Restringe el uso de imágenes

De forma predeterminada, los usuarios de tu proyecto pueden crear discos persistentes o copiar imágenes con cualquiera de las imágenes públicas y cualquier imagen a la que los principales pueden acceder mediante las funciones de IAM. Sin embargo, en algunas situaciones, te recomendamos que restrinjas a los principales para que puedan crear discos de arranque solo a partir de imágenes que contengan software aprobado que cumpla con tus requisitos de seguridad o políticas.

Usa la función de imágenes confiables para definir una política de la organización que les permita a los principales crear discos persistentes solo a partir de imágenes en proyectos específicos.

A fin de restringir las ubicaciones en las que se pueden usar las imágenes, consulta la página sobre cómo restringir el uso de las imágenes, instantáneas y discos compartidos.

Antes de comenzar

  • Lee la página sobre el uso de restricciones para obtener información sobre la administración de políticas en el nivel de organización.
  • Lee la página Comprende la evaluación de jerarquías a fin de aprender cómo se propagan las políticas de la organización.
  • Si aún no lo hiciste, configura la autenticación. La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init
    2. Set a default region and zone.

      3. REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        Install the Google Cloud CLI, then initialize it by running the following command: 

        gcloud init

      Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.

Limitaciones

  • Las políticas de imágenes confiables no restringen el acceso a las siguientes imágenes:

  • Las políticas de imágenes confiables no evitan que los usuarios creen recursos de imagen en sus proyectos locales.

Configura restricciones de acceso a imágenes

Configura una restricción compute.trustedImageProjects en tu proyecto, tu organización o tu carpeta para aplicar una política de acceso a imágenes. Debes tener permiso para modificar las políticas de la organización a fin de establecer estas restricciones. Por ejemplo, roles/orgpolicy.policyAdmin tiene permiso para configurar estas restricciones. Para obtener más información sobre la administración de políticas a nivel de proyecto, organización o carpeta, consulta Usa restricciones.

Puedes establecer restricciones en todas las imágenes públicas disponibles en Compute Engine. Para obtener una lista de los nombres de los proyectos de imagen, consulta Detalles de los sistemas operativos. También puedes restringir las imágenes de aprendizaje automático (AA) que están disponibles en Compute Engine mediante el proyecto ml-images. Si usas el Acceso a VPC sin servidores, otorga a tu proyecto permiso para usar las imágenes de VM de Compute Engine desde el proyecto serverless-vpc-access-images.

Usa la consola de Google Cloud o Google Cloud CLI para establecer restricciones en el acceso a imágenes.

Console

Por ejemplo, para establecer una restricción a nivel de proyecto, haz lo siguiente:

  1. Ir a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En la lista de políticas, haz clic en Definir proyectos de imágenes confiables. Se muestra la página Detalles de la política.

  3. En la página Detalles de la política, haz clic en Administrar política. Aparecerá la página Editar política.

  4. En la página Editar política, selecciona Personalizar.

  5. En Aplicación de la política, selecciona una opción de aplicación. Para obtener información sobre la herencia y la jerarquía de recursos, consulta Cómo obtener información de la evaluación de jerarquías.

  6. Haz clic en Agregar regla.

  7. En la lista Valores de política, puedes seleccionar si esta política de la organización debe permitir el acceso a todos los proyectos de imagen, rechazar el acceso a todos los proyectos de imagen o especificar un conjunto personalizado de proyectos a los que se les permitirá o se les rechazará el acceso.

    Para establecer la regla de política, completa una de las siguientes opciones:

    • Para permitir que los usuarios creen discos de arranque a partir de todas las imágenes públicas, selecciona Permitir todo.
    • Para restringir que los usuarios creen discos de arranque a partir de todas las imágenes públicas, selecciona Rechazar todo.

    • Para especificar un conjunto seleccionado de imágenes públicas a partir de las cuales los usuarios pueden crear discos de arranque, selecciona Personalizado. Se muestran los campos Tipo de política y Valores personalizados.

      1. En la lista Tipo de política, selecciona Permitir o Rechazar.

      2. En el campo Valores personalizados, ingresa el nombre del proyecto de imagen con el formato projects/IMAGE_PROJECT.

        Reemplaza IMAGE_PROJECT por el proyecto de imagen en el que deseas establecer la restricción.

        Puedes agregar varios proyectos de imágenes. Para cada proyecto de imagen que desees agregar, haz clic en Agregar y, luego, ingresa el nombre del proyecto.

  8. Para guardar la regla, haz clic en Listo.

  9. Para guardar y aplicar la política de la organización, haz clic en Guardar.

Para obtener más información sobre cómo crear políticas de la organización, consulta Crea y administra políticas de la organización.

gcloud

Por ejemplo, para establecer una restricción a nivel de proyecto, haz lo siguiente:

  1. Obtén la configuración de la política existente para tu proyecto mediante el comando resource-manager org-policies describe.

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    Reemplaza PROJECT_ID con el ID del proyecto.

  2. Abre el archivo policy.yaml en un editor de texto y modifica la restricción compute.trustedImageProjects. Agrega las restricciones que necesitas y quita las que ya no necesitas. Cuando hayas terminado de editar el archivo, guarda los cambios. Por ejemplo, puedes configurar la siguiente entrada de restricción en el archivo de políticas:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects/debian-cloud
    - projects/cos-cloud
 deniedValues:
    - projects/IMAGE_PROJECT

    Reemplaza IMAGE_PROJECT por el nombre del proyecto de imagen que deseas restringir en tu proyecto.

    De manera opcional, es posible que desees denegar el acceso a todas las imágenes fuera de las imágenes personalizadas en tu proyecto. En ese caso, usa el siguiente ejemplo: 

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allValues: DENY

  3. Aplica el archivo policy.yaml en tu proyecto. Si tu organización o carpeta tienen restricciones existentes, dichas restricciones podrían entrar en conflicto con las restricciones a nivel de proyecto que establezcas. Para aplicar la restricción, usa el comando resource-manager org-policies set-policy.

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    Reemplaza PROJECT_ID con el ID del proyecto.

Cuando hayas terminado de configurar las restricciones, pruébalas para asegurarte de que creen las restricciones que necesitas.

¿Qué sigue?