Per assicurarti che tutte le VM create nella tua organizzazione siano istanze Confidential VM, puoi utilizzare un vincolo dei criteri dell'organizzazione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire le norme dell'organizzazione. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire le policy dell'organizzazione sono necessarie le seguenti autorizzazioni:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Attiva il vincolo
Per attivare il vincolo sulle istanze VM, completa le seguenti istruzioni:
Console
Nella console Google Cloud , vai alla pagina Policy dell'organizzazione:
Fai clic sulla casella di selezione nella parte superiore della pagina e scegli l'organizzazione a cui applicare il vincolo. Per applicare il vincolo a un progetto, seleziona un progetto.
Nella casella del filtro, inserisci
restrict non-confidential computinge poi fai clic sul criterio Limita il Non-Confidential Computing.Nella pagina Dettagli norma per Limitare il calcolo non confidenziale, fai clic su Gestisci norma.
Nella sezione Applicabile a, fai clic su Personalizza.
Nella sezione Applicazione dei criteri, scegli una delle seguenti opzioni:
Unisci con risorsa padre. Unire la nuova impostazione dei criteri con quella di un'organizzazione principale.
Sostituisci. Sostituisci l'impostazione del criterio corrente e ignora quella dell'organizzazione principale.
Nella sezione Regole, fai clic su Aggiungi una regola.
Nella casella Valori policy, seleziona Personalizzato e imposta il Tipo di policy su Rifiuta.
Nella casella Valori personalizzati, inserisci
compute.googleapis.comcome nome del servizio API su cui vuoi applicare il criterio.Fai clic su Fine.
Fai clic su Imposta criterio.
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
Fornisci il seguente valore:
ORGANIZATION_ID: l'ID dell'organizzazione a cui aggiungere il vincolo.Come trovare un Google Cloud ID organizzazione
Console
Per trovare un ID organizzazione: Google Cloud
-
Vai alla Google Cloud console.
- Fai clic sulla casella Selettore nella barra dei menu.
- Fai clic sulla casella Seleziona da e poi seleziona la tua organizzazione.
- Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.
Interfaccia a riga di comando gcloud
Puoi recuperare un Google Cloud ID organizzazione con il seguente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Per applicare il vincolo a livello di progetto anziché a livello di organizzazione, utilizza --project=PROJECT_ID anziché --organization=ORGANIZATION_ID.
In alternativa, puoi impostare i criteri con un file di criteri utilizzando i
comandi set-policy.
Verificare il vincolo
Per verificare il vincolo:
Nella console Google Cloud , vai alla pagina Istanze VM.
Fai clic sul selettore di progetti nella parte superiore della pagina e scegli un progetto in cui creare una VM.
Fai clic su Crea istanza.
Nella sezione Servizio Confidential VM, verifica che la tua policy sia applicata.
Disattiva il vincolo
Per disattivare il vincolo, completa le seguenti istruzioni:
Console
Nella console Google Cloud , vai alla pagina Policy dell'organizzazione:
Fai clic sulla casella di selezione nella parte superiore della pagina e scegli l'organizzazione a cui applicare il vincolo. Per applicare il vincolo a un progetto, seleziona un progetto.
Nella casella del filtro, inserisci
restrict non-confidential computinge poi fai clic sul criterio Limita il Non-Confidential Computing.Nella pagina Dettagli norma per Limitare il calcolo non confidenziale, fai clic su Gestisci norma.
Fai clic sulla regola per espanderla.
Nella casella Valori dei criteri, seleziona Consenti tutto e poi fai clic su Fine.
Fai clic su Imposta criterio.
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
Fornisci il seguente valore:
ORGANIZATION_ID: l'ID dell'organizzazione da cui eliminare il vincolo.Come trovare un Google Cloud ID organizzazione
Console
Per trovare un ID organizzazione: Google Cloud
-
Vai alla Google Cloud console.
- Fai clic sulla casella Selettore nella barra dei menu.
- Fai clic sulla casella Seleziona da e poi seleziona la tua organizzazione.
- Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.
Interfaccia a riga di comando gcloud
Puoi recuperare un Google Cloud ID organizzazione con il seguente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Per eliminare il vincolo a livello di progetto anziché a livello di organizzazione, utilizza --project=PROJECT_ID anziché --organization=ORGANIZATION_ID.
In alternativa, puoi impostare i criteri con un file di criteri utilizzando i
comandi set-policy.
Passaggi successivi
Per scoprire di più sui concetti di base delle policy dell'organizzazione:
- Leggi la panoramica dei criteri dell'organizzazione.
- Scopri cosa sono i vincoli.
- Scopri di più sui vincoli delle policy dell'organizzazione disponibili.
- Scopri come utilizzare i vincoli per creare criteri dell'organizzazione.