Par défaut, les utilisateurs de votre projet peuvent créer des disques persistants ou copier des images en utilisant les images publiques de leur choix ainsi que toutes les images auxquelles les membres du projet peuvent accéder via les rôles IAM. Toutefois, dans certains cas, vous pouvez être amené à limiter l'accès des membres de votre projet de telle sorte qu'ils ne puissent créer de disques de démarrage qu'à partir d'images contenant des logiciels approuvés conformes à vos règles ou exigences de sécurité.
Exploitez les images de confiance pour définir des règles d'administration qui n'autorisent les comptes principaux de votre projet à créer des disques persistants qu'à partir des images présentes dans des projets spécifiques.
Pour limiter les emplacements où vos images peuvent être utilisées, consultez la section Restreindre l'utilisation de vos images, disques et instantanés partagés.
Avant de commencer
- Consultez la page Utiliser des contraintes pour en savoir plus sur la gestion des règles au niveau de l'organisation.
- Consultez la page Comprendre le processus d'évaluation hiérarchique pour savoir comment les règles d'administration se propagent.
-
Si ce n'est pas déjà fait, configurez l'authentification.
L'authentification est le processus permettant de valider votre identité pour accéder aux services et aux API Google Cloud.
Pour exécuter du code ou des exemples depuis un environnement de développement local, vous pouvez vous authentifier auprès de Compute Engine en sélectionnant l'une des options suivantes:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init - Set a default region and zone.
Les règlements relatifs aux images de confiance ne limitent pas l'accès aux images suivantes :
Images personnalisées disponibles dans votre projet local
Fichiers d'image se trouvant dans des buckets Cloud Storage
Les règles relatives aux images de confiance n'empêchent pas les utilisateurs de créer des ressources d'image dans leurs projets locaux.
Accédez à la page Règles d'administration.
Dans la liste des règles, cliquez sur Définir les projets relatifs aux images de confiance. La page Détails de la stratégie s'affiche.
Sur la page Détails de la règle, cliquez sur Gérer la règle. La page Modifier la règle s'affiche.
Sur la page Modifier la règle, sélectionnez Personnaliser.
Pour Application des règles, sélectionnez une option d'application. Pour en savoir plus sur l'héritage et la hiérarchie des ressources, consultez la page Comprendre le processus d'évaluation hiérarchique.
Cliquez sur Ajouter une règle.
Dans la liste Valeurs de règles, vous pouvez indiquer si cette règle d'administration doit autoriser l'accès à tous les projets d'image, refuser l'accès à tous les projets d'image ou spécifier un ensemble personnalisé de projets auxquels autoriser ou refuser l'accès.
Pour définir la règle de stratégie, procédez comme suit:
- Pour autoriser les utilisateurs à créer des disques de démarrage à partir de toutes les images publiques, sélectionnez Tout autoriser.
- Pour empêcher les utilisateurs de créer un disque de démarrage à partir de toutes les images publiques, sélectionnez Tout refuser.
Pour spécifier un ensemble d'images publiques à partir desquelles les utilisateurs peuvent créer des disques de démarrage, sélectionnez Personnalisé. Les champs Type de règle et Valeurs personnalisées s'affichent.
- Dans la liste Type de règle, sélectionnez Autoriser ou Refuser.
Dans le champ Valeurs personnalisées, saisissez le nom du projet d'image au format
projects/IMAGE_PROJECT.Remplacez
IMAGE_PROJECTpar le projet d'image sur lequel vous souhaitez définir la contrainte.Vous pouvez ajouter plusieurs projets d'images. Pour chaque projet d'image que vous souhaitez ajouter, cliquez sur Ajouter, puis saisissez le nom du projet.
Pour enregistrer la règle, cliquez sur OK.
Pour enregistrer et appliquer la règle d'administration, cliquez sur Enregistrer.
Obtenez les paramètres des règles définies pour votre projet à l'aide de la commande
resource-manager org-policies describe.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Remplacez PROJECT_ID par l'ID du projet.
Ouvrez le fichier
policy.yamldans un éditeur de texte, puis modifiez la contraintecompute.trustedImageProjects. Ajoutez les restrictions dont vous avez besoin ou supprimez celles qui sont inutiles. Lorsque vous avez terminé de modifier le fichier, enregistrez vos modifications. Par exemple, vous pouvez définir l'entrée de contrainte suivante dans votre fichier de règles :constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECTRemplacez IMAGE_PROJECT par le nom du projet d'image que vous souhaitez restreindre dans votre projet.
Vous pouvez éventuellement être amené à interdire l'accès à toutes les images autres que les images personnalisées de votre projet. Dans ce cas de figure, conformez-vous à l'exemple suivant :
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Appliquez le code
policy.yamlà votre projet. Si des contraintes ont déjà été définies pour votre organisation ou votre dossier, elles peuvent entrer en conflit avec les contraintes que vous définissez au niveau du projet. Pour appliquer la contrainte, utilisez la commanderesource-manager org-policies set-policy.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Remplacez PROJECT_ID par l'ID du projet.
- Obtenez plus d'informations sur le service de règles d'administration.
- Découvrez quelles images publiques sont à votre disposition par défaut.
- Partagez votre image privée avec d'autres projets.
- Découvrez comment restreindre l'utilisation de vos images, disques et instantanés partagés.
- Découvrez comment démarrer une instance à partir d'une image.
REST
Pour utiliser les exemples d'API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud initPour en savoir plus, consultez la section S'authentifier pour utiliser REST dans la documentation sur l'authentification Google Cloud.
Limites
Définir des contraintes d'accès aux images
Pour activer une règle d'accès aux images, définissez une contrainte
compute.trustedImageProjectsportant sur votre projet, votre dossier ou votre organisation. Vous devez pour cela être autorisé à modifier les règles d'administration. Par exemple,roles/orgpolicy.policyAdminest autorisé à définir ces contraintes. Pour en savoir plus sur la gestion des règles au niveau du projet, du dossier ou de l'organisation, consultez la section Utiliser des contraintes.Vous pouvez définir des contraintes sur toutes les images publiques disponibles sur Compute Engine. Pour obtenir la liste des noms de projets d'images, consultez la section Détails des systèmes d'exploitation. Vous pouvez également limiter les images de machine learning (ML) disponibles sur Compute Engine à l'aide du projet
ml-images. Si vous utilisez l'accès au VPC sans serveur, autorisez votre projet à utiliser les images de VM Compute Engine du projetserverless-vpc-access-images.Utilisez la console Google Cloud ou Google Cloud CLI pour définir des contraintes d'accès aux images.
Console
Par exemple, pour définir une contrainte au niveau du projet, procédez comme suit :
Pour plus d'informations sur la création de règles d'administration, consultez la section Création et gestion des règles d'administration.
gcloud
Par exemple, pour définir une contrainte au niveau du projet, procédez comme suit :
Lorsque vous avez terminé de configurer les contraintes, testez-les pour vous assurer qu'elles créent les restrictions nécessaires.
Étape suivante
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/12/22 (UTC).
-