Per impostazione predefinita, gli utenti del progetto possono creare dischi permanenti o copiare immagini utilizzando qualsiasi immagine pubblica e qualsiasi immagine a cui i nomi possono accedere tramite i ruoli IAM. Tuttavia, in alcune situazioni è consigliabile limitare le entità in modo che possano creare dischi di avvio solo da immagini che contengono software approvato che soddisfa i criteri o i requisiti di sicurezza.
Utilizza la funzionalità Immagine attendibile per definire un criterio dell'organizzazione che consente alle entità di creare dischi permanenti solo da immagini in progetti specifici.
Per limitare le posizioni in cui le immagini possono essere utilizzate, leggi la sezione Limitare l'uso di immagini, dischi e snapshot condivisi.
Prima di iniziare
- Se vuoi utilizzare gli esempi a riga di comando in questa guida, segui questi passaggi:
- Installa o aggiorna l'ultima versione dell'interfaccia a riga di comando di Google Cloud.
- Imposta un'area geografica e una zona predefinite.
- Se vuoi utilizzare gli esempi di API in questa guida, configura l'accesso API.
- Leggi la pagina Utilizzo dei vincoli per informazioni sulla gestione dei criteri a livello di organizzazione.
- Leggi la pagina Informazioni sulla valutazione della gerarchia per scoprire come si propagano i criteri dell'organizzazione.
Limitazioni
I criteri per le immagini attendibili non limitano l'accesso alle seguenti immagini:
Immagini personalizzate nel tuo progetto locale.
File immagine nei bucket Cloud Storage.
I criteri relativi alle immagini attendibili non impediscono agli utenti di creare risorse immagine nei propri progetti locali.
Imposta vincoli di accesso alle immagini
Applicare un criterio di accesso alle immagini impostando un vincolo compute.trustedImageProjects sul progetto, nella cartella o nell'organizzazione. Per impostare questi vincoli, devi disporre dell'autorizzazione per modificare i criteri dell'organizzazione. Ad
esempio,
roles/orgpolicy.policyAdmin
ha l'autorizzazione per impostare questi vincoli. Per ulteriori informazioni sulla gestione dei criteri a livello di progetto, cartella o organizzazione, consulta Utilizzo dei vincoli.
Puoi impostare vincoli per tutte le immagini pubbliche disponibili su Compute Engine.
Per un elenco dei nomi di progetti di immagini, consulta Dettagli dei sistemi operativi.
Puoi anche limitare le immagini di machine learning (ML) disponibili su Compute Engine utilizzando il progetto ml-images. Se utilizzi
Accesso VPC serverless,
concedi al tuo progetto l'autorizzazione a utilizzare le immagini delle VM di Compute Engine dal
progetto serverless-vpc-access-images.
Utilizza Google Cloud Console o l'interfaccia a riga di comando di Google Cloud per impostare vincoli sull'accesso alle immagini.
Console
Ad esempio, per impostare un vincolo a livello di progetto, segui questi passaggi:
- Vai alla pagina Criteri dell'organizzazione.
- Nell'elenco dei criteri, fai clic su Definisci progetti immagine attendibili.
- Fai clic su Modifica per personalizzare i vincoli delle immagini attendibili esistenti.
- Nella pagina Modifica, seleziona Personalizza.
- Nell'elenco a discesa Valori del criterio, seleziona Personalizzato per impostare il vincolo su progetti immagine specifici.
- Nell'elenco a discesa Tipo di criterio, specifica un valore come segue:
- Per limitare i progetti di immagini specificati, seleziona Rifiuta.
- Per rimuovere le limitazioni per i progetti immagine specificati, seleziona Consenti.
Nel campo Valori personalizzati, inserisci i nomi dei progetti immagine utilizzando il formato
projects/IMAGE_PROJECT. Sostituisci IMAGE_PROJECT con il progetto di immagini per cui vuoi impostare un vincolo.Se imposti vincoli a livello di progetto, questi potrebbero essere in conflitto con i vincoli esistenti impostati nell'organizzazione o nella cartella.
Fai clic su Nuovo valore criterio per aggiungere più progetti immagine.
Fai clic su Salva per applicare il vincolo.
Per saperne di più sulla creazione di criteri dell'organizzazione, vedi Creare e gestire i criteri dell'organizzazione.
gcloud
Ad esempio, per impostare un vincolo a livello di progetto, segui questi passaggi:
Utilizza i comandi
resource-manager org-policies describeper recuperare le impostazioni esistenti dei criteri per il tuo progetto.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Sostituisci PROJECT_ID con l'ID progetto.
Apri il file
policy.yamlin un editor di testo e modifica il vincolocompute.trustedImageProjects. Aggiungi le restrizioni che ti servono e rimuovi quelle che non ti servono più. Al termine della modifica del file, salva le modifiche. Ad esempio, potresti impostare la seguente voce di vincolo nel file del criterio:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECTSostituisci IMAGE_PROJECT con il nome del progetto di immagini che vuoi limitare nel progetto.
Se vuoi, potresti voler negare l'accesso a tutte le immagini esterne alle immagini personalizzate nel tuo progetto. Per questa situazione, utilizza l'esempio seguente:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Applica il file
policy.yamlal progetto. Se l'organizzazione o la cartella ha vincoli esistenti, questi potrebbero essere in conflitto con i vincoli a livello di progetto che hai impostato. Per applicare il vincolo, utilizza il comandoresource-manager org-policies set-policy.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID progetto.
Dopo aver configurato i vincoli, verificali per assicurarti che creino le restrizioni necessarie.
Passaggi successivi
- Scopri di più sul servizio Criteri dell'organizzazione.
- Scopri quali immagini pubbliche hai a disposizione per impostazione predefinita.
- Condividi la tua immagine privata con altri progetti.
- Scopri come limitare l'utilizzo di immagini, dischi e snapshot condivisi.
- Scopri come avviare un'istanza da un'immagine.