Mit einer Einschränkung der Organisationsrichtlinien können Sie dafür sorgen, dass alle in Ihrer Organisation erstellten VMs vertrauliche VM-Instanzen sind.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Einschränkung aktivieren
Gehen Sie so vor, um die Einschränkung für VM-Instanzen zu aktivieren:
Console
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:
Klicken Sie oben auf der Seite auf das Schaltfeld und wählen Sie die Organisation aus, auf die die Einschränkung angewendet werden soll. Wenn Sie die Einschränkung auf ein Projekt anwenden möchten, wählen Sie stattdessen ein Projekt aus.
Geben Sie im Filterfeld
restrict non-confidential computingein und klicken Sie dann auf die Richtlinie Nicht vertrauliches Computing einschränken.Klicken Sie auf der Seite Richtliniendetails für die Option Non-Confidential Computing einschränken auf Richtlinie verwalten.
Klicken Sie im Abschnitt Gilt für auf Anpassen.
Wählen Sie im Bereich Richtlinienerzwingung eine der folgenden Optionen aus:
Mit übergeordneter Ressource zusammenführen Fügen Sie die neue Richtlinieneinstellung der übergeordneten Organisation hinzu.
Ersetzen Ersetzen Sie die aktuelle Richtlinieneinstellung und ignorieren Sie die der übergeordneten Organisation.
Klicken Sie im Bereich Regeln auf Regel hinzufügen.
Wählen Sie im Feld Richtlinienwerte die Option Benutzerdefiniert und für den Richtlinientyp die Option Ablehnen aus.
Geben Sie im Feld Benutzerdefinierte Werte
compute.googleapis.comals API-Dienstnamen ein, für den Sie die Richtlinie erzwingen möchten.Klicken Sie auf Fertig.
Klicken Sie auf Richtlinie festlegen.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Geben Sie folgenden Wert an:
ORGANIZATION_ID: Die ID der Organisation, der die Einschränkung hinzugefügt werden soll.Google Cloud Organisations-ID ermitteln
Console
So finden Sie eine Google Cloud -Organisations-ID:
-
Öffnen Sie die Google Cloud Console.
- Klicken Sie in der Menüleiste auf das Kästchen Schalter.
- Klicken Sie auf das Feld Auswählen aus und wählen Sie dann Ihre Organisation aus.
- Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.
gcloud-CLI
Sie können eine Google Cloud Organisations-ID mit dem folgenden Befehl abrufen:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Wenn Sie die Einschränkung auf Projektebene anstelle von Organisationsebene anwenden möchten, verwenden Sie --project=PROJECT_ID anstelle von --organization=ORGANIZATION_ID.
Alternativ können Sie Richtlinien mit einer Richtliniendatei mithilfe von set-policy-Befehlen festlegen.
Einschränkung prüfen
So prüfen Sie die Einschränkung:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie oben auf der Seite auf die Projektauswahl und wählen Sie ein Projekt aus, in dem Sie eine VM erstellen möchten.
Klicken Sie auf Instanz erstellen.
Prüfen Sie im Abschnitt Confidential VM-Dienst, ob Ihre Richtlinie erzwungen wird.
Einschränkung deaktivieren
So deaktivieren Sie die Einschränkung:
Console
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:
Klicken Sie oben auf der Seite auf das Schaltfeld und wählen Sie die Organisation aus, auf die die Einschränkung angewendet werden soll. Wenn Sie die Einschränkung auf ein Projekt anwenden möchten, wählen Sie stattdessen ein Projekt aus.
Geben Sie im Filterfeld
restrict non-confidential computingein und klicken Sie dann auf die Richtlinie Nicht vertrauliches Computing einschränken.Klicken Sie auf der Seite Richtliniendetails für die Option Non-Confidential Computing einschränken auf Richtlinie verwalten.
Klicken Sie auf die Regel, um sie zu maximieren.
Wählen Sie im Feld Richtlinienwerte die Option Alle zulassen aus und klicken Sie dann auf Fertig.
Klicken Sie auf Richtlinie festlegen.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Geben Sie folgenden Wert an:
ORGANIZATION_ID: Die ID der Organisation, für die die Einschränkung gelöscht werden soll.Google Cloud Organisations-ID ermitteln
Console
So finden Sie eine Google Cloud -Organisations-ID:
-
Öffnen Sie die Google Cloud Console.
- Klicken Sie in der Menüleiste auf das Kästchen Schalter.
- Klicken Sie auf das Feld Auswählen aus und wählen Sie dann Ihre Organisation aus.
- Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.
gcloud-CLI
Sie können eine Google Cloud Organisations-ID mit dem folgenden Befehl abrufen:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Wenn Sie die Einschränkung auf Projektebene statt auf Organisationsebene löschen möchten, verwenden Sie --project=PROJECT_ID anstelle von --organization=ORGANIZATION_ID.
Alternativ können Sie Richtlinien mit einer Richtliniendatei mithilfe von set-policy-Befehlen festlegen.
Nächste Schritte
Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien:
- Übersicht über Organisationsrichtlinien
- Informationen, was Einschränkungen sind
- Informationen zu den verfügbaren Einschränkungen für Organisationsrichtlinien
- Informationen, wie mit Einschränkungen Organisationsrichtlinien erstellt werden können.