Impostazione di criteri per l'utilizzo di immagini attendibili

Per impostazione predefinita, gli utenti del tuo progetto possono creare dischi permanenti o copiare immagini utilizzando una qualsiasi delle immagini pubbliche e qualsiasi immagine a cui i principal possono accedere tramite i ruoli IAM. Tuttavia, in alcune situazioni potresti voler limitare i principal in modo che possano creare dischi di avvio solo da immagini che contengono software approvato che soddisfa i requisiti di policy o di sicurezza.

Utilizza la funzionalità Immagine attendibile per definire una policy dell'organizzazione che consenta alle entità di creare dischi permanenti solo da immagini in progetti specifici.

Per limitare le posizioni in cui possono essere utilizzate le tue immagini, leggi Limitare l'utilizzo di immagini, dischi e snapshot condivisi.

Prima di iniziare

  • Leggi la pagina Utilizzo dei vincoli per scoprire di più sulla gestione delle policy a livello di organizzazione.
  • Leggi la pagina Informazioni sulla valutazione della gerarchia per scoprire come vengono propagate le policy dell'organizzazione.
  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione verifica la tua identità per l'accesso ad API e servizi Google Cloud . Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:

    Seleziona la scheda relativa a come intendi utilizzare i campioni in questa pagina:

    Console

    Quando utilizzi la console Google Cloud per accedere ai servizi Google Cloud e alle API, non devi configurare l'autenticazione.

    gcloud

    1. Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente: 

      gcloud init

      Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  • Imposta una regione e una zona predefinite.

    • REST

    Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.

      Installa Google Cloud CLI.

      Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

    Per saperne di più, consulta Autenticati per usare REST nella documentazione sull'autenticazione di Google Cloud .

Limitazioni

  • Le policy per immagini attendibili non limitano l'accesso alle seguenti immagini:

  • I criteri per l'utilizzo di immagini attendibili non impediscono agli utenti di creare risorse immagine nei loro progetti locali.

Impostare i vincoli di accesso alle immagini

Attiva una policy di accesso alle immagini impostando un vincolo compute.trustedImageProjects sul tuo progetto, sulla tua cartella o sulla tua organizzazione. Per impostare questi vincoli, devi disporre dell'autorizzazione per modificare le policy dell'organizzazione. Ad esempio, roles/orgpolicy.policyAdmin ha l'autorizzazione per impostare questi vincoli. Per saperne di più sulla gestione delle policy a livello di progetto, cartella o organizzazione, consulta Utilizzo dei vincoli.

Puoi impostare vincoli su tutte le immagini pubbliche disponibili su Compute Engine. Per un elenco dei nomi dei progetti di immagini, vedi Dettagli dei sistemi operativi. Puoi anche limitare le immagini di machine learning (ML) disponibili su Compute Engine utilizzando il progetto ml-images. Se utilizzi accesso VPC serverless, concedi al tuo progetto l'autorizzazione per utilizzare le immagini VM di Compute Engine dal progetto serverless-vpc-access-images.

Utilizza la console Google Cloud o Google Cloud CLI per impostare vincoli sull'accesso alle immagini.

Console

Ad esempio, per impostare un vincolo a livello di progetto:

  1. Vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nell'elenco delle policy, fai clic su Definisci progetti con immagini attendibili. Viene visualizzata la pagina Dettagli policy.

  3. Nella pagina Dettagli policy, fai clic su Gestisci policy. Viene visualizzata la pagina Modifica policy.

  4. Nella pagina Modifica policy, seleziona Personalizza.

  5. Per Applicazione policy, seleziona un'opzione di applicazione. Per informazioni sull'ereditarietà e sulla gerarchia delle risorse, consulta Informazioni sulla valutazione della gerarchia.

  6. Fai clic su Aggiungi regola.

  7. Nell'elenco Valori del criterio, puoi selezionare se questo criterio dell'organizzazione deve consentire l'accesso a tutti i progetti di immagini, negare l'accesso a tutti i progetti di immagini oppure puoi specificare un insieme personalizzato di progetti a cui consentire o negare l'accesso.

    Per impostare la regola del criterio, completa una delle seguenti opzioni:

    • Per consentire agli utenti di creare dischi di avvio da tutte le immagini pubbliche, seleziona Consenti tutto.
    • Per impedire agli utenti di creare dischi di avvio da tutte le immagini pubbliche, seleziona Nega tutto.

    • Per specificare un insieme selezionato di immagini pubbliche da cui gli utenti possono creare dischi di avvio, seleziona Personalizzata. Vengono visualizzati un campo Tipo di criterio e un campo Valori personalizzati.

      1. Nell'elenco Tipo di policy, seleziona Consenti o Rifiuta.

      2. Nel campo Valori personalizzati, inserisci il nome del progetto di immagini utilizzando il formato projects/IMAGE_PROJECT.

        Sostituisci IMAGE_PROJECT con il progetto immagine su cui vuoi impostare il vincolo.

        Puoi aggiungere più progetti di immagini. Per ogni progetto di immagini che vuoi aggiungere, fai clic su Aggiungi e inserisci il nome del progetto di immagini.

  8. Per salvare la regola, fai clic su Fine.

  9. Per salvare e applicare la policy dell'organizzazione, fai clic su Salva.

Per saperne di più sulla creazione delle policy dell'organizzazione, consulta la pagina Creazione e gestione delle policy dell'organizzazione.

gcloud

Ad esempio, per impostare un vincolo a livello di progetto:

  1. Per recuperare le impostazioni delle policy esistenti per il tuo progetto, utilizza il comando resource-manager org-policies describe.

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    Sostituisci PROJECT_ID con l'ID progetto.

  2. Apri il file policy.yaml in un editor di testo e modifica il vincolo compute.trustedImageProjects. Aggiungi le limitazioni di cui hai bisogno e rimuovi quelle che non ti servono più. Al termine della modifica del file, salva le modifiche. Ad esempio, puoi impostare la seguente voce di vincolo nel file della policy:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects/debian-cloud
    - projects/cos-cloud
 deniedValues:
    - projects/IMAGE_PROJECT

    Sostituisci IMAGE_PROJECT con il nome del progetto di immagini che vuoi limitare nel tuo progetto.

    Facoltativamente, puoi negare l'accesso a tutte le immagini al di fuori di quelle personalizzate nel tuo progetto. Per questa situazione, utilizza il seguente esempio: 

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allValues: DENY

  3. Applica il file policy.yaml al tuo progetto. Se la tua organizzazione o cartella ha vincoli esistenti, questi vincoli potrebbero entrare in conflitto con i vincoli a livello di progetto che hai impostato. Per applicare il vincolo, utilizza il comando resource-manager org-policies set-policy.

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    Sostituisci PROJECT_ID con l'ID progetto.

Al termine della configurazione dei vincoli, testali per assicurarti che creino le limitazioni che ti servono.

Passaggi successivi