Membatasi interaksi VM hanya ke Confidential VM

Anda dapat menyiapkan perimeter keamanan yang memastikan instance Confidential VM Anda hanya dapat berinteraksi dengan instance Confidential VM lainnya. Hal ini dapat dilakukan dengan layanan berikut:

• Jaringan Virtual Private Cloud (VPC) bersama

• Batasan kebijakan organisasi

• Aturan firewall

Perimeter keamanan dapat dibuat di sekitar instance Confidential VM yang berada di dalam project yang sama, atau di project terpisah.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk membuat perimeter keamanan, minta administrator untuk memberi Anda peran IAM berikut di organisasi:

• Organization Administrator (roles/resourcemanager.organizationAdmin)
• Compute Shared VPC Admin (roles/compute.xpnAdmin)
• Project IAM Admin (roles/resourcemanager.projectIamAdmin)
• Compute Network User (roles/compute.networkUser)
• Compute Instance Admin (roles/compute.instanceAdmin)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Untuk mempelajari peran ini lebih lanjut, lihat Peran administrative yang diperlukan di Ringkasan VPC Bersama.

Membuat perimeter Confidential VM

Untuk membuat perimeter keamanan di sekitar instance Confidential VM, selesaikan petunjuk berikut:

1. Buat folder di organisasi Anda yang bernama confidential-perimeter.

2. Di dalam folder, buat project host VPC bersama. Hal ini menentukan perimeter Confidential VM.

Setelah membuat project host VPC, bagikan project dengan memberikan akses ke tim jaringan Anda.

Menerapkan perimeter

Untuk mencegah project layanan mengizinkan instance VM non-Confidential berinteraksi dengan perimeter, terapkan batasan kebijakan organisasi berikut ke folder confidential-perimeter Anda seperti yang ditunjukkan.

Batasan	Nilai	Deskripsi
constraints/compute.restrictNonConfidentialComputing	deny compute.googleapis.com	Memaksa semua project layanan untuk membuat instance Confidential VM saja.
constraints/compute.restrictSharedVpcHostProjects	under: FOLDER_ID	Mencegah project di dalam perimeter membuat project host VPC Bersama lainnya. Ganti FOLDER_ID dengan ID folder confidential-perimeter Anda.
constraints/compute.restrictVpcPeering	is: []	Mencegah project layanan melakukan peering jaringan dan koneksi jaringan di luar perimeter.
constraints/compute.vmExternalIpAccess	is: []	Memaksa semua instance VM Rahasia di project layanan untuk menggunakan IP internal.
constraints/compute.restrictLoadBalancerCreationForTypes	allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]	Mencegah semua instance VM menentukan titik masuk yang terlihat di internet. Anda dapat menggantinya untuk project tertentu di perimeter yang harus memiliki traffic masuk—misalnya, jaringan perimeter Anda.

Untuk mengontrol transfer data jaringan di luar perimeter, gunakan aturan firewall VPC.

Langkah selanjutnya

Anda dapat menggunakan Kontrol Layanan VPC untuk memperluas perimeter keamanan guna mencakup resourceGoogle Cloud . Untuk mempelajari lebih lanjut, lihat Ringkasan Kontrol Layanan VPC.