Restringe el uso de recursos para las cargas de trabajo

En esta página, se explica cómo habilitar o inhabilitar las restricciones para usuarios que no cumplen con las políticas recursos en las carpetas de Assured Workloads. De forma predeterminada, el nombre de cada carpeta de control determina qué productos admitidos, por lo que determinar qué recursos se pueden usar. Esta funcionalidad se aplica mediante la restricción de la política de la organización gcp.restrictServiceUsage que se aplica automáticamente a la carpeta cuando se crea.

Antes de comenzar

Roles de IAM obligatorios

Para modificar las restricciones de uso de recursos, se debe otorgar al emisor permisos de Identity and Access Management (IAM) con un función predefinida que incluya un conjunto más amplio de permisos o una rol personalizado restringido los permisos mínimos necesarios.

Se requieren los siguientes permisos en el destino carga de trabajo:

• assuredworkloads.workload.update
• orgpolicy.policy.set

Estos permisos están incluidos en las siguientes dos funciones:

• Administrador de Assured Workloads (roles/assuredworkloads.admin)
• Editor de Assured Workloads (roles/assuredworkloads.editor)

Consulta las funciones de IAM para obtener más información sobre los roles de Assured Workloads.

Habilita las restricciones de uso de recursos

Para habilitar la restricción del uso de recursos para una carga de trabajo, ejecuta el siguiente comando. Este comando aplica restricciones en la carpeta de Assured Workloads en según los servicios compatibles del paquete de control:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Reemplaza los siguientes valores de marcador de posición por los tuyos:

• TOKEN: Es el token de autenticación para la solicitud, por ejemplo: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si tienes instalado el SDK de Google Cloud en tu entorno y estás autenticados, puedes usar el comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: El valor deseado extremo de servicio, por ejemplo: https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID: el identificador único de Google Cloud organización, por ejemplo: 12321311

• WORKLOAD_LOCATION: La ubicación de la carga de trabajo, por ejemplo: us-central1

• WORKLOAD_ID: Es el identificador único de la carga de trabajo, por ejemplo: 00-c25febb1-f3c1-4f19-8965-a25

Luego de reemplazar los valores de marcador de posición, tu solicitud debería tener un aspecto similar al siguiente: siguiente ejemplo:

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si se realiza correctamente, la respuesta estará vacía.

Inhabilita la restricción del uso de recursos

Para inhabilitar la restricción del uso de recursos en una carga de trabajo, ejecuta el siguiente comando. Este comando quita de forma eficaz todas las restricciones de servicios y recursos del Carpeta de Assured Workloads:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

Reemplaza los siguientes valores de marcador de posición por los tuyos:

• TOKEN: Es el token de autenticación para la solicitud, por ejemplo: ya29.a0AfB_byDnQW7A2Vr5...tanw0427

  Si tienes instalado el SDK de Google Cloud en tu entorno y estás autenticados, puedes usar el comando gcloud auth print-access-token: -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

• SERVICE_ENDPOINT: El valor deseado extremo de servicio, por ejemplo: https://us-central1-assuredworkloads.googleapis.com

• ORGANIZATION_ID: el identificador único de Google Cloud organización, por ejemplo: 12321311

• WORKLOAD_LOCATION: La ubicación de la carga de trabajo, por ejemplo: us-central1

• WORKLOAD_ID: Es el identificador único de la carga de trabajo, por ejemplo: 00-c25febb1-f3c1-4f19-8965-a25

Luego de reemplazar los valores de marcador de posición, tu solicitud debería tener un aspecto similar al siguiente: siguiente ejemplo:

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

Si se ejecuta de forma correcta, la respuesta estará vacía.

Productos compatibles y no compatibles

En las tablas de esta sección, se incluyen productos compatibles y no admitidos varios paquetes de control. Si habilitas el uso predeterminado de recursos restricciones, solo se podrán usar los productos admitidos. Si inhabilitas de uso de recursos, tanto los productos compatibles como los no admitidos que se usan.

FedRAMP Moderate

FedRAMP High

Servicios de Información de la Justicia Penal (CJIS)

Nivel de impacto 4 (IL4)

Regiones de EE.UU. y compatibilidad

Extremos del servicio

En esta sección, se enumeran los extremos de la API que no se bloquean después de la habilitación restricción de uso de recursos.

¿Qué sigue?

• Consulta la lista de servicios que no admiten la restricción del uso de recursos.
• Consulta qué productos son compatibles para cada paquete de control.