Menerapkan penggunaan Confidential VM

Untuk memastikan semua VM yang dibuat di organisasi Anda adalah instance Confidential VM, Anda dapat menggunakan batasan kebijakan organisasi.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengelola kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengelola kebijakan organisasi:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengaktifkan batasan

Untuk mengaktifkan batasan pada instance VM, selesaikan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies:

    Buka Organization policies

  2. Klik kotak pengalih di bagian atas halaman, lalu pilih organisasi yang akan menerapkan batasan. Untuk menerapkan batasan ke project, pilih project.

  3. Di kotak filter, masukkan restrict non-confidential computing, lalu klik kebijakan Batasi Komputasi Non-Rahasia.

  4. Di halaman Detail kebijakan untuk Batasi Komputasi Non-Rahasia, klik Kelola kebijakan.

  5. Di bagian Berlaku untuk, klik Sesuaikan.

  6. Di bagian Penerapan kebijakan, pilih salah satu opsi berikut:

    • Gabungkan dengan induk. Menggabungkan setelan kebijakan baru dengan setelan organisasi induk.

    • Ganti. Ganti setelan kebijakan saat ini dan abaikan setelan organisasi induk.

  7. Di bagian Aturan, klik Tambahkan aturan.

  8. Di kotak Policy values, pilih Custom, dan tetapkan Policy type ke Deny.

  9. Di kotak Nilai kustom, masukkan compute.googleapis.com sebagai nama layanan API yang ingin Anda terapkan kebijakannya.

  10. Klik Done.

  11. Klik Set policy.

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

Berikan nilai berikut:

  • ORGANIZATION_ID: ID organisasi tempat batasan akan ditambahkan.

    Cara menemukan ID organisasi Google Cloud

    Konsol

    Untuk menemukan ID organisasi Google Cloud , selesaikan langkah-langkah berikut:

    1. Buka konsol Google Cloud.

      Buka konsol Google Cloud

    2. Klik kotak pengalih di panel menu.
    3. Klik kotak Pilih dari, lalu pilih organisasi Anda.
    4. Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.

    gcloud CLI

    Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Untuk menerapkan batasan di tingkat project, bukan tingkat organisasi, gunakan --project=PROJECT_ID, bukan --organization=ORGANIZATION_ID.

Atau, Anda dapat menetapkan kebijakan dengan file kebijakan menggunakan perintah set-policy.

Memverifikasi batasan

Untuk memverifikasi batasan:

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Klik pemilih project di bagian atas halaman, lalu pilih project tempat VM akan dibuat.

  3. Klik Create instance.

  4. Di bagian Layanan Confidential VM, pastikan kebijakan Anda diterapkan.

Menonaktifkan batasan

Untuk menonaktifkan batasan, selesaikan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies:

    Buka Organization policies

  2. Klik kotak pengalih di bagian atas halaman, lalu pilih organisasi yang akan menerapkan batasan. Untuk menerapkan batasan ke project, pilih project.

  3. Di kotak filter, masukkan restrict non-confidential computing, lalu klik kebijakan Batasi Komputasi Non-Rahasia.

  4. Di halaman Detail kebijakan untuk Batasi Komputasi Non-Rahasia, klik Kelola kebijakan.

  5. Klik aturan untuk meluaskannya.

  6. Di kotak Policy values, pilih Allow all, lalu klik Done.

  7. Klik Set policy.

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

Berikan nilai berikut:

  • ORGANIZATION_ID: ID organisasi tempat penghapusan batasan dilakukan.

    Cara menemukan ID organisasi Google Cloud

    Konsol

    Untuk menemukan ID organisasi Google Cloud , selesaikan langkah-langkah berikut:

    1. Buka konsol Google Cloud.

      Buka konsol Google Cloud

    2. Klik kotak pengalih di panel menu.
    3. Klik kotak Pilih dari, lalu pilih organisasi Anda.
    4. Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.

    gcloud CLI

    Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Untuk menghapus batasan di tingkat project, bukan di tingkat organisasi, gunakan --project=PROJECT_ID, bukan --organization=ORGANIZATION_ID.

Atau, Anda dapat menetapkan kebijakan dengan file kebijakan menggunakan perintah set-policy.

Langkah selanjutnya

Untuk mempelajari lebih lanjut konsep inti kebijakan organisasi: