Anda dapat menyiapkan perimeter keamanan yang memastikan bahwa instance Confidential VM Anda hanya dapat berinteraksi dengan instance Confidential VM lainnya. Hal ini dapat dilakukan dengan layanan berikut:
Perimeter keamanan dapat dibuat di sekitar instance Confidential VM yang berada di dalam project yang sama, atau di project terpisah.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk membuat perimeter keamanan, minta administrator Anda untuk memberi Anda peran IAM berikut pada organisasi:
-
Organization Administrator (
roles/resourcemanager.organizationAdmin) -
Compute Shared VPC Admin (
roles/compute.xpnAdmin) -
Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Compute Network User (
roles/compute.networkUser) -
Compute Instance Admin (
roles/compute.instanceAdmin)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Untuk mempelajari lebih lanjut peran ini, lihat Peran administratif yang diperlukan di Ringkasan VPC Bersama.
Membuat perimeter Confidential VM
Untuk membuat perimeter keamanan di sekitar instance Confidential VM Anda, selesaikan petunjuk berikut:
Buat folder di organisasi Anda yang bernama
confidential-perimeter.Di dalam folder, buat project host VPC bersama. Hal ini menentukan perimeter Confidential VM.
Setelah membuat project host VPC, bagikan project dengan memberikan akses kepada tim jaringan Anda.
Menerapkan perimeter
Untuk mencegah project layanan
mengizinkan instance VM non-Confidential berinteraksi dengan perimeter,
terapkan batasan kebijakan organisasi berikut
ke folder confidential-perimeter Anda seperti yang ditunjukkan.
| Batasan | Nilai | Deskripsi |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Memaksa semua project layanan untuk membuat instance Confidential VM saja. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Mencegah project di dalam perimeter membuat project host VPC Bersama
lain. Ganti FOLDER_ID dengan
ID
folder confidential-perimeter Anda. |
constraints/compute.restrictVpcPeering |
is: [] |
Mencegah project layanan melakukan peering jaringan dan koneksi jaringan di luar perimeter. |
constraints/compute.vmExternalIpAccess |
is: [] |
Memaksa semua instance Confidential VM di project layanan untuk menggunakan IP internal. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Mencegah semua instance VM menentukan titik masuk yang terlihat di internet. Anda dapat mengganti setelan ini untuk project tertentu di perimeter Anda yang seharusnya memiliki ingress—misalnya, jaringan perimeter Anda. |
Untuk mengontrol transfer data jaringan di luar perimeter, gunakan aturan firewall VPC.
Langkah berikutnya
Anda dapat menggunakan Kontrol Layanan VPC untuk memperluas perimeter keamanan agar mencakup resourceGoogle Cloud . Untuk mempelajari lebih lanjut, lihat Ringkasan Kontrol Layanan VPC.