Pour vous assurer que toutes les VM créées dans votre organisation sont des instances de VM Confidential, vous pouvez utiliser une contrainte de règle d'administration.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour gérer les règles d'administration :
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer la contrainte
Pour activer la contrainte sur des instances de VM, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Règles d'administration:
Cliquez sur le bouton bascule en haut de la page, puis sélectionnez l'organisation à laquelle appliquer la contrainte. Pour appliquer la contrainte à un projet, sélectionnez plutôt un projet.
Dans la zone de filtre, saisissez
restrict non-confidential computing, puis cliquez sur la règle Restrict Non-Confidential Computing (Limiter le calcul non confidentiel).Sur la page Détails des règles de Limiter l'informatique non confidentielle, cliquez sur Gérer la règle.
Dans la section Applicable à, cliquez sur Personnaliser.
Dans la section Application des règles, sélectionnez l'une des options suivantes:
Fusionner avec le parent Fusionner votre nouveau paramètre de stratégie avec celui d'une organisation parente.
Remplacez-le. Remplace le paramètre de stratégie actuel et ignore celui de l'organisation parente.
Dans la section Règles, cliquez sur Ajouter une règle.
Dans la zone Policy values (Valeurs de règles), sélectionnez Custom (Personnalisé) et définissez Policy type (Type de règle) sur Deny (Refuser).
Dans la zone Custom values (Valeurs personnalisées), saisissez
compute.googleapis.comcomme nom du service d'API pour lequel vous souhaitez appliquer la règle.Cliquez sur OK.
Cliquez sur Définir la règle.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Indiquez la valeur suivante :
ORGANIZATION_ID: ID de l'organisation à laquelle ajouter la contrainte.Trouver un Google Cloud ID d'organisation
Console
Pour trouver un ID d' Google Cloud organisation, procédez comme suit:
-
Accédez à Google Cloud Console.
- Cochez la case Activer dans la barre de menu.
- Cliquez sur la zone Sélectionner à partir de, puis sélectionnez votre organisation.
- Cliquez sur l'onglet Tous. L'ID de l'organisation s'affiche à côté de son nom.
CLI gcloud
Vous pouvez récupérer un ID d' Google Cloud organisation à l'aide de la commande suivante:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Pour appliquer la contrainte au niveau du projet plutôt qu'au niveau de l'organisation, utilisez --project=PROJECT_ID au lieu de --organization=ORGANIZATION_ID.
Vous pouvez également définir des règles avec un fichier de règles à l'aide des commandes set-policy.
Vérifier la contrainte
Pour vérifier la contrainte:
Dans Google Cloud Console, accédez à la page Instances de VM.
Cliquez sur le sélecteur de projet en haut de la page, puis sélectionnez un projet dans lequel créer une VM.
Cliquez sur Créer une instance.
Dans la section Service Confidential VM, vérifiez que votre règle est appliquée.
Désactiver la contrainte
Pour désactiver la contrainte, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Règles d'administration:
Cliquez sur le bouton bascule en haut de la page, puis sélectionnez l'organisation à laquelle appliquer la contrainte. Pour appliquer la contrainte à un projet, sélectionnez plutôt un projet.
Dans la zone de filtre, saisissez
restrict non-confidential computing, puis cliquez sur la règle Restrict Non-Confidential Computing (Limiter le calcul non confidentiel).Sur la page Détails des règles de Limiter l'informatique non confidentielle, cliquez sur Gérer la règle.
Cliquez sur la règle pour la développer.
Dans la zone Valeurs de règles, sélectionnez Tout autoriser, puis cliquez sur OK.
Cliquez sur Définir la règle.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Indiquez la valeur suivante :
ORGANIZATION_ID: ID de l'organisation à partir de laquelle supprimer la contrainte.Trouver un Google Cloud ID d'organisation
Console
Pour trouver un ID d' Google Cloud organisation, procédez comme suit:
-
Accédez à Google Cloud Console.
- Cochez la case Activer dans la barre de menu.
- Cliquez sur la zone Sélectionner à partir de, puis sélectionnez votre organisation.
- Cliquez sur l'onglet Tous. L'ID de l'organisation s'affiche à côté de son nom.
CLI gcloud
Vous pouvez récupérer un ID d' Google Cloud organisation à l'aide de la commande suivante:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Pour supprimer la contrainte au niveau du projet plutôt qu'au niveau de l'organisation, utilisez --project=PROJECT_ID au lieu de --organization=ORGANIZATION_ID.
Vous pouvez également définir des règles avec un fichier de règles à l'aide des commandes set-policy.
Étape suivante
Pour en savoir plus sur les concepts de base des règles d'administration :
- Consultez la présentation des règles d'administration.
- Découvrez ce que sont les contraintes.
- Découvrez les contraintes de règle d'administration disponibles.
- Découvrez comment utiliser des contraintes pour créer des règles d'administration.