限制使用映像檔

根據預設,您的專案使用者可以使用任何公開映像檔,以及您的專案成員能透過 Cloud IAM 角色存取的任何映像檔,來建立永久磁碟或複製映像檔。不過在某些情況下,您可能會想要限制專案成員的權限,讓他們在建立開機磁碟時,只能利用有符合您政策及安全性需求之受核准軟體的映像檔。

請使用「可信映像檔」功能來定義機構政策,讓專案成員只能利用特定專案中的映像檔建立永久磁碟。

如要限制可以使用映像檔的位置,請參閱限制使用共用映像檔、磁碟與快照的說明。

事前準備

限制

  • 可信映像檔政策無法限制下列映像檔的存取權:

    • 您本機專案的自訂映像檔

    • 當您透過其他 Google Cloud Platform (GCP) 服務建立執行個體時可以使用的映像檔。

    • Cloud Storage 值區中的映像檔。

  • 可信映像檔政策無法限制使用者在當地專案中建立映像檔資源。

設定映像檔存取限制

在您的專案、機構組織或資料夾上設定 compute.trustedImageProjects 限制來制定映像檔存取權政策。您必須擁有修改機構政策的權限才能設定限制條件。舉例來說,resourcemanager.organizationAdmin 角色就有權設定這類限制條件。如要進一步瞭解如何管理機構組織層級的政策,請參閱使用限制一文。

主控台

  1. 前往「Organization policies」(機構政策) 頁面

    前往「Organization Policies」(機構政策) 頁面

  2. 在政策清單中,點選 [Define trusted image projects] (定義可信映像檔專案)。
  3. 按一下 [Edit] (編輯) 來編輯可信映像檔現有的限制。
  4. 設定限制條件以允許或拒絕一或多個可以為專案提供映像檔的專案。發佈者專案的允許與拒絕清單是由格式如下的字串組成:

    projects/[PROJECT_ID]
    

    其中,[PROJECT_ID] 是您要標示為可信映像檔來源之專案的專案 ID

    如果您的機構組織或資料夾已有限制條件,這些限制條件可能會與您設定的專案層級限制條件發生衝突。

  5. 按一下 [Save] (儲存) 以套用限制條件設定。

gcloud

  1. 取得您專案現有的政策設定。

    gcloud beta resource-manager org-policies describe \
        compute.trustedImageProjects --effective \
        --project [PROJECT_ID] > policy.yaml
    

    其中,[PROJECT_ID] 是您的專案 ID。

  2. 在文字編輯器中開啟 policy.yaml 檔案,並修改 compute.trustedImageProjects 限制條件。新增需要的限制條件或移除不再需要的限制條件。完成檔案編輯後,請儲存變更。以下是您可能會在政策檔案中設定的限制條件項目範例:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allowedValues:
        - projects/debian-cloud
        - projects/cos-cloud
      deniedValues:
        - projects/unwanted-images
    

    或者,可能除了專案中的自訂映像檔以外,您想要拒絕其他映像檔的存取權。針對該情況,請使用下列範例:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
      allValues: DENY
    
  3. policy.yaml 檔案套用至您的專案。如果您的機構組織或資料夾已有限制條件,這些限制條件可能會與您設定的專案層級限制條件發生衝突。

    gcloud beta resource-manager org-policies set-policy
    --project [PROJECT_ID] policy.yaml
    

    其中,[PROJECT_ID] 是您的專案 ID。

完成限制條件設定後,請進行測試,確定建立的限制條件是您需要的。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Compute Engine 說明文件