您可以使用可信映像政策定义组织政策,仅允许主账号通过特定项目中的映像创建 Compute Engine 永久性磁盘。
如需了解如何使用可信映像政策,请参阅设置映像访问权限限制。以下步骤显示了如何为 Cloud Life Sciences 设置映像访问限制条件 在项目级使用 Google Cloud 控制台和 Google Cloud CLI:
控制台
- 转到组织政策页面。
- 在政策列表中,点击定义可信映像项目。
- 点击修改以自定义现有的可信映像限制。
- 在修改页面,选择自定义。
- 在政策值下拉列表中,选择自定义以设置对特定映像项目的限制条件。
- 在政策类型下拉列表中,指定允许值。
在自定义值字段中,输入
projects/life-sciences。如果您要设置项目级限制条件,它们可能与现有的组织级或文件夹级限制条件冲突。
点击新政策值以添加多个映像项目。
点击保存以应用该限制条件。
如需详细了解如何创建组织政策,请参阅创建和管理组织政策。
gcloud
运行
resource-manager org-policies describe命令来获取项目的现有政策设置:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
将 PROJECT_ID 替换为您的项目 ID。
在文本编辑器中打开
policy.yaml文件,然后修改 通过添加projects/life-sciences实现compute.trustedImageProjects限制条件allowedValues字段。修改完此文件后,请保存更改。constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/life-sciences将
policy.yaml文件应用于您的项目。如果组织或文件夹已有现有限制,则这些限制可能与您设置的项目级层限制冲突。 如需应用限制条件,请使用resource-manager org-policies set-policy命令。gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
将 PROJECT_ID 替换为您的项目 ID。
在配置完限制条件后,请进行测试以确保这些条件会创建您所需要的限制。