Per assicurarti che tutte le VM create nella tua organizzazione siano istanze Confidential VM, puoi utilizzare un vincolo dei criteri dell'organizzazione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire le norme dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM Amministratore delle norme dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire i criteri dell'organizzazione. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per gestire le norme dell'organizzazione sono necessarie le seguenti autorizzazioni:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Attiva il vincolo
Per attivare la limitazione sulle istanze VM, completa le seguenti istruzioni:
Console
Nella console Google Cloud, vai alla pagina Norme dell'organizzazione:
Fai clic sulla casella del selettore nella parte superiore della pagina e scegli l'organizzazione a cui applicare la limitazione. Per applicare la limitazione a un progetto, seleziona un progetto.
Nella casella del filtro, inserisci
restrict non-confidential computinge poi fai clic sul criterio Limita il calcolo non riservato.Nella pagina Dettagli criterio per Limita il calcolo non riservato, fai clic su Gestisci criterio.
Nella sezione Applicabile a, fai clic su Personalizza.
Nella sezione Applicazione dei criteri, scegli una delle seguenti opzioni:
Unisci con la risorsa principale. Unisci la nuova impostazione del criterio con quella di un'organizzazione principale.
Sostituisci. Sostituire l'impostazione del criterio corrente e ignorare quella dell'organizzazione principale.
Nella sezione Regole, fai clic su Aggiungi una regola.
Nella casella Valori criterio, seleziona Personalizzato e imposta Tipo di criterio su Rifiuta.
Nella casella Valori personalizzati, inserisci
compute.googleapis.comcome nome del servizio API su cui vuoi applicare il criterio.Fai clic su Fine.
Fai clic su Imposta criterio.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Specifica il seguente valore:
ORGANIZATION_ID: l'ID dell'organizzazione a cui aggiungere il vincolo.Come trovare un Google Cloud ID organizzazione
Console
Per trovare un Google Cloud ID organizzazione, completa i seguenti passaggi:
-
Vai alla console Google Cloud.
- Fai clic sulla casella del selettore nella barra dei menu.
- Fai clic sulla casella Seleziona da e seleziona la tua organizzazione.
- Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.
Interfaccia a riga di comando gcloud
Puoi recuperare un Google Cloud ID organizzazione con il seguente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Per applicare il vincolo a livello di progetto anziché a livello di organizzazione, utilizza --project=PROJECT_ID anziché --organization=ORGANIZATION_ID.
In alternativa, puoi impostare i criteri con un file di criteri utilizzando i comandi set-policy.
Verifica il vincolo
Per verificare la limitazione:
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sul selettore di progetti nella parte superiore della pagina e scegli un progetto in cui creare una VM.
Fai clic su Crea istanza.
Nella sezione Servizio Confidential VM, verifica che le tue norme siano applicate.
Disattiva il vincolo
Per disattivare la limitazione, segui le istruzioni riportate di seguito:
Console
Nella console Google Cloud, vai alla pagina Norme dell'organizzazione:
Fai clic sulla casella del selettore nella parte superiore della pagina e scegli l'organizzazione a cui applicare la limitazione. Per applicare la limitazione a un progetto, seleziona un progetto.
Nella casella del filtro, inserisci
restrict non-confidential computinge poi fai clic sul criterio Limita il calcolo non riservato.Nella pagina Dettagli criterio per Limita il calcolo non riservato, fai clic su Gestisci criterio.
Fai clic sulla regola per espanderla.
Nella casella Valori criterio, seleziona Consenti tutto e poi fai clic su Fine.
Fai clic su Imposta criterio.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Specifica il seguente valore:
ORGANIZATION_ID: l'ID dell'organizzazione da cui eliminare il vincolo.Come trovare un Google Cloud ID organizzazione
Console
Per trovare un Google Cloud ID organizzazione, completa i seguenti passaggi:
-
Vai alla console Google Cloud.
- Fai clic sulla casella del selettore nella barra dei menu.
- Fai clic sulla casella Seleziona da e seleziona la tua organizzazione.
- Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.
Interfaccia a riga di comando gcloud
Puoi recuperare un Google Cloud ID organizzazione con il seguente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Per eliminare la limitazione a livello di progetto anziché a livello di organizzazione, utilizza --project=PROJECT_ID anziché --organization=ORGANIZATION_ID.
In alternativa, puoi impostare i criteri con un file di criteri utilizzando i comandi set-policy.
Passaggi successivi
Per scoprire di più sui concetti fondamentali delle policy dell'organizzazione:
- Leggi la panoramica dei criteri dell'organizzazione.
- Scopri che cosa sono i vincoli.
- Scopri di più sui vincoli delle policy dell'organizzazione disponibili.
- Scopri come utilizzare i vincoli per creare i criteri dell'organizzazione.