Como aplicar restrições à política da organização

Ao ativar a seguinte restrição de política da organização da computação confidencial, você garante que todos os recursos da VM criados em toda a organização sejam instâncias de VM confidenciais.

Antes de começar

Para modificar as restrições da política da organização, você precisa ter um papel com as permissões apropriadas. Você precisa ter pelo menos o papel Administrador da política da organização para definir ou alterar as políticas da organização.

Ativar a restrição

Para ativar a restrição em instâncias de VM, faça o seguinte:

Console

  1. No Console do Google Cloud, clique no menu do seletor de projetos na parte superior da página. No seletor de projeto, escolha a organização à qual você quer aplicar a restrição.
  2. Abrir as políticas da organização: clique no menu de navegação , aponte para IAM e administrador e clique em Políticas da organização.

    Abrir as políticas da organização

  3. Selecione Restringir computação não confidencial na lista de políticas da organização. Provavelmente, será mais fácil filtrar a lista por nome de política.

  4. Na página Detalhes da política para Restringir computação não confidencial, clique em Editar .

    Captura de tela da tela "Detalhes da política" antes do
procedimento

  5. Em Aplicável a, escolha Personalizar.

  6. Em "Aplicação da política", escolha se você quer mesclar a nova configuração de política com a organização pai (Mesclar com pai) ou substituir a configuração atual e ignorar a configuração da organização pai (Substituir).

  7. Em seguida, em Valores da política, escolha Personalizado e, em Tipo de política, escolha Negar. Isso garante que todas as novas instâncias de VM criadas nesta organização sejam instâncias de VM confidenciais.

  8. No campo Valores personalizados, adicione os nomes dos serviços de API compatíveis para aplicar essa política. A lista de serviços compatíveis é fornecida na descrição da política. Por exemplo, para aplicar essa política na criação de novas instâncias de máquina virtual, digite compute.googleapis.com. Para inserir mais de um serviço da API, clique em Novo valor da política.

  9. Se quiser, insira uma observação de recomendação nessa política no Console do Cloud clicando em Definir recomendação. Quando terminar, clique em Salvar.

Se você fez isso corretamente, a tela Detalhes da política de Restringir computação não confidencial será parecida com a captura de tela a seguir. Observe o nome da API de serviço em Negado.

Captura de tela da tela "Detalhes da política" após o
procedimento

gcloud

Use o comando gcloud a seguir e substitua o marcador PROJECT_ID pelo identificador do projeto:

gcloud resource-manager org-policies deny \
  constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
  --project=PROJECT_ID

Ao negar a política da organização "Restringir computação não confidencial", você especificou que todas as novas instâncias de VM serão instâncias confidenciais.

Desativar a restrição

Para desativar a restrição, faça o seguinte:

Console

  1. No Console do Google Cloud, clique no menu do seletor de projetos na parte superior da página. No seletor de projeto, escolha a organização à qual a restrição foi aplicada.
  2. Abrir as políticas da organização: clique no menu de navegação , aponte para IAM e administrador e clique em Políticas da organização.

    Abrir as políticas da organização

  3. Selecione Restringir computação não confidencial na lista de políticas da organização. Provavelmente, será mais fácil filtrar a lista por nome de política.

  4. Na página Detalhes da política para Restringir computação não confidencial, clique em Editar .

  5. Em Valores da política, escolha Permitir todos e clique em Salvar.

gcloud

Use o seguinte gcloud comando: A execução desse comando retorna a política ao estado padrão do projeto. Substitua o marcador PROJECT_ID pelo identificador do projeto:

gcloud resource-manager org-policies delete \
  constraints/compute.restrictNonConfidentialComputing \
  --project=PROJECT_ID

Ao permitir a política da organização "Restringir computação não confidencial", você reativou a capacidade da organização de criar instâncias de VM que não sejam instâncias de VM confidenciais.

Criar um arquivo de política

Se preferir, crie um arquivo de política usando comandos set-policy.

A seguir

Para saber mais sobre os principais conceitos da política da organização: