Verwendung von Images einschränken

Standardmäßig können Nutzer in Ihrem Projekt nichtflüchtige Speicher erstellen oder Images kopieren. Dafür können Sie jedes öffentliche Image und alle Images verwenden, auf die Ihre Projektmitglieder über IAM-Rollen zugreifen können. In einigen Situationen sollten Sie Ihre Projektmitglieder jedoch einschränken, damit sie Bootlaufwerke nur aus Images mit genehmigter Software erstellen können, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht.

Mit dem Trusted Image-Feature können Sie in einer Organisationsrichtlinie festlegen, dass Ihre Projektmitglieder nichtflüchtige Speicher nur aus Images in bestimmten Projekten erstellen können.

Wenn Sie einschränken möchten, wo Ihre Images verwendet werden können, lesen Sie, wie Sie die Verwendung freigegebener Images, Laufwerke und Snapshots einschränken.

Vorbereitung

Einschränkungen

  • Trusted Image-Richtlinien beschränken den Zugriff auf folgende Images nicht:

    • Benutzerdefinierte Images in Ihrem lokalen Projekt.

    • Images, die verfügbar sind, wenn Sie Instanzen über andere Google Cloud Platform-Dienste erstellen.

    • Image-Dateien in Google Cloud Storage-Buckets.

  • Trusted Image-Richtlinien hindern Nutzer nicht daran, in ihren lokalen Projekten Image-Ressourcen zu erstellen.

Einschränkungen für den Image-Zugriff einrichten

Zum Einrichten einer Image-Zugriffsrichtlinie legen Sie die Beschränkung compute.trustedImageProjects für Ihr Projekt, Ihre Organisation oder Ihren Ordner fest. Dazu benötigen Sie die Berechtigung zum Ändern von Organisationsrichtlinien. Die Rolle resourcemanager.organizationAdmin hat beispielsweise die Berechtigung, diese Einschränkung festzulegen. Lesen Sie unter Einschränkungen verwenden, wie Richtlinien auf Organisationsebene verwaltet werden können.

Konsole

  1. Rufen Sie in der Konsole die Seite "Compute Engine – Trusted Image-Projekte" auf.

    Weiter zur Seite "Organisationsrichtlinien"

  2. Klicken Sie in der Richtlinienliste auf Compute Engine – Trusted Image-Projekte, um die Einschränkungen für vertrauenswürdige Images anzuzeigen.
  3. Klicken Sie auf Bearbeiten, um die vorhandenen Einschränkungen für vertrauenswürdige Images zu bearbeiten.
  4. Legen Sie Einschränkungen fest, um durch Zulassen bzw. Verweigern des Zugriffs auf Projekte festzulegen, aus welchen Projekten Images für Ihr Projekt abgerufen werden können. Die Liste der zugelassenen und verweigerten Publisher-Projekte enthält Strings mit dem folgenden Format:

    projects/[PROJECT_ID]
    

    Dabei ist [PROJECT_ID] die Projekt-ID des Projekts, das Sie als vertrauenswürdige Quelle für Images kennzeichnen möchten.

    Wenn es vorhandene Einschränkungen in Ihrer Organisation oder Ihrem Ordner gibt, können diese Einschränkungen mit den von Ihnen festgelegten Einschränkungen auf Projektebene in Konflikt stehen.

  5. Klicken Sie auf Speichern, um die Einstellungen für die Einschränkungen zu übernehmen.

gcloud

  1. Rufen Sie die vorhandenen Richtlinieneinstellungen des Projekts ab.

    gcloud beta resource-manager org-policies describe \
        compute.trustedImageProjects --effective \
        --project [PROJECT_ID] > policy.yaml
    

    Dabei ist [PROJECT_ID] Ihre Projekt-ID.

  2. Öffnen Sie die Datei policy.yaml in einem Texteditor und ändern Sie die Einschränkung compute.trustedImageProjects. Fügen Sie die gewünschten Einschränkungen hinzu und entfernen Sie die Einschränkungen, die nicht mehr benötigt werden. Speichern Sie die Änderungen, wenn Sie mit der Bearbeitung der Datei fertig sind. Sie können in der Richtliniendatei z. B. die folgende Einschränkung angeben:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allowedValues:
        - projects/debian-cloud
        - projects/cos-cloud
      deniedValues:
        - projects/unwanted-images
    

    Optional können Sie den Zugriff auf alle Images außer der benutzerdefinierten Images innerhalb Ihres Projekts verweigern. Verwenden Sie hierfür das folgende Beispiel:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allValues: DENY
    
  3. Wenden Sie die policy.yaml-Datei auf Ihr Projekt an. Wenn es vorhandene Einschränkungen in Ihrer Organisation oder Ihrem Ordner gibt, können diese Einschränkungen mit den von Ihnen festgelegten Einschränkungen auf Projektebene in Konflikt stehen.

    gcloud beta resource-manager org-policies set-policy
    --project [PROJECT_ID] policy.yaml
    

    Dabei ist [PROJECT_ID] Ihre Projekt-ID.

Wenn Sie die Einschränkungen fertig konfiguriert haben, sollten Sie sie testen und prüfen, ob die gewünschten Beschränkungen erzielt wurden.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Compute Engine-Dokumentation