Nutzung von Confidential VM erzwingen

Um sicherzustellen, dass alle in Ihrer Organisation erstellten VM-Instanzen Confidential VM-Instanzen sind, können Sie eine Einschränkung für Organisationsrichtlinien verwenden.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization Policy Administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Einschränkung aktivieren

Gehen Sie so vor, um die Einschränkung für VM-Instanzen zu aktivieren:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien:

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf das Auswahlfeld und wählen Sie die Organisation aus, auf die die Einschränkung angewendet werden soll. Wenn Sie die Einschränkung auf ein Projekt anwenden möchten, wählen Sie stattdessen ein Projekt aus.

  3. Geben Sie im Filterfeld restrict non-confidential computing ein und klicken Sie dann auf die Richtlinie Non-Confidential Computing einschränken.

  4. Klicken Sie auf der Seite Richtliniendetails für Non-Confidential Computing einschränken auf Richtlinie verwalten.

  5. Klicken Sie im Bereich Gilt für auf Anpassen.

  6. Wählen Sie im Bereich Richtlinienerzwingung eine der folgenden Optionen aus:

    • Mit übergeordneter Ressource zusammenführen. Führen Sie die neue Richtlinieneinstellung mit der einer übergeordneten Organisation zusammen.

    • Ersetzen Die aktuelle Richtlinieneinstellung wird ersetzt und die der übergeordneten Organisation ignoriert.

  7. Klicken Sie im Bereich Regeln auf Regel hinzufügen.

  8. Wählen Sie im Feld Richtlinienwerte die Option Benutzerdefiniert aus und legen Sie den Richtlinientyp auf Ablehnen fest.

  9. Geben Sie im Feld Benutzerdefinierte Werte compute.googleapis.com als API-Dienstname ein, für den Sie die Richtlinie erzwingen möchten.

  10. Klicken Sie auf Fertig.

  11. Klicken Sie auf Richtlinie festlegen.

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

Geben Sie folgenden Wert an:

  • ORGANIZATION_ID: Die ID der Organisation, der die Einschränkung hinzugefügt werden soll.

    Google Cloud Organisations-ID finden

    Console

    So finden Sie die Organisations-ID einer Google Cloud -Organisation:

    1. Rufen Sie die Google Cloud Console auf.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Feld Umschalter.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie dann Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    gcloud-CLI

    Sie können eine Google Cloud Organisations-ID mit dem folgenden Befehl abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Wenn Sie die Einschränkung auf Projektebene anstelle der Organisationsebene anwenden möchten, verwenden Sie --project=PROJECT_ID anstelle von --organization=ORGANIZATION_ID.

Alternativ können Sie Richtlinien mit einer Richtliniendatei mithilfe von set-policy-Befehlen festlegen.

Einschränkung prüfen

So prüfen Sie die Einschränkung:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Zu "VM-Instanzen"

  2. Klicken Sie oben auf der Seite auf die Projektauswahl und wählen Sie ein Projekt aus, in dem Sie eine VM erstellen möchten.

  3. Klicken Sie auf Instanz erstellen.

  4. Prüfen Sie im Abschnitt Confidential VM-Dienst, ob Ihre Richtlinie erzwungen wird.

Einschränkung deaktivieren

So deaktivieren Sie die Einschränkung:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien:

    Zu den Organisationsrichtlinien

  2. Klicken Sie oben auf der Seite auf das Auswahlfeld und wählen Sie die Organisation aus, auf die die Einschränkung angewendet werden soll. Wenn Sie die Einschränkung auf ein Projekt anwenden möchten, wählen Sie stattdessen ein Projekt aus.

  3. Geben Sie im Filterfeld restrict non-confidential computing ein und klicken Sie dann auf die Richtlinie Non-Confidential Computing einschränken.

  4. Klicken Sie auf der Seite Richtliniendetails für Non-Confidential Computing einschränken auf Richtlinie verwalten.

  5. Klicken Sie auf die Regel, um sie zu maximieren.

  6. Wählen Sie im Feld Richtlinienwerte die Option Alle zulassen aus und klicken Sie dann auf Fertig.

  7. Klicken Sie auf Richtlinie festlegen.

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

Geben Sie folgenden Wert an:

  • ORGANIZATION_ID: Die ID der Organisation, aus der die Einschränkung gelöscht werden soll.

    Google Cloud Organisations-ID finden

    Console

    So finden Sie die Organisations-ID einer Google Cloud -Organisation:

    1. Rufen Sie die Google Cloud Console auf.

      Zur Google Cloud Console

    2. Klicken Sie in der Menüleiste auf das Feld Umschalter.
    3. Klicken Sie auf das Feld Auswählen aus und wählen Sie dann Ihre Organisation aus.
    4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

    gcloud-CLI

    Sie können eine Google Cloud Organisations-ID mit dem folgenden Befehl abrufen:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Wenn Sie die Einschränkung auf Projektebene anstelle der Organisationsebene löschen möchten, verwenden Sie --project=PROJECT_ID anstelle von --organization=ORGANIZATION_ID.

Alternativ können Sie Richtlinien mit einer Richtliniendatei mithilfe von set-policy-Befehlen festlegen.

Nächste Schritte

Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien: