Limitazione dell'utilizzo degli endpoint

Questa pagina fornisce una panoramica del vincolo dei criteri dell'organizzazione Limita utilizzo endpoint, che consente agli amministratori aziendali di controllare quali endpoint API Google Cloud possono essere utilizzati all'interno della gerarchia delle risorse Google Cloud .

Gli amministratori possono utilizzare questo vincolo per definire limitazioni gerarchiche sugli endpoint API Google Cloud consentiti, ad esempio endpoint globali, locali o regionali. Ad esempio, puoi configurare un progetto in modo da negare le richieste all'endpoint globale bigquery.googleapis.com, ma consentire le richieste all'endpoint LOCATION-bigquery.googleapis.com basato sulla località. Limitando l'utilizzo degli endpoint API globali, le organizzazioni possono soddisfare i requisiti di conformità assicurandosi che vengano utilizzati solo gli endpoint locali o regionali consentiti.

Il vincolo Limita utilizzo endpoint viene impostato utilizzando una denylist, consentendo richieste a qualsiasi endpoint API dei servizi supportati che non siano esplicitamente negati.

Questo vincolo controlla l'accesso in fase di runtime a tutte le risorse incluse nell'ambito. Quando il criterio dell'organizzazione contenente questo vincolo viene aggiornato, viene applicato immediatamente a tutte le risorse nell'ambito del criterio, con coerenza finale.

Consigliamo agli amministratori di gestire con attenzione gli aggiornamenti alle policy dell'organizzazione che contengono questo vincolo. Ad esempio, ti consigliamo di impostare il criterio in modalità di prova per monitorare l'impatto di una modifica dei criteri sui tuoi flussi di lavoro esistenti prima dell'applicazione.

Tipi di endpoint API

Un endpoint API (o endpoint di servizio) è un URL che specifica l'indirizzo di rete di un servizio API, ad esempio bigquery.googleapis.com. Google Cloud Google Cloud consentono l'accesso alle risorse utilizzando diversi tipi di endpoint API, inclusi endpoint globali, locali e regionali. Il supporto per ogni tipo dipende dal servizio.

• Gli endpoint API globali non specificano la località nel nome host dell'URL. Ad esempio:

  • storage.googleapis.com
  • content-bigqueryconnection.googleapis.com
  • bigquerydatatransfer.mtls.googleapis.com
  • logging.googleapis.com

  Questi endpoint con ambito globale forniscono endpoint di servizio ad alta disponibilità che terminano la sessione TLS il più vicino possibile al client, il che riduce al minimo la latenza durante la gestione delle chiamate API da una popolazione di client dispersa su internet.

• Gli endpoint API basati sulla posizione specificano la posizione nel nome host dell'URL. Ad esempio:

  • us-storage.googleapis.com
  • content-us-west3-bigqueryconnection.googleapis.com
  • us-west1-bigquerydatatransfer.mtls.googleapis.com
  • us-central1-logging.googleapis.com

  Questi endpoint basati sulla posizione offrono vantaggi ai clienti che richiedono l'utilizzo di servizi specifici per la località e vogliono assicurarsi che i dati in transito rimangano in una determinata località quando vi si accede tramite connettività privata.

• Gli endpoint API a livello di regione specificano la località come sottodominio. Ad esempio:

  • storage.us-east2.rep.googleapis.com
  • content-bigqueryconnection.us-west3.rep.googleapis.com
  • bigquerydatatransfer.us-west1.rep.mtls.googleapis.com
  • logging.us-central1.rep.googleapis.com

  Questi endpoint regionali offrono i maggiori vantaggi ai clienti che richiedono l'utilizzo di servizi specifici per la località e vogliono avere modi per garantire che i dati in transito rimangano in una posizione particolare quando vi si accede tramite connettività privata o internet pubblico.

Limitazioni

Il vincolo Limita utilizzo endpoint controlla la possibilità di utilizzare endpoint API specifici per accedere alle tue risorse. Non deve essere confuso con altri vincoli simili, ad esempio:

• Vincolo Limita località risorsa, che controlla dove è possibile o meno creare le risorse.
• Vincolo Limita utilizzo del servizio risorse, che controlla quali servizi risorse possono essere utilizzati.

Per evitare di interrompere l'infrastruttura di pubblicazione esistente, devi testare qualsiasi nuova policy dell'organizzazione su progetti e cartelle non di produzione, quindi applicare la policy gradualmente all'interno dell'organizzazione.

Questo vincolo si applica a un sottoinsieme specifico di prodotti e tipi di risorse. Per un elenco dei servizi supportati e dettagli sul comportamento di ciascun servizio, consulta la sezione Endpoint API supportati.

Per gli impegni relativi all'archiviazione dei dati, vedi i Termini di servizio diGoogle Cloud e i Termini di servizio specifici per il servizio. Le policy dell'organizzazione che contengono il vincolo Limita utilizzo endpoint non sono impegni relativi alla residenza dei dati.

Impostazione del criterio dell'organizzazione

Per impostare, modificare o eliminare una policy dell'organizzazione, devi disporre del ruolo Amministratore dei criteri dell'organizzazione.

I vincoli dei criteri dell'organizzazione possono essere impostati a livello di organizzazione, cartella e progetto. Ogni criterio si applica a tutte le risorse all'interno della gerarchia delle risorse corrispondente, ma può essere sostituito ai livelli inferiori della gerarchia delle risorse.

Per ulteriori informazioni sulla valutazione delle policy, consulta la sezione Informazioni sulla valutazione della gerarchia.

Il vincolo Limita utilizzo endpoint è un tipo di vincolo di elenco. Puoi aggiungere e rimuovere endpoint dagli elenchi denied_values del vincolo.

constraint: constraints/gcp.restrictEndpointUsage
listPolicy:
    deniedValues:
    - storage.googleapis.com
    - content-bigqueryreservation.googleapis.com
    - bigquerystorage.mtls.googleapis.com
    - logging.googleapis.com

gcloud resource-manager org-policies set-policy \
--RESOURCE_TYPE='RESOURCE_ID' /tmp/policy.yaml

constraint: constraints/gcp.restrictEndpointUsage
etag: CKCRl6oGEPjG-tMB
listPolicy:
  deniedValues:
  - storage.googleapis.com
  - content-bigqueryreservation.googleapis.com
  - bigquerystorage.mtls.googleapis.com
  - logging.googleapis.com
updateTime: '2023-11-04T04:29:20.444507Z'

Se una richiesta a un endpoint API negato tenta di accedere a una risorsa, la richiesta non andrà a buon fine e verrà restituito un errore che descrive il motivo di questo errore.

Crea una policy dell'organizzazione in modalità dry run

Una policy dell'organizzazione in modalità dry run è un tipo di policy dell'organizzazione in cui le violazioni della policy vengono registrate nel log di controllo, ma le azioni che violano la policy non vengono negate. Puoi creare una policy dell'organizzazione in modalità di prova utilizzando il vincolo Limita utilizzo endpoint per monitorare l'impatto sulla tua organizzazione prima di applicare la policy attiva. Per ulteriori informazioni, vedi Creare una policy dell'organizzazione in modalità di prova.

Messaggio di errore

Se imposti un criterio dell'organizzazione per negare un endpoint, le operazioni che utilizzano questo endpoint all'interno della gerarchia delle risorse non vanno a buon fine. Viene restituito un errore che descrive il motivo di questo errore. Inoltre, viene generata una voce di log di controllo per ulteriori monitoraggio, avvisi o debug.

Esempio di messaggio di errore

Nel seguente esempio, una richiesta curl che utilizza l'endpoint API storage.googleapis.com non va a buon fine a causa dell'applicazione della policy:

curl -X GET \
-H "Authorization: Bearer OAUTH2_TOKEN" \
-o "SAVE_TO_LOCATION" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media"

Access to projects/foo-123 through endpoint storage.googleapis.com was denied by
the constraints/gcp.restrictEndpointUsage organization policy constraint. To
access this resource, please use an allowed endpoint.

Esempio di voce di audit log

La seguente voce di audit log mostra quando l'accesso a una risorsa viene negato:

{
  logName: "projects/my-projectid/logs/cloudaudit.googleapis.com%2Fpolicy"
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    status: {
      code: 7
      message: "Access to projects/my-projectid through endpoint bigquery.googleapis.com was denied by the constraints/gcp.restrictEndpointUsage organization policy constraint. To access this resource, please use an allowed endpoint."
    }
    serviceName: "bigquery.googleapis.com"
    methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll"
    resourceName: "projects/my-projectid"
    authenticationInfo: {
      principalEmail: "user_or_service_account@example.com"
    }
  }
  requestMetadata: {
    callerIp: "123.123.123.123"
  }
  policyViolationInfo: {
    orgPolicyViolationInfo: {
      violationInfo: [
        {
          constraint: "constraints/gcp.restrictEndpointUsage"
          checkedValue: "bigquery.googleapis.com"
          policyType: LIST_CONSTRAINT
        }
      ]
    }
  }
  resource: {
    type: "audited_resource"
    labels: {
      project_id: "224034263908"
      method: "google.cloud.bigquery.v2.TableDataService.InsertAll"
      service: "bigquery.googleapis.com"
    }
  }
  severity: "ERROR"
  timestamp: "2024-12-05T01:15:30.332519510Z"
  receiveTimestamp: "2024-08-15T17:55:01.159788588Z"
  insertId: "42"
}