Trusted Image-Richtlinien einrichten

Standardmäßig können Nutzer in Ihrem Projekt nichtflüchtige Speicher erstellen oder Images kopieren. Dafür können sie jedes öffentliche Image und alle Images verwenden, auf die Hauptkonten über IAM-Rollen zugreifen können. In einigen Situationen sollten Sie Hauptkonten jedoch einschränken, damit sie Bootlaufwerke nur aus Images mit genehmigter Software erstellen können, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht.

Mit dem Trusted Image-Feature können Sie in einer Organisationsrichtlinie festlegen, dass Hauptkonten nur aus Images in bestimmten Projekten nichtflüchtige Speicher erstellen können.

Wenn Sie einschränken möchten, wo Ihre Images verwendet werden können, lesen Sie die Informationen unter Verwendung freigegebener Images, Laufwerke und Snapshots einschränken.

Hinweis

Beschränkungen

  • Trusted Image-Richtlinien beschränken den Zugriff auf folgende Images nicht:

  • Trusted Image-Richtlinien hindern Nutzer nicht daran, in ihren lokalen Projekten Image-Ressourcen zu erstellen.

Einschränkungen für den Image-Zugriff festlegen

Zum Einrichten einer Image-Zugriffsrichtlinie legen Sie die Beschränkung compute.trustedImageProjects für Ihr Projekt, Ihren Ordner oder Ihre Organisation fest. Dazu benötigen Sie die Berechtigung zum Ändern von Organisationsrichtlinien. Beispiel: roles/orgpolicy.policyAdmin hat die Berechtigung, diese Einschränkungen festzulegen. Weitere Informationen zum Verwalten von Richtlinien auf Projekt-, Ordner- oder Organisationsebene finden Sie unter Einschränkungen verwenden.

Sie können Einschränkungen für alle öffentlichen Images festlegen, die in Compute Engine verfügbar sind. Eine Liste der Image-Projektnamen finden Sie unter Details zu Betriebssystemen. Mit dem Projekt ml-images können Sie auch die in Compute Engine verfügbaren ML-Images einschränken. Wenn Sie den serverlosen VPC-Zugriff verwenden, gewähren Sie Ihrem Projekt die Berechtigung, Compute Engine-VM-Images aus dem Projekt serverless-vpc-access-images zu verwenden.

Verwenden Sie die Google Cloud Console oder das Google Cloud CLI, um Einschränkungen für den Image-Zugriff festzulegen.

Console

So legen Sie beispielsweise eine Einschränkung auf Projektebene fest:

  1. Rufen Sie die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren.
  3. Klicken Sie auf Bearbeiten, um die vorhandenen Einschränkungen für vertrauenswürdige Images zu bearbeiten.
  4. Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
  5. Wählen Sie in der Drop-down-Liste Richtlinienwerte die Option Benutzerdefiniert aus, um eine Einschränkung für bestimmte Image-Projekte festzulegen.
  6. Geben Sie in der Drop-down-Liste Richtlinientyp einen Wert so an:
    • Wählen Sie Ablehnen aus, um die angegebenen Image-Projekte einzuschränken.
    • Wenn Sie die Einschränkungen für die angegebenen Image-Projekte entfernen möchten, wählen Sie Zulassen aus.

  7. Geben Sie im Feld Benutzerdefinierte Werte die Namen der Image-Projekte im Format projects/IMAGE_PROJECT ein. Ersetzen Sie IMAGE_PROJECT durch das Image-Projekt, für das Sie die Einschränkung festlegen möchten.

    Wenn Sie Einschränkungen auf Projektebene festlegen, können diese mit den vorhandenen Einschränkungen in Ihrer Organisation oder Ihrem Ordner in Konflikt stehen.

  8. Klicken Sie auf Neuer Richtlinienwert, um mehrere Image-Projekte hinzuzufügen.

  9. Klicken Sie auf Speichern, um die Einschränkung anzuwenden.

Weitere Informationen zum Erstellen von Organisationsrichtlinien finden Sie unter Organisationsrichtlinien erstellen und verwalten.

gcloud

So legen Sie beispielsweise eine Einschränkung auf Projektebene fest:

  1. Rufen Sie die vorhandenen Richtlinieneinstellungen für Ihr Projekt mit dem Befehl resource-manager org-policies describe ab.

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

  2. Öffnen Sie die Datei policy.yaml in einem Texteditor und ändern Sie die Einschränkung compute.trustedImageProjects. Fügen Sie die gewünschten Einschränkungen hinzu und entfernen Sie die Einschränkungen, die nicht mehr benötigt werden. Wenn Sie mit der Bearbeitung der Datei fertig sind, speichern Sie die Änderungen. Sie können in der Richtliniendatei z. B. die folgende Einschränkung angeben:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects/debian-cloud
    - projects/cos-cloud
 deniedValues:
    - projects/IMAGE_PROJECT

    Ersetzen Sie IMAGE_PROJECT durch den Namen des Image-Projekts, das Sie in Ihrem Projekt einschränken möchten.

    Optional können Sie den Zugriff auf alle Images außer der benutzerdefinierten Images innerhalb Ihres Projekts verweigern. Verwenden Sie hierfür das folgende Beispiel: 

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allValues: DENY

  3. Wenden Sie die Datei policy.yaml auf Ihr Projekt an. Wenn es vorhandene Einschränkungen in Ihrer Organisation oder Ihrem Ordner gibt, können diese Einschränkungen mit den von Ihnen festgelegten Einschränkungen auf Projektebene in Konflikt stehen. Verwenden Sie den Befehl resource-manager org-policies set-policy, um die Einschränkung anzuwenden.

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

Nachdem Sie die Einschränkungen konfiguriert haben, führen Sie Tests aus, um zu prüfen, ob die gewünschten Beschränkungen erzielt wurden.

Nächste Schritte