Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Limitare l'utilizzo dei servizi

Questa pagina fornisce una panoramica del vincolo della policy dell'organizzazione Limita utilizzo servizi delle risorse, che consente agli amministratori aziendali di controllare quali Cloud de Confiance by S3NS servizi possono essere utilizzati all'interno della Cloud de Confiance gerarchia delle risorse. Questo vincolo può essere applicato solo ai servizi con risorse che sono discendenti diretti di una risorsa di organizzazione, cartella o progetto. Ad esempio, Compute Engine e Cloud Storage.

Il vincolo Limita utilizzo servizi esclude e non funziona con determinati servizi che sono dipendenze essenziali per Cloud de Confiance i prodotti, come Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring. Per l'elenco dei servizi di risorse cloud supportati da questo vincolo, consulta Servizi che supportano la limitazione dell'utilizzo dei servizi.

Gli amministratori possono utilizzare questo vincolo per definire limitazioni gerarchiche sui servizi di risorse Cloud de Confiance consentiti all'interno di un container di risorse, come un'organizzazione, una cartella o un progetto. Ad esempio, consenti storage.googleapis.com nel progetto X o nega compute.googleapis.com nella cartella Y. Questo vincolo determina anche Cloud de Confiance la disponibilità della console.

Il vincolo Limita utilizzo servizi delle risorse può essere utilizzato in due modi reciprocamente esclusivi:

Lista di blocco: le risorse di qualsiasi servizio non negato sono consentite.
Lista consentita: le risorse di qualsiasi servizio non consentito vengono negate.

Il vincolo Limita utilizzo servizi delle risorse controlla l'accesso in fase di runtime a tutte le risorse incluse nell'ambito. Quando la policy dell'organizzazione contenente questo vincolo viene aggiornata, si applica immediatamente a tutti gli accessi a tutte le risorse nell'ambito della policy, con coerenza finale.

Ti consigliamo agli amministratori di gestire attentamente gli aggiornamenti delle policy dell'organizzazione contenenti questo vincolo. Puoi implementare questa modifica della policy in modo più sicuro utilizzando i tag per applicare il vincolo in modo condizionale. Per saperne di più, consulta Definire l'ambito delle policy dell'organizzazione con i tag.

Quando un servizio è limitato da questa policy, anche alcuni Cloud de Confiance servizi che hanno una dipendenza diretta dal servizio limitato saranno limitati as well. Questo vale solo per i servizi che gestiscono le stesse risorse del cliente. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza da Compute Engine. Quando Compute Engine è limitato, anche GKE è limitato.

Cloud de Confiance Disponibilità della console

I servizi limitati nella Cloud de Confiance console si comportano nel seguente modo:

Non puoi passare a un prodotto utilizzando il menu.
I servizi limitati non vengono visualizzati nei risultati di ricerca della Cloud de Confiance console.
Quando vai alla pagina della console di un servizio limitato Cloud de Confiance , ad esempio da un link o un segnalibro, viene visualizzato un messaggio di errore.

Utilizzo del vincolo Limita utilizzo servizi delle risorse

I vincoli delle policy dell'organizzazione possono essere impostati a livello di organizzazione, cartella e progetto. Ogni policy si applica a tutte le risorse all'interno della gerarchia delle risorse corrispondente, ma può essere sostituita a livelli inferiori nella gerarchia delle risorse.

Per saperne di più sulla valutazione delle policy, consulta Valutazione della gerarchia.

Impostazione della policy dell'organizzazione

Per impostare, modificare o eliminare una policy dell'organizzazione, devi disporre del ruolo Amministratore delle policy dell'organizzazione.

Console

Per impostare una policy dell'organizzazione che includa un vincolo Limita utilizzo servizi delle risorse, procedi nel seguente modo:

Nella Cloud de Confiance console, vai alla pagina Policy dell'organizzazione.

Vai a Policy dell'organizzazione
Nel selettore di progetti, seleziona la risorsa su cui vuoi impostare la policy dell'organizzazione.
Nella tabella delle policy dell'organizzazione, seleziona Limita utilizzo servizi delle risorse.
Fai clic su Gestisci policy.
In Si applica a, seleziona Esegui override della policy dell'unità organizzativa principale.
In Applicazione policy, scegli come applicare l'ereditarietà a questa policy.
1. Se vuoi ereditare la policy dell'organizzazione della risorsa principale e unirla a questa, seleziona Unisci con l'elemento principale.
2. Se vuoi sostituire le policy dell'organizzazione esistenti, seleziona Sostituisci.
Fai clic su Aggiungi una regola.
In Valori policy, seleziona Personalizzato.
In Tipo di policy, seleziona Nega per la lista di blocco o Consenti per la lista consentita.
In Valori personalizzati, aggiungi il servizio che vuoi bloccare o consentire a l'elenco.
1. Ad esempio, per bloccare Cloud Storage, puoi inserire storage.googleapis.com.
2. Per aggiungere altri servizi, fai clic su Aggiungi valore.
Per applicare la policy, fai clic su Imposta policy.

gcloud

Le policy dell'organizzazione possono essere impostate tramite Google Cloud CLI. Per applicare una policy dell'organizzazione che includa il vincolo Limita utilizzo servizi, crea prima un file YAML con la policy da aggiornare:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
      deniedValues:
      - file.googleapis.com
      - bigquery.googleapis.com
      - storage.googleapis.com

Sostituisci ORGANIZATION_ID con l'ID della risorsa della tua organizzazione. Per impostare questa policy per l'organizzazione, esegui il seguente comando:

gcloud org-policies set-policy /tmp/policy.yaml

Per saperne di più sull'utilizzo dei vincoli nelle policy dell'organizzazione, consulta Creare policy dell'organizzazione.

Limitazione delle risorse senza tag

Puoi utilizzare i tag e le policy dell'organizzazione condizionali per limitare le risorse che non utilizzano un tag specifico. Se imposti una policy dell'organizzazione su una risorsa che limita i servizi e la rendi condizionale alla presenza di un tag, non è possibile utilizzare le risorse secondarie discendenti da quella risorsa a meno che non siano state taggate. In questo modo, le risorse devono essere configurate in conformità con il piano di governance prima di poter essere utilizzate.

Per limitare le risorse di organizzazione, cartella o progetto senza tag, puoi utilizzare l'operatore logico ! in una query condizionale quando crei la policy dell'organizzazione.

Ad esempio, per consentire l'utilizzo di sqladmin.googleapis.com solo nei progetti che hanno il tag sqladmin=enabled, puoi creare una policy dell'organizzazione che nega sqladmin.googleapis.com nei progetti che non hanno il tag sqladmin=enabled.

Crea un tag che identifichi se alle risorse è stata applicata una governance appropriata applicata. Ad esempio, puoi creare un tag con la chiave sqlAdmin e il valore enabled per indicare che questa risorsa deve consentire l'utilizzo dell'API Cloud SQL Admin. Ad esempio:
Fai clic sul nome del tag appena creato. Nei passaggi successivi, per creare una condizione, ti servirà il nome con spazio dei nomi della chiave del tag, elencato in Percorso chiave tag.
Crea una policy dell'organizzazione Limita utilizzo servizi delle risorse a livello della risorsa dell'organizzazione per negare l'accesso all'API Cloud SQL Admin. Ad esempio:
Aggiungi una condizione alla policy dell'organizzazione sopra indicata, specificando che la policy viene applicata se il tag di governance non è presente. L'operatore logico NOT non è supportato dal generatore di condizioni, quindi questa condizione deve essere creata nell'editor delle condizioni. Ad esempio:

!resource.matchTag("012345678901/sqlAdmin", "enabled")

Ora, il tag sqlAdmin=enabled deve essere collegato a un progetto o ereditato da un progetto prima che gli sviluppatori possano utilizzare l'API Cloud SQL Admin con quel progetto.

Per saperne di più sulla creazione di policy dell'organizzazione condizionali, consulta Definire l'ambito delle policy dell'organizzazione con i tag.

Creare una policy dell'organizzazione in modalità dry run

Una policy dell'organizzazione in modalità dry run è un tipo di policy dell'organizzazione in cui le violazioni della policy vengono registrate negli audit log, ma le azioni che violano la policy non vengono negate. Puoi creare una policy dell'organizzazione in modalità dry run utilizzando il vincolo Limita utilizzo servizi delle risorse per monitorare l'impatto sull'organizzazione prima di applicare la policy live. Per saperne di più, consulta Testare le policy dell'organizzazione.

Messaggio di errore

Se imposti una policy dell'organizzazione per negare il servizio A all'interno della gerarchia delle risorse B, quando un client tenta di utilizzare il servizio A all'interno della gerarchia delle risorse B, l'operazione non riesce. Viene restituito un errore che descrive il motivo di questo errore. Inoltre, viene generata una voce AuditLog per ulteriori attività di monitoraggio, avviso o debug.

Messaggio di errore di esempio

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Esempio di Cloud Audit Logs

Screenshot di una voce di audit log di esempio