Mit einer Richtlinie für vertrauenswürdige Images können Sie in einer Organisationsrichtlinie festlegen, dass Hauptkonten nur aus Images in bestimmten Projekten nichtflüchtige Compute Engine-Speicher erstellen können.
Eine Anleitung zum Verwenden einer Richtlinie für vertrauenswürdige Images finden Sie unter Einschränkungen für den Image-Zugriff festlegen. In den folgenden Schritten wird gezeigt, wie Sie mit der Google Cloud Console und der Google Cloud CLI Einschränkungen für den Image-Zugriff für Cloud Life Sciences auf Projektebene festlegen:
Console
- Rufen Sie die Seite Organisationsrichtlinien auf.
- Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren.
- Klicken Sie auf Bearbeiten, um die vorhandenen Einschränkungen für vertrauenswürdige Images zu bearbeiten.
- Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
- Wählen Sie in der Drop-down-Liste Richtlinienwerte die Option Benutzerdefiniert aus, um eine Einschränkung für bestimmte Image-Projekte festzulegen.
- Wählen Sie in der Drop-down-Liste Richtlinientyp den Wert Zulassen aus.
Geben Sie im Feld Benutzerdefinierte Werte den Wert
projects/life-sciences
ein.Wenn Sie Einschränkungen auf Projektebene festlegen, können diese mit den vorhandenen Einschränkungen in Ihrer Organisation oder Ihrem Ordner in Konflikt stehen.
Klicken Sie auf Neuer Richtlinienwert, um mehrere Image-Projekte hinzuzufügen.
Klicken Sie auf Speichern, um die Einschränkung anzuwenden.
Weitere Informationen zum Erstellen von Organisationsrichtlinien finden Sie unter Organisationsrichtlinien erstellen und verwalten.
gcloud
Rufen Sie die vorhandenen Richtlinieneinstellungen für Ihr Projekt mit dem Befehl
resource-manager org-policies describe
ab:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
Öffnen Sie die Datei
policy.yaml
in einem Texteditor und ändern Sie diecompute.trustedImageProjects
-Einschränkung durch Hinzufügen vonprojects/life-sciences
in das FeldallowedValues
ein. Wenn Sie mit der Bearbeitung der Datei fertig sind, speichern Sie die Änderungen.constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/life-sciences
Wenden Sie die Datei
policy.yaml
auf Ihr Projekt an. Wenn es vorhandene Einschränkungen in Ihrer Organisation oder Ihrem Ordner gibt, können diese Einschränkungen mit den von Ihnen festgelegten Einschränkungen auf Projektebene in Konflikt stehen. Verwenden Sie den Befehlresource-manager org-policies set-policy
, um die Einschränkung anzuwenden.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
Nachdem Sie die Einschränkungen konfiguriert haben, führen Sie Tests aus, um zu prüfen, ob die gewünschten Beschränkungen erzielt wurden.