I criteri di avvio sostituiscono le variabili dei metadati VM
impostate dagli operatori dei workload per limitare le azioni dannose. L'autore di un workload può
impostare criteri con un'etichetta
durante la creazione dell'immagine container.
Determina se il valore di
CMD
specificato in Dockerfile del container del carico di lavoro può essere
ignorato da un operatore del carico di lavoro con il valore dei metadati
tee-cmd.
Una stringa separata da virgole di nomi di variabile di ambiente consentiti che
possono essere impostati da un operatore del workload con
tee-env-ENVIRONMENT_VARIABLE_NAME
valori dei metadati.
tee.launch_policy.allow_mount_destinations
Interazione con:
Operatore del carico di lavoro: la variabile di metadati
tee-mount.
Stringa separata da due punti
Una stringa separata da due punti di directory di montaggio consentite che l'operatore del workload può montare utilizzando tee-mount.
Determina il funzionamento del monitoraggio dell'utilizzo della memoria del workload se
tee-memory-monitoring-enable
è impostato su true da un operatore del workload.
I valori validi sono:
debugonly (impostazione predefinita): consente il monitoraggio dell'utilizzo della memoria
solo quando si utilizza un'immagine di debug.
always: consente sempre il monitoraggio dell'utilizzo della memoria.
never: Non consentire mai il monitoraggio dell'utilizzo della memoria.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eLaunch policies, set by workload authors, override VM metadata variables to prevent malicious actions, using labels in \u003ccode\u003eDockerfile\u003c/code\u003e or Bazel BUILD files.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_cmd_override\u003c/code\u003e policy determines if the \u003ccode\u003eCMD\u003c/code\u003e in a container's \u003ccode\u003eDockerfile\u003c/code\u003e can be overridden by a workload operator via the \u003ccode\u003etee-cmd\u003c/code\u003e metadata variable.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_env_override\u003c/code\u003e policy allows workload operators to set specific environment variables using \u003ccode\u003etee-env-\u003c/code\u003e metadata variables, with a comma-separated list of permitted names.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_mount_destinations\u003c/code\u003e policy defines a colon-separated string of allowed mount directories for workload operators using the \u003ccode\u003etee-mount\u003c/code\u003e variable.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.monitoring_memory_allow\u003c/code\u003e policy controls workload memory usage monitoring when the \u003ccode\u003etee-memory-monitoring-enable\u003c/code\u003e variable is true, offering options like \u003ccode\u003edebugonly\u003c/code\u003e, \u003ccode\u003ealways\u003c/code\u003e, or \u003ccode\u003enever\u003c/code\u003e.\u003c/p\u003e\n"]]],[],null,["# Launch policies\n\n[Workload author](/confidential-computing/confidential-space/docs/confidential-space-overview#roles)\n\n*** ** * ** ***\n\nLaunch policies override the [VM metadata variables](/confidential-computing/confidential-space/docs/reference/metadata-variables#metadata-variables)\nset by workload operators to restrict malicious actions. A workload author can\nset policies with a [label](https://docs.docker.com/engine/reference/builder/#label)\nas part of building their container image.\n\nFor example, in a `Dockerfile`: \n\n LABEL \"tee.launch_policy.allow_cmd_override\"=\"true\"\n\nIn a Bazel BUILD file: \n\n container_image(\n ...\n labels={\"tee.launch_policy.allow_cmd_override\":\"true\"}\n ...\n )\n\nThe available launch policies are in the following table:"]]
