Cette page a été traduite par l'API Cloud Translation.

Règles de lancement

Auteur de la charge de travail

Les règles de lancement remplacent les variables de métadonnées de VM définies par les opérateurs de charge de travail pour limiter les actions malveillantes. Un auteur de charge de travail peut définir des stratégies avec un libellé lors de la création de son image de conteneur.

Par exemple, dans un Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Dans un fichier BUILD Bazel :

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Les règles de lancement disponibles sont listées dans le tableau suivant :

Règle	Type	Description
`tee.launch_policy.allow_cmd_override` Interagit avec: Opérateur de charge de travail: variable de métadonnées `tee-cmd`. Collaborateurs de données: affirmation `container.cmd_override`.	Valeur booléenne (`false` par défaut)	Détermine si le `CMD` spécifié dans le `Dockerfile` du conteneur de charge de travail peut être remplacé par un opérateur de charge de travail avec la valeur de métadonnées `tee-cmd`.
`tee.launch_policy.allow_env_override` Interagit avec: Opérateur de charge de travail: variable de métadonnées `tee-env-ENVIRONMENT_VARIABLE_NAME`. Collaborateurs pour les données: les assertions `container.env` et `container.env_override`.	Chaîne séparée par une virgule	Chaîne de noms de variable d'environnement autorisés, séparés par une virgule, pouvant être définis par un opérateur de charge de travail avec des valeurs de métadonnées `tee-env-ENVIRONMENT_VARIABLE_NAME`.
`tee.launch_policy.allow_mount_destinations` Interagit avec: Opérateur de charge de travail: variable de métadonnées `tee-mount`.	Chaîne séparée par des deux-points	Chaîne de répertoires d'installation autorisés, séparés par deux-points, que l'opérateur de charge de travail est autorisé à installer à l'aide de `tee-mount`. Par exemple : `/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` Interagit avec: Opérateur de charge de travail: variable de métadonnées `tee-container-log-redirect`.	Chaîne définie	Détermine le fonctionnement de la journalisation si `tee-container-log-redirect` est défini sur `true` par un opérateur de charge de travail. Les valeurs valides sont les suivantes: `debugonly` (par défaut): n'autorisez que les redirections `stdout` et `stderr` si vous utilisez une image de débogage. `always`: autorisez toujours les redirections `stdout` et `stderr`. `never`: n'autorisez jamais les redirections `stdout` et `stderr`.
`tee.launch_policy.monitoring_memory_allow` Interagit avec: Collaborateurs de données: affirmation `monitoring_enabled.memory` . Opérateur de charge de travail: variable de métadonnées `tee-memory-monitoring-enable`.	Chaîne définie	Détermine le fonctionnement de la surveillance de l'utilisation de la mémoire de la charge de travail si `tee-memory-monitoring-enable` est défini sur `true` par un opérateur de charge de travail. Les valeurs valides sont les suivantes: `debugonly` (par défaut): n'autorisez la surveillance de l'utilisation de la mémoire que si vous utilisez une image de débogage. `always`: autorise toujours la surveillance de l'utilisation de la mémoire. `never`: n'autorise jamais la surveillance de l'utilisation de la mémoire. Attention: Si vous autorisez la surveillance de l'utilisation de la mémoire, l'opérateur de la charge de travail peut voir les métriques d'utilisation de la mémoire de la charge de travail dans Cloud Logging et Metrics Explorer. Si votre charge de travail n'est pas écrite de manière à empêcher la fuite d'informations sensibles en raison de l'utilisation totale de la mémoire, bloquez cette fonctionnalité sur les charges de travail de production.