Confidential VM インスタンスが他の Confidential VM インスタンスとのみやり取りを行うようにセキュリティ境界を設定できます。これは、次のサービスで実現されます。
セキュリティ境界は、同じプロジェクト内または別のプロジェクト内にある Confidential VMs インスタンスの周囲に設定できます。
必要なロール
セキュリティ境界の作成に必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
組織管理者 (
roles/resourcemanager.organizationAdmin) -
Compute Shared VPC 管理者 (
roles/compute.xpnAdmin) -
プロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin) -
Compute ネットワーク ユーザー (
roles/compute.networkUser) -
Compute インスタンス管理者 (
roles/compute.instanceAdmin)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
これらのロールの詳細については、共有 VPC の概要の必要な管理者のロールをご覧ください。
Confidential VMs 境界を作成する
Confidential VM インスタンスの周囲にセキュリティ境界を作成するには、次の手順を完了します。
組織に
confidential-perimeterというフォルダを作成します。フォルダ内に共有 VPC ホスト プロジェクトを作成します。これにより、Confidential VM の境界が定義されます。
VPC ホスト プロジェクトを作成したら、ネットワーキング チームにアクセス権を付与して、プロジェクトを共有します。
境界を適用する
サービス プロジェクトで、Confidential VMs 以外の VM のインスタンスが境界とインタラクションできないようにするには、次の組織のポリシーの制約を適用します。confidential-perimeter
| 制約 | 値 | 説明 |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
すべてのサービス プロジェクトで Confidential VM インスタンスのみが作成されます。 |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
境界内のプロジェクトで別の共有 VPC ホスト プロジェクトが作成されなくなります。FOLDER_ID は、confidential-perimeter フォルダの
ID に置き換えます。 |
constraints/compute.restrictVpcPeering |
is: [] |
サービス プロジェクトが境界外のネットワークおよびネットワーク接続とピアリングできなくなります。 |
constraints/compute.vmExternalIpAccess |
is: [] |
サービス プロジェクト内のすべての Confidential VMs インスタンスは内部 IP を使用します。 |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
すべての VM インスタンスでインターネットに公開された上り(内向き)ポイントを定義できなくなります。この設定は、上り(内向き)ネットワークを使用する必要がある境界内の特定のプロジェクト(境界ネットワークなど)でオーバーライドできます。 |
境界の外でのネットワーク データ転送を制御するには、VPC ファイアウォール ルールを使用します。
次のステップ
VPC Service Controls を使用すると、セキュリティ境界を拡張してGoogle Cloud リソースを保護できます。詳細については、VPC Service Controls の概要をご覧ください。