Vous pouvez configurer un périmètre de sécurité qui garantit que vos instances de Confidential VM ne peuvent interagir qu'avec d'autres instances de Confidential VM. Pour ce faire, utilisez les services suivants:
Un périmètre de sécurité peut être établi autour d'instances de Confidential VM résidant dans le même projet ou dans des projets distincts.
Rôles requis
Pour obtenir les autorisations nécessaires pour créer un périmètre de sécurité, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation:
-
Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) -
Administrateur VPC Compute partagé (
roles/compute.xpnAdmin) -
Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) -
Utilisateur de réseau Compute (
roles/compute.networkUser) -
Administrateur d'instances Compute (
roles/compute.instanceAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Pour en savoir plus sur ces rôles, consultez la section Rôles administratifs requis dans la Présentation du VPC partagé.
Créer un périmètre Confidential VM
Pour créer un périmètre de sécurité autour de vos instances de Confidential VM, procédez comme suit:
Créez un dossier nommé
confidential-perimeterdans votre organisation.Dans le dossier, créez un projet hôte de VPC partagé. Cela définit le périmètre de Confidential VM.
Une fois que vous avez créé un projet hôte VPC, partagez-le en accordant l'accès à votre équipe réseau.
Appliquer le périmètre
Pour empêcher les projets de service d'autoriser des instances VM non confidentielles à interagir avec le périmètre, appliquez les contraintes de règles d'administration suivantes à votre dossier confidential-perimeter, comme indiqué.
| Contrainte | Valeur | Description |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Force tous les projets de service à créer des instances de Confidential VM uniquement. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Empêche les projets situés au sein du périmètre de créer un autre projet hôte de VPC partagé. Remplacez FOLDER_ID par l'
ID de votre dossier confidential-perimeter. |
constraints/compute.restrictVpcPeering |
is: [] |
Empêche les projets de service d'appairer des réseaux et des connexions réseau en dehors du périmètre. |
constraints/compute.vmExternalIpAccess |
is: [] |
Force toutes les instances de Confidential VM dans les projets de service à utiliser des adresses IP internes. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Empêche toutes les instances de VM de définir un point d'entrée visible sur Internet. Vous pouvez remplacer ce paramètre pour les projets spécifiques de votre périmètre qui doivent disposer d'une entrée, par exemple votre réseau de périmètre. |
Pour contrôler le transfert de données réseau en dehors du périmètre, utilisez des règles de pare-feu VPC.
Étape suivante
Vous pouvez utiliser VPC Service Controls pour étendre le périmètre de sécurité afin de couvrir les ressourcesGoogle Cloud . Pour en savoir plus, consultez la page Présentation de VPC Service Controls.