Questa pagina fornisce una panoramica del vincolo dei criteri dell'organizzazione Limita l'utilizzo del servizio risorse, che consente agli amministratori aziendali di controllare quali servizi Google Cloud possono essere utilizzati all'interno della loro gerarchia delle risorse Google Cloud. Questo vincolo può essere applicato solo ai servizi con risorse che sono discendenti diretti di un'organizzazione, una cartella o un progetto. ad esempio Compute Engine e Cloud Storage.
Il vincolo Limita l'utilizzo dei servizi delle risorse esclude alcuni servizi che sono dipendenze essenziali per i prodotti Google Cloud, come Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring, e non funziona con quest'ultimo. Per l'elenco dei servizi di risorse cloud supportati da questo vincolo, consulta Limitazione dei servizi supportati dall'utilizzo delle risorse.
Gli amministratori possono utilizzare questo vincolo per definire restrizioni gerarchiche sui servizi di risorse di Google Cloud consentiti all'interno di un container di risorse, ad esempio un'organizzazione, una cartella o un progetto. Ad esempio, consenti storage.googleapis.com all'interno del progetto X o nega compute.googleapis.com all'interno della cartella Y. Questo vincolo determina anche la
disponibilità della console Google Cloud.
Il vincolo Limita l'utilizzo del servizio risorse può essere utilizzato in due modi che si escludono a vicenda:
Lista bloccata: sono consentite le risorse di qualsiasi servizio non negato.
Lista consentita: le risorse di qualsiasi servizio non consentito sono negate.
Il vincolo Limita l'utilizzo del servizio delle risorse controlla l'accesso in fase di runtime a tutte le risorse nell'ambito. Quando il criterio dell'organizzazione contenente questo vincolo viene aggiornato, viene applicato immediatamente a tutti gli accessi a tutte le risorse nell'ambito del criterio, con coerenza finale.
Consigliamo agli amministratori di gestire con attenzione gli aggiornamenti dei criteri dell'organizzazione contenenti questo vincolo. Puoi implementare questa modifica ai criteri in modo più sicuro usando i tag per applicare il vincolo in modo condizionale. Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con i tag.
Quando un servizio è limitato da questo criterio, saranno limitati anch'essi alcuni servizi Google Cloud che hanno una dipendenza diretta dal servizio limitato. Questo vale solo per i servizi che gestiscono le stesse risorse del cliente. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza da Compute Engine. Quando Compute Engine è limitato, anche GKE è limitato.
Disponibilità della console Google Cloud
I servizi limitati nella console Google Cloud si comportano come segue:
- Non puoi accedere a un prodotto utilizzando il menu .
- I servizi limitati non vengono visualizzati nei risultati di ricerca della console Google Cloud.
- Quando accedi alla pagina della console Google Cloud di un servizio limitato, ad esempio da un link o da un preferito, viene visualizzato un messaggio di errore.
Utilizzo del vincolo Limita l'utilizzo del servizio risorse
I vincoli dei criteri dell'organizzazione possono essere impostati a livello di organizzazione, cartella e progetto. Ogni criterio si applica a tutte le risorse all'interno della gerarchia delle risorse corrispondente, ma può essere sostituito a livelli inferiori nella gerarchia delle risorse.
Per ulteriori informazioni sulla valutazione dei criteri, consulta Informazioni sulla valutazione della gerarchia.
Impostazione del criterio dell'organizzazione
Per impostare, modificare o eliminare un criterio dell'organizzazione, devi disporre del ruolo Amministratore criteri organizzazione.
Console
Per impostare un criterio dell'organizzazione che includa un vincolo di Limita l'utilizzo del servizio risorse, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.
Dal selettore dei progetti, seleziona la risorsa su cui vuoi impostare il criterio dell'organizzazione.
Nella tabella dei criteri dell'organizzazione, seleziona Limita l'utilizzo del servizio risorse.
Fai clic su Gestisci criterio.
In Si applica a, seleziona Sostituisci criterio della risorsa padre.
In Applicazione dei criteri, scegli come applicare l'ereditarietà a questo criterio.
Se vuoi ereditare il criterio dell'organizzazione della risorsa padre e unirla a questa, seleziona Unisci con risorsa padre.
Se vuoi eseguire l'override di eventuali criteri dell'organizzazione esistenti, seleziona Sostituisci.
Fai clic su Aggiungi una regola.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Rifiuta per la lista bloccata o Consenti per la lista consentita.
In Valori personalizzati, aggiungi all'elenco il servizio che vuoi bloccare o consentire.
Ad esempio, per bloccare Cloud Storage, puoi inserire
storage.googleapis.com.Per aggiungere altri servizi, fai clic su Aggiungi valore.
Per applicare il criterio, fai clic su Imposta criterio.
gcloud
I criteri dell'organizzazione possono essere impostati tramite Google Cloud CLI. Per applicare un criterio dell'organizzazione che includa il vincolo Limita l'utilizzo del servizio risorse, crea prima un file YAML con il criterio da aggiornare:
name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
rules:
- values:
deniedValues:
- file.googleapis.com
- bigquery.googleapis.com
- storage.googleapis.com
Sostituisci ORGANIZATION_ID con l'ID della risorsa dell'organizzazione. Per impostare il criterio su una risorsa, esegui il comando seguente:
gcloud beta resource-manager org-policies set-policy \ --project='PROJECT_ID' /tmp/policy.yaml
Sostituisci PROJECT_ID con l'ID progetto della risorsa su cui vuoi applicare questo criterio dell'organizzazione.
Per scoprire di più sull'utilizzo dei vincoli nei criteri dell'organizzazione, consulta Utilizzo dei vincoli.
Limitazione delle risorse senza tag
Puoi utilizzare i tag e i criteri condizionali dell'organizzazione per limitare le risorse che non utilizzano un determinato tag. Se imposti un criterio dell'organizzazione su una risorsa che limita i servizi e la condiziona alla presenza di un tag, non è possibile utilizzare risorse figlio provenienti da questa risorsa a meno che non siano state codificate. In questo modo, le risorse devono essere configurate in conformità con il piano di governance prima di poter essere utilizzate.
Per limitare le risorse dell'organizzazione, della cartella o del progetto senza tag, puoi utilizzare l'operatore logico ! in una query condizionale durante la creazione del criterio dell'organizzazione.
Ad esempio, per consentire l'utilizzo di sqladmin.googleapis.com solo nei progetti
che hanno il tag sqladmin=enabled, puoi creare un criterio dell'organizzazione che
nega sqladmin.googleapis.com sui progetti che non includono il tag
sqladmin=enabled.
Crea un tag che identifichi se alle risorse è stata applicata la governance adeguata. Ad esempio, potresti creare un tag con la chiave
sqlAdmine il valoreenabledper indicare che questa risorsa deve consentire l'utilizzo dell'API Cloud SQL Admin. Ad esempio:Fai clic sul nome del tag appena creato. Nei passaggi successivi per creare una condizione è necessario il nome con spazio dei nomi della chiave tag, elencato in Percorso chiave tag.
Crea un criterio dell'organizzazione Limita l'utilizzo del servizio delle risorse a livello della risorsa dell'organizzazione per negare l'accesso all'API Cloud SQL Admin. Ad esempio:
Aggiungi una condizione al criterio dell'organizzazione precedente, specificando che il criterio viene applicato se il tag di governance non è presente. L'operatore logico NOT non è supportato dal generatore di condizioni, quindi questa condizione deve essere integrata nell'editor delle condizioni. Ad esempio:
!resource.matchTag("012345678901/sqlAdmin", "enabled")
Ora il tag sqlAdmin=enabled deve essere collegato o ereditato da un progetto, prima che gli sviluppatori possano utilizzare l'API Cloud SQL Admin con il progetto.
Per saperne di più sulla creazione di criteri dell'organizzazione condizionali, consulta Impostare un criterio dell'organizzazione con tag.
Crea un criterio dell'organizzazione in modalità dry run
Un criterio dell'organizzazione in modalità di prova è un tipo di criterio dell'organizzazione in cui le violazioni del criterio vengono registrate, ma le azioni in violazione non vengono negate. Puoi creare un criterio dell'organizzazione in modalità di prova utilizzando il vincolo Limita l'utilizzo del servizio risorse per monitorare l'impatto sull'organizzazione prima di applicare il criterio attivo. Per maggiori informazioni, vedi Creare un criterio dell'organizzazione in modalità dry run.
Messaggio di errore
Se imposti un criterio dell'organizzazione in modo da negare il servizio A all'interno della gerarchia delle risorse B, quando un client tenta di utilizzare il servizio A nella gerarchia delle risorse B, l'operazione non riesce. Viene restituito un errore che descrive il motivo dell'errore. Viene inoltre generata una voce AuditLog per ulteriore monitoraggio, avviso o debug.
Esempio di messaggio di errore
Request is disallowed by organization's constraints/gcp.restrictServiceUsage constraint for projects/PROJECT_ID attempting to use service storage.googleapis.com.