Einschränkungen der Organisationsrichtlinien erzwingen

Durch Aktivieren der folgenden Einschränkung der Organisationsrichtlinien für Confidential Computing können Sie dafür sorgen, dass alle in Ihrer Organisation erstellten VM-Ressourcen Confidential VM-Instanzen sind.

Hinweis

Sie müssen eine Rolle mit entsprechenden Berechtigungen haben, um Einschränkungen für Organisationsrichtlinien ändern zu können. Sie benötigen mindestens die Rolle Administrator für Unternehmensrichtlinien, um Organisationsrichtlinien festzulegen oder zu ändern.

Einschränkung aktivieren

Gehen Sie so vor, um die Einschränkung für VM-Instanzen zu aktivieren:

Console

  1. Klicken Sie in der Google Cloud Console oben auf der Seite auf das Menü zur Projektauswahl. Wählen Sie in der Projektauswahl die Organisation aus, auf die Sie die Einschränkung anwenden möchten.
  2. „Organisationsrichtlinien“ öffnen: Klicken Sie auf das Navigationsmenü , zeigen Sie auf IAM & Verwaltung und klicken Sie dann auf Organisationsrichtlinien.

    „Organisationsrichtlinien“ öffnen

  3. Wählen Sie in der Liste der Organisationsrichtlinien die Option Non-Confidential Computing einschränken aus. (Wahrscheinlich ist es am einfachsten, die Liste zuerst nach Richtliniennamen zu filtern.)

  4. Klicken Sie auf der Seite Richtliniendetails für die Option „Non-Confidential Computing einschränken“ auf „Bearbeiten“ .

    Screenshot des Bildschirms mit den Richtliniendetails vor dem Verfahren

  5. Wählen Sie unter Gilt für die Option Anpassen.

  6. Wählen Sie unter „Richtlinienerzwingung“ aus, ob die neue Richtlinieneinstellung mit der einer übergeordneten Organisation zusammengeführt werden soll (Mit übergeordneter Ressource zusammenführen) oder ob die aktuelle Richtlinieneinstellung ersetzt und die übergeordnete Ressource ignoriert werden soll (Ersetzen).

  7. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert und unter Richtlinientyp die Option Ablehnen aus. Mit dieser Option legen Sie fest, dass alle neuen VM-Instanzen, die in dieser Organisation erstellt werden, Confidential VM-Instanzen sind.

  8. Fügen Sie dem Feld unter Benutzerdefinierte Werte die unterstützten API-Dienstnamen hinzu, für die Sie diese Richtlinie erzwingen möchten. Die Liste der unterstützten Dienste finden Sie in der Richtlinienbeschreibung. Wenn Sie diese Richtlinie beispielsweise beim Erstellen neuer VM-Instanzen erzwingen möchten, geben Sie compute.googleapis.com ein. Wenn Sie mehrere API-Dienste eingeben möchten, klicken Sie auf Neuer Richtlinienwert.

  9. Optional können Sie einen Empfehlungshinweis für diese Richtlinie in der Cloud Console eingeben. Klicken Sie dazu auf Empfehlung festlegen. Wenn Sie fertig sind, klicken Sie auf Speichern.

Wenn Sie alles korrekt eingegeben haben, sieht der Bildschirm Richtliniendetails für Non-Confidential Computing einschränken wie im folgenden Screenshot aus. Notieren Sie sich den Namen der Dienst-API unter Abgelehnt.

Screenshot des Bildschirms mit den Richtliniendetails nach dem Verfahren

gcloud

Verwenden Sie den folgenden gcloud-Befehl und ersetzen Sie den Platzhalter PROJECT_ID durch Ihre Projekt-ID:

gcloud beta resource-manager org-policies deny \
  constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
  --project=PROJECT_ID

Durch die Ablehnung der Organisationsrichtlinie „Con-Confidential Computing einschränken“ haben Sie angegeben, dass alle neuen VM-Instanzen Confidential VM-Instanzen sind.

Einschränkung deaktivieren

So deaktivieren Sie die Einschränkung:

Console

  1. Klicken Sie in der Google Cloud Console oben auf der Seite auf das Menü zur Projektauswahl. Klicken Sie in der Google Cloud Console oben auf der Seite auf das Menü zur Projektauswahl.
  2. „Organisationsrichtlinien“ öffnen: Klicken Sie auf das Navigationsmenü , zeigen Sie auf IAM & Verwaltung und klicken Sie dann auf Organisationsrichtlinien.

    „Organisationsrichtlinien“ öffnen

  3. Wählen Sie in der Liste der Organisationsrichtlinien die Option Non-Confidential Computing einschränken aus. (Wahrscheinlich ist es am einfachsten, die Liste zuerst nach Richtliniennamen zu filtern.)

  4. Klicken Sie auf der Seite Richtliniendetails für die Option „Non-Confidential Computing einschränken“ auf „Bearbeiten“ .

  5. Wählen Sie unter Richtlinienwerte die Option Alle zulassen aus und klicken Sie dann auf Speichern.

gcloud

Verwenden Sie den folgenden gcloud-Befehl: Durch Ausführen dieses Befehls wird die Richtlinie auf den Standardstatus für das Projekt zurückgesetzt. Ersetzen Sie den Platzhalter PROJECT_ID durch Ihre Projekt-ID:

gcloud beta resource-manager org-policies delete \
  constraints/compute.restrictNonConfidentialComputing \
  --project=PROJECT_ID

Wenn Sie die Organisationsrichtlinie „Non-Confidential Computing einschränken“ zulassen, können Sie VM-Instanzen, die keine Confidential VM-Instanzen sind, wieder neu erstellen.

Richtliniendatei erstellen

Alternativ können Sie eine Richtliniendatei mit set-policy-Befehlen erstellen.

Weitere Informationen

Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien: