Endpunktnutzung einschränken

Auf dieser Seite finden Sie eine Übersicht über die Einschränkung der Organisationsrichtlinie zum Beschränken der Endpunktnutzung. Mit dieser können Unternehmensadministratoren steuern, welche Google Cloud API-Endpunkte in ihrer Google Cloud Ressourcenhierarchie verwendet werden können.

Administratoren können diese Einschränkung verwenden, um hierarchische Einschränkungen für zulässige Google Cloud API-Endpunkte wie globale, standortbezogene oder regionale Endpunkte zu definieren. Sie können ein Projekt beispielsweise so konfigurieren, dass Anfragen an den globalen bigquery.googleapis.com-Endpunkt abgelehnt, Anfragen an den Standortendpunkt LOCATION-biguery.googleapis.com aber zugelassen werden. Durch die Einschränkung der Nutzung globaler API-Endpunkt können Organisationen Compliance-Anforderungen erfüllen, indem sie dafür sorgen, dass nur zulässige standortbezogene oder regionale Endpunkte verwendet werden.

Die Einschränkung „Endpunktnutzung einschränken“ wird mit einer Sperrliste festgelegt. So sind Anfragen an alle API-Endpunkte unterstützter Dienste zulässig, die nicht ausdrücklich abgelehnt werden.

Diese Einschränkung steuert den Laufzeitzugriff auf alle im Geltungsbereich befindlichen Ressourcen. Wenn die Organisationsrichtlinie, die diese Einschränkung enthält, aktualisiert wird, gilt sie sofort für alle Ressourcen im Geltungsbereich der Richtlinie.

Wir empfehlen Administratoren, Updates für Organisationsrichtlinien mit dieser Einschränkung sorgfältig zu verwalten. Sie sollten die Richtlinie beispielsweise im Probelaufmodus festlegen, um zu sehen, wie sich eine Richtlinienänderung auf Ihre vorhandenen Workflows auswirken würde, bevor sie erzwungen wird.

API-Endpunkttypen

Ein API-Endpunkt (oder Dienstendpunkt) ist eine URL, die die Netzwerkadresse eines Google Cloud API-Dienstes wie bigquery.googleapis.com angibt. Google Cloud -Dienste ermöglichen den Zugriff auf Ressourcen über verschiedene Arten von API-Endpunkten, einschließlich globaler, standortbezogener und regionaler Endpunkte. Ob und wie ein bestimmter Typ unterstützt wird, hängt vom jeweiligen Dienst ab.

• Bei globalen API-Endpunkten wird der Standort nicht im URL-Hostnamen angegeben. Beispiel:

  • storage.googleapis.com
  • content-bigqueryconnection.googleapis.com
  • bigquerydatatransfer.mtls.googleapis.com
  • logging.googleapis.com

  Diese global gültigen Endpunkte bieten hoch verfügbare Dienstendpunkte, die die TLS-Sitzung so nah wie möglich am Client beenden. Dadurch wird die Latenz beim Ausführen von API-Aufrufen von einer verteilten Clientpopulation über das Internet minimiert.

• Bei standortbezogenen API-Endpunkten wird der Standort im URL-Hostnamen angegeben. Beispiel:

  • us-storage.googleapis.com
  • content-us-west3-bigqueryconnection.googleapis.com
  • us-west1-bigquerydatatransfer.mtls.googleapis.com
  • us-central1-logging.googleapis.com

  Diese Standortendpunkte bieten Vorteile für Kunden, die standortspezifische Dienste nutzen müssen und dafür sorgen möchten, dass Daten bei der Übertragung an einem bestimmten Ort bleiben, wenn sie über eine private Verbindung darauf zugreifen.

• Bei regionalen API-Endpunkten wird der Standort als Unterdomain angegeben. Beispiel:

  • storage.us-east2.rep.googleapis.com
  • content-bigqueryconnection.us-west3.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.mtls.googleapis.com
  • logging.us-central1.rep.googleapis.com

  Diese regionalen Endpunkte bieten die größten Vorteile für Kunden, die standortspezifische Dienste nutzen müssen und dafür sorgen möchten, dass sich Daten während der Übertragung an einem bestimmten Ort befinden, wenn sie entweder über eine private Verbindung oder das öffentliche Internet darauf zugreifen.

Beschränkungen

Mit der Einschränkung „Endpunktnutzung einschränken“ wird festgelegt, ob bestimmte API-Endpunkte für den Zugriff auf Ihre Ressourcen verwendet werden dürfen. Sie darf nicht mit anderen ähnlichen Einschränkungen verwechselt werden, z. B.:

• Beschränkung für Ressourcenstandorte, mit der festgelegt wird, wo Ressourcen erstellt werden können oder nicht.
• Einschränkung „Ressourcendienstnutzung einschränken“, mit der festgelegt wird, welche Ressourcendienste verwendet werden können.

Damit die vorhandene Bereitstellungsinfrastruktur intakt bleibt, empfiehlt es sich, sämtliche neuen Richtlinien an Projekten und Ordnern außerhalb der Produktion zu testen und erst danach allmählich innerhalb der Organisation anzuwenden.

Die Einschränkung der Ressourcenstandorte gilt für bestimmte Produkte und Ressourcentypen. Eine Liste der unterstützten Dienste und weitere Informationen zum Verhalten der einzelnen Dienste finden Sie im Abschnitt Unterstützte API-Endpunkte.

Informationen zur Zusicherung eines bestimmten Datenspeichers finden Sie in den Google Cloud Nutzungsbedingungen sowie den dienstspezifischen Nutzungsbedingungen. Organisationsrichtlinien, die die Einschränkung „Endpunktnutzung einschränken“ enthalten, sind keine Zusicherungen eines bestimmten Datenspeichers.

Organisationsrichtlinie festlegen

Zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien müssen Sie die Rolle Administrator für Unternehmensrichtlinien haben.

Einschränkungen für Organisationsrichtlinien können auf Organisations-, Ordner- und Projektebene festgelegt werden. Jede Richtlinie gilt für alle Ressourcen innerhalb der entsprechenden Ressourcenhierarchie, kann aber auf einer niedrigeren Ebene in der Ressourcenhierarchie überschrieben werden.

Weitere Informationen zur Richtlinienauswertung finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Die Einschränkung „Endpunktnutzung einschränken“ ist eine Listeneinschränkung. Sie haben die Möglichkeit, Endpunkte zu den Listen denied_values der Einschränkung hinzuzufügen und daraus zu entfernen.

constraint: constraints/gcp.restrictEndpointUsage
listPolicy:
    deniedValues:
    - storage.googleapis.com
    - content-bigqueryreservation.googleapis.com
    - bigquerystorage.mtls.googleapis.com
    - logging.googleapis.com

gcloud resource-manager org-policies set-policy \
--RESOURCE_TYPE='RESOURCE_ID' /tmp/policy.yaml

constraint: constraints/gcp.restrictEndpointUsage
etag: CKCRl6oGEPjG-tMB
listPolicy:
  deniedValues:
  - storage.googleapis.com
  - content-bigqueryreservation.googleapis.com
  - bigquerystorage.mtls.googleapis.com
  - logging.googleapis.com
updateTime: '2023-11-04T04:29:20.444507Z'

Wenn bei einer Anfrage an einen abgelehnten API-Endpunkt versucht wird, auf eine Ressource zuzugreifen, schlägt die Anfrage fehl und es wird eine Fehlermeldung zurückgegeben, die den Grund für diesen Fehler beschreibt.

Organisationsrichtlinie im Probelaufmodus erstellen

Eine Organisationsrichtlinie im Probelaufmodus ist eine Art von Organisationsrichtlinie, bei der Verstöße gegen die Richtlinie im Audit-Log protokolliert, die betreffenden Aktionen aber nicht abgelehnt werden. Sie können eine Organisationsrichtlinie im Modus „Probelauf“ mit der Einschränkung Endpunktnutzung einschränken erstellen, um zu sehen, wie sich die Richtlinie auf Ihre Organisation auswirkt, bevor Sie sie erzwingen. Weitere Informationen finden Sie unter Organisationsrichtlinie im Modus „Probelauf“ erstellen.

Fehlermeldung

Wenn Sie eine Organisationsrichtlinie festlegen, um einen Endpunkt abzulehnen, schlagen Vorgänge mit diesem Endpunkt in Ihrer Ressourcenhierarchie fehl. Es wird eine Fehlermeldung zurückgegeben, die den Grund für diesen Fehler beschreibt. Außerdem wird ein Audit-Log-Eintrag zur weiteren Überwachung, Benachrichtigung oder Fehlerbehebung generiert.

Beispiel für Fehlermeldung

Im folgenden Beispiel schlägt eine curl-Anfrage mit dem API-Endpunkt storage.googleapis.com aufgrund der Richtlinienerzwingung fehl:

curl -X GET \
-H "Authorization: Bearer OAUTH2_TOKEN" \
-o "SAVE_TO_LOCATION" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media"

Access to projects/foo-123 through endpoint storage.googleapis.com was denied by
the constraints/gcp.endpointUsageRestriction organization policy constraint. To
access this resource, please use an allowed endpoint.

Beispiel für einen Audit-Logeintrag

Im folgenden Beispiel für einen Audit-Logeintrag wird gezeigt, wann der Zugriff auf eine Ressource abgelehnt wird:

{
  logName: "projects/my-projectid/logs/cloudaudit.googleapis.com%2Fpolicy"
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    status: {
      code: 7
      message: "Access to projects/my-projectid through endpoint bigquery.googleapis.com was denied by the constraints/gcp.restrictEndpointUsage organization policy constraint. To access this resource, please use an allowed endpoint."
    }
    serviceName: "bigquery.googleapis.com"
    methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll"
    resourceName: "projects/my-projectid"
    authenticationInfo: {
      principalEmail: "user_or_service_account@example.com"
    }
  }
  requestMetadata: {
    callerIp: "123.123.123.123"
  }
  policyViolationInfo: {
    orgPolicyViolationInfo: {
      violationInfo: [
        {
          constraint: "constraints/gcp.restrictEndpointUsage"
          checkedValue: "bigquery.googleapis.com"
          policyType: LIST_CONSTRAINT
        }
      ]
    }
  }
  resource: {
    type: "audited_resource"
    labels: {
      project_id: "224034263908"
      method: "google.cloud.bigquery.v2.TableDataService.InsertAll"
      service: "bigquery.googleapis.com"
    }
  }
  severity: "ERROR"
  timestamp: "2024-12-05T01:15:30.332519510Z"
  receiveTimestamp: "2024-08-15T17:55:01.159788588Z"
  insertId: "42"
}

Unterstützte API-Endpunkte

Die folgenden API-Endpunkte werden von der Einschränkung „Endpunktnutzung einschränken“ unterstützt:

Wertgruppen

Wertgruppen sind von Google ausgewählte Gruppen- und API-Endpunkte, die das Definieren von Endpunkteinschränkungen vereinfachen. Wertgruppen umfassen zahlreiche zugehörige API-Endpunkte und werden von Google im Lauf der Zeit erweitert, ohne dass eine Anpassung Ihrer Organisationsrichtlinie erforderlich ist.

Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran. Weitere Informationen zum Verwenden von Wertpräfixen finden Sie in diesem Artikel. Gruppennamen werden beim Festlegen der Organisationsrichtlinie überprüft. Wenn Sie einen ungültigen Gruppennamen verwenden, schlägt die Richtlinieneinstellung fehl.

In der folgenden Tabelle sind die aktuellen verfügbaren Gruppen aufgeführt: