Como restringir o uso de imagens

Por padrão, os usuários de um projeto criam discos permanentes ou copiam imagens usando qualquer uma das imagens públicas e de outras a que os membros do projeto tenham acesso por meio dos papéis do IAM. No entanto, em algumas situações, convém restringir os membros do projeto para que eles só possam criar discos de inicialização de imagens que contenham software aprovado que atenda à sua política ou aos requisitos de segurança. Defina uma política de organização que permita aos membros do projeto criar discos permanentes somente de imagens em projetos específicos.

Se você quiser restringir os locais em que suas imagens podem ser usadas, leia como restringir o uso de seus discos, imagens e instantâneos.

Antes de começar

Limitações

  • As políticas de imagem confiável são compatíveis apenas com as imagens públicas disponíveis no Google Compute Engine. As políticas de imagens confiáveis não restringem o acesso às seguintes imagens:

    • Imagens personalizadas no seu projeto local.

    • Imagens que estão disponíveis quando você cria instâncias por meio de outros serviços do Google Cloud Platform.

    • Arquivos de imagens nos intervalos do Google Cloud Storage.

  • As políticas de imagens confiáveis não impedem os usuários de criar recursos de imagem nos projetos locais.

Como configurar restrições de acesso a imagens

Execute uma política de acesso a imagens, configurando uma restrição compute.trustedImageProjects no seu projeto, na sua organização ou pasta. Você precisa ter permissão para modificar as políticas da organização para definir essas restrições. Por exemplo, o papel resourcemanager.organizationAdmin tem permissão para configurar essas restrições. Leia a página Como usar restrições para saber mais sobre como gerenciar políticas no nível da organização.

Console

  1. Acesse a página "Compute Engine — Projetos de Imagens Confiáveis" no Console.

    Acessar a página "Políticas da organização"

  2. Na lista de políticas, clique em Compute Engine — Projetos de Imagens Confiáveis para ver as restrições de imagens confiáveis.
  3. Clique em Editar para editar as restrições de imagens confiáveis atuais.
  4. Defina restrições para permitir ou negar um ou mais projetos de que seu projeto pode receber imagens. A lista de projetos de editores permitidos ou negados é uma lista de strings no seguinte formato:

    projects/[PROJECT_ID]
    

    em que [PROJECT_ID] é o código do projeto que você quer marcar como uma fonte confiável para imagens.

    Se sua organização ou pasta tiver restrições, essas restrições podem entrar em conflito com aquelas para envolvidos no projeto que você definiu.

  5. Clique em Salvar para aplicar as configurações de restrição.

gcloud

  1. Veja as configurações de políticas existentes para seu projeto.

    gcloud beta resource-manager org-policies describe \
        compute.trustedImageProjects --effective \
        --project [PROJECT_ID] > policy.yaml
    

    em que [PROJECT_ID] é o código do projeto.

  2. Abra o arquivo policy.yaml em um editor de texto e modifique a restrição compute.trustedImageProjects. Adicione as restrições necessárias ou remova aquelas de que você não precisa mais. Quando concluir a edição do arquivo, salve as alterações. Por exemplo, defina a entrada de restrição a seguir no seu arquivo de política:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allowedValues:
        - projects/debian-cloud
        - projects/cos-cloud
      deniedValues:
        - projects/unwanted-images
    

    Se quiser, negue acesso a todas as imagens fora daquelas personalizadas do projeto. Para essa situação, use o seguinte exemplo:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allValues: DENY
    
  3. Aplique o arquivo policy.yaml ao projeto. Se sua organização ou pasta tiver restrições, essas restrições podem entrar em conflito com aquelas para envolvidos no projeto que você definiu.

    gcloud beta resource-manager org-policies set-policy
    --project [PROJECT_ID] policy.yaml
    

    em que [PROJECT_ID] é o código do projeto.

Quando você terminar de configurar as restrições, teste-as para garantir que tenham criado as restrições necessárias.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine