Pour vous assurer que toutes les VM créées dans votre organisation sont des instances de Confidential VM, vous pouvez utiliser une contrainte de règle d'administration.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour gérer les règles d'administration :
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer la contrainte
Pour activer la contrainte sur des instances de VM, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Règles d'administration :
Cliquez sur la zone de sélection en haut de la page, puis choisissez l'organisation à laquelle appliquer la contrainte. Pour appliquer la contrainte à un projet, sélectionnez-en un.
Dans la zone de filtre, saisissez
restrict non-confidential computing, puis cliquez sur la règle Restreindre le Non-Confidential Computing.Sur la page Détails des règles pour Limiter l'informatique non confidentielle, cliquez sur Gérer la règle.
Dans la section Applicable à, cliquez sur Personnaliser.
Dans la section Application des règles, sélectionnez l'une des options suivantes :
Fusionner avec le parent Fusionnez votre nouveau paramètre de règle avec celui d'une organisation parente.
Remplacer Remplacer le paramètre de règle actuel et ignorer celui de l'organisation parente
Dans la section Règles, cliquez sur Ajouter une règle.
Dans la zone Valeurs de règles, sélectionnez Personnalisé, puis définissez le Type de règle sur Refuser.
Dans la zone Valeurs personnalisées, saisissez
compute.googleapis.comcomme nom du service d'API pour lequel vous souhaitez appliquer la règle.Cliquez sur OK.
Cliquez sur Définir la règle.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Indiquez la valeur suivante :
ORGANIZATION_ID: ID de l'organisation à laquelle ajouter la contrainte.Trouver l'ID d'une organisation Google Cloud
Console
Pour trouver l'ID d'une organisation Google Cloud , procédez comme suit :
-
Accédez à la console Google Cloud .
- Cliquez sur la zone de sélecteur dans la barre de menu.
- Cliquez sur la zone Sélectionner à partir de, puis sélectionnez votre organisation.
- Cliquez sur l'onglet Tous. L'ID de l'organisation s'affiche à côté de son nom.
CLI gcloud
Vous pouvez récupérer un ID d'organisation Google Cloud avec la commande suivante :
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Pour appliquer la contrainte au niveau du projet plutôt qu'au niveau de l'organisation, utilisez --project=PROJECT_ID au lieu de --organization=ORGANIZATION_ID.
Vous pouvez également définir des règles avec un fichier de règles à l'aide des commandes set-policy.
Vérifier la contrainte
Pour vérifier la contrainte :
Dans la console Google Cloud , accédez à la page Instances de VM.
Cliquez sur le sélecteur de projet en haut de la page, puis sélectionnez un projet dans lequel créer une VM.
Cliquez sur Créer une instance.
Dans la section Service Confidential VM, vérifiez que votre règle est appliquée.
Désactiver la contrainte
Pour désactiver la contrainte, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Règles d'administration :
Cliquez sur la zone de sélection en haut de la page, puis choisissez l'organisation à laquelle appliquer la contrainte. Pour appliquer la contrainte à un projet, sélectionnez-en un.
Dans la zone de filtre, saisissez
restrict non-confidential computing, puis cliquez sur la règle Restreindre le Non-Confidential Computing.Sur la page Détails des règles pour Limiter l'informatique non confidentielle, cliquez sur Gérer la règle.
Cliquez sur la règle pour la développer.
Dans la zone Valeurs de règles, sélectionnez Tout autoriser, puis cliquez sur OK.
Cliquez sur Définir la règle.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Indiquez la valeur suivante :
ORGANIZATION_ID: ID de l'organisation dont vous souhaitez supprimer la contrainte.Trouver l'ID d'une organisation Google Cloud
Console
Pour trouver l'ID d'une organisation Google Cloud , procédez comme suit :
-
Accédez à la console Google Cloud .
- Cliquez sur la zone de sélecteur dans la barre de menu.
- Cliquez sur la zone Sélectionner à partir de, puis sélectionnez votre organisation.
- Cliquez sur l'onglet Tous. L'ID de l'organisation s'affiche à côté de son nom.
CLI gcloud
Vous pouvez récupérer un ID d'organisation Google Cloud avec la commande suivante :
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Pour supprimer la contrainte au niveau du projet plutôt qu'au niveau de l'organisation, utilisez --project=PROJECT_ID au lieu de --organization=ORGANIZATION_ID.
Vous pouvez également définir des règles avec un fichier de règles à l'aide des commandes set-policy.
Étapes suivantes
Pour en savoir plus sur les concepts de base des règles d'administration :
- Consultez la présentation des règles d'administration.
- Découvrez ce que sont les contraintes.
- Découvrez les contraintes de règle d'administration disponibles.
- Découvrez comment utiliser des contraintes pour créer des règles d'administration.