Las políticas de lanzamiento anulan las variables de metadatos de la VM
definidas por los operadores de cargas de trabajo para restringir las acciones maliciosas. El autor de una carga de trabajo puede definir políticas con una etiqueta
como parte de la creación de su imagen de contenedor.
Determina si el valor de CMD
especificado en el campo Dockerfile del contenedor de la carga de trabajo se puede
sustituir por un operador de carga de trabajo con el valor de metadatos de
tee-cmd.
Cadena separada por comas de nombres de variables de entorno permitidos que puede definir un operador de carga de trabajo con valores de metadatos tee-env-ENVIRONMENT_VARIABLE_NAME.
tee.launch_policy.allow_mount_destinations
Interactúa con:
Operador de carga de trabajo: la variable de metadatos tee-mount.
Cadena separada por dos puntos
Cadena separada por dos puntos de los directorios de montaje permitidos en los que el operador de la carga de trabajo puede montar con tee-mount.
Determina cómo funciona la monitorización del uso de memoria de la carga de trabajo si un operador de carga de trabajo asigna el valor true a
tee-memory-monitoring-enable.
Los valores válidos son:
debugonly (predeterminado): solo permite monitorizar el uso de memoria
cuando se usa una imagen de depuración.
always: permite siempre la monitorización del uso de memoria.
never: no permitir nunca la monitorización del uso de memoria.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[[["\u003cp\u003eLaunch policies, set by workload authors, override VM metadata variables to prevent malicious actions, using labels in \u003ccode\u003eDockerfile\u003c/code\u003e or Bazel BUILD files.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_cmd_override\u003c/code\u003e policy determines if the \u003ccode\u003eCMD\u003c/code\u003e in a container's \u003ccode\u003eDockerfile\u003c/code\u003e can be overridden by a workload operator via the \u003ccode\u003etee-cmd\u003c/code\u003e metadata variable.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_env_override\u003c/code\u003e policy allows workload operators to set specific environment variables using \u003ccode\u003etee-env-\u003c/code\u003e metadata variables, with a comma-separated list of permitted names.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_mount_destinations\u003c/code\u003e policy defines a colon-separated string of allowed mount directories for workload operators using the \u003ccode\u003etee-mount\u003c/code\u003e variable.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.monitoring_memory_allow\u003c/code\u003e policy controls workload memory usage monitoring when the \u003ccode\u003etee-memory-monitoring-enable\u003c/code\u003e variable is true, offering options like \u003ccode\u003edebugonly\u003c/code\u003e, \u003ccode\u003ealways\u003c/code\u003e, or \u003ccode\u003enever\u003c/code\u003e.\u003c/p\u003e\n"]]],[],null,["# Launch policies\n\n[Workload author](/confidential-computing/confidential-space/docs/confidential-space-overview#roles)\n\n*** ** * ** ***\n\nLaunch policies override the [VM metadata variables](/confidential-computing/confidential-space/docs/reference/metadata-variables#metadata-variables)\nset by workload operators to restrict malicious actions. A workload author can\nset policies with a [label](https://docs.docker.com/engine/reference/builder/#label)\nas part of building their container image.\n\nFor example, in a `Dockerfile`: \n\n LABEL \"tee.launch_policy.allow_cmd_override\"=\"true\"\n\nIn a Bazel BUILD file: \n\n container_image(\n ...\n labels={\"tee.launch_policy.allow_cmd_override\":\"true\"}\n ...\n )\n\nThe available launch policies are in the following table:"]]
