Aplicar o uso de VM confidencial

Para garantir que todas as instâncias de VM criadas na sua organização sejam instâncias de VM confidenciais, use uma restrição de política da organização.

Funções exigidas

Para receber as permissões necessárias a fim de gerenciar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para gerenciar as políticas da organização. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para gerenciar as políticas da organização:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ativar a restrição

Para ativar a restrição em instâncias de VM, siga estas instruções:

Console

  1. No console do Google Cloud , acesse a página Políticas da organização:

    Acessar as políticas da organização

  2. Clique na caixa de alternância na parte de cima da página e escolha a organização em que você quer aplicar a restrição. Para aplicar a restrição a um projeto, selecione um projeto.

  3. Na caixa de filtro, digite restrict non-confidential computing e clique na política Restringir a computação não confidencial.

  4. Na página Detalhes da política para Restringir computação não confidencial, clique em Gerenciar política.

  5. Na seção Aplicável a, clique em Personalizar.

  6. Na seção Aplicação da política, escolha uma das seguintes opções:

    • Mesclar com recurso pai. Mesclar a nova configuração de política com a de uma organização principal.

    • Substituir. Substitua a configuração de política atual e ignore a da organização principal.

  7. Na seção Regras, clique em Adicionar uma regra.

  8. Na caixa Valores da política, selecione Personalizado e defina o Tipo de política como Negar.

  9. Na caixa Valores personalizados, insira compute.googleapis.com como o nome do serviço da API em que você quer aplicar a política.

  10. Clique em Concluído.

  11. Clique em Definir política.

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

Forneça o seguinte valor:

  • ORGANIZATION_ID: o ID da organização a que a restrição será adicionada.

    Como encontrar um Google Cloud ID da organização

    Console

    Para encontrar um ID da organização Google Cloud , siga estas etapas:

    1. Acesse o console do Google Cloud .

      Acessar o console do Google Cloud

    2. Clique na caixa alternador na barra de menu.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Selecione a guia Todos. O ID da organização aparece ao lado do nome dela.

    CLI da gcloud

    Para recuperar um ID da organização Google Cloud , use o seguinte comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Para aplicar a restrição no nível do projeto em vez do nível da organização, use --project=PROJECT_ID em vez de --organization=ORGANIZATION_ID.

Se preferir, defina políticas com um arquivo usando comandos set-policy.

Verificar a restrição

Para verificar a restrição:

  1. No console do Google Cloud , acesse a página Instâncias de VM.

    Acessar instâncias de VM

  2. Clique no seletor de projetos na parte de cima da página e escolha um projeto para criar uma VM.

  3. Clique em Criar instância.

  4. Na seção Serviço de VM confidencial, verifique se a política está em vigor.

Desativar a restrição

Para desativar a restrição, siga estas instruções:

Console

  1. No console do Google Cloud , acesse a página Políticas da organização:

    Acessar as políticas da organização

  2. Clique na caixa de alternância na parte de cima da página e escolha a organização em que você quer aplicar a restrição. Para aplicar a restrição a um projeto, selecione um projeto.

  3. Na caixa de filtro, digite restrict non-confidential computing e clique na política Restringir a computação não confidencial.

  4. Na página Detalhes da política para Restringir computação não confidencial, clique em Gerenciar política.

  5. Clique na regra para abrir.

  6. Na caixa Valores da política, selecione Permitir todos e clique em Concluído.

  7. Clique em Definir política.

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

Forneça o seguinte valor:

  • ORGANIZATION_ID: o ID da organização de que a restrição será excluída.

    Como encontrar um Google Cloud ID da organização

    Console

    Para encontrar um ID da organização Google Cloud , siga estas etapas:

    1. Acesse o console do Google Cloud .

      Acessar o console do Google Cloud

    2. Clique na caixa alternador na barra de menu.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Selecione a guia Todos. O ID da organização aparece ao lado do nome dela.

    CLI da gcloud

    Para recuperar um ID da organização Google Cloud , use o seguinte comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Para excluir a restrição no nível do projeto em vez do nível da organização, use --project=PROJECT_ID em vez de --organization=ORGANIZATION_ID.

Se preferir, defina políticas com um arquivo usando comandos set-policy.

A seguir

Para saber mais sobre os principais conceitos da política da organização: