Confidential VM の使用を適用する

組織で作成されたすべての VM が Confidential VM インスタンスになるようにするには、組織のポリシーの制約を使用します。

必要なロール

組織のポリシーを管理するために必要な権限を取得するには、組織に対する組織ポリシー管理者 roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

この事前定義ロールには、組織のポリシーを管理するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

組織のポリシーを管理するには、次の権限が必要です。

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

制約を有効にする

VM インスタンスの制約を有効にするには、次の手順を完了します。

コンソール

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. ページ上部にある切り替えボックスをクリックし、制約を適用する組織を選択します。制約をプロジェクトに適用するには、代わりにプロジェクトを選択します。

  3. フィルタ ボックスに「restrict non-confidential computing」と入力し、[非機密コンピューティングを制限する] ポリシーをクリックします。

  4. [ポリシーの詳細] ページで、[Confidential Computing 以外を制限する] の [ポリシーを管理する] をクリックします。

  5. [適用先] セクションで、[カスタマイズ] をクリックします。

  6. [ポリシーの適用] セクションで、次のいずれかのオプションを選択します。

    • 親と結合する。新しいポリシー設定を親組織のポリシー設定と統合する。

    • 置き換える。現在のポリシー設定を置き換え、親組織のポリシー設定は無視します。

  7. [ルール] セクションで、[ルールを追加] をクリックします。

  8. [ポリシーの値] ボックスで [カスタム] を選択し、[ポリシーの種類] を [拒否] に設定します。

  9. [カスタム値] ボックスに、ポリシーを適用する API サービス名として compute.googleapis.com を入力します。

  10. [完了] をクリックします。

  11. [ポリシーを設定] をクリックします。

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

次の値を指定します。

  • ORGANIZATION_ID: 制約を追加する組織の ID。

    Google Cloud の組織 ID を確認する方法

    コンソール

    Google Cloud 組織 ID を確認するには、次の操作を行います。

    1. Google Cloud コンソールに移動します。

      Google Cloud コンソールに移動します

    2. メニューバーの切り替えボックスをクリックします。
    3. [選択元] ボックスをクリックして、組織を選択します。
    4. [すべて] タブをクリックします。組織 ID が組織名の横に表示されます。

    gcloud CLI

    Google Cloud 組織 ID を取得するには、次のコマンドを使用します。

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

制約を組織レベルではなくプロジェクト レベルで適用するには、--organization=ORGANIZATION_ID ではなく --project=PROJECT_ID を使用します。

また、set-policy コマンドを使用してポリシー ファイルでポリシーを設定することもできます。

制約を確認する

制約を確認するには:

  1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. ページ上部のプロジェクト セレクタをクリックし、VM を作成するプロジェクトを選択します。

  3. [インスタンスを作成] をクリックします。

  4. [Confidential VM サービス] セクションで、ポリシーが適用されていることを確認します。

制約を無効にする

制約を無効にするには、次の手順を完了します。

コンソール

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. ページ上部の切り替えボックスをクリックし、制約を適用する組織を選択します。制約をプロジェクトに適用するには、代わりにプロジェクトを選択します。

  3. フィルタ ボックスに「restrict non-confidential computing」と入力し、[非機密コンピューティングを制限する] ポリシーをクリックします。

  4. [ポリシーの詳細] ページで、[Confidential Computing 以外を制限する] の [ポリシーを管理する] をクリックします。

  5. ルールをクリックして展開します。

  6. [ポリシーの値] ボックスで [すべて許可] を選択し、[完了] をクリックします。

  7. [ポリシーを設定] をクリックします。

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

次の値を指定します。

  • ORGANIZATION_ID: 制約を削除する組織の ID。

    Google Cloud の組織 ID を確認する方法

    コンソール

    Google Cloud 組織 ID を確認するには、次の操作を行います。

    1. Google Cloud コンソールに移動します。

      Google Cloud コンソールに移動します

    2. メニューバーの切り替えボックスをクリックします。
    3. [選択元] ボックスをクリックして、組織を選択します。
    4. [すべて] タブをクリックします。組織 ID が組織名の横に表示されます。

    gcloud CLI

    Google Cloud 組織 ID を取得するには、次のコマンドを使用します。

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

組織レベルではなくプロジェクト レベルで制約を削除するには、--organization=ORGANIZATION_ID ではなく --project=PROJECT_ID を使用します。

また、set-policy コマンドを使用してポリシー ファイルでポリシーを設定することもできます。

次のステップ

組織ポリシーの基本コンセプトの詳細については、以下をご覧ください。