Nutzung von Confidential VM erzwingen

Mit einer Einschränkung der Organisationsrichtlinien können Sie dafür sorgen, dass alle in Ihrer Organisation erstellten VMs vertrauliche VM-Instanzen sind.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Einschränkung aktivieren

Gehen Sie so vor, um die Einschränkung für VM-Instanzen zu aktivieren:

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf das Schaltfeld und wählen Sie die Organisation aus, auf die die Einschränkung angewendet werden soll. Wenn Sie die Einschränkung auf ein Projekt anwenden möchten, wählen Sie stattdessen ein Projekt aus.

  3. Geben Sie im Filterfeld restrict non-confidential computing ein und klicken Sie dann auf die Richtlinie Nicht vertrauliches Computing einschränken.

  4. Klicken Sie auf der Seite Richtliniendetails für die Option Non-Confidential Computing einschränken auf Richtlinie verwalten.

  5. Klicken Sie im Abschnitt Gilt für auf Anpassen.

  6. Wählen Sie im Bereich Richtlinienerzwingung eine der folgenden Optionen aus:

    • Mit übergeordneter Ressource zusammenführen Fügen Sie die neue Richtlinieneinstellung der übergeordneten Organisation hinzu.

    • Ersetzen Ersetzen Sie die aktuelle Richtlinieneinstellung und ignorieren Sie die der übergeordneten Organisation.

  7. Klicken Sie im Bereich Regeln auf Regel hinzufügen.

  8. Wählen Sie im Feld Richtlinienwerte die Option Benutzerdefiniert und für den Richtlinientyp die Option Ablehnen aus.

  9. Geben Sie im Feld Benutzerdefinierte Werte compute.googleapis.com als API-Dienstnamen ein, für den Sie die Richtlinie erzwingen möchten.

  10. Klicken Sie auf Fertig.

  11. Klicken Sie auf Richtlinie festlegen.

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

Geben Sie folgenden Wert an:

  • ORGANIZATION_ID: Die ID der Organisation, der die Einschränkung hinzugefügt werden soll.

    So finden Sie eine Google Cloud -Organisations-ID:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console gehen

    2. Klicken Sie in der Menüleiste auf das Kästchen Schalter.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie dann Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    Sie können eine Google Cloud Organisations-ID mit dem folgenden Befehl abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Wenn Sie die Einschränkung auf Projektebene anstelle von Organisationsebene anwenden möchten, verwenden Sie --project=PROJECT_ID anstelle von --organization=ORGANIZATION_ID.

Alternativ können Sie Richtlinien mit einer Richtliniendatei mithilfe von set-policy-Befehlen festlegen.

Einschränkung prüfen

So prüfen Sie die Einschränkung:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zu "VM-Instanzen"

  2. Klicken Sie oben auf der Seite auf die Projektauswahl und wählen Sie ein Projekt aus, in dem Sie eine VM erstellen möchten.

  3. Klicken Sie auf Instanz erstellen.

  4. Prüfen Sie im Abschnitt Confidential VM-Dienst, ob Ihre Richtlinie erzwungen wird.

Einschränkung deaktivieren

So deaktivieren Sie die Einschränkung:

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf das Schaltfeld und wählen Sie die Organisation aus, auf die die Einschränkung angewendet werden soll. Wenn Sie die Einschränkung auf ein Projekt anwenden möchten, wählen Sie stattdessen ein Projekt aus.

  3. Geben Sie im Filterfeld restrict non-confidential computing ein und klicken Sie dann auf die Richtlinie Nicht vertrauliches Computing einschränken.

  4. Klicken Sie auf der Seite Richtliniendetails für die Option Non-Confidential Computing einschränken auf Richtlinie verwalten.

  5. Klicken Sie auf die Regel, um sie zu maximieren.

  6. Wählen Sie im Feld Richtlinienwerte die Option Alle zulassen aus und klicken Sie dann auf Fertig.

  7. Klicken Sie auf Richtlinie festlegen.

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

Geben Sie folgenden Wert an:

  • ORGANIZATION_ID: Die ID der Organisation, für die die Einschränkung gelöscht werden soll.

    So finden Sie eine Google Cloud -Organisations-ID:

    1. Öffnen Sie die Google Cloud Console.

      Zur Google Cloud Console gehen

    2. Klicken Sie in der Menüleiste auf das Kästchen Schalter.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie dann Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    Sie können eine Google Cloud Organisations-ID mit dem folgenden Befehl abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Wenn Sie die Einschränkung auf Projektebene statt auf Organisationsebene löschen möchten, verwenden Sie --project=PROJECT_ID anstelle von --organization=ORGANIZATION_ID.

Alternativ können Sie Richtlinien mit einer Richtliniendatei mithilfe von set-policy-Befehlen festlegen.

Nächste Schritte

Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien: