Impostazione di criteri per l'utilizzo di immagini attendibili


Per impostazione predefinita, gli utenti del progetto possono creare dischi permanenti o copiare le immagini utilizzando qualsiasi immagine pubblica e qualsiasi immagine a cui i principali possono accedere tramite i ruoli IAM. Tuttavia, in alcuni casi potresti voler limitare i principali in modo che possano creare dischi di avvio solo da immagini contenenti software approvato che soddisfi i tuoi requisiti di conformità o di sicurezza.

Utilizza la funzionalità Immagini attendibili per definire un criterio dell'organizzazione che consente ai principali di creare dischi permanenti solo da immagini in progetti specifici.

Per limitare le posizioni in cui possono essere utilizzate le tue immagini, leggi Limitare l'utilizzo di immagini, dischi e istantanee condivisi.

Prima di iniziare

  • Leggi la pagina Utilizzo dei vincoli per scoprire come gestire i criteri a livello di organizzazione.
  • Leggi la pagina Informazioni sulla valutazione della gerarchia per scoprire come vengono propagati i criteri dell'organizzazione.
  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Limitazioni

  • I criteri per l'utilizzo di immagini attendibili non limitano l'accesso alle seguenti immagini:

  • I criteri per l'utilizzo di immagini attendibili non impediscono agli utenti di creare risorse immagine nei loro progetti locali.

Impostare i vincoli di accesso alle immagini

Applica un criterio di accesso alle immagini impostando un vincolo compute.trustedImageProjects sul progetto, sulla cartella o sull'organizzazione. Per impostare questi vincoli, devi disporre dell'autorizzazione per modificare i criteri dell'organizzazione. Ad esempio, roles/orgpolicy.policyAdmin ha l'autorizzazione per impostare questi vincoli. Per ulteriori informazioni sulla gestione delle norme a livello di progetto, cartella o organizzazione, consulta Utilizzare i vincoli.

Puoi impostare vincoli su tutte le immagini pubbliche disponibili su Compute Engine. Per un elenco dei nomi dei progetti di immagini, consulta Dettagli dei sistemi operativi. Puoi anche limitare le immagini di machine learning (ML) disponibili su Compute Engine utilizzando il progetto ml-images. Se utilizzi Accesso VPC serverless, concedi al tuo progetto l'autorizzazione a utilizzare le immagini VM Compute Engine del progetto serverless-vpc-access-images.

Utilizza la console Google Cloud o Google Cloud CLI per impostare vincoli sull'accesso alle immagini.

Console

Ad esempio, per impostare una limitazione a livello di progetto:

  1. Vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nell'elenco dei criteri, fai clic su Definisci progetti di immagini attendibili. Viene visualizzata la pagina Dettagli norme.

  3. Nella pagina Dettagli norme, fai clic su Gestisci norme. Viene visualizzata la pagina Modifica criterio.

  4. Nella pagina Modifica criterio, seleziona Personalizza.

  5. In Applicazione criteri, seleziona un'opzione di applicazione. Per informazioni sull'ereditarietà e sulla gerarchia delle risorse, consulta Informazioni sulla valutazione della gerarchia.

  6. Fai clic su Aggiungi regola.

  7. Nell'elenco Valori criterio, puoi selezionare se questo criterio dell'organizzazione deve consentire l'accesso a tutti i progetti di immagini, negare l'accesso a tutti i progetti di immagini oppure specificare un insieme personalizzato di progetti a cui consentire o negare l'accesso.

    Per impostare la regola del criterio, completa una delle seguenti opzioni:

    • Per consentire agli utenti di creare dischi di avvio da tutte le immagini pubbliche, seleziona Consenti tutte.
    • Per impedire agli utenti di creare un disco di avvio da tutte le immagini pubbliche, selezionate Rifiuta tutto.
    • Per specificare un insieme selezionato di immagini pubbliche da cui gli utenti possono creare dischi di avvio, seleziona Personalizzata. Vengono visualizzati i campi Tipo di criterio e Valori personalizzati.

      1. Nell'elenco Tipo di criterio, seleziona Consenti o Rifiuta.
      2. Nel campo Valori personalizzati, inserisci il nome del progetto di immagini utilizzando il formato projects/IMAGE_PROJECT.

        Sostituisci IMAGE_PROJECT con il progetto di immagini per cui vuoi impostare la limitazione.

        Puoi aggiungere più progetti di immagini. Per ogni progetto di immagini che vuoi aggiungere, fai clic su Aggiungi e inserisci il nome del progetto.

  8. Per salvare la regola, fai clic su Fine.

  9. Per salvare e applicare il criterio dell'organizzazione, fai clic su Salva.

Per saperne di più sulla creazione dei criteri dell'organizzazione, consulta Creare e gestire i criteri dell'organizzazione.

gcloud

Ad esempio, per impostare una limitazione a livello di progetto:

  1. Per recuperare le impostazioni dei criteri esistenti per il progetto, utilizza il comando resource-manager org-policies describe.

    gcloud resource-manager org-policies describe \
       compute.trustedImageProjects --project=PROJECT_ID \
       --effective > policy.yaml
    

    Sostituisci PROJECT_ID con l'ID progetto.

  2. Apri il file policy.yaml in un editor di testo e modifica il vincolo compute.trustedImageProjects. Aggiungi le limitazioni di cui hai bisogno e rimuovi quelle che non ti servono più. Al termine della modifica del file, salva le modifiche. Ad esempio, puoi impostare la seguente voce di vincolo nel file delle norme:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
     allowedValues:
        - projects/debian-cloud
        - projects/cos-cloud
     deniedValues:
        - projects/IMAGE_PROJECT
    

    Sostituisci IMAGE_PROJECT con il nome del progetto di immagini che vuoi limitare nel tuo progetto.

    Facoltativamente, puoi negare l'accesso a tutte le immagini diverse da quelle personalizzate nel tuo progetto. Per questa situazione, utilizza il seguente esempio:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
     allValues: DENY
    

  3. Applica il file policy.yaml al progetto. Se la tua organizzazione o cartella ha vincoli esistenti, questi potrebbero essere in conflitto con i vincoli impostati a livello di progetto. Per applicare la limitazione, utilizza il comando resource-manager org-policies set-policy.

    gcloud resource-manager org-policies set-policy \
       policy.yaml --project=PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID progetto.

Al termine della configurazione, effettua il test dei vincoli per assicurarti che vengano create le limitazioni di cui hai bisogno.

Passaggi successivi