Para garantir que todas as VMs criadas na sua organização sejam instâncias de VM confidenciais, use uma restrição de política da organização.
Funções exigidas
Para receber as permissões necessárias a fim de gerenciar as políticas da organização,
peça ao administrador para conceder a você o
papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para gerenciar as políticas da organização. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para gerenciar as políticas da organização:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Ativar a restrição
Para ativar a restrição em instâncias de VM, siga estas instruções:
Console
No console do Google Cloud, acesse a página Políticas da organização:
Clique na caixa de alternância na parte de cima da página e escolha a organização em que a restrição será aplicada. Para aplicar a restrição a um projeto, selecione um projeto.
Na caixa de filtro, digite
restrict non-confidential computinge clique na política Restringir computação não confidencial.Na página Detalhes da política de Restringir computação não confidencial, clique em Gerenciar política.
Na seção Aplicável a, clique em Personalizar.
Na seção Aplicação da política, escolha uma das seguintes opções:
Mesclar com o recurso pai. Mesclar a nova configuração de política com a de uma organização pai.
Substituir. Substitua a configuração de política atual e ignore a da organização pai.
Na seção Regras, clique em Adicionar uma regra.
Na caixa Valores da política, selecione Personalizado e defina o Tipo de política como Negar.
Na caixa Valores personalizados, digite
compute.googleapis.comcomo o nome do serviço da API em que você quer aplicar a política.Clique em Concluído.
Clique em Definir política.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Forneça o seguinte valor:
ORGANIZATION_ID: o ID da organização a que a restrição será adicionada.Como encontrar um ID Google Cloud da organização
Console
Para encontrar um ID de organização Google Cloud , siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menu.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID da organização aparece ao lado do nome dela.
CLI da gcloud
É possível recuperar um ID de organização Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para aplicar a restrição no nível do projeto em vez do nível da
organização, use --project=PROJECT_ID em vez de
--organization=ORGANIZATION_ID.
Como alternativa, é possível definir políticas com um arquivo de política usando
comandos set-policy.
Verificar a restrição
Para verificar a restrição:
No console do Google Cloud, acesse a página Instâncias de VMs.
Clique no seletor de projetos na parte de cima da página e escolha um projeto para criar uma VM.
Clique em Criar instância.
Na seção Serviço de VM confidencial, verifique se a política está ativada.
Desativar a restrição
Para desativar a restrição, siga estas instruções:
Console
No console do Google Cloud, acesse a página Políticas da organização:
Clique na caixa de alternância na parte de cima da página e escolha a organização em que a restrição será aplicada. Para aplicar a restrição a um projeto, selecione um projeto.
Na caixa de filtro, digite
restrict non-confidential computinge clique na política Restringir computação não confidencial.Na página Detalhes da política de Restringir computação não confidencial, clique em Gerenciar política.
Clique na regra para expandi-la.
Na caixa Valores da política, selecione Permitir tudo e clique em Concluído.
Clique em Definir política.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Forneça o seguinte valor:
ORGANIZATION_ID: o ID da organização de que a restrição será excluída.Como encontrar um ID Google Cloud da organização
Console
Para encontrar um ID de organização Google Cloud , siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID da organização aparece ao lado do nome dela.
CLI da gcloud
É possível recuperar um ID de organização Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para excluir a restrição no nível do projeto em vez do nível da
organização, use --project=PROJECT_ID em vez de
--organization=ORGANIZATION_ID.
Como alternativa, é possível definir políticas com um arquivo de política usando
comandos set-policy.
A seguir
Para saber mais sobre os principais conceitos da política da organização:
- Leia a visão geral da política da organização.
- Leia sobre o que são restrições.
- Leia sobre as restrições da política da organização disponíveis.
- Leia como usar restrições para criar políticas da organização.