הגבלת השימוש בשירות

בדף הזה מוסבר על האילוץ על מדיניות הארגון Restrict Resource Service Usage (הגבלת השימוש בשירות משאבים), שמאפשר לאדמינים בארגונים לשלוט בשירותיGoogle Cloud Google Cloud שניתן להשתמש בהם בהיררכיית המשאבים של הארגון. Google Cloudאפשר לאכוף את האילוץ הזה רק בשירותים עם משאבים שהם צאצאים ישירים של משאב ארגון, תיקייה או פרויקט. לדוגמה, Compute Engine ו-Cloud Storage.

ההגבלה Restrict Resource Service Usage לא תפעל עם שירותים מסוימים שהם תלויות חיוניות למוצרי Google Cloud, כמו ניהול זהויות והרשאות גישה (IAM),‏ Cloud Logging ו-Cloud Monitoring. במאמר שירותים שתומכים בהגבלת השימוש בשירותים תוכלו למצוא רשימה של שירותי משאבי הענן שנתמכים על ידי האילוץ הזה.

אדמינים יכולים להשתמש במגבלה הזו כדי להגדיר הגבלות היררכיות על שירותי משאבים מותרים בתוך מאגר משאבים, כמו ארגון, תיקייה או פרויקט. Google Cloud לדוגמה, מתן הרשאה storage.googleapis.com בפרויקט X או דחיית הרשאה compute.googleapis.com בתיקייה Y. האילוץ הזה קובע גם את הזמינות של מסוףGoogle Cloud .

אפשר להשתמש באילוץ Restrict Resource Service Usage בשתי דרכים שונות:

  • רשימת חסימה – מותר להשתמש במשאבים של כל שירות שלא נחסם.

  • רשימת ההיתרים – נדחות בקשות למשאבים של כל שירות שלא מופיע ברשימת ההיתרים.

האילוץ Restrict Resource Service Usage (הגבלת השימוש בשירות משאבים) שולט בגישה בזמן הריצה לכל המשאבים שבהיקף. כשמדיניות הארגון שמכילה את האילוץ הזה מתעדכנת, היא חלה באופן מיידי על כל הגישה לכל המשאבים במסגרת המדיניות, עם מודל עקביות הדרגתי.

אנחנו ממליצים למנהלים לנהל בקפידה את העדכונים של מדיניות הארגון שמכילה את האילוץ הזה. כדי להטמיע את השינוי במדיניות בצורה בטוחה יותר, אפשר להשתמש בתגים כדי לאכוף את ההגבלה באופן מותנה. מידע נוסף זמין במאמר בנושא הגדרת היקף של מדיניות הארגון באמצעות תגים.

כששירות מוגבל על ידי המדיניות הזו, גם חלק מהשירותים שתלויים ישירות בשירות המוגבל יהיו מוגבלים. Google Cloud ההנחיה הזו רלוונטית רק לשירותים שמנהלים את אותם משאבי לקוחות. לדוגמה, ל-Google Kubernetes Engine‏ (GKE) יש תלות ב-Compute Engine. כש-Compute Engine מוגבל, גם GKE מוגבל.

זמינות מסוףGoogle Cloud

התנהגות השירותים המוגבלים במסוף Google Cloud :

  • אי אפשר לנווט למוצר באמצעות התפריט .
  • שירותים שהגישה אליהם מוגבלת לא מופיעים בתוצאות החיפוש במסוף. Google Cloud
  • כשעוברים לדף במסוף של שירות מוגבל Google Cloud – למשל מקישור או מסימנייה – מופיעה הודעת שגיאה.

שימוש באילוץ Restrict Resource Service Usage (הגבלת השימוש בשירות משאבים)

אפשר להגדיר מגבלות של מדיניות הארגון ברמת הארגון, התיקייה והפרויקט. כל מדיניות חלה על כל המשאבים בהיררכיית המשאבים המתאימה, אבל אפשר לבטל אותה ברמות נמוכות יותר בהיררכיית המשאבים.

מידע נוסף על הערכת מדיניות מופיע במאמר הערכה היררכית.

הגדרת מדיניות הארגון

כדי להגדיר, לשנות או למחוק מדיניות ארגונית, צריך להיות לכם התפקיד אדמין של מדיניות הארגון.

המסוף

כדי להגדיר מדיניות ארגון שכוללת את האילוץ הגבלת השימוש בשירות משאבים, מבצעים את הפעולות הבאות:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בכלי לבחירת פרויקטים, בוחרים את המשאב שרוצים להגדיר בו את מדיניות הארגון.

  3. בטבלה של מדיניות הארגון, בוחרים באפשרות הגבלת השימוש בשירות משאבים.

  4. לוחצים על ניהול המדיניות.

  5. בקטע חל על, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

  6. בקטע Policy enforcement (אכיפת מדיניות), בוחרים איך להחיל את ההורשה על המדיניות הזו.

    1. אם רוצים לרשת את מדיניות הארגון של משאב האב ולמזג אותה עם המדיניות הנוכחית, בוחרים באפשרות מיזוג עם מדיניות האב.

    2. אם רוצים לבטל מדיניות ארגונית קיימת, בוחרים באפשרות החלפה.

  7. לוחצים על Add a rule.

  8. בקטע ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

  9. בקטע סוג המדיניות, בוחרים באפשרות דחייה לרשימת חסימה או באפשרות אישור לרשימת היתרים.

  10. בקטע ערכים בהתאמה אישית, מוסיפים לרשימה את השירות שרוצים לחסום או לאפשר.

    1. לדוגמה, כדי לחסום את Cloud Storage, אפשר להזין storage.googleapis.com.

    2. כדי להוסיף עוד שירותים, לוחצים על הוספת ערך.

  11. כדי לאכוף את המדיניות, לוחצים על הגדרת מדיניות.

gcloud

אפשר להגדיר את מדיניות הארגון באמצעות Google Cloud CLI. כדי לאכוף מדיניות ארגון שכוללת את האילוץ הגבלת השימוש בשירות משאבים, קודם יוצרים קובץ YAML עם המדיניות שרוצים לעדכן:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
      deniedValues:
      - file.googleapis.com
      - bigquery.googleapis.com
      - storage.googleapis.com

מחליפים את ORGANIZATION_ID במזהה של משאב הארגון. כדי להגדיר את המדיניות הזו בארגון, מריצים את הפקודה הבאה:

gcloud org-policies set-policy /tmp/policy.yaml

מידע נוסף על שימוש באילוצים במדיניות הארגון זמין במאמר יצירת מדיניות ארגון.

הגבלת משאבים ללא תגים

אתם יכולים להשתמש בתגים ובמדיניות ארגונית מותנית כדי להגביל משאבים שלא משתמשים בתג מסוים. אם מגדירים מדיניות ארגון במשאב שמגבילה שירותים, ומתנים את ההגבלה בנוכחות תג, אי אפשר להשתמש במשאבי צאצאים שנוצרו מהמשאב הזה אלא אם הם תויגו. כך, המשאבים צריכים להיות מוגדרים בהתאם לתוכנית השליטה לפני שאפשר להשתמש בהם.

כדי להגביל משאבים לא מתויגים בארגון, בתיקייה או בפרויקט, אפשר להשתמש באופרטור הלוגי ! בשאילתה מותנית כשיוצרים את מדיניות הארגון.

לדוגמה, כדי לאפשר שימוש ב-sqladmin.googleapis.com רק בפרויקטים עם התג sqladmin=enabled, אפשר ליצור מדיניות ארגון שדוחה את sqladmin.googleapis.com בפרויקטים בלי התג sqladmin=enabled.

  1. יוצרים תג שמזהה אם הוחלה על המשאבים בקרה מתאימה. לדוגמה, אפשר ליצור תג עם המפתח sqlAdmin והערך enabled, כדי לציין שצריך לאפשר למשאב הזה להשתמש ב-Cloud SQL Admin API. לדוגמה:

    יצירה של מפתח וערך לתג

  2. לוחצים על השם של התג החדש שנוצר. בשלבים הבאים תצטרכו את השם עם מרחב השמות של מפתח התג, שמופיע בקטע Tag key path, כדי ליצור תנאי.

  3. יוצרים מדיניות ארגונית מסוג הגבלת השימוש ב-Service Usage ברמה של משאב הארגון כדי לדחות את הגישה אל Cloud SQL Admin API. לדוגמה:

    יצירת מדיניות ארגון להגבלת משאבים

  4. מוסיפים תנאי למדיניות הארגון שלמעלה, ומציינים שהמדיניות נאכפת אם תג השליטה לא קיים. בונה התנאים לא תומך באופרטור NOT לוגי, ולכן צריך ליצור את התנאי הזה בכלי לעריכת תנאים. לדוגמה:

    יצירת מדיניות ארגונית מותנית

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

מעכשיו, צריך לצרף את התג sqlAdmin=enabled לפרויקט או להעביר אותו בירושה ממנו, כדי שהמפתחים יוכלו להשתמש ב-Cloud SQL Admin API עם הפרויקט הזה.

למידע נוסף על יצירת מדיניות ארגונית מותנית, ראו הגדרת היקף מדיניות ארגונית באמצעות תגים.

יצירת מדיניות ארגונית במצב הרצת בדיקה

מדיניות ארגונית במצב פרימטר לבדיקות היא סוג של מדיניות ארגונית שבה הפרות של המדיניות נרשמות ביומן הביקורת, אבל הפעולות שמפירות את המדיניות לא נדחות. אפשר ליצור מדיניות ארגון במצב הרצה יבשה באמצעות האילוץ הגבלת השימוש בשירות משאבים כדי לעקוב אחרי ההשפעה שלה על הארגון לפני שאוכפים את המדיניות הפעילה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.

הודעת השגיאה

אם מגדירים מדיניות ארגונית לדחיית שירות א' בהיררכיית משאבים ב', כשלקוח מנסה להשתמש בשירות א' בהיררכיית משאבים ב', הפעולה נכשלת. מוחזרת שגיאה שמתארת את הסיבה לכשל. בנוסף, נוצרת רשומה ב-AuditLog לצורך מעקב, התראה או ניפוי באגים.

הודעת שגיאה לדוגמה

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

דוגמאות ליומני ביקורת של Cloud

צילום מסך של דוגמה לרשומה ביומן ביקורת