Die Namen einiger Assured Workload-Kontrollpakete ändern sich. Informationen zur Namensänderung finden Sie im Hinweis zum Umbenennen von Steuerpaketen.

Diese Seite wurde von der Cloud Translation API übersetzt.

Ressourcennutzung für Arbeitslasten einschränken

Auf dieser Seite wird erläutert, wie Sie Einschränkungen für nicht konforme Ressourcen in Assured Workloads-Ordnern aktivieren oder deaktivieren. Standardmäßig wird im Steuerpaket jedes Ordners festgelegt, welche Produkte unterstützt und damit welche Ressourcen verwendet werden können. Diese Funktion wird durch die Einschränkung gcp.restrictServiceUsage der Organisationsrichtlinie erzwungen, die beim Erstellen des Ordners automatisch angewendet wird.

Hinweise

Erforderliche IAM-Rollen

Zum Ändern von Einschränkungen der Ressourcennutzung muss dem Aufrufer IAM-Berechtigungen (Identity and Access Management) gewährt werden. Dazu kann entweder eine vordefinierte Rolle mit einer größeren Anzahl von Berechtigungen oder eine benutzerdefinierte Rolle verwendet werden, die auf die minimal erforderlichen Berechtigungen beschränkt ist.

Für die Ziel-Arbeitslast sind die folgenden Berechtigungen erforderlich:

assuredworkloads.workload.update
orgpolicy.policy.set

Diese Berechtigungen sind in den folgenden zwei Rollen enthalten:

Assured Workloads-Administrator (roles/assuredworkloads.admin)
Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)

Weitere Informationen zu Rollen für Assured Workloads finden Sie unter IAM-Rollen.

Einschränkungen für die Ressourcennutzung aktivieren

Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu aktivieren: Mit diesem Befehl werden Einschränkungen auf den Assured Workloads-Ordner gemäß den unterstützten Diensten des Steuerpakets angewendet:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

Wenn Sie das Google Cloud SDK in Ihrer Umgebung installiert haben und authentifiziert sind, können Sie den Befehl gcloud auth print-access-token verwenden: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B.: https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud Organisation, z. B.: 12321311
WORKLOAD_LOCATION: Der Speicherort der Arbeitslast, z. B.: us-central1
WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B.: 00-c25febb1-f3c1-4f19-8965-a25

Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Bei Erfolg ist die Antwort leer.

Einschränkung zur Ressourcennutzung deaktivieren

Führen Sie den folgenden Befehl aus, um die Einschränkung der Ressourcennutzung für eine Arbeitslast zu deaktivieren: Mit diesem Befehl werden alle Dienst- und Ressourceneinschränkungen für den Ordner „Assured Workloads“ entfernt:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

TOKEN: Das Authentifizierungstoken für die Anfrage, z. B.: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

Wenn Sie das Google Cloud SDK in Ihrer Umgebung installiert haben und authentifiziert sind, können Sie den Befehl gcloud auth print-access-token verwenden: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \
SERVICE_ENDPOINT: Der gewünschte Dienstendpunkt, z. B.: https://us-central1-assuredworkloads.googleapis.com
ORGANIZATION_ID: Die eindeutige Kennung der Google Cloud Organisation, z. B.: 12321311
WORKLOAD_LOCATION: Der Speicherort der Arbeitslast, z. B.: us-central1
WORKLOAD_ID: Die eindeutige Kennung der Arbeitslast, z. B.: 00-c25febb1-f3c1-4f19-8965-a25

Nachdem Sie die Platzhalterwerte ersetzt haben, sollte Ihre Anfrage in etwa so aussehen:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Bei Erfolg ist die Antwort leer.

Unterstützte und nicht unterstützte Produkte

Die Tabellen in diesem Abschnitt enthalten unterstützte und nicht unterstützte Produkte für verschiedene Kontrollpakete. Wenn Sie die Standardeinschränkungen für die Ressourcennutzung aktivieren, können nur die unterstützten Produkte verwendet werden. Wenn Sie die Einschränkungen der Ressourcennutzung deaktivieren, können sowohl unterstützte als auch nicht unterstützte Produkte verwendet werden.

Datengrenze für FedRAMP Moderate

Endpunkt	Unterstützte Produkte	Nicht unterstützte Produkte
`aiplatform.googleapis.com`	Vertex AI	AI Platform Training und Prediction API

Datengrenze für FedRAMP High

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte

compute.googleapis.com


Compute Engine
Persistent Disk


AI Platform Training und Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen

Datengrenze für Criminal Justice Information Services (CJIS)

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte

accesscontextmanager.googleapis.com


VPC Service Controls


Access Context Manager

compute.googleapis.com


Virtual Private Cloud
Persistent Disk
Compute Engine


Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

Datengrenze für Impact Level 4 (IL4)

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte

compute.googleapis.com


Compute Engine
Persistent Disk


AI Platform Training und Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

Datengrenze und Support für die USA

Endpunkt Unterstützte Produkte Nicht unterstützte Produkte

accesscontextmanager.googleapis.com


VPC Service Controls


Access Context Manager

compute.googleapis.com


Virtual Private Cloud
Persistent Disk
Compute Engine


Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Netzwerkdienststufen

cloudkms.googleapis.com


Cloud Key Management Service


Cloud HSM

Dienstendpunkte

In diesem Abschnitt werden die API-Endpunkte aufgeführt, die nicht blockiert werden, nachdem Sie die Einschränkung zur Ressourcennutzung aktiviert haben.

API-Name	Endpunkt-URL
Cloud Asset API	`cloudasset.googleapis.com`
Cloud Logging API	`logging.googleapis.com`
Service Control	`servicecontrol.googleapis.com`
Cloud Monitoring API	`monitoring.googleapis.com`
Google Cloud Observability	`stackdriver.googleapis.com`
Security Token Service API	`sts.googleapis.com`
Identity and Access Management API	`iam.googleapis.com`
Cloud Resource Manager API	`cloudresourcemanager.googleapis.com`
Advisory Notifications API	`advisorynotifications.googleapis.com`
IAM Service Account Credentials API	`iamcredentials.googleapis.com`
Organization Policy Service API	`orgpolicy.googleapis.com`
Policy Troubleshooter API	`policytroubleshooter.googleapis.com`
Netzwerktelemetrie-API	`networktelemetry.googleapis.com`
Service Usage API	`serviceusage.googleapis.com`
Service Networking API	`servicenetworking.googleapis.com`
Cloud Billing API	`cloudbilling.googleapis.com`
Service Management API	`servicemanagement.googleapis.com`
Identity Toolkit API	`identitytoolkit.googleapis.com`
Access Context Manager API	`accesscontextmanager.googleapis.com`
Service Consumer Management API	`serviceconsumermanagement.googleapis.com`

Nächste Schritte

Weitere Informationen finden Sie in der Liste der Dienste, die die Einschränkung der Ressourcennutzung nicht unterstützen.
Hier erfahren Sie, welche Produkte für jedes Steuerelementpaket unterstützt werden.