Endpunktnutzung einschränken

Auf dieser Seite finden Sie eine Übersicht über die Einschränkung der Organisationsrichtlinie zum Beschränken der Endpunktnutzung, mit der Unternehmensadministratoren steuern können, welche Google Cloud API-Endpunkte in ihrer Google Cloud Ressourcenhierarchie verwendet werden können.

Administratoren können diese Einschränkung verwenden, um hierarchische Einschränkungen für zulässige Google Cloud API-Endpunkte wie globale, standortbezogene oder regionale Endpunkte zu definieren. Sie können beispielsweise ein Projekt so konfigurieren, dass Anfragen an den globalen bigquery.googleapis.com-Endpunkt abgelehnt, Anfragen an den standortbezogenen LOCATION-bigquery.googleapis.com-Endpunkt jedoch zugelassen werden. Durch die Einschränkung der Nutzung globaler API-Endpunkt können Organisationen Compliance-Anforderungen erfüllen, indem sie dafür sorgen, dass nur zulässige standortbezogene oder regionale Endpunkte verwendet werden.

Die Einschränkung „Endpunktnutzung einschränken“ wird mithilfe einer Sperrliste festgelegt. Dadurch sind Anfragen an API-Endpunkte aller unterstützten Dienste zulässig, die nicht explizit abgelehnt werden.

Diese Einschränkung steuert den Laufzeitzugriff auf alle im Geltungsbereich befindlichen Ressourcen. Wenn die Organisationsrichtlinie, die diese Einschränkung enthält, aktualisiert wird, gilt sie sofort für alle Ressourcen im Geltungsbereich der Richtlinie.

Wir empfehlen Administratoren, Updates für Organisationsrichtlinien, die diese Einschränkung enthalten, sorgfältig zu verwalten. Sie sollten die Richtlinie beispielsweise im Probelaufmodus festlegen, um zu beobachten, wie sich eine Richtlinienänderung auf Ihre bestehenden Arbeitsabläufe auswirken würde, bevor sie erzwungen wird.

API-Endpunkttypen

Ein API-Endpunkt (oder Dienstendpunkt) ist eine URL, die die Netzwerkadresse eines Google Cloud API-Dienstes angibt, z. B. bigquery.googleapis.com. Google Cloud -Dienste ermöglichen den Zugriff auf Ressourcen über verschiedene Arten von API-Endpunkten, einschließlich globaler, standortbezogener und regionaler Endpunkte. Die Unterstützung für die einzelnen Typen hängt vom Dienst ab.

• Bei globalen API-Endpunkten wird der Standort nicht im URL-Hostnamen angegeben. Beispiel:

  • storage.googleapis.com
  • content-bigqueryconnection.googleapis.com
  • bigquerydatatransfer.mtls.googleapis.com
  • logging.googleapis.com

  Diese globalen Endpunkte bieten hochverfügbare Dienstendpunkte, die die TLS-Sitzung so nah wie möglich am Client beenden. Dadurch wird die Latenz beim Bereitstellen von API-Aufrufen von einer verteilten Clientpopulation über das Internet minimiert.

• Bei standortbezogenen API-Endpunkten wird der Standort im Hostnamen der URL angegeben. Beispiel:

  • us-storage.googleapis.com
  • content-us-west3-bigqueryconnection.googleapis.com
  • us-west1-bigquerydatatransfer.mtls.googleapis.com
  • us-central1-logging.googleapis.com

  Diese Standortendpunkte bieten Vorteile für Kunden, die standortspezifische Dienste benötigen und dafür sorgen möchten, dass Daten bei der Übertragung an einem bestimmten Standort verbleiben, wenn über private Verbindungen darauf zugegriffen wird.

• Bei regionalen API-Endpunkten wird der Speicherort als Subdomain angegeben. Beispiel:

  • storage.us-east2.rep.googleapis.com
  • content-bigqueryconnection.us-west3.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.mtls.googleapis.com
  • logging.us-central1.rep.googleapis.com

  Diese regionalen Endpunkte bieten die meisten Vorteile für Kunden, die standortspezifische Dienste benötigen und sicherstellen möchten, dass Daten während der Übertragung an einem bestimmten Standort verbleiben, wenn über eine private Verbindung oder das öffentliche Internet darauf zugegriffen wird.

Beschränkungen

Mit der Einschränkung „Endpunktnutzung einschränken“ wird gesteuert, ob bestimmte API-Endpunkte für den Zugriff auf Ihre Ressourcen verwendet werden können. Sie sollten nicht mit anderen ähnlichen Einschränkungen verwechselt werden, z. B.:

• Beschränkung für Ressourcenstandorte, mit der gesteuert wird, wo Ressourcen erstellt werden können.
• Die Einschränkung „Ressourcendienstnutzung einschränken“, mit der gesteuert wird, welche Ressourcendienste verwendet werden können.

Damit die vorhandene Bereitstellungsinfrastruktur intakt bleibt, empfiehlt es sich, sämtliche neuen Organisationsrichtlinien an Projekten und Ordnern außerhalb der Produktion zu testen und erst danach allmählich innerhalb der Organisation anzuwenden.

Die Einschränkung der Ressourcenstandorte gilt für bestimmte Produkte und Ressourcentypen. Eine Liste der unterstützten Dienste und weitere Informationen zum Verhalten der einzelnen Dienste finden Sie im Abschnitt Unterstützte API-Endpunkte.

Informationen zur Zusicherung eines bestimmten Datenspeichers finden Sie in den Google Cloud Nutzungsbedingungen sowie den dienstspezifischen Nutzungsbedingungen. Organisationsrichtlinien, die die Einschränkung der Endpunktnutzung enthalten, sind keine Zusicherungen eines bestimmten Datenspeichers.

Organisationsrichtlinie festlegen

Zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien müssen Sie die Rolle Administrator für Unternehmensrichtlinien haben.

Einschränkungen für Organisationsrichtlinien können auf Organisations-, Ordner- und Projektebene festgelegt werden. Jede Richtlinie gilt für alle Ressourcen innerhalb der entsprechenden Ressourcenhierarchie, kann aber auf einer niedrigeren Ebene in der Ressourcenhierarchie überschrieben werden.

Weitere Informationen zur Richtlinienauswertung finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Die Einschränkung „Endpunktnutzung einschränken“ ist eine Art von Listeneinschränkung. Sie können Endpunkte zu den denied_values-Listen der Einschränkung hinzufügen und daraus entfernen.

constraint: constraints/gcp.restrictEndpointUsage
listPolicy:
    deniedValues:
    - storage.googleapis.com
    - content-bigqueryreservation.googleapis.com
    - bigquerystorage.mtls.googleapis.com
    - logging.googleapis.com

gcloud resource-manager org-policies set-policy \
--RESOURCE_TYPE='RESOURCE_ID' /tmp/policy.yaml

constraint: constraints/gcp.restrictEndpointUsage
etag: CKCRl6oGEPjG-tMB
listPolicy:
  deniedValues:
  - storage.googleapis.com
  - content-bigqueryreservation.googleapis.com
  - bigquerystorage.mtls.googleapis.com
  - logging.googleapis.com
updateTime: '2023-11-04T04:29:20.444507Z'

Wenn in einer Anfrage an einen abgelehnten API-Endpunkt versucht wird, auf eine Ressource zuzugreifen, schlägt die Anfrage fehl und es wird eine Fehlermeldung zurückgegeben, in der der Grund für diesen Fehler beschrieben wird.

Organisationsrichtlinie im Probelaufmodus erstellen

Eine Organisationsrichtlinie im Probelaufmodus ist eine Art von Organisationsrichtlinie, bei der Verstöße gegen die Richtlinie im Audit-Log protokolliert werden, die entsprechenden Aktionen jedoch nicht abgelehnt werden. Sie können eine Organisationsrichtlinie im Probelaufmodus mit der Einschränkung Endpunktnutzung einschränken erstellen, um zu beobachten, wie sie sich auf Ihre Organisation auswirken würde, bevor Sie die aktive Richtlinie erzwingen. Weitere Informationen finden Sie unter Organisationsrichtlinie im Probelaufmodus erstellen.

Fehlermeldung

Wenn Sie eine Organisationsrichtlinie festlegen, um einen Endpunkt abzulehnen, schlagen Vorgänge, die diesen Endpunkt in Ihrer Ressourcenhierarchie verwenden, fehl. Es wird eine Fehlermeldung zurückgegeben, die den Grund für diesen Fehler beschreibt. Außerdem wird ein Audit-Log-Eintrag zur weiteren Überwachung, Benachrichtigung oder Fehlerbehebung generiert.

Beispiel für Fehlermeldung

Im folgenden Beispiel schlägt eine curl-Anfrage mit dem API-Endpunkt storage.googleapis.com aufgrund der Richtlinienerzwingung fehl:

curl -X GET \
-H "Authorization: Bearer OAUTH2_TOKEN" \
-o "SAVE_TO_LOCATION" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media"

Access to projects/foo-123 through endpoint storage.googleapis.com was denied by
the constraints/gcp.restrictEndpointUsage organization policy constraint. To
access this resource, please use an allowed endpoint.

Beispiel für einen Audit-Logeintrag

Das folgende Beispiel für einen Audit-Logeintrag zeigt, wann der Zugriff auf eine Ressource verweigert wird:

{
  logName: "projects/my-projectid/logs/cloudaudit.googleapis.com%2Fpolicy"
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    status: {
      code: 7
      message: "Access to projects/my-projectid through endpoint bigquery.googleapis.com was denied by the constraints/gcp.restrictEndpointUsage organization policy constraint. To access this resource, please use an allowed endpoint."
    }
    serviceName: "bigquery.googleapis.com"
    methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll"
    resourceName: "projects/my-projectid"
    authenticationInfo: {
      principalEmail: "user_or_service_account@example.com"
    }
  }
  requestMetadata: {
    callerIp: "123.123.123.123"
  }
  policyViolationInfo: {
    orgPolicyViolationInfo: {
      violationInfo: [
        {
          constraint: "constraints/gcp.restrictEndpointUsage"
          checkedValue: "bigquery.googleapis.com"
          policyType: LIST_CONSTRAINT
        }
      ]
    }
  }
  resource: {
    type: "audited_resource"
    labels: {
      project_id: "224034263908"
      method: "google.cloud.bigquery.v2.TableDataService.InsertAll"
      service: "bigquery.googleapis.com"
    }
  }
  severity: "ERROR"
  timestamp: "2024-12-05T01:15:30.332519510Z"
  receiveTimestamp: "2024-08-15T17:55:01.159788588Z"
  insertId: "42"
}

Unterstützte API-Endpunkte

Die Einschränkung „Nutzung von Endpunkten einschränken“ unterstützt API-Endpunkte für die in der folgenden Tabelle aufgeführten Produkte.

Die Tabelle enthält für jedes Produkt den primären globalen API-Endpunkt. Jedes Produkt kann jedoch auch eine SERVICE_NAME.mtls.googleapis.com- oder content-SERVICE_NAME.googleapis.com-Variante seines globalen API-Endpunkt unterstützen, z. B. pubsub.mtls.googleapis.com oder content-pubsub.googleapis.com. Wenn Sie alle Varianten des globalen API-Endpunkt eines Produkts einschränken möchten, können Sie eine Wertgruppe verwenden. Außerdem werden regionale und standortbezogene API-Endpunkte für diese Produkte durch die Einschränkung der Endpunktnutzung unterstützt. Eine vollständige Liste der verfügbaren globalen, standortbezogenen und regionalen Endpunkte finden Sie in der API-Dokumentation des Produkts.

Wertgruppen

Wertgruppen sind von Google ausgewählte Gruppen- und API-Endpunktsammlungen, die das Definieren von Endpunktbeschränkungen vereinfachen. Wertgruppen umfassen zahlreiche zugehörige API-Endpunkte und werden von Google im Lauf der Zeit erweitert, ohne dass eine Anpassung Ihrer Organisationsrichtlinie erforderlich ist.

Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran. Weitere Informationen zum Verwenden von Wertpräfixen finden Sie in diesem Artikel. Gruppennamen werden beim Festlegen der Organisationsrichtlinie überprüft. Wenn Sie einen ungültigen Gruppennamen verwenden, schlägt die Richtlinieneinstellung fehl.

In der folgenden Tabelle sind die aktuellen verfügbaren Gruppen aufgeführt: