Para se certificar de que todas as instâncias de VM criadas na sua organização são instâncias de VM confidenciais, pode usar uma restrição de política da organização.
Funções necessárias
Para receber as autorizações de que precisa para gerir políticas de organização,
peça ao seu administrador para lhe conceder a função de IAM de
administrador de políticas de organização (roles/orgpolicy.policyAdmin)
na organização.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém as autorizações necessárias para gerir políticas da organização. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para gerir políticas da organização:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Ative a restrição
Para ativar a restrição em instâncias de VMs, conclua as seguintes instruções:
Consola
Na Google Cloud consola, aceda à página Políticas da organização:
Clique na caixa de comutador na parte superior da página e escolha a organização à qual aplicar a restrição. Para aplicar a restrição a um projeto, selecione um projeto.
Na caixa de filtro, introduza
restrict non-confidential computinge, de seguida, clique na política Restringir computação não confidencial.Na página Detalhes da política para Restringir computação não confidencial, clique em Gerir política.
Na secção Aplica-se a, clique em Personalizar.
Na secção Aplicação de políticas, escolha uma das seguintes opções:
Unir com o grupo principal. Mesclar a nova definição de política com a de uma organização principal.
Substituir. Substituir a definição da política atual e ignorar a da organização principal.
Na secção Regras, clique em Adicionar uma regra.
Na caixa Valores da política, selecione Personalizado e defina o Tipo de política como Recusar.
Na caixa Valores personalizados, introduza
compute.googleapis.comcomo o nome do serviço da API no qual quer aplicar a política.Clique em Concluído.
Clique em Definir política.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Indique o seguinte valor:
ORGANIZATION_ID: o ID da organização à qual adicionar a restrição.Como encontrar um Google Cloud ID da organização
Consola
Para encontrar um Google Cloud ID da organização, conclua os seguintes passos:
-
Aceda à Google Cloud consola.
- Clique na caixa do comutador na barra de menu.
- Clique na caixa Selecionar de e, em seguida, selecione a sua organização.
- Clique no separador Tudo. O ID da organização é apresentado junto ao nome da organização.
CLI gcloud
Pode obter um Google Cloud ID da organização com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para aplicar a restrição ao nível do projeto em vez do nível da organização, use --project=PROJECT_ID em vez de --organization=ORGANIZATION_ID.
Em alternativa, pode definir políticas com um ficheiro de políticas através de comandos set-policy.
Valide a restrição
Para validar a restrição:
Na Google Cloud consola, aceda à página Instâncias de VM.
Clique no seletor de projetos na parte superior da página e escolha um projeto no qual criar uma VM.
Clique em Criar instância.
Na secção Serviço de VM confidencial, verifique se a sua política é aplicada.
Desative a restrição
Para desativar a restrição, siga estas instruções:
Consola
Na Google Cloud consola, aceda à página Políticas da organização:
Clique na caixa de comutador na parte superior da página e escolha a organização à qual aplicar a restrição. Para aplicar a restrição a um projeto, selecione um projeto.
Na caixa de filtro, introduza
restrict non-confidential computinge, de seguida, clique na política Restringir computação não confidencial.Na página Detalhes da política para Restringir computação não confidencial, clique em Gerir política.
Clique na regra para a expandir.
Na caixa Valores da política, selecione Permitir tudo e, de seguida, clique em Concluído.
Clique em Definir política.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Indique o seguinte valor:
ORGANIZATION_ID: o ID da organização da qual a restrição vai ser eliminada.Como encontrar um Google Cloud ID da organização
Consola
Para encontrar um Google Cloud ID da organização, conclua os seguintes passos:
-
Aceda à Google Cloud consola.
- Clique na caixa do comutador na barra de menu.
- Clique na caixa Selecionar de e, em seguida, selecione a sua organização.
- Clique no separador Tudo. O ID da organização é apresentado junto ao nome da organização.
CLI gcloud
Pode obter um Google Cloud ID da organização com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para eliminar a restrição ao nível do projeto em vez de ao nível da organização, use --project=PROJECT_ID em vez de --organization=ORGANIZATION_ID.
Em alternativa, pode definir políticas com um ficheiro de políticas através de comandos set-policy.
O que se segue?
Para saber mais sobre os conceitos principais da política de organização:
Leia sobre o que são restrições.
Leia acerca das restrições da política da organização disponíveis.
Leia como usar restrições para criar políticas da organização.