您可以設定安全範圍,確保機密 VM 執行個體只能與其他機密 VM 執行個體互動。這項功能是透過下列服務達成:
您可以為位於相同或不同專案中的機密 VM 執行個體建立安全範圍。
必要的角色
如要取得建立安全防護範圍所需的權限,請要求管理員在機構中授予您下列 IAM 角色:
-
機構管理員 (
roles/resourcemanager.organizationAdmin) -
Compute 共用虛擬私有雲管理員 (
roles/compute.xpnAdmin) -
專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) -
Compute 網路使用者 (
roles/compute.networkUser) -
Compute 執行個體管理員 (
roles/compute.instanceAdmin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如要進一步瞭解這些角色,請參閱共用虛擬私有雲總覽中的「必要管理角色」。
建立機密 VM 範圍
如要為機密 VM 執行個體建立安全範圍,請完成下列操作說明:
在機構中建立名為
confidential-perimeter的資料夾。在資料夾中建立共用虛擬私有雲主專案。這會定義機密 VM 範圍。
建立 VPC 主專案後,請授予網路團隊存取權,以共用專案。
強制執行範圍
如要禁止服務專案允許非機密 VM 執行個體與服務範圍互動,請如圖所示,對 confidential-perimeter 資料夾套用下列機構政策限制。
| 限制 | 值 | 說明 |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
強制所有服務專案只能建立機密 VM 執行個體。 |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
防止安全範圍內的專案建立其他共用虛擬私有雲主專案。將 FOLDER_ID 替換為 confidential-perimeter 資料夾的
ID。 |
constraints/compute.restrictVpcPeering |
is: [] |
禁止服務專案與範圍外的網路和網路連線建立對等互連。 |
constraints/compute.vmExternalIpAccess |
is: [] |
強制服務專案中的所有 Confidential VM 執行個體使用內部 IP。 |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
禁止所有 VM 執行個體定義可從網際網路存取的連入點。您可以針對範圍內應允許輸入流量的特定專案 (例如範圍網路) 覆寫這項設定。 |
如要控管範圍外的網路資料移轉,請使用 VPC 防火牆規則。
後續步驟
您可以使用 VPC Service Controls 擴充安全範圍,涵蓋Google Cloud 資源。詳情請參閱 VPC Service Controls 總覽。