Sie können einen Sicherheitsbereich einrichten, der dafür sorgt, dass Ihre Confidential VM-Instanzen nur mit anderen Confidential VM-Instanzen interagieren können. Dies wird durch die folgenden Dienste erreicht:
Ein Sicherheitsbereich kann für Confidential VM-Instanzen eingerichtet werden, die sich im selben Projekt oder in separaten Projekten befinden.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Sicherheitsperimeters benötigen:
-
Administrator der Organisation (
roles/resourcemanager.organizationAdmin) -
Administrator für freigegebene Compute-VPC (
roles/compute.xpnAdmin) -
Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin) -
Compute-Netzwerknutzer (
roles/compute.networkUser) -
Compute-Instanzadministrator (
roles/compute.instanceAdmin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weitere Informationen zu diesen Rollen finden Sie unter Erforderliche administrative Rollen in der Übersicht zu freigegebenen VPCs.
Confidential VM-Perimeter erstellen
So erstellen Sie einen Sicherheitsbereich um Ihre Confidential VM-Instanzen:
Erstellen Sie in Ihrer Organisation einen Ordner mit dem Namen
confidential-perimeter.Erstellen Sie in dem Ordner ein freigegebenes VPC-Hostprojekt. Dadurch wird der Confidential VM-Perimeter definiert.
Wenn Sie ein VPC-Hostprojekt erstellt haben, geben Sie das Projekt frei. Gewähren Sie dazu Ihrem Netzwerkteam Zugriff.
Perimeter erzwingen
Wenn Sie verhindern möchten, dass Dienstprojekte Nicht-Confidential VM-Instanzen mit dem Perimeter interagieren lassen, wenden Sie die folgenden Einschränkungen für Organisationsrichtlinien wie angegeben auf Ihren Ordner confidential-perimeter an.
| Einschränkung | Wert | Beschreibung |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Erzwingt, dass in allen Dienstprojekten nur Confidential VM-Instanzen erstellt werden. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Dadurch wird verhindert, dass Projekte innerhalb des Perimeters ein weiteres freigegebenes VPC-Hostprojekt erstellen. Ersetzen Sie FOLDER_ID durch die
ID Ihres confidential-perimeter-Ordners. |
constraints/compute.restrictVpcPeering |
is: [] |
Dadurch wird verhindert, dass Dienstprojekte Netzwerk- und Netzwerkverbindungen außerhalb des Perimeters peeren können. |
constraints/compute.vmExternalIpAccess |
is: [] |
Erzwingt, dass alle Confidential VM-Instanzen in Dienstprojekten interne IP-Adressen verwenden. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Dadurch wird verhindert, dass alle VM-Instanzen einen für das Internet sichtbaren Ingress-Punkt definieren. Sie können dies für bestimmte Projekte in Ihrem Perimeter überschreiben, die Ingress haben sollten, z. B. Ihr Perimeternetzwerk. |
Mit VPC-Firewallregeln können Sie die Übertragung von Netzwerkdaten außerhalb des Perimeters steuern.
Nächste Schritte
Mit VPC Service Controls können Sie den Sicherheitsbereich aufGoogle Cloud -Ressourcen erweitern. Weitere Informationen finden Sie unter VPC Service Controls.