Per impostazione predefinita, gli utenti del progetto possono creare dischi permanenti o copiare le immagini utilizzando qualsiasi immagine pubblica e qualsiasi immagine a cui i principali possono accedere tramite i ruoli IAM. Tuttavia, in alcuni casi potresti voler limitare i principali in modo che possano creare dischi di avvio solo da immagini contenenti software approvato che soddisfi i tuoi requisiti di conformità o di sicurezza.
Utilizza la funzionalità Immagini attendibili per definire un criterio dell'organizzazione che consente ai principali di creare dischi permanenti solo da immagini in progetti specifici.
Per limitare le posizioni in cui possono essere utilizzate le tue immagini, leggi Limitare l'utilizzo di immagini, dischi e istantanee condivisi.
Prima di iniziare
- Leggi la pagina Utilizzo dei vincoli per scoprire come gestire i criteri a livello di organizzazione.
- Leggi la pagina Informazioni sulla valutazione della gerarchia per scoprire come vengono propagati i criteri dell'organizzazione.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
I criteri per l'utilizzo di immagini attendibili non limitano l'accesso alle seguenti immagini:
Immagini personalizzate nel progetto locale.
File immagine nei bucket Cloud Storage.
I criteri per l'utilizzo di immagini attendibili non impediscono agli utenti di creare risorse immagine nei loro progetti locali.
Vai alla pagina Criteri dell'organizzazione.
Nell'elenco dei criteri, fai clic su Definisci progetti di immagini attendibili. Viene visualizzata la pagina Dettagli norme.
Nella pagina Dettagli norme, fai clic su Gestisci norme. Viene visualizzata la pagina Modifica criterio.
Nella pagina Modifica criterio, seleziona Personalizza.
In Applicazione criteri, seleziona un'opzione di applicazione. Per informazioni sull'ereditarietà e sulla gerarchia delle risorse, consulta Informazioni sulla valutazione della gerarchia.
Fai clic su Aggiungi regola.
Nell'elenco Valori criterio, puoi selezionare se questo criterio dell'organizzazione deve consentire l'accesso a tutti i progetti di immagini, negare l'accesso a tutti i progetti di immagini oppure specificare un insieme personalizzato di progetti a cui consentire o negare l'accesso.
Per impostare la regola del criterio, completa una delle seguenti opzioni:
- Per consentire agli utenti di creare dischi di avvio da tutte le immagini pubbliche, seleziona Consenti tutte.
- Per impedire agli utenti di creare un disco di avvio da tutte le immagini pubbliche, selezionate Rifiuta tutto.
Per specificare un insieme selezionato di immagini pubbliche da cui gli utenti possono creare dischi di avvio, seleziona Personalizzata. Vengono visualizzati i campi Tipo di criterio e Valori personalizzati.
- Nell'elenco Tipo di criterio, seleziona Consenti o Rifiuta.
Nel campo Valori personalizzati, inserisci il nome del progetto di immagini utilizzando il formato
projects/IMAGE_PROJECT
.Sostituisci
IMAGE_PROJECT
con il progetto di immagini per cui vuoi impostare la limitazione.Puoi aggiungere più progetti di immagini. Per ogni progetto di immagini che vuoi aggiungere, fai clic su Aggiungi e inserisci il nome del progetto.
Per salvare la regola, fai clic su Fine.
Per salvare e applicare il criterio dell'organizzazione, fai clic su Salva.
Per recuperare le impostazioni dei criteri esistenti per il progetto, utilizza il comando
resource-manager org-policies describe
.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Sostituisci PROJECT_ID con l'ID progetto.
Apri il file
policy.yaml
in un editor di testo e modifica il vincolocompute.trustedImageProjects
. Aggiungi le limitazioni di cui hai bisogno e rimuovi quelle che non ti servono più. Al termine della modifica del file, salva le modifiche. Ad esempio, puoi impostare la seguente voce di vincolo nel file delle norme:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECT
Sostituisci IMAGE_PROJECT con il nome del progetto di immagini che vuoi limitare nel tuo progetto.
Facoltativamente, puoi negare l'accesso a tutte le immagini diverse da quelle personalizzate nel tuo progetto. Per questa situazione, utilizza il seguente esempio:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Applica il file
policy.yaml
al progetto. Se la tua organizzazione o cartella ha vincoli esistenti, questi potrebbero essere in conflitto con i vincoli impostati a livello di progetto. Per applicare la limitazione, utilizza il comandoresource-manager org-policies set-policy
.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID progetto.
- Scopri di più sul Servizio Criteri dell'organizzazione.
- Scopri quali immagini pubbliche puoi utilizzare per impostazione predefinita.
- Condividi la tua immagine privata con altri progetti.
- Scopri come limitare l'utilizzo di immagini, dischi e snapshot condivisi.
- Scopri come avviare un'istanza da un'immagine.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Limitazioni
Impostare i vincoli di accesso alle immagini
Applica un criterio di accesso alle immagini impostando un vincolo
compute.trustedImageProjects
sul progetto, sulla cartella o sull'organizzazione. Per impostare questi vincoli, devi disporre dell'autorizzazione per modificare i criteri dell'organizzazione. Ad esempio,roles/orgpolicy.policyAdmin
ha l'autorizzazione per impostare questi vincoli. Per ulteriori informazioni sulla gestione delle norme a livello di progetto, cartella o organizzazione, consulta Utilizzare i vincoli.Puoi impostare vincoli su tutte le immagini pubbliche disponibili su Compute Engine. Per un elenco dei nomi dei progetti di immagini, consulta Dettagli dei sistemi operativi. Puoi anche limitare le immagini di machine learning (ML) disponibili su Compute Engine utilizzando il progetto
ml-images
. Se utilizzi Accesso VPC serverless, concedi al tuo progetto l'autorizzazione a utilizzare le immagini VM Compute Engine del progettoserverless-vpc-access-images
.Utilizza la console Google Cloud o Google Cloud CLI per impostare vincoli sull'accesso alle immagini.
Console
Ad esempio, per impostare una limitazione a livello di progetto:
Per saperne di più sulla creazione dei criteri dell'organizzazione, consulta Creare e gestire i criteri dell'organizzazione.
gcloud
Ad esempio, per impostare una limitazione a livello di progetto:
Al termine della configurazione, effettua il test dei vincoli per assicurarti che vengano create le limitazioni di cui hai bisogno.
Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-12-22 UTC.
-