您可以设置安全边界,以确保机密虚拟机实例只能与其他机密虚拟机实例交互。这可通过以下服务实现:
可以基于位于同一项目或单独项目中的机密虚拟机实例建立安全边界。
所需的角色
如需获得创建安全边界所需的权限,请让管理员向您授予组织的以下 IAM 角色:
-
Organization Administrator (
roles/resourcemanager.organizationAdmin) -
Compute Shared VPC Admin (
roles/compute.xpnAdmin) -
Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Compute Network User (
roles/compute.networkUser) -
Compute Instance Admin (
roles/compute.instanceAdmin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
如需详细了解这些角色,请参阅共享 VPC 概览中的所需管理角色。
创建机密虚拟机边界
如需基于机密虚拟机实例创建安全边界,请完成以下说明:
在您的组织中创建一个名为
confidential-perimeter的文件夹。在该文件夹中,创建共享 VPC 宿主项目。这定义了机密虚拟机边界。
创建 VPC 宿主项目后,您可以通过授予网络团队访问权限来共享项目。
实施边界
如需防止服务项目允许非机密虚拟机实例与边界互动,请将以下组织政策限制条件应用到您的 confidential-perimeter 文件夹,如下所示。
| 限制条件 | 值 | 说明 |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
强制所有服务项目仅创建机密虚拟机实例。 |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
防止边界内的项目再创建一个共享 VPC 宿主项目。将 FOLDER_ID 替换为 confidential-perimeter 文件夹的
ID。 |
constraints/compute.restrictVpcPeering |
is: [] |
防止服务项目在边界外进行对等互连网络和网络连接。 |
constraints/compute.vmExternalIpAccess |
is: [] |
强制服务项目中的所有机密虚拟机实例使用内部 IP。 |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
可防止所有虚拟机实例定义互联网可见的入站流量点。您可以针对边界中应具有入站流量的特定项目(例如边界网络)替换此设置。 |
如需控制边界外部的网络数据传输,请使用 VPC 防火墙规则。
后续步骤
您可以使用 VPC Service Controls 来扩展安全边界,以便涵盖Google Cloud 资源。如需了解详情,请参阅 VPC Service Controls 概览。