Restreindre l'utilisation des images

Par défaut, les utilisateurs de votre projet peuvent créer des disques persistants ou copier des images en utilisant les images publiques de leur choix ainsi que toutes les images auxquelles les membres du projet peuvent accéder via les rôles IAM. Toutefois, dans certains cas, vous pouvez être amené à limiter l'accès des membres de votre projet de telle sorte qu'ils ne puissent créer de disques de démarrage qu'à partir d'images contenant des logiciels approuvés conformes aux règles ou aux exigences de sécurité de l'entreprise.

Utilisez la fonctionnalité relative aux images de confiance pour définir des règles d'administration qui n'autorisent les membres de votre projet à créer des disques persistants qu'à partir des images présentes dans des projets spécifiques.

Si vous souhaitez limiter les emplacements où vos images peuvent être utilisées, lisez la section Restreindre l'utilisation de vos images, disques et instantanés partagés.

Avant de commencer

Limites

  • Les règlements relatifs aux images de confiance ne limitent pas l'accès aux images suivantes :

    • Images personnalisées disponibles dans votre projet local

    • Images disponibles lorsque vous créez des instances via d'autres services Google Cloud Platform

    • Fichiers d'image se trouvant dans des buckets Google Cloud Storage

  • Les règles relatives aux images de confiance n'empêchent pas les utilisateurs de créer des ressources d'image dans leurs projets locaux.

Définir des contraintes d'accès aux images

Pour activer une stratégie d'accès aux images, définissez une contrainte compute.trustedImageProjects portant sur votre projet, votre organisation ou votre dossier. Pour définir de telles contraintes, vous devez être autorisé à modifier les règles d'administration. Par exemple, le rôle resourcemanager.organizationAdmin est autorisé à définir ces contraintes. Lisez la page Utiliser des contraintes pour en savoir plus sur la gestion des règles au niveau de l'organisation.

Console

  1. Accédez à la page "Compute Engine : Projets relatifs aux images de confiance" dans la console.

    Accéder à la page "Règles d'administration"

  2. Dans la liste des règles, cliquez sur Compute Engine : Projets relatifs aux images de confiance pour afficher les contraintes portant sur les images de confiance.
  3. Cliquez sur Modifier pour redéfinir les contraintes existantes relatives aux images de confiance.
  4. Définissez des contraintes autorisant ou interdisant l'utilisation d'un ou de plusieurs projets comme sources d'images pour votre projet. La liste des projets autorisés ou non à publier est une succession de chaînes présentant le format suivant :

    projects/[PROJECT_ID]
    

    où [PROJECT_ID] est l'ID du projet que vous souhaitez marquer comme source de confiance pour les images.

    Si des contraintes ont déjà été définies pour votre organisation ou votre dossier, elles peuvent entrer en conflit avec les contraintes que vous définissez au niveau du projet.

  5. Cliquez sur Enregistrer pour appliquer les paramètres relatifs aux contraintes.

gcloud

  1. Obtenez les paramètres relatifs aux règles définies pour votre projet.

    gcloud beta resource-manager org-policies describe \
        compute.trustedImageProjects --effective \
        --project [PROJECT_ID] > policy.yaml
    

    [PROJECT_ID] correspond à l'ID de votre projet.

  2. Ouvrez le fichier policy.yaml dans un éditeur de texte, puis modifiez la contrainte compute.trustedImageProjects. Ajoutez les restrictions dont vous avez besoin ou supprimez celles qui sont inutiles. Lorsque vous avez terminé de modifier le fichier, enregistrez vos modifications. Par exemple, vous pouvez définir l'entrée de contrainte suivante dans votre fichier de règles :

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allowedValues:
        - projects/debian-cloud
        - projects/cos-cloud
      deniedValues:
        - projects/unwanted-images
    

    Vous pouvez éventuellement être amené à interdire l'accès à toutes les images autres que les images personnalisées de votre projet. Dans ce cas de figure, conformez-vous à l'exemple suivant :

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allValues: DENY
    
  3. Appliquez le fichier policy.yaml à votre projet. Si des contraintes ont déjà été définies pour votre organisation ou votre dossier, elles peuvent entrer en conflit avec les contraintes que vous définissez au niveau du projet.

    gcloud beta resource-manager org-policies set-policy
    --project [PROJECT_ID] policy.yaml
    

    [PROJECT_ID] correspond à l'ID de votre projet.

Lorsque vous avez fini de configurer les contraintes, testez-les pour vous assurer qu'elles créent les restrictions dont vous avez besoin.

Étapes suivantes

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation Compute Engine