Standardmäßig können Nutzer in Ihrem Projekt nichtflüchtige Speicher erstellen oder Images kopieren. Dafür können sie jedes öffentliche Image und alle Images verwenden, auf die Hauptkonten über IAM-Rollen zugreifen können. In einigen Situationen sollten Sie Hauptkonten jedoch einschränken, damit sie Bootlaufwerke nur aus Images mit genehmigter Software erstellen können, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht.
Mit dem Trusted Image-Feature können Sie in einer Organisationsrichtlinie festlegen, dass Hauptkonten nur aus Images in bestimmten Projekten nichtflüchtige Speicher erstellen können.
Wenn Sie einschränken möchten, wo Ihre Images verwendet werden können, lesen Sie die Informationen unter Verwendung freigegebener Images, Laufwerke und Snapshots einschränken.
Hinweis
- Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, gehen Sie so vor:
- Installieren Sie die Google Cloud CLI oder aktualisieren Sie sie auf die neueste Version.
- Legen Sie eine Standardregion und -zone fest.
- Wenn Sie die API-Beispiele in dieser Anleitung verwenden möchten, richten Sie den API-Zugang ein.
- Lesen Sie unter Einschränkungen verwenden, wie Richtlinien auf Organisationsebene verwaltet werden.
- Lesen Sie die Seite Informationen zu Evaluierungen der Hierarchie, um zu erfahren, wie Organisationsrichtlinien weitergegeben werden.
Beschränkungen
Trusted Image-Richtlinien beschränken den Zugriff auf folgende Images nicht:
Benutzerdefinierte Images in Ihrem lokalen Projekt
Image-Dateien in Cloud Storage-Buckets
Trusted Image-Richtlinien hindern Nutzer nicht daran, in ihren lokalen Projekten Image-Ressourcen zu erstellen.
Einschränkungen für den Image-Zugriff festlegen
Zum Einrichten einer Image-Zugriffsrichtlinie legen Sie die Beschränkung compute.trustedImageProjects
für Ihr Projekt, Ihren Ordner oder Ihre Organisation fest. Dazu benötigen Sie die Berechtigung zum Ändern von Organisationsrichtlinien. Beispiel: roles/orgpolicy.policyAdmin
hat die Berechtigung, diese Einschränkungen festzulegen. Weitere Informationen zum Verwalten von Richtlinien auf Projekt-, Ordner- oder Organisationsebene finden Sie unter Einschränkungen verwenden.
Sie können Einschränkungen für alle öffentlichen Images festlegen, die in Compute Engine verfügbar sind.
Eine Liste der Image-Projektnamen finden Sie unter Details zu Betriebssystemen.
Mit dem Projekt ml-images
können Sie auch die in Compute Engine verfügbaren ML-Images einschränken. Wenn Sie den serverlosen VPC-Zugriff verwenden, gewähren Sie Ihrem Projekt die Berechtigung, Compute Engine-VM-Images aus dem Projekt serverless-vpc-access-images
zu verwenden.
Verwenden Sie die Google Cloud Console oder das Google Cloud CLI, um Einschränkungen für den Image-Zugriff festzulegen.
Console
So legen Sie beispielsweise eine Einschränkung auf Projektebene fest:
- Rufen Sie die Seite Organisationsrichtlinien auf.
- Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren.
- Klicken Sie auf Bearbeiten, um die vorhandenen Einschränkungen für vertrauenswürdige Images zu bearbeiten.
- Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
- Wählen Sie in der Drop-down-Liste Richtlinienwerte die Option Benutzerdefiniert aus, um eine Einschränkung für bestimmte Image-Projekte festzulegen.
- Geben Sie in der Drop-down-Liste Richtlinientyp einen Wert so an:
- Wählen Sie Ablehnen aus, um die angegebenen Image-Projekte einzuschränken.
- Wenn Sie die Einschränkungen für die angegebenen Image-Projekte entfernen möchten, wählen Sie Zulassen aus.
Geben Sie im Feld Benutzerdefinierte Werte die Namen der Image-Projekte im Format
projects/IMAGE_PROJECT
ein. Ersetzen Sie IMAGE_PROJECT durch das Image-Projekt, für das Sie die Einschränkung festlegen möchten.Wenn Sie Einschränkungen auf Projektebene festlegen, können diese mit den vorhandenen Einschränkungen in Ihrer Organisation oder Ihrem Ordner in Konflikt stehen.
Klicken Sie auf Neuer Richtlinienwert, um mehrere Image-Projekte hinzuzufügen.
Klicken Sie auf Speichern, um die Einschränkung anzuwenden.
Weitere Informationen zum Erstellen von Organisationsrichtlinien finden Sie unter Organisationsrichtlinien erstellen und verwalten.
gcloud
So legen Sie beispielsweise eine Einschränkung auf Projektebene fest:
Rufen Sie die vorhandenen Richtlinieneinstellungen für Ihr Projekt mit dem Befehl
resource-manager org-policies describe
ab.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
Öffnen Sie die Datei
policy.yaml
in einem Texteditor und ändern Sie die Einschränkungcompute.trustedImageProjects
. Fügen Sie die gewünschten Einschränkungen hinzu und entfernen Sie die Einschränkungen, die nicht mehr benötigt werden. Wenn Sie mit der Bearbeitung der Datei fertig sind, speichern Sie die Änderungen. Sie können in der Richtliniendatei z. B. die folgende Einschränkung angeben:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECT
Ersetzen Sie IMAGE_PROJECT durch den Namen des Image-Projekts, das Sie in Ihrem Projekt einschränken möchten.
Optional können Sie den Zugriff auf alle Images außer der benutzerdefinierten Images innerhalb Ihres Projekts verweigern. Verwenden Sie hierfür das folgende Beispiel:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Wenden Sie die Datei
policy.yaml
auf Ihr Projekt an. Wenn es vorhandene Einschränkungen in Ihrer Organisation oder Ihrem Ordner gibt, können diese Einschränkungen mit den von Ihnen festgelegten Einschränkungen auf Projektebene in Konflikt stehen. Verwenden Sie den Befehlresource-manager org-policies set-policy
, um die Einschränkung anzuwenden.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
Nachdem Sie die Einschränkungen konfiguriert haben, führen Sie Tests aus, um zu prüfen, ob die gewünschten Beschränkungen erzielt wurden.
Nächste Schritte
- Einführung in den Organisationsrichtliniendienst
- Standardmäßig verfügbare öffentliche Images ansehen.
- Privates Image mit anderen Projekten gemeinsam nutzen
- Verwendung freigegebener Images, Laufwerke und Snapshots einschränken
- VM-Instanz erstellen und starten