Per impostazione predefinita, gli utenti del tuo progetto possono creare dischi permanenti o copiare immagini utilizzando una qualsiasi delle immagini pubbliche e qualsiasi immagine a cui i principal possono accedere tramite i ruoli IAM. Tuttavia, in alcune situazioni potresti voler limitare i principal in modo che possano creare dischi di avvio solo da immagini che contengono software approvato che soddisfa i requisiti di policy o di sicurezza.
Utilizza la funzionalità Immagine attendibile per definire un criterio dell'organizzazione che consente alle entità di creare dischi permanenti solo da immagini in progetti specifici.
Per limitare le posizioni in cui possono essere utilizzate le tue immagini, leggi Limitare l'utilizzo di immagini, dischi e snapshot condivisi.
Prima di iniziare
- Leggi la pagina Utilizzo dei vincoli per scoprire di più sulla gestione delle policy a livello di organizzazione.
- Leggi la pagina Informazioni sulla valutazione gerarchica per scoprire come vengono propagate le policy dell'organizzazione.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è
il processo di verifica dell'identità per poter accedere a Trusted Cloud by S3NS servizi e API.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su
Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud
-
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata. Dopo aver eseguito l'accesso, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud init
- Set a default region and zone.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, devi utilizzare le credenziali che fornisci a gcloud CLI.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata. Dopo aver eseguito l'accesso, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud init
Per saperne di più, consulta Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Trusted Cloud .
Limitazioni
Le policy per immagini attendibili non limitano l'accesso alle seguenti immagini:
Immagini personalizzate nel progetto locale.
File immagine nei bucket Cloud Storage.
I criteri per l'utilizzo di immagini attendibili non impediscono agli utenti di creare risorse immagine nei loro progetti locali.
Impostare i vincoli di accesso alle immagini
Attiva un criterio di accesso alle immagini impostando un vincolo
compute.trustedImageProjects
sul progetto, sulla cartella o sull'organizzazione. Per impostare questi vincoli, devi disporre dell'autorizzazione per modificare i criteri dell'organizzazione. Ad esempio,roles/orgpolicy.policyAdmin
ha l'autorizzazione per impostare questi vincoli. Per saperne di più sulla gestione delle policy a livello di progetto, cartella o organizzazione, consulta Utilizzo dei vincoli.Puoi impostare vincoli su tutte le immagini pubbliche disponibili su Compute Engine. Per un elenco dei nomi dei progetti di immagini, vedi Dettagli dei sistemi operativi. Puoi anche limitare le immagini di machine learning (ML) disponibili su Compute Engine utilizzando il progetto
ml-images
. Se utilizzi l'accesso VPC serverless, concedi al tuo progetto l'autorizzazione a utilizzare le immagini VM di Compute Engine dal progettoserverless-vpc-access-images
.Utilizza la console Trusted Cloud o Google Cloud CLI per impostare vincoli sull'accesso alle immagini.
Console
Ad esempio, per impostare un vincolo a livello di progetto:
Vai alla pagina Policy dell'organizzazione.
Nell'elenco delle policy, fai clic su Definisci progetti con immagini attendibili. Viene visualizzata la pagina Dettagli norma.
Nella pagina Dettagli norme, fai clic su Gestisci norme. Viene visualizzata la pagina Modifica norma.
Nella pagina Modifica policy, seleziona Personalizza.
Per Applicazione policy, seleziona un'opzione di applicazione. Per informazioni sull'ereditarietà e sulla gerarchia delle risorse, consulta Informazioni sulla valutazione della gerarchia.
Fai clic su Aggiungi regola.
Nell'elenco Valori dei criteri, puoi selezionare se questo criterio dell'organizzazione deve consentire l'accesso a tutti i progetti di immagini, negare l'accesso a tutti i progetti di immagini oppure puoi specificare un insieme personalizzato di progetti a cui consentire o negare l'accesso.
Per impostare la regola del criterio, completa una delle seguenti opzioni:
- Per consentire agli utenti di creare dischi di avvio da tutte le immagini pubbliche, seleziona Consenti tutto.
- Per impedire agli utenti di creare dischi di avvio da tutte le immagini pubbliche, seleziona Nega tutto.
Per specificare un insieme selezionato di immagini pubbliche da cui gli utenti possono creare dischi di avvio, seleziona Personalizzata. Vengono visualizzati un campo Tipo di criterio e un campo Valori personalizzati.
- Nell'elenco Tipo di policy, seleziona Consenti o Rifiuta.
Nel campo Valori personalizzati, inserisci il nome del progetto di immagini utilizzando il formato
projects/IMAGE_PROJECT
.Sostituisci
IMAGE_PROJECT
con il progetto di immagini su cui vuoi impostare il vincolo.Puoi aggiungere più progetti di immagini. Per ogni progetto di immagini che vuoi aggiungere, fai clic su Aggiungi e inserisci il nome del progetto.
Per salvare la regola, fai clic su Fine.
Per salvare e applicare la policy dell'organizzazione, fai clic su Salva.
Per saperne di più sulla creazione di policy dell'organizzazione, consulta Creazione e gestione delle policy dell'organizzazione.
gcloud
Ad esempio, per impostare un vincolo a livello di progetto:
Ottieni le impostazioni delle policy esistenti per il tuo progetto utilizzando il comando
resource-manager org-policies describe
.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Sostituisci PROJECT_ID con l'ID progetto.
Apri il file
policy.yaml
in un editor di testo e modifica il vincolocompute.trustedImageProjects
. Aggiungi le limitazioni che ti servono e rimuovi quelle che non ti servono più. Al termine della modifica del file, salva le modifiche. Ad esempio, potresti impostare la seguente voce di vincolo nel file delle norme:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECT
Sostituisci IMAGE_PROJECT con il nome del progetto di immagini che vuoi limitare nel tuo progetto.
Se vuoi, puoi negare l'accesso a tutte le immagini al di fuori di quelle personalizzate nel tuo progetto. Per questa situazione, utilizza il seguente esempio:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Applica il file
policy.yaml
al tuo progetto. Se la tua organizzazione o cartella ha vincoli esistenti, questi vincoli potrebbero entrare in conflitto con i vincoli a livello di progetto che hai impostato. Per applicare il vincolo, utilizza il comandoresource-manager org-policies set-policy
.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID progetto.
Una volta terminata la configurazione dei vincoli, esegui il test per assicurarti che creino le limitazioni necessarie.
Passaggi successivi
- Scopri di più sul servizio Policy dell'organizzazione.
- Scopri quali immagini pubbliche sono disponibili per l'utilizzo per impostazione predefinita.
- Condividi la tua immagine privata con altri progetti.
- Scopri come limitare l'utilizzo di immagini, dischi e snapshot condivisi.
- Scopri come avviare un'istanza da un'immagine.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-08-18 UTC.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Mancano le informazioni di cui ho bisogno","missingTheInformationINeed","thumb-down"],["Troppo complicato/troppi passaggi","tooComplicatedTooManySteps","thumb-down"],["Obsoleti","outOfDate","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Problema relativo a esempi/codice","samplesCodeIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-08-18 UTC."],[[["Trusted image policies allow you to restrict the creation of persistent disks to only use images from specific projects, helping to enforce security and policy requirements."],["You can set image access constraints by using the `compute.trustedImageProjects` constraint at the project, folder, or organization level, allowing you to control which images can be used for boot disks."],["Trusted image policies do not affect access to custom images within your local project or image files in Cloud Storage buckets, and they do not prevent users from creating image resources in their local projects."],["Image access constraints can be configured to allow or deny the use of all public images or to specify a custom set of image projects that users can create boot disks from."],["To implement constraints, you can use either the Google Cloud console or the gcloud CLI, with the latter requiring you to modify a policy.yaml file that outlines your specific restrictions."]]],[]] -