Impostare l'utilizzo di Confidential VM

Per assicurarti che tutte le istanze VM create nella tua organizzazione siano istanze Confidential VM, puoi utilizzare un vincolo dei criteri dell'organizzazione.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire le policy dell'organizzazione. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire le policy dell'organizzazione sono necessarie le seguenti autorizzazioni:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Attiva il vincolo

Per attivare il vincolo sulle istanze VM, completa le seguenti istruzioni:

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione:

    Vai a Policy dell'organizzazione

  2. Fai clic sulla casella di selezione nella parte superiore della pagina e scegli l'organizzazione a cui applicare il vincolo. Per applicare il vincolo a un progetto, seleziona un progetto.

  3. Nella casella del filtro, inserisci restrict non-confidential computing e fai clic sul criterio Limita il calcolo non confidenziale.

  4. Nella pagina Dettagli policy per Limitare il calcolo non confidenziale, fai clic su Gestisci policy.

  5. Nella sezione Applicabile a, fai clic su Personalizza.

  6. Nella sezione Applicazione dei criteri, scegli una delle seguenti opzioni:

    • Unisci con risorsa padre. Unire la nuova impostazione dei criteri con quella di un'organizzazione principale.

    • Sostituisci. Sostituisci l'impostazione del criterio corrente e ignora quella dell'organizzazione principale.

  7. Nella sezione Regole, fai clic su Aggiungi una regola.

  8. Nella casella Valori policy, seleziona Personalizzato e imposta il Tipo di policy su Rifiuta.

  9. Nella casella Valori personalizzati, inserisci compute.googleapis.com come nome del servizio API su cui applicare il criterio.

  10. Fai clic su Fine.

  11. Fai clic su Imposta policy.

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

Fornisci il seguente valore:

  • ORGANIZATION_ID: l'ID dell'organizzazione a cui aggiungere il vincolo.

    Come trovare un Google Cloud ID organizzazione

    Console

    Per trovare un ID organizzazione: Google Cloud

    1. Vai alla console Google Cloud .

      Vai alla Google Cloud console

    2. Fai clic sulla casella Selettore nella barra dei menu.
    3. Fai clic sulla casella Seleziona da e poi seleziona la tua organizzazione.
    4. Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.

    Interfaccia a riga di comando gcloud

    Puoi recuperare un Google Cloud ID organizzazione con il seguente comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Per applicare il vincolo a livello di progetto anziché a livello di organizzazione, utilizza --project=PROJECT_ID anziché --organization=ORGANIZATION_ID.

In alternativa, puoi impostare criteri con un file di criteri utilizzando i comandi set-policy.

Verificare il vincolo

Per verificare il vincolo:

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul selettore di progetti nella parte superiore della pagina e scegli un progetto in cui creare una VM.

  3. Fai clic su Crea istanza.

  4. Nella sezione Servizio Confidential VM, verifica che la policy sia applicata.

Disattivare il vincolo

Per disattivare il vincolo, completa le seguenti istruzioni:

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione:

    Vai a Policy dell'organizzazione

  2. Fai clic sulla casella di selezione nella parte superiore della pagina e scegli l'organizzazione a cui applicare il vincolo. Per applicare il vincolo a un progetto, seleziona un progetto.

  3. Nella casella del filtro, inserisci restrict non-confidential computing e fai clic sul criterio Limita il calcolo non confidenziale.

  4. Nella pagina Dettagli policy per Limitare il calcolo non confidenziale, fai clic su Gestisci policy.

  5. Fai clic sulla regola per espanderla.

  6. Nella casella Valori dei criteri, seleziona Consenti tutto, quindi fai clic su Fine.

  7. Fai clic su Imposta policy.

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

Fornisci il seguente valore:

  • ORGANIZATION_ID: l'ID dell'organizzazione da cui eliminare il vincolo.

    Come trovare un Google Cloud ID organizzazione

    Console

    Per trovare un ID organizzazione: Google Cloud

    1. Vai alla console Google Cloud .

      Vai alla Google Cloud console

    2. Fai clic sulla casella Selettore nella barra dei menu.
    3. Fai clic sulla casella Seleziona da e poi seleziona la tua organizzazione.
    4. Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.

    Interfaccia a riga di comando gcloud

    Puoi recuperare un Google Cloud ID organizzazione con il seguente comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Per eliminare il vincolo a livello di progetto anziché a livello di organizzazione, utilizza --project=PROJECT_ID anziché --organization=ORGANIZATION_ID.

In alternativa, puoi impostare criteri con un file di criteri utilizzando i comandi set-policy.

Passaggi successivi

Per scoprire di più sui concetti di base delle policy dell'organizzazione: