ワークロードのリソース使用量を制限する
このページでは、Assured Workloads フォルダで非準拠のリソースの制限を有効または無効にする方法について説明します。デフォルトでは、各フォルダのコントロール パッケージによって、サポートされているプロダクトが決定され、使用できるリソースが決まります。この機能は、フォルダの作成時に自動的に適用される gcp.restrictServiceUsage 組織のポリシーの制約によって適用されます。
準備
必要な IAM のロール
リソース使用制限を変更するには、より広範な権限セットを含む事前定義ロール、または必要最小限の権限に制限されたカスタムロールのいずれかを使用して、呼び出し元に Identity and Access Management(IAM)権限を付与する必要があります。
ターゲット ワークロードに対して、次の権限が必要です。
assuredworkloads.workload.updateorgpolicy.policy.set
これらの権限は、次の 2 個のロールに含まれています。
- Assured Workloads 管理者(
roles/assuredworkloads.admin) - Assured Workloads 編集者(
roles/assuredworkloads.editor)
Assured Workloads のロールの詳細については、IAM ロールをご覧ください。
リソース使用量の制限を有効にする
ワークロードのリソース使用量の制限を有効にするには、次のコマンドを実行します。このコマンドは、コントロール パッケージでサポートされているサービスに従って、Assured Workloads フォルダに制限を適用します。
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
次のプレースホルダ値を独自の値に置き換えます。
TOKEN: リクエストの認証トークン(例:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427)。環境に Google Cloud SDK がインストールされていて認証されている場合は、
gcloud auth print-access-tokenコマンドを使用できます。-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: 目的のサービス エンドポイント(例:
https://us-central1-assuredworkloads.googleapis.com)。ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例:
12321311)。WORKLOAD_LOCATION: ワークロードのロケーション(例:
us-central1)WORKLOAD_ID: ワークロードの一意の ID(例:
00-c25febb1-f3c1-4f19-8965-a25)。
プレースホルダ値を置き換えると、リクエストは次の例のようになります。
curl -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
成功すると、レスポンスは空になります。
リソース使用量の制限を無効にする
ワークロードのリソース使用量の制限を無効にするには、次のコマンドを実行します。このコマンドは、Assured Workloads フォルダに対するサービスとリソースの制限をすべて削除します。
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer TOKEN" -X POST \
"SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"
次のプレースホルダ値を独自の値に置き換えます。
TOKEN: リクエストの認証トークン(例:
ya29.a0AfB_byDnQW7A2Vr5...tanw0427)。環境に Google Cloud SDK がインストールされていて認証されている場合は、
gcloud auth print-access-tokenコマンドを使用できます。-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \SERVICE_ENDPOINT: 目的のサービス エンドポイント(例:
https://us-central1-assuredworkloads.googleapis.com)。ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例:
12321311)。WORKLOAD_LOCATION: ワークロードのロケーション(例:
us-central1)WORKLOAD_ID: ワークロードの一意の ID(例:
00-c25febb1-f3c1-4f19-8965-a25)。
プレースホルダ値を置き換えると、リクエストは次の例のようになります。
curl -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
-H "Content-Type: application/json" \
-H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427" -X POST \
"https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"
成功すると、レスポンスは空になります。
サポートされているプロダクトとサポートされていないプロダクト
このセクションの表に、さまざまなコントロール パッケージでサポートされているプロダクトとサポートされていないプロダクトを示します。デフォルトのリソース使用制限を有効にすると、サポートされているプロダクトのみを使用できます。リソース使用量の制限を無効にすると、サポートされているプロダクトとサポートされていないプロダクトの両方を使用できます。
FedRAMP Moderate
| エンドポイント | サポート対象プロダクト | サポートされていない製品 |
|---|---|---|
aiplatform.googleapis.com |
Vertex AI | AI Platform トレーニング API と予測 API |
FedRAMP High
| エンドポイント | サポート対象プロダクト | サポートされていない製品 | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
刑事司法情報サービス(CJIS)
| エンドポイント | サポート対象プロダクト | サポートされていない製品 | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
影響レベル 4(IL4)
| エンドポイント | サポート対象プロダクト | サポートされていない製品 | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
compute.googleapis.com |
|
|
||||||||||||||
cloudkms.googleapis.com |
|
|
米国リージョンとサポート
| エンドポイント | サポート対象プロダクト | サポートされていない製品 | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
accesscontextmanager.googleapis.com |
|
|
|||||||||||||
compute.googleapis.com |
|
|
|||||||||||||
cloudkms.googleapis.com |
|
|
Service エンドポイント
このセクションでは、リソース使用量の制限を有効にした後にブロックされない API エンドポイントについて説明します。
| API 名 | エンドポイント URL |
|---|---|
| Cloud Asset API | cloudasset.googleapis.com |
| Cloud Logging API | logging.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| Cloud Monitoring API | monitoring.googleapis.com |
| Google Cloud Observability | stackdriver.googleapis.com |
| Security Token Service API | sts.googleapis.com |
| Identity and Access Management API | iam.googleapis.com |
| Cloud Resource Manager API | cloudresourcemanager.googleapis.com |
| Advisory Notifications API | advisorynotifications.googleapis.com |
| IAM Service Account Credentials API | iamcredentials.googleapis.com |
| 組織のポリシー サービスの API | orgpolicy.googleapis.com |
| Policy Troubleshooter API | policytroubleshooter.googleapis.com |
| Network Telemetry API | networktelemetry.googleapis.com |
| Service Usage API | serviceusage.googleapis.com |
| Service Networking API | servicenetworking.googleapis.com |
| Cloud Billing API | cloudbilling.googleapis.com |
| Service Management API | servicemanagement.googleapis.com |
| Identity Toolkit API | identitytoolkit.googleapis.com |
| Access Context Manager API | accesscontextmanager.googleapis.com |
| Service Consumer Management API | serviceconsumermanagement.googleapis.com |
次のステップ
- リソース使用量の制限をサポートしていないサービスのリストをご覧ください。
- 各コントロール パッケージでサポートされているプロダクトを確認する。