Restringe el uso de imágenes

De forma predeterminada, los usuarios de tu proyecto pueden crear discos persistentes o copiar imágenes con cualquiera de las imágenes públicas y cualquier imagen a la que los miembros de tu proyecto pueden acceder mediante las funciones de IAM. Sin embargo, en algunas situaciones es posible que quieras restringir a los miembros de tu proyecto para que puedan crear discos de arranque solo desde imágenes que contengan software aprobado que cumpla con tus requisitos de seguridad o políticas.

Usa la función de imágenes confiables para definir una política de la organización que permita que los miembros de tu proyecto creen discos persistentes solo desde imágenes en proyectos específicos.

Si deseas restringir las ubicaciones donde se pueden utilizar tus imágenes, lee restringe el uso de tus instantáneas, imágenes y discos compartidos.

Antes de comenzar

Si deseas usar los ejemplos de línea de comandos en esta guía, haz lo siguiente:
1. Realiza una actualización a la versión más reciente de la herramienta de línea de comandos de gcloud o instálala.
2. Configura una región y una zona predeterminadas.
Si deseas utilizar los ejemplos de la API en esta guía, configura el acceso a la API.
Lee la página de Uso de restricciones.
Lee Comprende la evaluación de jerarquías para entender cómo se propagan las políticas de la organización.

Limitaciones

Las políticas de imágenes confiables no restringen el acceso a las siguientes imágenes:
- Imágenes personalizadas en tu proyecto local.
- Imágenes que están disponibles cuando creas instancias a través de otros servicios de Google Cloud Platform.
- Archivos de imagen en depósitos de Google Cloud Storage.
Las políticas de imágenes confiables no evitan que los usuarios creen recursos de imagen en sus proyectos locales.

Configura restricciones de acceso a imágenes

Aplica una política de acceso a imágenes configurando una restricción compute.trustedImageProjects en tu proyecto, organización o carpeta. Debes tener permiso para modificar las políticas de la organización a fin de establecer estas restricciones. Por ejemplo, la función resourcemanager.organizationAdmin tiene permiso para configurar estas restricciones. Lee la página Restricciones de uso para obtener más información sobre el control de políticas a nivel de la organización.

Console

Ve a la página Compute Engine - Proyectos de imágenes confiables en Console.
Ir a la página de Políticas de la organización
En la lista de políticas, haz clic en Compute Engine - Proyectos de imágenes confiables para ver las restricciones de imágenes confiables.
Haz clic en Editar para editar tus restricciones de imágenes confiables.
Establece restricciones para permitir o denegar uno o más proyectos desde los cuales tu proyecto puede obtener imágenes. La lista de proyectos de editor permitidos y denegados es una lista de strings con el siguiente formato:
```
projects/[PROJECT_ID]
```
donde [PROJECT_ID] es el ID del proyecto que deseas marcar como una fuente confiable de imágenes.

Si tu organización o carpetas tienen restricciones existentes, dichas restricciones podrían entrar en conflicto con las restricciones a nivel del proyecto que establezcas.
Haz clic en Guardar para aplicar la configuración de restricción.

gcloud

Obtén la configuración de las políticas existentes para tu proyecto.

gcloud beta resource-manager org-policies describe \
    compute.trustedImageProjects --effective \
    --project [PROJECT_ID] > policy.yaml

Donde [PROJECT_ID] es el ID del proyecto.

Abre el archivo policy.yaml en el editor de texto y modifica la restricción compute.trustedImageProjects. Agrega las restricciones que necesitas o quita aquellas que ya no necesitas. Cuando termines de editar el archivo, guarda los cambios. Por ejemplo, puedes establecer la siguiente entrada de restricción en tu archivo de políticas:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
  allowedValues:
    - projects/debian-cloud
    - projects/cos-cloud
  deniedValues:
    - projects/unwanted-images
```
De manera opcional, es posible que desees denegar el acceso a todas las imágenes fuera de las imágenes personalizadas en tu proyecto. En ese caso, usa el siguiente ejemplo:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
  allValues: DENY
```
Aplica el archivo policy.yaml a tu proyecto. Si tu organización o carpetas tienen restricciones existentes, dichas restricciones podrían entrar en conflicto con las restricciones a nivel del proyecto que establezcas.
```
gcloud beta resource-manager org-policies set-policy
--project [PROJECT_ID] policy.yaml
```
Donde [PROJECT_ID] es el ID del proyecto.

Cuando termines de configurar las restricciones, pruébalas para asegurarte de que creen las restricciones que necesitas.

Qué sigue

Obtén más información sobre el Servicio de políticas de la organización.
Consulta qué Imágenes públicas están disponibles para que uses de forma predeterminada.
Comparte tu imagen privada con otros proyectos.
Aprende cómo restringir el uso de imágenes, instantáneas y discos compartidos.
Aprende cómo iniciar una instancia desde una imagen.

¿Te ha resultado útil esta página? Enviar comentarios:

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see our Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

Última actualización: Octubre 7, 2019.