Forzar el uso de Confidential VMs

Para asegurarte de que todas las instancias de VM creadas en tu organización sean instancias de VM confidenciales, puedes usar una restricción de la política de organización.

Roles obligatorios

Para obtener los permisos que necesitas para gestionar las políticas de la organización, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para gestionar las políticas de la organización. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las políticas de la organización, se necesitan los siguientes permisos:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Habilita la restricción

Para habilitar la restricción en las instancias de VM, sigue estas instrucciones:

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización:

    Ir a Políticas de organización

  2. Haz clic en el cuadro de cambio de la parte superior de la página y elige la organización a la que quieras aplicar la restricción. Para aplicar la restricción a un proyecto, selecciona un proyecto.

  3. En el cuadro de filtro, introduce restrict non-confidential computing y, a continuación, haz clic en la política Restringir computación no confidencial.

  4. En la página Detalles de la política de Restringir la computación no confidencial, haz clic en Gestionar política.

  5. En la sección Se aplica a, haz clic en Personalizar.

  6. En la sección Cumplimiento de las políticas, elija una de las siguientes opciones:

    • Combinar con recurso superior. Combina el nuevo ajuste de la política con el de una organización principal.

    • Reemplazar. Sustituye el ajuste de la política actual e ignora el de la organización superior.

  7. En la sección Reglas, haz clic en Añadir regla.

  8. En el cuadro Valores de la política, selecciona Personalizada y, en Tipo de política, elige Denegar.

  9. En el cuadro Valores personalizados, introduce compute.googleapis.com como el nombre del servicio de la API en el que quieras aplicar la política.

  10. Haz clic en Listo.

  11. Haz clic en Definir política.

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

Proporciona el siguiente valor:

  • ORGANIZATION_ID: ID de la organización a la que se va a añadir la restricción.

    Cómo encontrar un Google Cloud ID de organización

    Consola

    Para encontrar un ID de organización de Google Cloud , sigue estos pasos:

    1. Ve a la Google Cloud consola.

      Ve a la Google Cloud consola

    2. En la barra de menús, haz clic en el cuadro del interruptor.
    3. Haz clic en el cuadro Seleccionar de y, a continuación, selecciona tu organización.
    4. Haz clic en la pestaña Todas. El ID de la organización se muestra junto al nombre de la organización.

    CLI de gcloud

    Puedes obtener un ID de organización con el siguiente comando: Google Cloud 

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Para aplicar la restricción a nivel de proyecto en lugar de a nivel de organización, usa --project=PROJECT_ID en lugar de --organization=ORGANIZATION_ID.

También puedes definir políticas con un archivo de políticas mediante los comandos set-policy.

Verificar la restricción

Para verificar la restricción, sigue estos pasos:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. En la parte superior de la página, haz clic en el selector de proyectos y elige el proyecto en el que quieras crear la VM.

  3. Haz clic en Crear instancia.

  4. En la sección Servicio de VM confidencial, comprueba que se aplique tu política.

Inhabilitar la restricción

Para inhabilitar la restricción, sigue estas instrucciones:

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización:

    Ir a Políticas de organización

  2. Haz clic en el cuadro de cambio de la parte superior de la página y elige la organización a la que quieras aplicar la restricción. Para aplicar la restricción a un proyecto, selecciona un proyecto.

  3. En el cuadro de filtro, introduce restrict non-confidential computing y, a continuación, haz clic en la política Restringir computación no confidencial.

  4. En la página Detalles de la política de Restringir la computación no confidencial, haz clic en Gestionar política.

  5. Haz clic en la regla para desplegarla.

  6. En el cuadro Valores de la política, selecciona Permitir todo y, a continuación, haz clic en Hecho.

  7. Haz clic en Definir política.

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

Proporciona el siguiente valor:

  • ORGANIZATION_ID: ID de la organización de la que se va a eliminar la restricción.

    Cómo encontrar un Google Cloud ID de organización

    Consola

    Para encontrar un ID de organización de Google Cloud , sigue estos pasos:

    1. Ve a la Google Cloud consola.

      Ve a la Google Cloud consola

    2. En la barra de menús, haz clic en el cuadro del interruptor.
    3. Haz clic en el cuadro Seleccionar de y, a continuación, selecciona tu organización.
    4. Haz clic en la pestaña Todas. El ID de la organización se muestra junto al nombre de la organización.

    CLI de gcloud

    Puedes obtener un ID de organización con el siguiente comando: Google Cloud 

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Para eliminar la restricción a nivel de proyecto en lugar de a nivel de organización, usa --project=PROJECT_ID en lugar de --organization=ORGANIZATION_ID.

También puedes definir políticas con un archivo de políticas mediante los comandos set-policy.

Siguientes pasos

Para obtener más información sobre los conceptos básicos de la política de organización, consulta los siguientes artículos: