Para asegurarte de que todas las VMs creadas en tu organización sean instancias de Confidential VMs, puedes usar una restricción de política de la organización.
Roles obligatorios
Para obtener los permisos que necesitas para administrar las políticas de la organización,
pídele a tu administrador que te otorgue el
rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para administrar las políticas de la organización. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para administrar las políticas de la organización:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Habilita la restricción
Para habilitar la restricción en las instancias de VM, completa las siguientes instrucciones:
Console
En la consola de Google Cloud , ve a la página Políticas de la organización:
Haz clic en el cuadro de cambio en la parte superior de la página y elige la organización a la que se aplicará la restricción. Para aplicar la restricción a un proyecto, selecciona un proyecto.
En la casilla de filtro, ingresa
restrict non-confidential computingy, luego, haz clic en la política Restringir la computación no confidencial.En la página Detalles de la política para Restringir el procesamiento no confidencial, haz clic en Administrar política.
En la sección Se aplica a, haz clic en Personalizar.
En la sección Aplicación de la política, elige una de las siguientes opciones:
Combinar con elemento superior Combina tu nuevo parámetro de configuración de política con el de una organización principal.
Reemplazar. Reemplaza el parámetro de configuración de la política actual y omite el de la organización principal.
En la sección Reglas, haz clic en Agregar una regla.
En el cuadro Valores de la política, selecciona Personalizado y establece el Tipo de política en Denegar.
En el cuadro Valores personalizados, ingresa
compute.googleapis.comcomo el nombre del servicio de API en el que deseas aplicar la política.Haz clic en Listo.
Haz clic en Establecer política.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Ingresa el siguiente valor:
ORGANIZATION_ID: Es el ID de la organización a la que se agregará la restricción.Cómo encontrar un ID de organización Google Cloud
Console
Para encontrar un ID de organización de Google Cloud , completa los siguientes pasos:
-
Ve a la consola de Google Cloud .
- Haz clic en el cuadro del conmutador en la barra de menú.
- Haz clic en el cuadro Seleccionar desde y, luego, selecciona tu organización.
- Haz clic en la pestaña Todos. El ID de la organización se muestra junto al nombre de la organización.
gcloud CLI
Puedes recuperar un ID de organización con el siguiente comando: Google Cloud
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para aplicar la restricción a nivel del proyecto en lugar de a nivel de la organización, usa --project=PROJECT_ID en lugar de --organization=ORGANIZATION_ID.
Como alternativa, puedes establecer políticas con un archivo de política usando comandos set-policy.
Verifica la restricción
Para verificar la restricción, haz lo siguiente:
En la Google Cloud consola, ve a la página Instancias de VM.
Haz clic en el selector de proyectos en la parte superior de la página y elige un proyecto en el que crear una VM.
Haz clic en Crear instancia.
En la sección Servicio de Confidential VM, verifica que se aplique tu política.
Inhabilita la restricción
Para inhabilitar la restricción, completa las siguientes instrucciones:
Console
En la consola de Google Cloud , ve a la página Políticas de la organización:
Haz clic en el cuadro de cambio en la parte superior de la página y elige la organización a la que se aplicará la restricción. Para aplicar la restricción a un proyecto, selecciona un proyecto.
En la casilla de filtro, ingresa
restrict non-confidential computingy, luego, haz clic en la política Restringir la computación no confidencial.En la página Detalles de la política para Restringir el procesamiento no confidencial, haz clic en Administrar política.
Haz clic en la regla para expandirla.
En el cuadro Valores de la política, selecciona Permitir todo y, luego, haz clic en Listo.
Haz clic en Establecer política.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Ingresa el siguiente valor:
ORGANIZATION_ID: Es el ID de la organización de la que se borrará la restricción.Cómo encontrar un ID de organización Google Cloud
Console
Para encontrar un ID de organización de Google Cloud , completa los siguientes pasos:
-
Ve a la consola de Google Cloud .
- Haz clic en el cuadro del conmutador en la barra de menú.
- Haz clic en el cuadro Seleccionar desde y, luego, selecciona tu organización.
- Haz clic en la pestaña Todos. El ID de la organización se muestra junto al nombre de la organización.
gcloud CLI
Puedes recuperar un ID de organización con el siguiente comando: Google Cloud
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para borrar la restricción a nivel del proyecto en lugar de a nivel de la organización, usa --project=PROJECT_ID en lugar de --organization=ORGANIZATION_ID.
Como alternativa, puedes establecer políticas con un archivo de política usando comandos set-policy.
¿Qué sigue?
Para obtener más información sobre los conceptos centrales de la política de la organización, haz lo siguiente:
- Lee la descripción general de las políticas de la organización.
- Lee sobre qué son las restricciones.
- Lee sobre las restricciones de las políticas de la organización disponibles.
- Lee sobre cómo usar restricciones para crear políticas de la organización.