如要確保貴機構中建立的所有 VM 都是機密 VM 執行個體,可以使用組織政策限制。
必要的角色
如要取得管理機構政策所需的權限,請要求管理員為您授予機構的機構政策管理員 (roles/orgpolicy.policyAdmin
) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這個預先定義的角色具備管理機構政策所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要管理組織政策,您必須具備下列權限:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
啟用限制
如要在 VM 執行個體上啟用限制,請完成下列操作說明:
控制台
前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面:
按一下頁面頂端的切換器方塊,然後選擇要套用限制的機構。如要將限制套用至專案,請改為選取專案。
在篩選方塊中輸入
restrict non-confidential computing
,然後按一下「Restrict Non-Confidential Computing」(限制非機密運算) 政策。在「Restrict Non-Confidential Computing」(限制非機密運算) 的「Policy details」(政策詳細資料) 頁面中,按一下「Manage policy」(管理政策)
。在「適用對象」部分中,按一下「自訂」。
在「政策強制執行」部分,選擇下列其中一個選項:
與父項合併。將新政策設定與上層機構的政策設定合併。
取代。取代目前的政策設定,並忽略上層機構的政策設定。
在「規則」部分中,按一下「新增規則」。
在「政策值」方塊中選取「自訂」,然後將「政策類型」設為「拒絕」。
在「自訂值」方塊中,輸入要強制執行政策的 API 服務名稱
compute.googleapis.com
。按一下 [完成]。
按一下「設定政策」。
gcloud
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
--organization=ORGANIZATION_ID
提供下列值:
ORGANIZATION_ID
:要新增限制的機構 ID。如何查看 Google Cloud 機構 ID
控制台
如要尋找 Google Cloud 機構 ID,請完成下列步驟:
-
前往 Google Cloud 控制台。
- 按一下選單列中的「切換器」方塊。
- 按一下「Select from」(可用的選項) 方塊,然後選取您的機構。
- 按一下「全部」分頁標籤。機構 ID 會顯示在機構名稱旁邊。
gcloud CLI
您可以使用下列指令擷取 Google Cloud 機構 ID:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
如要在專案層級套用限制,而非機構層級,請使用 --project=PROJECT_ID
,而非 --organization=ORGANIZATION_ID
。
或者,您也可以使用set-policy
指令,透過政策檔案設定政策。
驗證限制
如要驗證限制,請執行下列操作:
前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
按一下頁面頂端的專案選取器,然後選擇要建立 VM 的專案。
點選「建立執行個體」。
在「Confidential VM service」(機密 VM 服務) 區段中,確認政策已強制執行。
停用限制
如要停用限制,請完成下列操作:
控制台
前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面:
按一下頁面頂端的切換器方塊,然後選擇要套用限制的機構。如要將限制套用至專案,請改為選取專案。
在篩選方塊中輸入
restrict non-confidential computing
,然後按一下「Restrict Non-Confidential Computing」(限制非機密運算) 政策。在「Restrict Non-Confidential Computing」(限制非機密運算) 的「Policy details」(政策詳細資料) 頁面中,按一下「Manage policy」(管理政策)。
按一下規則即可展開。
在「政策值」方塊中選取「允許全部」,然後按一下「完成」。
按一下「設定政策」。
gcloud
gcloud resource-manager org-policies delete \
constraints/compute.restrictNonConfidentialComputing \
--organization=ORGANIZATION_ID
提供下列值:
ORGANIZATION_ID
:要從中刪除限制的機構 ID。如何查看 Google Cloud 機構 ID
控制台
如要尋找 Google Cloud 機構 ID,請完成下列步驟:
-
前往 Google Cloud 控制台。
- 按一下選單列中的「切換器」方塊。
- 按一下「Select from」(可用的選項) 方塊,然後選取您的機構。
- 按一下「全部」分頁標籤。機構 ID 會顯示在機構名稱旁邊。
gcloud CLI
您可以使用下列指令擷取 Google Cloud 機構 ID:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
如要在專案層級 (而非機構層級) 刪除限制,請使用 --project=PROJECT_ID
,而非 --organization=ORGANIZATION_ID
。
或者,您也可以使用set-policy
指令,透過政策檔案設定政策。
後續步驟
如要瞭解更多機構政策的核心概念:
- 閱讀機構政策總覽。
- 瞭解限制為何。
- 瞭解可用的機構政策限制。
- 瞭解如何使用限制來建立機構政策。