您可以使用可信映像檔政策來定義機構政策,讓使用者只能從特定專案的映像檔建立 Compute Engine 永久磁碟。
如要瞭解如何使用信任的映像檔政策,請參閱「設定映像檔存取限制」一文。以下步驟說明如何使用控制台和 Google Cloud CLI,在專案層級設定 Cloud Life Sciences 的圖像存取限制: Google Cloud
主控台
- 前往「Organization policies」(機構政策) 頁面
- 在政策清單中,點選 [Define trusted image projects] (定義可信映像檔專案)。
- 按一下「編輯」,自訂可信映像檔現有的限制。
- 在「Edit」(編輯) 頁面選取 [Customize] (自訂)。
- 在「政策值」下拉式清單中,選取「自訂」,為特定圖片專案設定限制。
- 在「政策類型」下拉式清單中,指定「允許」值。
在「自訂值」欄位中輸入
projects/life-sciences。如果您設定專案層級限制,可能會與機構或資料夾中已設定的限制條件發生衝突。
按一下「新政策值」,即可新增多個圖片專案。
按一下「儲存」套用限制條件。
如要進一步瞭解如何建立機構政策,請參閱「建立及管理機構政策」。
gcloud
執行
resource-manager org-policies describe指令,取得專案現有的政策設定:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
將 PROJECT_ID 替換為您的專案 ID。
在文字編輯器中開啟
policy.yaml檔案,並將projects/life-sciences新增至allowedValues欄位,修改compute.trustedImageProjects限制條件。完成檔案編輯後,請儲存變更。constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/life-sciences將
policy.yaml檔案套用至您的專案。如果您的機構組織或資料夾已有限制條件,這些限制條件可能會與您設定的專案層級限制條件發生衝突。如要套用限制條件,請使用resource-manager org-policies set-policy指令。gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
將 PROJECT_ID 替換為您的專案 ID。
完成限制條件設定後,請進行測試,確定建立的限制條件是您需要的。