將 VM 互動限制為僅限機密 VM

您可以設定安全範圍，確保機密 VM 執行個體只能與其他機密 VM 執行個體互動。這項功能是透過下列服務達成：

• 共用虛擬私有雲 (VPC) 網路

• 機構政策限制

• 防火牆規則

您可以為位於相同或不同專案中的機密 VM 執行個體建立安全範圍。

必要的角色

如要取得建立安全防護範圍所需的權限，請要求管理員在機構中授予您下列 IAM 角色：

• 機構管理員 (roles/resourcemanager.organizationAdmin)
• Compute 共用虛擬私有雲管理員 (roles/compute.xpnAdmin)
• 專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)
• Compute 網路使用者 (roles/compute.networkUser)
• Compute 執行個體管理員 (roles/compute.instanceAdmin)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

如要進一步瞭解這些角色，請參閱共用虛擬私有雲總覽中的「必要管理角色」。

建立機密 VM 範圍

如要為機密 VM 執行個體建立安全範圍，請完成下列操作說明：

1. 在機構中建立名為 confidential-perimeter 的資料夾。

2. 在資料夾中建立共用虛擬私有雲主專案。這會定義機密 VM 範圍。

建立 VPC 主專案後，請授予網路團隊存取權，以共用專案。

強制執行範圍

如要禁止服務專案允許非機密 VM 執行個體與服務範圍互動，請如所示將下列機構政策限制套用至 confidential-perimeter 資料夾。

限制	值	說明
constraints/compute.restrictNonConfidentialComputing	deny compute.googleapis.com	強制所有服務專案只能建立機密 VM 執行個體。
constraints/compute.restrictSharedVpcHostProjects	under: FOLDER_ID	防止安全範圍內的專案建立其他共用虛擬私有雲主專案。將 FOLDER_ID 替換為 confidential-perimeter 資料夾的 ID。
constraints/compute.restrictVpcPeering	is: []	禁止服務專案與範圍外的網路和網路連線建立對等互連。
constraints/compute.vmExternalIpAccess	is: []	強制服務專案中的所有 Confidential VM 執行個體使用內部 IP。
constraints/compute.restrictLoadBalancerCreationForTypes	allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]	禁止所有 VM 執行個體定義可從網際網路存取的連入點。您可以針對範圍內應允許輸入流量的特定專案 (例如範圍網路) 覆寫這項設定。

如要控管範圍外的網路資料移轉，請使用 VPC 防火牆規則。

後續步驟

您可以使用 VPC Service Controls 擴充安全範圍，涵蓋Google Cloud 資源。詳情請參閱 VPC Service Controls 總覽。