Par défaut, les utilisateurs de votre projet peuvent créer des disques persistants ou copier des images en utilisant les images publiques de leur choix ainsi que toutes les images auxquelles les membres du projet peuvent accéder via les rôles IAM. Toutefois, dans certains cas, vous pouvez être amené à limiter l'accès des membres de votre projet de telle sorte qu'ils ne puissent créer de disques de démarrage qu'à partir d'images contenant des logiciels approuvés conformes à vos règles ou exigences de sécurité.
Exploitez les images de confiance pour définir des règles d'administration qui n'autorisent les comptes principaux de votre projet à créer des disques persistants qu'à partir des images présentes dans des projets spécifiques.
Pour limiter les emplacements où vos images peuvent être utilisées, consultez la section Restreindre l'utilisation de vos images, disques et instantanés partagés.
Avant de commencer
- Si vous souhaitez utiliser les exemples de ligne de commande de ce guide, procédez comme suit :
- Installez la dernière version de Google Cloud CLI ou appliquez la mise à jour correspondante.
- Définissez une région et une zone par défaut.
- Si vous voulez utiliser les exemples d'API de ce guide, configurez l'accès aux API.
- Consultez la page Utiliser des contraintes pour en savoir plus sur la gestion des règles au niveau de l'organisation.
- Consultez la page Comprendre le processus d'évaluation hiérarchique pour savoir comment les règles d'administration se propagent.
Limites
Les règlements relatifs aux images de confiance ne limitent pas l'accès aux images suivantes :
Images personnalisées disponibles dans votre projet local
Fichiers d'image se trouvant dans des buckets Cloud Storage
Les règles relatives aux images de confiance n'empêchent pas les utilisateurs de créer des ressources d'image dans leurs projets locaux.
Définir des contraintes d'accès aux images
Pour activer une règle d'accès aux images, définissez une contrainte compute.trustedImageProjects
portant sur votre projet, votre dossier ou votre organisation. Vous devez pour cela être autorisé à modifier les règles d'administration. Par exemple, roles/orgpolicy.policyAdmin
est autorisé à définir ces contraintes. Pour en savoir plus sur la gestion des règles au niveau du projet, du dossier ou de l'organisation, consultez la section Utiliser des contraintes.
Vous pouvez définir des contraintes sur toutes les images publiques disponibles sur Compute Engine.
Pour obtenir la liste des noms de projets d'images, consultez la section Détails des systèmes d'exploitation.
Vous pouvez également limiter les images de machine learning (ML) disponibles sur Compute Engine à l'aide du projet ml-images
. Si vous utilisez l'accès au VPC sans serveur, autorisez votre projet à utiliser les images de VM Compute Engine du projet serverless-vpc-access-images
.
Utilisez la console Google Cloud ou Google Cloud CLI pour définir des contraintes d'accès aux images.
Console
Par exemple, pour définir une contrainte au niveau du projet, procédez comme suit :
- Accédez à la page Règles d'administration.
- Dans la liste des règles, cliquez sur Définir les projets relatifs aux images de confiance.
- Cliquez sur Modifier pour personnaliser les contraintes existantes associées aux images de confiance.
- Sur la page Modifier, sélectionnez Personnaliser.
- Dans la liste déroulante Valeurs de règles, sélectionnez Personnalisées pour définir la contrainte sur des projets d'image spécifiques.
- Dans la liste déroulante Type de règle, spécifiez une valeur comme suit :
- Pour limiter les projets d'image spécifiés, sélectionnez Refuser.
- Pour supprimer les restrictions sur les projets d'image spécifiés, sélectionnez Autoriser.
Dans le champ Valeurs personnalisées, saisissez les noms des projets d'image au format
projects/IMAGE_PROJECT
. Remplacez IMAGE_PROJECT par le projet d'image sur lequel vous souhaitez définir une contrainte.Si vous définissez des contraintes au niveau du projet, celles-ci peuvent entrer en conflit avec les contraintes existantes définies sur votre organisation ou votre dossier.
Cliquez sur Nouvelle valeur de règle pour ajouter plusieurs projets d'image.
Cliquez sur Enregistrer pour appliquer la contrainte.
Pour plus d'informations sur la création de règles d'administration, consultez la section Création et gestion des règles d'administration.
gcloud
Par exemple, pour définir une contrainte au niveau du projet, procédez comme suit :
Obtenez les paramètres des règles définies pour votre projet à l'aide de la commande
resource-manager org-policies describe
.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Remplacez PROJECT_ID par l'ID du projet.
Ouvrez le fichier
policy.yaml
dans un éditeur de texte, puis modifiez la contraintecompute.trustedImageProjects
. Ajoutez les restrictions dont vous avez besoin ou supprimez celles qui sont inutiles. Lorsque vous avez terminé de modifier le fichier, enregistrez vos modifications. Par exemple, vous pouvez définir l'entrée de contrainte suivante dans votre fichier de règles :constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECT
Remplacez IMAGE_PROJECT par le nom du projet d'image que vous souhaitez restreindre dans votre projet.
Vous pouvez éventuellement être amené à interdire l'accès à toutes les images autres que les images personnalisées de votre projet. Dans ce cas de figure, conformez-vous à l'exemple suivant :
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Appliquez le code
policy.yaml
à votre projet. Si des contraintes ont déjà été définies pour votre organisation ou votre dossier, elles peuvent entrer en conflit avec les contraintes que vous définissez au niveau du projet. Pour appliquer la contrainte, utilisez la commanderesource-manager org-policies set-policy
.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Remplacez PROJECT_ID par l'ID du projet.
Lorsque vous avez terminé de configurer les contraintes, testez-les pour vous assurer qu'elles créent les restrictions nécessaires.
Étape suivante
- Obtenez plus d'informations sur le service de règles d'administration.
- Découvrez quelles images publiques sont à votre disposition par défaut.
- Partagez votre image privée avec d'autres projets.
- Découvrez comment restreindre l'utilisation de vos images, disques et instantanés partagés.
- Découvrez comment démarrer une instance à partir d'une image.