predefinição, o pacote de controlo de cada pasta determina que produtos são suportados, determinando assim que recursos podem ser usados. Esta funcionalidade é aplicada pela
gcp.restrictServiceUsage restrição da política da organização
que é aplicada automaticamente na pasta quando é criada.
Antes de começar
Funções de IAM necessárias
Para modificar as restrições de utilização de recursos, o autor da chamada tem de receber autorizações de gestão de identidades e acessos (IAM) através de uma função predefinida que inclua um conjunto mais amplo de autorizações ou uma função personalizada restrita às autorizações mínimas necessárias.
São necessárias as seguintes autorizações na carga de trabalho de destino:
assuredworkloads.workload.updateorgpolicy.policy.set
Estas autorizações estão incluídas nas duas funções seguintes:
- Administrador do Assured Workloads
(
roles/assuredworkloads.admin) - Editor do Assured Workloads
(
roles/assuredworkloads.editor)
Consulte as funções de IAM para mais informações sobre as funções do Assured Workloads.
Ative as restrições de utilização de recursos
Para ativar a restrição de utilização de recursos para uma carga de trabalho, execute o seguinte comando. Este comando aplica restrições à pasta do Assured Workloads de acordo com os serviços suportados do pacote de controlos:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os seguintes valores de marcadores de posição pelos seus:
TOKEN: O token de autenticação para o pedido, por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se tiver o SDK do Google Cloud instalado no seu ambiente e tiver autenticado, pode usar o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: O ponto final do serviço desejado, por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo da organização Google Cloud, por exemplo:
12321311WORKLOAD_LOCATION: a localização da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25
Depois de substituir os valores dos marcadores de posição, o seu pedido deve ser semelhante ao exemplo seguinte:
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se for bem-sucedido, a resposta fica vazia.
Desative a restrição de utilização de recursos
Para desativar a restrição de utilização de recursos para uma carga de trabalho, execute o seguinte comando. Este comando remove efetivamente todas as restrições de serviços e recursos na pasta do Assured Workloads:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
Substitua os seguintes valores de marcadores de posição pelos seus:
TOKEN: O token de autenticação para o pedido, por exemplo:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427Se tiver o SDK do Google Cloud instalado no seu ambiente e tiver autenticado, pode usar o comando
gcloud auth print-access-token:-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: O ponto final do serviço desejado, por exemplo:
https://us-central1-assuredworkloads.googleapis.comORGANIZATION_ID: o identificador exclusivo da organização Google Cloud, por exemplo:
12321311WORKLOAD_LOCATION: a localização da carga de trabalho, por exemplo:
us-central1WORKLOAD_ID: o identificador exclusivo da carga de trabalho, por exemplo:
00-c25febb1-f3c1-4f19-8965-a25
Depois de substituir os valores dos marcadores de posição, o seu pedido deve ser semelhante ao exemplo seguinte:
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
Se for bem-sucedido, a resposta fica vazia.
Produtos suportados e não suportados
As tabelas nesta secção incluem produtos suportados e não suportados para vários pacotes de controlo. Se ativar as restrições de utilização de recursos predefinidas, só pode usar os produtos suportados. Se desativar as restrições de utilização de recursos, pode usar produtos suportados e não suportados.
Limite de dados para FedRAMP Moderate
| Ponto final | Produtos que disponibilizam apoio técnico | Produtos não suportados |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | API AI Platform Training and Prediction |
Limite de dados para FedRAMP High
| Ponto final | Produtos que disponibilizam apoio técnico | Produtos não suportados | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
Limite de dados para os Serviços de informação de justiça criminal (CJIS)
| Ponto final | Produtos que disponibilizam apoio técnico | Produtos não suportados | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Limite de dados para o nível de impacto 4 (IL4)
| Ponto final | Produtos que disponibilizam apoio técnico | Produtos não suportados | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
Apoio técnico e limite de dados dos EUA
| Ponto final | Produtos que disponibilizam apoio técnico | Produtos não suportados | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Pontos finais de serviço
Esta secção apresenta os pontos finais da API que não são bloqueados depois de ativar a restrição de utilização de recursos.
| Nome da API | URL do ponto final |
|---|---|
| Cloud Asset API | cloudasset.googleapis.com |
| Cloud Logging API | logging.googleapis.com |
| Controlo de Serviços | servicecontrol.googleapis.com |
| Cloud Monitoring API | monitoring.googleapis.com |
| Observabilidade do Google Cloud | stackdriver.googleapis.com |
| API Security Token Service | sts.googleapis.com |
| API Identity and Access Management | iam.googleapis.com |
| Cloud Resource Manager API | cloudresourcemanager.googleapis.com |
| API Advisory Notifications | advisorynotifications.googleapis.com |
| API IAM Service Account Credentials | iamcredentials.googleapis.com |
| API Organization Policy Service | orgpolicy.googleapis.com |
| API Policy Troubleshooter | policytroubleshooter.googleapis.com |
| API Network Telemetry | networktelemetry.googleapis.com |
| API Service Usage | serviceusage.googleapis.com |
| API de rede de serviços | servicenetworking.googleapis.com |
| API Cloud Billing | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| API Identity Toolkit | identitytoolkit.googleapis.com |
| API Access Context Manager | accesscontextmanager.googleapis.com |
| API de Gestão de consumidores de serviços | serviceconsumermanagement.googleapis.com |
O que se segue?
- Consulte a lista de serviços que não suportam a restrição de utilização de recursos.
- Saiba que produtos são suportados para cada pacote de controlos.