Wenn Sie dafür sorgen möchten, dass alle in Ihrer Organisation erstellten VMs Confidential VM-Instanzen sind, können Sie eine Einschränkung der Organisationsrichtlinien verwenden.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Einschränkung aktivieren
Gehen Sie so vor, um die Einschränkung für VM-Instanzen zu aktivieren:
Console
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Klicken Sie oben auf der Seite auf das Auswahlfeld und wählen Sie die Organisation aus, auf die die Einschränkung angewendet werden soll. Wenn Sie die Einschränkung auf ein Projekt anwenden möchten, wählen Sie stattdessen ein Projekt aus.
Geben Sie im Filterfeld
restrict non-confidential computingein und klicken Sie dann auf die Richtlinie Non-Confidential Computing einschränken.Klicken Sie auf der Seite Richtliniendetails für Non-Confidential Computing einschränken auf Richtlinie verwalten.
Klicken Sie im Abschnitt Gilt für auf Anpassen.
Wählen Sie im Bereich Richtlinienerzwingung eine der folgenden Optionen aus:
Mit übergeordneter Ressource zusammenführen. Führen Sie die neue Richtlinieneinstellung mit der einer übergeordneten Organisation zusammen.
Ersetzen. Die aktuelle Richtlinieneinstellung wird ersetzt und die der übergeordneten Organisation ignoriert.
Klicken Sie im Bereich Regeln auf Regel hinzufügen.
Wählen Sie im Feld Richtlinienwerte die Option Benutzerdefiniert aus und legen Sie den Richtlinientyp auf Ablehnen fest.
Geben Sie im Feld Benutzerdefinierte Werte
compute.googleapis.comals API-Dienstname ein, für den Sie die Richtlinie erzwingen möchten.Klicken Sie auf Fertig.
Klicken Sie auf Richtlinie festlegen.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Geben Sie folgenden Wert an:
ORGANIZATION_ID: Die ID der Organisation, der die Einschränkung hinzugefügt werden soll.Google Cloud Organisations-ID finden
Console
So finden Sie die Organisations-ID einer Google Cloud -Organisation:
-
Rufen Sie die Google Cloud Console auf.
- Klicken Sie in der Menüleiste auf das Feld Umschalter.
- Klicken Sie auf das Feld Auswählen aus und wählen Sie dann Ihre Organisation aus.
- Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.
gcloud-CLI
Sie können eine Google Cloud Organisations-ID mit dem folgenden Befehl abrufen:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Wenn Sie die Einschränkung auf Projektebene anstelle der Organisationsebene anwenden möchten, verwenden Sie --project=PROJECT_ID anstelle von --organization=ORGANIZATION_ID.
Alternativ können Sie Richtlinien mit einer Richtliniendatei mithilfe von set-policy-Befehlen festlegen.
Einschränkung prüfen
So prüfen Sie die Einschränkung:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Klicken Sie oben auf der Seite auf die Projektauswahl und wählen Sie ein Projekt aus, in dem Sie eine VM erstellen möchten.
Klicken Sie auf Instanz erstellen.
Prüfen Sie im Abschnitt Confidential VM-Dienst, ob Ihre Richtlinie erzwungen wird.
Einschränkung deaktivieren
So deaktivieren Sie die Einschränkung:
Console
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Klicken Sie oben auf der Seite auf das Auswahlfeld und wählen Sie die Organisation aus, auf die die Einschränkung angewendet werden soll. Wenn Sie die Einschränkung auf ein Projekt anwenden möchten, wählen Sie stattdessen ein Projekt aus.
Geben Sie im Filterfeld
restrict non-confidential computingein und klicken Sie dann auf die Richtlinie Non-Confidential Computing einschränken.Klicken Sie auf der Seite Richtliniendetails für Non-Confidential Computing einschränken auf Richtlinie verwalten.
Klicken Sie auf die Regel, um sie zu maximieren.
Wählen Sie im Feld Richtlinienwerte die Option Alle zulassen aus und klicken Sie dann auf Fertig.
Klicken Sie auf Richtlinie festlegen.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Geben Sie folgenden Wert an:
ORGANIZATION_ID: Die ID der Organisation, aus der die Einschränkung gelöscht werden soll.Google Cloud Organisations-ID finden
Console
So finden Sie die Organisations-ID einer Google Cloud -Organisation:
-
Rufen Sie die Google Cloud Console auf.
- Klicken Sie in der Menüleiste auf das Feld Umschalter.
- Klicken Sie auf das Feld Auswählen aus und wählen Sie dann Ihre Organisation aus.
- Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.
gcloud-CLI
Sie können eine Google Cloud Organisations-ID mit dem folgenden Befehl abrufen:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Wenn Sie die Einschränkung auf Projektebene anstelle der Organisationsebene löschen möchten, verwenden Sie --project=PROJECT_ID anstelle von --organization=ORGANIZATION_ID.
Alternativ können Sie Richtlinien mit einer Richtliniendatei mithilfe von set-policy-Befehlen festlegen.
Nächste Schritte
Hier finden Sie weitere Informationen zu den Kernkonzepten von Organisationsrichtlinien:
- Übersicht über Organisationsrichtlinien
- Informationen, was Einschränkungen sind
- Informationen zu den verfügbaren Einschränkungen für Organisationsrichtlinien
- Informationen, wie mit Einschränkungen Organisationsrichtlinien erstellt werden können.