Sie können einen Sicherheitsbereich einrichten, der dafür sorgt, dass Ihre Confidential VM-Instanzen nur mit anderen Confidential VM-Instanzen interagieren können. Dazu werden die folgenden Dienste verwendet:
Ein Sicherheitsbereich kann für Confidential VM-Instanzen eingerichtet werden, die sich im selben Projekt oder in separaten Projekten befinden.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Sicherheitsperimeters benötigen:
-
Administrator der Organisation (
roles/resourcemanager.organizationAdmin) -
Administrator für freigegebene Compute-VPC (
roles/compute.xpnAdmin) -
Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin) -
Compute-Netzwerknutzer (
roles/compute.networkUser) -
Compute-Instanzadministrator (
roles/compute.instanceAdmin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weitere Informationen zu diesen Rollen finden Sie unter Erforderliche administrative Rollen in der Übersicht zu freigegebenen VPCs.
Confidential VM-Perimeter erstellen
So erstellen Sie einen Sicherheitsbereich um Ihre Confidential VM-Instanzen:
Erstellen Sie in Ihrer Organisation einen Ordner mit dem Namen
confidential-perimeter.Erstellen Sie in dem Ordner ein freigegebenes VPC-Hostprojekt. Dadurch wird der Confidential VM-Perimeter definiert.
Wenn Sie ein VPC-Hostprojekt erstellt haben, geben Sie das Projekt frei. Gewähren Sie dazu Ihrem Netzwerkteam Zugriff.
Perimeter erzwingen
Wenn Sie verhindern möchten, dass Dienstprojekte Nicht-Confidential-VM-Instanzen die Interaktion mit dem Perimeter erlauben, wenden Sie die folgenden Einschränkungen für Organisationsrichtlinien wie angegeben auf Ihren Ordner confidential-perimeter an.
| Einschränkung | Wert | Beschreibung |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Alle Dienstprojekte werden gezwungen, nur Confidential VM-Instanzen zu erstellen. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Verhindert, dass Projekte innerhalb des Perimeters ein weiteres freigegebenes VPC-Hostprojekt erstellen. Ersetzen Sie FOLDER_ID durch die
ID Ihres Ordners confidential-perimeter. |
constraints/compute.restrictVpcPeering |
is: [] |
Verhindert, dass Dienstprojekte Netzwerk- und Netzwerkverbindungen außerhalb des Perimeters peeren können. |
constraints/compute.vmExternalIpAccess |
is: [] |
Alle Confidential VM-Instanzen in Dienstprojekten werden gezwungen, interne IP-Adressen zu verwenden. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Verhindert, dass alle VM-Instanzen einen für das Internet sichtbaren Ingress-Punkt definieren. Sie können dies für bestimmte Projekte in Ihrem Perimeter überschreiben, die Ingress haben sollten, z. B. Ihr Perimeternetzwerk. |
Mit VPC-Firewallregeln können Sie die Netzwerkdatenübertragung außerhalb des Perimeters steuern.
Nächste Schritte
Mit VPC Service Controls können Sie den Sicherheitsbereich aufGoogle Cloud -Ressourcen erweitern. Weitere Informationen finden Sie unter VPC Service Controls.