Trusted Image-Richtlinien einrichten

Standardmäßig können Nutzer in Ihrem Projekt nichtflüchtige Speicher erstellen oder Images kopieren. Dafür können sie jedes öffentliche Image und alle Images verwenden, auf die Hauptkonten über IAM-Rollen zugreifen können. In einigen Situationen sollten Sie Hauptkonten jedoch einschränken, damit sie Bootlaufwerke nur aus Images mit genehmigter Software erstellen können, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht.

Mit dem Trusted Image-Feature können Sie in einer Organisationsrichtlinie festlegen, dass Hauptkonten nur aus Images in bestimmten Projekten nichtflüchtige Speicher erstellen können.

Wenn Sie einschränken möchten, wo Ihre Images verwendet werden können, lesen Sie die Informationen unter Verwendung freigegebener Images, Laufwerke und Snapshots einschränken.

Hinweise

  • Lesen Sie unter Einschränkungen verwenden, wie Richtlinien auf Organisationsebene verwaltet werden.
  • Lesen Sie die Seite Informationen zu Evaluierungen der Hierarchie, um zu erfahren, wie Organisationsrichtlinien weitergegeben werden.
  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud -Dienste und ‑APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich bei Compute Engine authentifizieren. Wählen Sie dazu eine der folgenden Optionen aus:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init
    2. Set a default region and zone.

      3. REST

      Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

        Install the Google Cloud CLI, then initialize it by running the following command: 

        gcloud init

      Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

Beschränkungen

  • Trusted Image-Richtlinien beschränken den Zugriff auf folgende Images nicht:

  • Trusted Image-Richtlinien hindern Nutzer nicht daran, in ihren lokalen Projekten Image-Ressourcen zu erstellen.

Einschränkungen für den Image-Zugriff festlegen

Zum Einrichten einer Image-Zugriffsrichtlinie legen Sie die Beschränkung compute.trustedImageProjects für Ihr Projekt, Ihren Ordner oder Ihre Organisation fest. Dazu benötigen Sie die Berechtigung zum Ändern von Organisationsrichtlinien. Beispiel: roles/orgpolicy.policyAdmin hat die Berechtigung, diese Einschränkungen festzulegen. Weitere Informationen zum Verwalten von Richtlinien auf Projekt-, Ordner- oder Organisationsebene finden Sie unter Einschränkungen verwenden.

Sie können Einschränkungen für alle öffentlichen Images festlegen, die in Compute Engine verfügbar sind. Eine Liste der Image-Projektnamen finden Sie unter Details zu Betriebssystemen. Mit dem Projekt ml-images können Sie auch die in Compute Engine verfügbaren ML-Images einschränken. Wenn Sie den serverlosen VPC-Zugriff verwenden, gewähren Sie Ihrem Projekt die Berechtigung, Compute Engine-VM-Images aus dem Projekt serverless-vpc-access-images zu verwenden.

Verwenden Sie die Google Cloud -Console oder die Google Cloud CLI, um Einschränkungen für den Image-Zugriff festzulegen.

Console

So legen Sie beispielsweise eine Einschränkung auf Projektebene fest:

  1. Rufen Sie die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren. Die Seite Richtliniendetails wird angezeigt.

  3. Klicken Sie auf der Seite Richtliniendetails auf Richtlinie verwalten. Die Seite Richtlinie bearbeiten wird angezeigt.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Anpassen aus.

  5. Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus. Weitere Informationen zur Übernahme und zur Ressourcenhierarchie finden Sie unter Informationen zu Evaluierungen der Hierarchie.

  6. Klicken Sie auf Regel hinzufügen.

  7. In der Liste Richtlinienwerte können Sie auswählen, ob diese Organisationsrichtlinie den Zugriff auf alle Image-Projekte zulassen oder den Zugriff auf alle Image-Projekte verweigern soll. Sie können auch eine benutzerdefinierte Gruppe von Projekten angeben, für die der Zugriff zugelassen oder abgelehnt werden soll.

    So legen Sie die Richtlinienregel fest:

    • Wenn Sie Nutzern erlauben möchten, Bootlaufwerke aus allen öffentlichen Images zu erstellen, wählen Sie Alle zulassen aus.
    • Wenn Sie verhindern möchten, dass Nutzer Bootlaufwerke von allen öffentlichen Images erstellen können, wählen Sie Alle ablehnen aus.

    • Wenn Sie eine Auswahl öffentlicher Images angeben möchten, aus denen Nutzer Bootlaufwerke erstellen können, wählen Sie Benutzerdefiniert aus. Die Felder Richtlinientyp und Benutzerdefinierte Werte werden angezeigt.

      1. Wählen Sie in der Liste Richtlinientyp die Option Zulassen oder Ablehnen aus.

      2. Geben Sie im Feld Benutzerdefinierte Werte den Namen des Image-Projekts im Format projects/IMAGE_PROJECT ein.

        Ersetzen Sie IMAGE_PROJECT durch das Image-Projekt, für das Sie die Einschränkung festlegen möchten.

        Sie können mehrere Bildprojekte hinzufügen. Klicken Sie für jedes Bildprojekt, das Sie hinzufügen möchten, auf Hinzufügen und geben Sie den Namen des Bildprojekts ein.

  8. Klicken Sie auf Fertig, um die Regel zu speichern.

  9. Klicken Sie auf Speichern, um die Organisationsrichtlinie zu speichern und anzuwenden.

Weitere Informationen zum Erstellen von Organisationsrichtlinien finden Sie unter Organisationsrichtlinien erstellen und verwalten.

gcloud

So legen Sie beispielsweise eine Einschränkung auf Projektebene fest:

  1. Rufen Sie die vorhandenen Richtlinieneinstellungen für Ihr Projekt mit dem Befehl resource-manager org-policies describe ab.

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

  2. Öffnen Sie die Datei policy.yaml in einem Texteditor und ändern Sie die Einschränkung compute.trustedImageProjects. Fügen Sie die gewünschten Einschränkungen hinzu und entfernen Sie die Einschränkungen, die nicht mehr benötigt werden. Wenn Sie mit der Bearbeitung der Datei fertig sind, speichern Sie die Änderungen. Sie können in der Richtliniendatei z. B. die folgende Einschränkung angeben:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects/debian-cloud
    - projects/cos-cloud
 deniedValues:
    - projects/IMAGE_PROJECT

    Ersetzen Sie IMAGE_PROJECT durch den Namen des Image-Projekts, das Sie in Ihrem Projekt einschränken möchten.

    Optional können Sie den Zugriff auf alle Images außer der benutzerdefinierten Images innerhalb Ihres Projekts verweigern. Verwenden Sie hierfür das folgende Beispiel: 

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allValues: DENY

  3. Wenden Sie die Datei policy.yaml auf Ihr Projekt an. Wenn es vorhandene Einschränkungen in Ihrer Organisation oder Ihrem Ordner gibt, können diese Einschränkungen mit den von Ihnen festgelegten Einschränkungen auf Projektebene in Konflikt stehen. Verwenden Sie den Befehl resource-manager org-policies set-policy, um die Einschränkung anzuwenden.

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

Nachdem Sie die Einschränkungen konfiguriert haben, führen Sie Tests aus, um zu prüfen, ob die gewünschten Beschränkungen erzielt wurden.

Nächste Schritte