워크로드의 리소스 사용 제한

이 페이지에서는 Assured Workloads 폴더의 비준수 리소스에 대한 제한사항을 사용 설정 또는 사용 중지하는 방법을 설명합니다. 기본적으로 각 폴더의 제어 패키지에 따라 지원되는 제품이 달라지고 사용할 수 있는 리소스도 달라집니다. 이 기능은 폴더가 생성되면 폴더에 자동으로 적용되는 gcp.restrictServiceUsage 조직 정책 제약조건에 의해 적용됩니다.

시작하기 전에

필요한 IAM 역할

리소스 사용량 제한을 수정하려면 호출자에게 더 광범위한 권한 집합이 포함된 사전 정의된 역할이나 필요한 최소 권한으로 제한된 커스텀 역할을 사용하여 Identity and Access Management(IAM) 권한을 부여해야 합니다.

대상 워크로드에 대해서는 다음 권한이 필요합니다.

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

이러한 권한은 다음 두 가지 역할에 포함되어 있습니다.

  • Assured Workloads 관리자(roles/assuredworkloads.admin)
  • Assured Workloads 편집자(roles/assuredworkloads.editor)

Assured Workloads 역할에 대한 자세한 내용은 IAM 역할을 참조하세요.

리소스 사용량 제한 사용 설정

워크로드의 리소스 사용량 제한을 사용 설정하려면 다음 명령어를 실행합니다. 이 명령어는 제어 패키지의 지원되는 서비스에 따라 Assured Workloads 폴더에 제한사항을 적용합니다.

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

다음 자리표시자 값을 직접 바꿉니다.

  • TOKEN: 요청의 인증 토큰입니다(예: ya29.a0AfB_byDnQW7A2Vr5...tanw0427).

    환경에 Google Cloud SDK가 설치되어 있고 인증되어 있으면 gcloud auth print-access-token 명령어 -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \를 사용할 수 있습니다.

  • SERVICE_ENDPOINT: 원하는 서비스 엔드포인트입니다(예: https://us-central1-assuredworkloads.googleapis.com).

  • ORGANIZATION_ID: 조직의 고유 식별자입니다(예: 12321311). Google Cloud

  • WORKLOAD_LOCATION: 워크로드의 위치입니다(예: us-central1).

  • WORKLOAD_ID: 워크로드의 고유 식별자입니다(예: 00-c25febb1-f3c1-4f19-8965-a25).

자리표시자 값을 바꾸면 요청이 다음 예시와 비슷하게 표시됩니다.

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

성공한 경우 응답은 비어 있습니다.

리소스 사용량 제한 중지

워크로드의 리소스 사용량 제한을 중지하려면 다음 명령어를 실행합니다. 이 명령어는 Assured Workloads 폴더에서 모든 서비스 및 리소스 제한을 실제로 삭제합니다.

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

다음 자리표시자 값을 직접 바꿉니다.

  • TOKEN: 요청의 인증 토큰입니다(예: ya29.a0AfB_byDnQW7A2Vr5...tanw0427).

    환경에 Google Cloud SDK가 설치되어 있고 인증되어 있으면 gcloud auth print-access-token 명령어 -H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \를 사용할 수 있습니다.

  • SERVICE_ENDPOINT: 원하는 서비스 엔드포인트입니다(예: https://us-central1-assuredworkloads.googleapis.com).

  • ORGANIZATION_ID: 조직의 고유 식별자입니다(예: 12321311). Google Cloud

  • WORKLOAD_LOCATION: 워크로드의 위치입니다(예: us-central1).

  • WORKLOAD_ID: 워크로드의 고유 식별자입니다(예: 00-c25febb1-f3c1-4f19-8965-a25).

자리표시자 값을 바꾸면 요청이 다음 예시와 비슷하게 표시됩니다.

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

성공한 경우 응답은 비어 있습니다.

지원되는 제품 및 지원되지 않는 제품

이 섹션의 표에는 다양한 제어 패키지에 대해 지원되는 제품과 지원되지 않는 제품이 포함되어 있습니다. 기본 리소스 사용량 제한을 사용 설정하면 지원되는 제품만 사용할 수 있습니다. 리소스 사용량 제한을 사용 중지하면 지원되는 제품과 지원되지 않는 제품을 모두 사용할 수 있습니다.

FedRAMP 중간의 데이터 경계

엔드포인트 지원되는 제품 지원되지 않는 제품
aiplatform.googleapis.com Vertex AI AI Platform Training API 및 Prediction API

FedRAMP 높음의 데이터 경계

엔드포인트 지원되는 제품 지원되지 않는 제품
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform Training API 및 Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
네트워크 서비스 등급

형사사법정보부 (CJIS)의 데이터 경계

엔드포인트 지원되는 제품 지원되지 않는 제품
accesscontextmanager.googleapis.com
VPC 서비스 제어
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
네트워크 서비스 등급
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

영향 수준 4(IL4)의 데이터 경계

엔드포인트 지원되는 제품 지원되지 않는 제품
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform Training API 및 Prediction API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
네트워크 서비스 등급
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

미국 데이터 경계 및 지원

엔드포인트 지원되는 제품 지원되지 않는 제품
accesscontextmanager.googleapis.com
VPC 서비스 제어
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
네트워크 서비스 등급
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

서비스 엔드포인트

이 섹션에는 리소스 사용량 제한을 사용 설정한 후에도 차단되지 않은 API 엔드포인트가 나와 있습니다.

API 이름 엔드포인트 URL
Cloud Asset API cloudasset.googleapis.com
Cloud Logging API logging.googleapis.com
Service Control servicecontrol.googleapis.com
Cloud Monitoring API monitoring.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
보안 토큰 서비스 API sts.googleapis.com
Identity and Access Management API iam.googleapis.com
Cloud Resource Manager API cloudresourcemanager.googleapis.com
Advisory Notifications API advisorynotifications.googleapis.com
IAM Service Account Credentials API iamcredentials.googleapis.com
Organization Policy Service API orgpolicy.googleapis.com
Policy Troubleshooter API policytroubleshooter.googleapis.com
Network Telemetry API networktelemetry.googleapis.com
Service Usage API serviceusage.googleapis.com
Service Networking API servicenetworking.googleapis.com
Cloud Billing API cloudbilling.googleapis.com
Service Management API servicemanagement.googleapis.com
Identity Toolkit API identitytoolkit.googleapis.com
Access Context Manager API accesscontextmanager.googleapis.com
Service Consumer Management API serviceconsumermanagement.googleapis.com

다음 단계