限制使用映像檔

根據預設,您專案中的使用者可以建立永久磁碟,或是使用公開映像檔專案成員能透過身分與存取權管理角色存取的映像檔來複製映像檔。不過在某些情況下,您可能會想要限制專案成員的權限,讓他們只能從符合您的政策及安全性需求的映像檔中建立開機磁碟。此外,您也可以定義組織政策,限制專案成員只能從特定專案的映像檔中建立永久磁碟。

如果您要限制可以使用映像檔的位置,請參閱限制使用共用映像檔、磁碟與快照一文。

事前準備

限制

  • 可信映像檔政策只在 Google Compute Engine 提供的公開映像檔上受到支援。可信映像檔政策無法限制下列映像檔的存取權:

    • 您當地專案的自訂映像檔

    • 當您透過其他 Google Cloud Platform 服務建立執行個體時可以使用的映像檔。

    • Google Cloud Storage 值區的映像檔。

  • 可信映像檔政策無法限制使用者在當地專案中建立映像檔資源。

設定針對映像檔存取權的條件約束

在您的專案、組織或資料夾上設定 compute.trustedImageProjects 條件約束來制定映像檔存取權政策,您必須擁有修改組織政策的權限才能設定條件約束。舉例來說,resourcemanager.organizationAdmin 角色有設定這類條件約束的權限。請參閱使用條件約束頁面,瞭解如何管理機構層級的政策。

主控台

  1. 前往主控台的「Compute Engine - Trusted Image Projects」(Google Compute Engine - 可信映像檔專案) 頁面

    前往「Organization Policiese」(機構政策) 頁面

  2. 在政策清單中,點選 [Compute Engine - Trusted Image Projects] (Google Compute Engine - 可信映像檔專案) 查看可信映像檔的條件約束。
  3. 點選 [Edit] (編輯) 來編輯可信映像檔現有的條件約束。
  4. 設定條件約束以允許或拒絕一或多個可以為專案提供映像檔的專案。發佈者專案的允許與拒絕清單是由格式如下的字串組成:

    projects/[PROJECT_ID]
    

    其中,[PROJECT_ID] 是您要標示為可信映像檔來源之專案的專案 ID

    如果您的機構或資料夾已存在條件約束,則現有的條件約束可能會與設定的專案層級條件約束發生衝突。

  5. 點選 [Save] (儲存) 以套用條件約束設定。

gcloud

  1. 取得您專案現有的政策設定。

    gcloud beta resource-manager org-policies describe \
        compute.trustedImageProjects --effective \
        --project [PROJECT_ID] > policy.yaml
    

    其中,[PROJECT_ID][PROJECT_ID] 是您的專案 ID。

  2. 在文字編輯器中開啟 policy.yaml 檔案,並修改 compute.trustedImageProjects 條件約束。請新增需要的限制或移除不需要的限制,並在檔案編輯完後儲存變更。以下為您可能會在政策檔案中設定的條件約束項目範例:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allowedValues:
        - projects/debian-cloud
        - projects/cos-cloud
      deniedValues:
        - projects/unwanted-images
    

    或者,可能除了專案中的自訂映像檔以外,您想要拒絕其他映像檔的存取權。針對該情況,請使用下列範例:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allValues: DENY
    
  3. 套用 policy.yaml 檔案到您的專案。如果您的機構或資料夾已存在條件約束,則現有的條件約束可能會與設定的專案層級條件約束發生衝突。

    gcloud beta resource-manager org-policies set-policy
    --project [PROJECT_ID] policy.yaml
    

    其中,[PROJECT_ID][PROJECT_ID] 是您的專案 ID。

設定完條件約束後,請進行測試以確保條件約束建立您需要的限制。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Compute Engine 說明文件