設定可信映像檔政策

您可以使用可信映像檔政策來定義機構政策,讓使用者只能從特定專案的映像檔建立 Compute Engine 永久磁碟。

如要瞭解如何使用信任的映像檔政策,請參閱「設定映像檔存取限制」一文。以下步驟說明如何使用控制台和 Google Cloud CLI,在專案層級設定 Cloud Life Sciences 的圖像存取限制: Google Cloud

主控台

  1. 前往「Organization policies」(機構政策) 頁面

    前往「機構政策」

  2. 在政策清單中,點選 [Define trusted image projects] (定義可信映像檔專案)。
  3. 按一下「編輯」,自訂可信映像檔現有的限制。
  4. 在「Edit」(編輯) 頁面選取 [Customize] (自訂)
  5. 在「政策值」下拉式清單中,選取「自訂」,為特定圖片專案設定限制。
  6. 在「政策類型」下拉式清單中,指定「允許」值。
  7. 在「自訂值」欄位中輸入 projects/life-sciences

    如果您設定專案層級限制,可能會與機構或資料夾中已設定的限制條件發生衝突。

  8. 按一下「新政策值」,即可新增多個圖片專案。

  9. 按一下「儲存」套用限制條件。

如要進一步瞭解如何建立機構政策,請參閱「建立及管理機構政策」。

gcloud

  1. 執行 resource-manager org-policies describe 指令,取得專案現有的政策設定:

    gcloud resource-manager org-policies describe \
       compute.trustedImageProjects --project=PROJECT_ID \
       --effective > policy.yaml
    

    PROJECT_ID 替換為您的專案 ID。

  2. 在文字編輯器中開啟 policy.yaml 檔案,並將 projects/life-sciences 新增至 allowedValues 欄位,修改 compute.trustedImageProjects 限制條件。完成檔案編輯後,請儲存變更。

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
     allowedValues:
        - projects/life-sciences
    
  3. policy.yaml 檔案套用至您的專案。如果您的機構組織或資料夾已有限制條件,這些限制條件可能會與您設定的專案層級限制條件發生衝突。如要套用限制條件,請使用 resource-manager org-policies set-policy 指令。

    gcloud resource-manager org-policies set-policy \
       policy.yaml --project=PROJECT_ID
    

    PROJECT_ID 替換為您的專案 ID。

完成限制條件設定後,請進行測試,確定建立的限制條件是您需要的。