Restringe el uso de imágenes

De forma predeterminada, los usuarios de tu proyecto pueden crear discos persistentes o copiar imágenes con cualquiera de las imágenes públicas y cualquier imagen a la que los miembros de tu proyecto pueden acceder mediante las funciones de Cloud IAM. Sin embargo, en algunas situaciones es posible que quieras restringir a los miembros de tu proyecto para que solo puedan crear discos de arranque a partir de imágenes que contengan software aprobado que cumpla con tus políticas o requisitos de seguridad.

Usa la función de imágenes confiables para definir una política de la organización que les permita a los miembros de tu proyecto crear discos persistentes solo a partir de imágenes en proyectos específicos.

A fin de restringir las ubicaciones en las que se pueden usar las imágenes, consulta Restringe el uso de las imágenes, instantáneas y discos compartidos.

Antes de comenzar

Si deseas usar los ejemplos de línea de comandos en esta guía, haz lo siguiente:
1. Instala la herramienta de línea de comandos de gcloud o actualízala a la última versión.
2. Configura una región y una zona predeterminadas.
Si deseas usar los ejemplos de API de esta guía, configura el acceso a la API.
Lee la página sobre cómo usar restricciones.
Consulta Comprende la evaluación de jerarquías a fin de comprender cómo se propagan las políticas de la organización.

Limitaciones

Las políticas de imágenes confiables no restringen el acceso a las siguientes imágenes:
- Imágenes personalizadas en tu proyecto local.
- Imágenes que están disponibles cuando creas instancias a través de otros servicios de Google Cloud.
- Archivos de imagen en depósitos de Cloud Storage.
Las políticas de imágenes confiables no evitan que los usuarios creen recursos de imagen en sus proyectos locales.

Configura restricciones de acceso a imágenes

Configura una restricción compute.trustedImageProjects en tu proyecto, tu organización o tu carpeta para aplicar una política de acceso a las imágenes. Debes tener permiso para modificar las políticas de la organización a fin de establecer estas restricciones. Por ejemplo, la función resourcemanager.organizationAdmin tiene permiso para establecer estas restricciones. Para obtener más información sobre la administración de políticas a nivel de organización, consulta Usa restricciones.

Console

Ve a la página Políticas de la organización.
Ir a la página Políticas de la organización
En la lista de políticas, haz clic en Definir proyectos de imágenes confiables.
Haz clic en Editar para editar tus restricciones de imágenes confiables.
Establece restricciones para permitir o denegar la obtención de imágenes por parte de tu proyecto desde uno o más proyectos. La lista de proyectos de editor permitidos y denegados es una lista de strings con el siguiente formato:
```
projects/[PROJECT_ID]
    
```
en la que [PROJECT_ID] es el ID del proyecto que deseas marcar como una fuente confiable de imágenes.

Si tu organización o carpeta tienen restricciones existentes, dichas restricciones podrían entrar en conflicto con las restricciones a nivel de proyecto que establezcas.
Haz clic en Guardar para aplicar la configuración de restricción.

gcloud

Obtén la configuración de las políticas existentes para tu proyecto.

gcloud beta resource-manager org-policies describe \
        compute.trustedImageProjects --effective \
        --project [PROJECT_ID] > policy.yaml

En el comando anterior, [PROJECT_ID] es el ID del proyecto.

Abre el archivo policy.yaml en un editor de texto y modifica la restricción compute.trustedImageProjects. Agrega las restricciones que necesitas y quita las que ya no necesitas. Cuando hayas terminado de editar el archivo, guarda los cambios. Por ejemplo, puedes configurar la siguiente entrada de restricción en el archivo de políticas:
```
constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allowedValues:
        - projects/debian-cloud
        - projects/cos-cloud
      deniedValues:
        - projects/unwanted-images
    
```
De manera opcional, es posible que desees denegar el acceso a todas las imágenes fuera de las imágenes personalizadas en tu proyecto. En ese caso, usa el siguiente ejemplo:
```
constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allValues: DENY
    
```
Aplica el archivo policy.yaml en tu proyecto. Si tu organización o carpeta tienen restricciones existentes, dichas restricciones podrían entrar en conflicto con las restricciones a nivel de proyecto que establezcas.
```
gcloud beta resource-manager org-policies set-policy \
    --project [PROJECT_ID] policy.yaml
    
```
En el comando anterior, [PROJECT_ID] es el ID del proyecto.

Cuando hayas terminado de configurar las restricciones, pruébalas para asegurarte de que creen las restricciones que necesitas.

Próximos pasos

Obtén más información sobre el servicio de políticas de la organización.
Consulta qué imágenes públicas están disponibles para que las uses de forma predeterminada.
Comparte tu imagen privada con otros proyectos.
Descubre cómo restringir el uso de imágenes, instantáneas y discos compartidos.
Descubre cómo iniciar una instancia desde una imagen.