強制使用機密 VM

如要確保貴機構中建立的所有 VM 都是機密 VM 執行個體,可以使用組織政策限制

必要的角色

如要取得管理機構政策所需的權限,請要求管理員為您授予機構的機構政策管理員 (roles/orgpolicy.policyAdmin) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色具備管理機構政策所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:

所需權限

如要管理組織政策,您必須具備下列權限:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

啟用限制

如要在 VM 執行個體上啟用限制,請完成下列操作說明:

控制台

  1. 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面:

    前往「機構政策」

  2. 按一下頁面頂端的切換器方塊,然後選擇要套用限制的機構。如要將限制套用至專案,請改為選取專案。

  3. 在篩選方塊中輸入 restrict non-confidential computing,然後按一下「Restrict Non-Confidential Computing」(限制非機密運算) 政策。

  4. 在「Restrict Non-Confidential Computing」(限制非機密運算) 的「Policy details」(政策詳細資料) 頁面中,按一下「Manage policy」(管理政策)

  5. 在「適用對象」部分中,按一下「自訂」

  6. 在「政策強制執行」部分,選擇下列其中一個選項:

    • 與父項合併。將新政策設定與上層機構的政策設定合併。

    • 取代。取代目前的政策設定,並忽略上層機構的政策設定。

  7. 在「規則」部分中,按一下「新增規則」

  8. 在「政策值」方塊中選取「自訂」,然後將「政策類型」設為「拒絕」

  9. 在「自訂值」方塊中,輸入要強制執行政策的 API 服務名稱 compute.googleapis.com

  10. 按一下 [完成]

  11. 按一下「設定政策」

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

提供下列值:

  • ORGANIZATION_ID:要新增限制的機構 ID。

    如何查看 Google Cloud 機構 ID

    控制台

    如要尋找 Google Cloud 機構 ID,請完成下列步驟:

    1. 前往 Google Cloud 控制台。

      前往 Google Cloud 控制台

    2. 按一下選單列中的「切換器」方塊。
    3. 按一下「Select from」(可用的選項) 方塊,然後選取您的機構。
    4. 按一下「全部」分頁標籤。機構 ID 會顯示在機構名稱旁邊。

    gcloud CLI

    您可以使用下列指令擷取 Google Cloud 機構 ID:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

如要在專案層級套用限制,而非機構層級,請使用 --project=PROJECT_ID,而非 --organization=ORGANIZATION_ID

或者,您也可以使用set-policy 指令,透過政策檔案設定政策。

驗證限制

如要驗證限制,請執行下列操作:

  1. 前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面

    前往 VM 執行個體

  2. 按一下頁面頂端的專案選取器,然後選擇要建立 VM 的專案。

  3. 點選「建立執行個體」

  4. 在「Confidential VM service」(機密 VM 服務) 區段中,確認政策已強制執行。

停用限制

如要停用限制,請完成下列操作:

控制台

  1. 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面:

    前往「機構政策」

  2. 按一下頁面頂端的切換器方塊,然後選擇要套用限制的機構。如要將限制套用至專案,請改為選取專案。

  3. 在篩選方塊中輸入 restrict non-confidential computing,然後按一下「Restrict Non-Confidential Computing」(限制非機密運算) 政策。

  4. 在「Restrict Non-Confidential Computing」(限制非機密運算) 的「Policy details」(政策詳細資料) 頁面中,按一下「Manage policy」(管理政策)

  5. 按一下規則即可展開。

  6. 在「政策值」方塊中選取「允許全部」,然後按一下「完成」

  7. 按一下「設定政策」

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

提供下列值:

  • ORGANIZATION_ID:要從中刪除限制的機構 ID。

    如何查看 Google Cloud 機構 ID

    控制台

    如要尋找 Google Cloud 機構 ID,請完成下列步驟:

    1. 前往 Google Cloud 控制台。

      前往 Google Cloud 控制台

    2. 按一下選單列中的「切換器」方塊。
    3. 按一下「Select from」(可用的選項) 方塊,然後選取您的機構。
    4. 按一下「全部」分頁標籤。機構 ID 會顯示在機構名稱旁邊。

    gcloud CLI

    您可以使用下列指令擷取 Google Cloud 機構 ID:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

如要在專案層級 (而非機構層級) 刪除限制,請使用 --project=PROJECT_ID,而非 --organization=ORGANIZATION_ID

或者,您也可以使用set-policy 指令,透過政策檔案設定政策。

後續步驟

如要瞭解更多機構政策的核心概念: