Limitare l'utilizzo dei servizi

Questa pagina fornisce una panoramica del vincolo dei criteri dell'organizzazione Limita utilizzo servizi delle risorse, che consente agli amministratori aziendali di controllare quali serviziGoogle Cloud possono essere utilizzati all'interno della gerarchia delle risorse Google Cloud. Questo vincolo può essere applicato solo ai servizi con risorse che sono discendenti diretti di una risorsa di organizzazione, cartella o progetto. Ad esempio, Compute Engine e Cloud Storage.

Il vincolo Limita l'utilizzo del servizio di risorse esclude e non funziona con determinati servizi che sono dipendenze essenziali per i prodotti Google Cloud, come Identity and Access Management (IAM), Cloud Logging e Cloud Monitoring. Per l'elenco dei servizi di risorse cloud supportati da questo vincolo, consulta Servizi che supportano la limitazione dell'utilizzo del servizio.

Gli amministratori possono utilizzare questo vincolo per definire limitazioni gerarchiche sui servizi di risorse consentiti all'interno di un container di risorse, come un'organizzazione, una cartella o un progetto. Google Cloud Ad esempio, consenti storage.googleapis.com all'interno del progetto X o nega compute.googleapis.com all'interno della cartella Y. Questo vincolo determina anche la disponibilità della consoleGoogle Cloud .

Il vincolo Limita utilizzo del servizio risorse può essere utilizzato in due modi mutualmente esclusivi:

  • Lista bloccata: sono consentite le risorse di qualsiasi servizio non negato.

  • Lista consentita: le risorse di qualsiasi servizio non consentito vengono negate.

Il vincolo Limita utilizzo del servizio risorse controlla l'accesso in fase di runtime a tutte le risorse incluse nell'ambito. Quando il criterio dell'organizzazione contenente questo vincolo viene aggiornato, viene immediatamente applicato a tutto l'accesso a tutte le risorse nell'ambito del criterio, con coerenza finale.

Consigliamo agli amministratori di gestire con attenzione gli aggiornamenti alle policy dell'organizzazione che contengono questo vincolo. Puoi implementare in modo più sicuro questa modifica dei criteri utilizzando i tag per applicare in modo condizionale il vincolo. Per saperne di più, consulta Definire l'ambito delle policy dell'organizzazione con i tag.

Quando un servizio è limitato da queste norme, anche alcuni Google Cloud servizi che hanno una dipendenza diretta dal servizio limitato saranno limitati. Questo vale solo per i servizi che gestiscono le stesse risorse del cliente. Ad esempio, Google Kubernetes Engine (GKE) ha una dipendenza da Compute Engine. Quando Compute Engine è limitato, anche GKE è limitato.

Google Cloud Disponibilità della console

I servizi con limitazioni nella console Google Cloud si comportano nel seguente modo:

  • Non puoi passare a un prodotto utilizzando il menu .
  • I servizi con limitazioni non vengono visualizzati nei risultati di ricerca della console. Google Cloud
  • Quando vai alla pagina della console di un servizio con limitazioni, ad esempio da un link o un segnalibro, viene visualizzato un messaggio di errore. Google Cloud

Utilizzo del vincolo Limita utilizzo del servizio risorse

I vincoli dei criteri dell'organizzazione possono essere impostati a livello di organizzazione, cartella e progetto. Ogni criterio si applica a tutte le risorse all'interno della gerarchia delle risorse corrispondente, ma può essere sostituito ai livelli inferiori della gerarchia delle risorse.

Per saperne di più sulla valutazione delle policy, consulta Valutazione della gerarchia.

Impostazione del criterio dell'organizzazione

Per impostare, modificare o eliminare una policy dell'organizzazione, devi disporre del ruolo Organization Policy Administrator.

Console

Per impostare una policy dell'organizzazione che includa un vincolo Limita utilizzo servizi delle risorse, procedi nel seguente modo:

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore di progetti, seleziona la risorsa su cui vuoi impostare la policy dell'organizzazione.

  3. Nella tabella dei criteri dell'organizzazione, seleziona Limita utilizzo servizi delle risorse.

  4. Fai clic su Gestisci policy.

  5. In Applicabile a, seleziona Esegui override della policy dell'unità organizzativa principale.

  6. In Applicazione policy, scegli come applicare l'ereditarietà a questa policy.

    1. Se vuoi ereditare il criterio dell'organizzazione della risorsa padre e unirlo a questo, seleziona Unisci con il padre.

    2. Se vuoi ignorare le policy dell'organizzazione esistenti, seleziona Sostituisci.

  7. Fai clic su Aggiungi una regola.

  8. In Valori policy, seleziona Personalizzato.

  9. In Tipo di policy, seleziona Nega per la lista bloccata o Consenti per la lista consentita.

  10. Nella sezione Valori personalizzati, aggiungi il servizio che vuoi bloccare o consentire all'elenco.

    1. Ad esempio, per bloccare Cloud Storage, puoi inserire storage.googleapis.com.

    2. Per aggiungere altri servizi, fai clic su Aggiungi valore.

  11. Per applicare la policy, fai clic su Imposta policy.

gcloud

I criteri dell'organizzazione possono essere impostati tramite Google Cloud CLI. Per applicare una policy dell'organizzazione che includa il vincolo Limita utilizzo servizi delle risorse, crea prima un file YAML con la policy da aggiornare:

name: organizations/ORGANIZATION_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
      deniedValues:
      - file.googleapis.com
      - bigquery.googleapis.com
      - storage.googleapis.com

Sostituisci ORGANIZATION_ID con l'ID della risorsa della tua organizzazione. Per impostare questa policy nell'organizzazione, esegui questo comando:

gcloud org-policies set-policy /tmp/policy.yaml

Per scoprire di più sull'utilizzo dei vincoli nelle policy dell'organizzazione, consulta Creare policy dell'organizzazione.

Limitazione delle risorse senza tag

Puoi utilizzare i tag e le policy dell'organizzazione condizionali per limitare le risorse che non utilizzano un tag specifico. Se imposti una policy dell'organizzazione su una risorsa che limita i servizi e la rendi condizionale alla presenza di un tag, non è possibile utilizzare le risorse secondarie derivate da quella risorsa a meno che non siano state taggate. In questo modo, le risorse devono essere configurate in base al tuo piano di governance prima di poter essere utilizzate.

Per limitare le risorse di organizzazione, cartella o progetto senza tag, puoi utilizzare l'operatore logico ! in una query condizionale durante la creazione della policy dell'organizzazione.

Ad esempio, per consentire l'utilizzo di sqladmin.googleapis.com solo nei progetti che hanno il tag sqladmin=enabled, puoi creare una policy dell'organizzazione che nega sqladmin.googleapis.com nei progetti che non hanno il tag sqladmin=enabled.

  1. Crea un tag che identifichi se alle risorse è stata applicata una governance adeguata. Ad esempio, puoi creare un tag con la chiave sqlAdmin e il valore enabled per indicare che questa risorsa deve consentire l'utilizzo dell'API Cloud SQL Admin. Ad esempio:

    Creazione di una chiave e di un valore tag

  2. Fai clic sul nome del tag appena creato. Nei passaggi successivi, per creare una condizione, ti servirà il nome con spazio dei nomi della chiave tag, elencato in Percorso chiave tag.

  3. Crea un criterio dell'organizzazione Limita l'utilizzo del servizio di risorse a livello di risorsa dell'organizzazione per negare l'accesso all'API Cloud SQL Admin. Ad esempio:

    Creazione di un criterio dell'organizzazione per limitare le risorse

  4. Aggiungi una condizione alla policy dell'organizzazione precedente, specificando che la policy viene applicata se il tag di governance non è presente. L'operatore NOT logico non è supportato dal generatore di condizioni, pertanto questa condizione deve essere creata nell'editor condizioni. Ad esempio:

    Creazione di una policy dell'organizzazione condizionale

    !resource.matchTag("012345678901/sqlAdmin", "enabled")

Ora, il tag sqlAdmin=enabled deve essere collegato o ereditato da un progetto, prima che gli sviluppatori possano utilizzare l'API Cloud SQL Admin con quel progetto.

Per saperne di più sulla creazione di policy dell'organizzazione condizionali, consulta Definire l'ambito delle policy dell'organizzazione con i tag.

Crea una policy dell'organizzazione in modalità dry run

Una policy dell'organizzazione in modalità dry run è un tipo di policy dell'organizzazione in cui le violazioni della policy vengono registrate nel log di controllo, ma le azioni che violano la policy non vengono negate. Puoi creare una policy dell'organizzazione in modalità dry run utilizzando il vincolo Limita utilizzo servizi delle risorse per monitorare l'impatto sulla tua organizzazione prima di applicare la policy attiva. Per saperne di più, consulta Testare le policy dell'organizzazione.

Messaggio di errore

Se imposti un criterio dell'organizzazione per negare il servizio A all'interno della gerarchia di risorse B, quando un client tenta di utilizzare il servizio A all'interno della gerarchia di risorse B, l'operazione non riesce. Viene restituito un errore che descrive il motivo di questo errore. Inoltre, viene generata una voce AuditLog per ulteriore monitoraggio, avvisi o debug.

Esempio di messaggio di errore

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/PROJECT_ID attempting to use service
storage.googleapis.com.

Esempio di audit log di Cloud

Screenshot di una voce di audit log di esempio