Para asegurarte de que todas las VMs creadas en tu organización sean instancias de Confidential VM, puedes usar una restricción de políticas de la organización.
Roles obligatorios
Para obtener los permisos que necesitas para administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para administrar las políticas de la organización. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para administrar las políticas de la organización:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Habilita la restricción
Para habilitar la restricción en las instancias de VM, completa las siguientes instrucciones:
Console
En la consola de Google Cloud, ve a la página Políticas de la organización:
Haz clic en el cuadro del selector en la parte superior de la página y elige la organización a la que deseas aplicar la restricción. Para aplicar la restricción a un proyecto, selecciona un proyecto en su lugar.
En el cuadro de filtro, ingresa
restrict non-confidential computingy, luego, haz clic en la política Restringir el procesamiento no confidencial.En la página Detalles de la política para Restringir el procesamiento no confidencial, haz clic en Administrar política.
En la sección Se aplica a, haz clic en Personalizar.
En la sección Aplicación de la política, elige una de las siguientes opciones:
Combinar con elemento superior Combina la configuración de tu política nueva con la de una organización superior.
Reemplazar. Reemplaza la configuración de políticas actual y omite la de la organización superior.
En la sección Rules, haz clic en Add a rule.
En el cuadro Valores de la política, selecciona Personalizado y establece Tipo de política en Denegar.
En el cuadro Valores personalizados, ingresa
compute.googleapis.comcomo el nombre del servicio de API en el que deseas aplicar la política.Haz clic en Listo.
Haz clic en Establecer política.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Ingresa el siguiente valor:
ORGANIZATION_ID: Es el ID de la organización a la que se agregará la restricción.Cómo encontrar un Google Cloud ID de organización
Console
Para encontrar el ID de una Google Cloud organización, completa los siguientes pasos:
-
Ve a la consola de Google Cloud.
- Haz clic en el cuadro del selector en la barra de menú.
- Haz clic en el cuadro Seleccionar desde y, luego, selecciona tu organización.
- Haz clic en la pestaña Todos. El ID de la organización se muestra junto al nombre de la organización.
gcloud CLI
Puedes recuperar un ID de Google Cloud organización con el siguiente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para aplicar la restricción a nivel del proyecto en lugar del nivel de la organización, usa --project=PROJECT_ID en lugar de --organization=ORGANIZATION_ID.
Como alternativa, puedes establecer políticas con un archivo de políticas mediante los comandos set-policy.
Verifica la restricción
Para verificar la restricción, haz lo siguiente:
En la consola de Google Cloud, ve a la página Instancias de VM.
Haz clic en el selector de proyectos en la parte superior de la página y elige un proyecto en el que crear una VM.
Haz clic en Crear instancia.
En la sección Servicio de Confidential VM, verifica que se aplique la política.
Inhabilita la restricción
Para inhabilitar la restricción, sigue estas instrucciones:
Console
En la consola de Google Cloud, ve a la página Políticas de la organización:
Haz clic en el cuadro del selector en la parte superior de la página y elige la organización a la que deseas aplicar la restricción. Para aplicar la restricción a un proyecto, selecciona un proyecto en su lugar.
En el cuadro de filtro, ingresa
restrict non-confidential computingy, luego, haz clic en la política Restringir el procesamiento no confidencial.En la página Detalles de la política para Restringir el procesamiento no confidencial, haz clic en Administrar política.
Haz clic en la regla para expandirla.
En el cuadro Valores de la política, selecciona Permitir todo y, luego, haz clic en Listo.
Haz clic en Establecer política.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Ingresa el siguiente valor:
ORGANIZATION_ID: Es el ID de la organización de la que se borrará la restricción.Cómo encontrar un Google Cloud ID de organización
Console
Para encontrar el ID de una Google Cloud organización, completa los siguientes pasos:
-
Ve a la consola de Google Cloud.
- Haz clic en el cuadro del selector en la barra de menú.
- Haz clic en el cuadro Seleccionar desde y, luego, selecciona tu organización.
- Haz clic en la pestaña Todos. El ID de la organización se muestra junto al nombre de la organización.
gcloud CLI
Puedes recuperar un ID de Google Cloud organización con el siguiente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para borrar la restricción a nivel del proyecto en lugar del nivel de la organización, usa --project=PROJECT_ID en lugar de --organization=ORGANIZATION_ID.
Como alternativa, puedes establecer políticas con un archivo de políticas mediante los comandos set-policy.
¿Qué sigue?
Para obtener más información sobre los conceptos centrales de la política de la organización, haz lo siguiente:
- Lee la descripción general de las políticas de la organización.
- Lee sobre qué son las restricciones.
- Lee sobre las restricciones de las políticas de la organización disponibles.
- Lee sobre cómo usar restricciones para crear políticas de la organización.