Como restringir o uso de imagens

Por padrão, os usuários do projeto criam discos permanentes ou copiam imagens usando quaisquer imagens públicas e imagens a que os membros do projeto tenham acesso por meio dos papéis do Cloud IAM. No entanto, em algumas situações, convém restringir os membros do projeto para que eles só possam criar discos de inicialização de imagens que contenham software aprovado que atenda à sua política ou aos requisitos de segurança.

Use o recurso Imagem confiável para definir uma política da organização que permita que os membros do projeto só criem discos permanentes de imagens em projetos específicos.

Para restringir os locais em que as imagens podem ser usadas, leia Como restringir o uso de imagens, discos e snapshots compartilhados.

Antes de começar

Limitações

  • As políticas de imagem confiável não restringem o acesso às imagens a seguir:

    • imagens personalizadas no seu projeto local

    • imagens disponíveis quando você cria instâncias por meio de outros serviços do Google Cloud Platform (GCP)

    • arquivos de imagem nos intervalos do Cloud Storage

  • As políticas de imagem confiável não impedem os usuários de criar recursos de imagem nos projetos locais.

Como definir restrições de acesso a imagens

Para ativar uma política de acesso a imagens, defina uma restrição compute.trustedImageProjects em seu projeto, sua organização ou sua pasta. Você precisa ter permissão para modificar as políticas da organização a fim de definir essas restrições. Por exemplo, o papel resourcemanager.organizationAdmin tem permissão para definir essas restrições. Para mais informações sobre como gerenciar políticas no nível da organização, consulte Como usar restrições.

Console

  1. Acesse a página Políticas da organização.

    Acessar a página "Políticas da organização"

  2. Na lista de políticas, clique em Definir projetos de imagens confiáveis.
  3. Clique em Editar para editar as restrições atuais de imagens confiáveis.
  4. Defina restrições para permitir ou negar um ou mais projetos de que seu projeto pode receber imagens. A lista de projetos de editores permitidos ou negados é uma lista de strings no seguinte formato:

    projects/[PROJECT_ID]
    

    em que [PROJECT_ID] é o ID do projeto que você quer marcar como origem confiável de imagens.

    Se sua organização ou pasta tiver restrições, elas poderão entrar em conflito com as restrições para envolvidos no projeto que você definiu.

  5. Clique em Salvar para aplicar as configurações da restrição.

gcloud

  1. Veja as configurações de políticas existentes para seu projeto.

    gcloud beta resource-manager org-policies describe \
        compute.trustedImageProjects --effective \
        --project [PROJECT_ID] > policy.yaml
    

    em que [PROJECT_ID] é o ID do projeto.

  2. Abra o arquivo policy.yaml em um editor de texto e modifique a restrição compute.trustedImageProjects. Adicione as restrições necessárias e remova as que não são mais necessárias. Quando terminar de editar o arquivo, salve as alterações. Por exemplo, defina a entrada de restrição a seguir no arquivo de política:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allowedValues:
        - projects/debian-cloud
        - projects/cos-cloud
      deniedValues:
        - projects/unwanted-images
    

    Se quiser, negue acesso a todas as imagens fora daquelas personalizadas do projeto. Para essa situação, use o exemplo a seguir:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allValues: DENY
    
  3. Aplique o arquivo policy.yaml ao seu projeto. Se sua organização ou pasta tiver restrições, elas poderão entrar em conflito com as restrições para envolvidos no projeto que você definiu.

    gcloud beta resource-manager org-policies set-policy
    --project [PROJECT_ID] policy.yaml
    

    em que [PROJECT_ID] é o ID do projeto.

Quando você terminar de configurar as restrições, teste-as para garantir que tenham criado as restrições necessárias.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine