Menerapkan penggunaan Confidential VM

Untuk memastikan semua VM yang dibuat di organisasi Anda adalah instance Confidential VM, Anda dapat menggunakan batasan kebijakan organisasi.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengelola kebijakan organisasi, minta administrator Anda untuk memberi Anda peran IAM Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengelola kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengelola kebijakan organisasi:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Aktifkan batasan

Untuk mengaktifkan batasan pada instance VM, selesaikan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi:

    Buka Organization policies

  2. Klik kotak pengalih di bagian atas halaman, lalu pilih organisasi yang akan menerapkan batasan. Untuk menerapkan batasan ke project, pilih project.

  3. Di kotak filter, masukkan restrict non-confidential computing, lalu klik kebijakan Batasi Non-Confidential Computing.

  4. Di halaman Detail kebijakan untuk Batasi Komputasi Non-Rahasia, klik Kelola kebijakan.

  5. Di bagian Berlaku untuk, klik Sesuaikan.

  6. Di bagian Penerapan kebijakan, pilih salah satu opsi berikut:

    • Gabungkan dengan induk. Gabungkan setelan kebijakan baru Anda dengan setelan kebijakan organisasi induk.

    • Ganti. Mengganti setelan kebijakan saat ini dan mengabaikan setelan kebijakan organisasi induk.

  7. Di bagian Aturan, klik Tambahkan aturan.

  8. Di kotak Nilai kebijakan, pilih Kustom, lalu tetapkan Jenis kebijakan ke Tolak.

  9. Di kotak Nilai kustom, masukkan compute.googleapis.com sebagai nama layanan API yang ingin Anda terapkan kebijakannya.

  10. Klik Selesai.

  11. Klik Setel kebijakan.

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

Berikan nilai berikut:

  • ORGANIZATION_ID: ID organisasi tempat batasan akan ditambahkan.

    Cara menemukan Google Cloud ID organisasi

    Konsol

    Untuk menemukan ID organisasi Google Cloud , selesaikan langkah-langkah berikut:

    1. Buka konsol Google Cloud .

      Buka Google Cloud konsol

    2. Klik kotak pengganti di panel menu.
    3. Klik kotak Pilih dari, lalu pilih organisasi Anda.
    4. Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.

    gcloud CLI

    Anda dapat mengambil Google Cloud ID organisasi dengan perintah berikut:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Untuk menerapkan batasan di tingkat project, bukan tingkat organisasi, gunakan --project=PROJECT_ID, bukan --organization=ORGANIZATION_ID.

Atau, Anda dapat menetapkan kebijakan dengan file kebijakan menggunakan perintah set-policy.

Memverifikasi batasan

Untuk memverifikasi batasan:

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Klik pemilih project di bagian atas halaman, lalu pilih project untuk membuat VM.

  3. Klik Create instance.

  4. Di bagian Layanan Confidential VM, verifikasi bahwa kebijakan Anda diterapkan.

Menonaktifkan batasan

Untuk menonaktifkan batasan, selesaikan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Kebijakan organisasi:

    Buka Organization policies

  2. Klik kotak pengalih di bagian atas halaman, lalu pilih organisasi yang akan menerapkan batasan. Untuk menerapkan batasan ke project, pilih project.

  3. Di kotak filter, masukkan restrict non-confidential computing, lalu klik kebijakan Batasi Non-Confidential Computing.

  4. Di halaman Detail kebijakan untuk Batasi Komputasi Non-Rahasia, klik Kelola kebijakan.

  5. Klik aturan untuk meluaskannya.

  6. Di kotak Nilai kebijakan, pilih Izinkan semua, lalu klik Selesai.

  7. Klik Setel kebijakan.

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

Berikan nilai berikut:

  • ORGANIZATION_ID: ID organisasi yang akan dihapus batasnnya.

    Cara menemukan Google Cloud ID organisasi

    Konsol

    Untuk menemukan ID organisasi Google Cloud , selesaikan langkah-langkah berikut:

    1. Buka konsol Google Cloud .

      Buka Google Cloud konsol

    2. Klik kotak pengganti di panel menu.
    3. Klik kotak Pilih dari, lalu pilih organisasi Anda.
    4. Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.

    gcloud CLI

    Anda dapat mengambil Google Cloud ID organisasi dengan perintah berikut:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Untuk menghapus batasan di tingkat project, bukan tingkat organisasi, gunakan --project=PROJECT_ID, bukan --organization=ORGANIZATION_ID.

Atau, Anda dapat menetapkan kebijakan dengan file kebijakan menggunakan perintah set-policy.

Langkah berikutnya

Untuk mempelajari lebih lanjut konsep inti kebijakan organisasi: