强制使用机密虚拟机

为确保组织中创建的所有虚拟机实例都是机密虚拟机实例,您可以使用组织政策限制条件

所需的角色

如需获得管理组织政策所需的权限,请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

此预定义角色可提供管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

管理组织政策需要以下权限:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

您也可以使用自定义角色或其他预定义角色来获取这些权限。

启用限制条件

如需在虚拟机实例上启用限制条件,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往组织政策页面:

    转到组织政策

  2. 点击页面顶部的切换器框,然后选择要应用限制的组织。如需将限制条件应用于项目,请改为选择项目。

  3. 在过滤条件框中,输入 restrict non-confidential computing,然后点击限制非机密计算政策。

  4. 限制非机密计算政策详情页面上,点击 管理政策

  5. 应用对象部分中,点击自定义

  6. 强制执行政策部分中,选择以下选项之一:

    • 与父级政策合并。将新政策设置与父组织的政策设置合并。

    • 替换。替换当前政策设置,并忽略父组织的政策设置。

  7. 规则部分中,点击添加规则

  8. 政策值框中,选择自定义,并将政策类型设置为拒绝

  9. 自定义值框中,输入 compute.googleapis.com 作为要强制执行政策的 API 服务名称

  10. 点击完成

  11. 点击设置政策

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

请提供以下值:

  • ORGANIZATION_ID:要向其添加限制条件的组织的 ID。

    如何查找 Google Cloud 组织 ID

    控制台

    如需查找 Google Cloud 组织 ID,请完成以下步骤:

    1. 前往 Google Cloud 控制台。

      前往 Google Cloud 控制台

    2. 点击菜单栏中的切换器框。
    3. 点击选择范围框,然后选择您的组织。
    4. 点击全部标签页。组织 ID 显示在组织名称旁边。

    gcloud CLI

    您可以使用以下命令检索 Google Cloud 组织 ID:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

如需在项目级层(而非组织级层)应用限制,请使用 --project=PROJECT_ID,而不是 --organization=ORGANIZATION_ID

或者,您可以使用 set-policy 命令通过政策文件设置政策。

验证限制条件

如需验证限制条件,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往虚拟机实例页面。

    转到虚拟机实例

  2. 点击页面顶部的项目选择器,然后选择要在其中创建虚拟机的项目。

  3. 点击创建实例

  4. 机密虚拟机服务部分中,验证您的政策是否已强制执行。

停用限制条件

如需停用限制条件,请完成以下说明:

控制台

  1. 在 Google Cloud 控制台中,前往组织政策页面:

    转到组织政策

  2. 点击页面顶部的切换器框,然后选择要应用限制的组织。如需将限制条件应用于项目,请改为选择项目。

  3. 在过滤条件框中,输入 restrict non-confidential computing,然后点击限制非机密计算政策。

  4. 限制非机密计算政策详情页面上,点击 管理政策

  5. 点击相应规则以将其展开。

  6. 政策值框中,选择全部允许,然后点击完成

  7. 点击设置政策

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

请提供以下值:

  • ORGANIZATION_ID:要从中删除限制条件的组织的 ID。

    如何查找 Google Cloud 组织 ID

    控制台

    如需查找 Google Cloud 组织 ID,请完成以下步骤:

    1. 前往 Google Cloud 控制台。

      前往 Google Cloud 控制台

    2. 点击菜单栏中的切换器框。
    3. 点击选择范围框,然后选择您的组织。
    4. 点击全部标签页。组织 ID 显示在组织名称旁边。

    gcloud CLI

    您可以使用以下命令检索 Google Cloud 组织 ID:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

如需在项目级层(而非组织级层)删除限制条件,请使用 --project=PROJECT_ID 而不是 --organization=ORGANIZATION_ID

或者,您也可以使用set-policy 命令通过政策文件设置政策。

后续步骤

如需详细了解组织政策的核心概念: