Por padrão, os usuários de um projeto criam discos permanentes ou copiam imagens usando qualquer uma das imagens públicas e qualquer imagem que os membros possam acessar por meio dos papéis do IAM. No entanto, em algumas situações convém restringir os membros do projeto para que eles só possam criar discos de inicialização de imagens que contenham software aprovado que atenda à sua política ou aos requisitos de segurança.
Use o recurso Imagem confiável para definir uma política da organização que permita que os membros criem discos permanentes apenas de imagens em projetos específicos.
Para restringir os locais em que as imagens podem ser usadas, leia Como restringir o uso de imagens, discos e snapshots compartilhados.
Antes de começar
- Leia a página Como usar restrições para saber como gerenciar políticas no nível da organização.
- Leia a página Noções básicas sobre a avaliação de hierarquia para saber como as políticas da organização se propagam.
-
Configure a autenticação, caso ainda não tenha feito isso.
A autenticação é
o processo de verificação da sua identidade para acesso a serviços e APIs do Trusted Cloud by S3NS .
Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no
Compute Engine selecionando uma das seguintes opções:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud
-
Instale a Google Cloud CLI e faça login nela com sua identidade federada. Depois de fazer login, inicialize a Google Cloud CLI executando o seguinte comando:
gcloud init - Set a default region and zone.
REST
Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para a CLI gcloud.
Instale a Google Cloud CLI e faça login nela com sua identidade federada. Depois de fazer login, inicialize a Google Cloud CLI executando o seguinte comando:
gcloud initPara mais informações, consulte Autenticar para usar REST na documentação de autenticação do Trusted Cloud .
Limitações
As políticas de imagem confiável não restringem o acesso às imagens a seguir:
imagens personalizadas no seu projeto local.
Arquivos de imagem em buckets do Cloud Storage.
As políticas de imagem confiável não impedem os usuários de criar recursos de imagem nos projetos locais.
Defina restrições de acesso a imagens
Execute uma política de acesso a imagens definindo uma restrição
compute.trustedImageProjectsno seu projeto, na sua pasta ou na sua organização. Você precisa ter permissão para modificar as políticas da organização para definir essas restrições. Por exemplo,roles/orgpolicy.policyAdmintem permissão para definir essas restrições. Para mais informações sobre como gerenciar políticas no nível do projeto, da pasta ou da organização, consulte Como usar restrições.É possível definir restrições em todas as imagens públicas disponíveis no Compute Engine. Para uma lista de nomes de projetos de imagem, consulte Detalhes dos sistemas operacionais. Também é possível restringir as imagens de aprendizado de máquina (ML) disponíveis no Compute Engine usando o projeto
ml-images. Se você estiver usando o acesso VPC sem servidor, conceda ao seu projeto permissão para usar as imagens da VM do Compute Engine do projetoserverless-vpc-access-images.Use o Trusted Cloud console ou a Google Cloud CLI para definir restrições de acesso a imagens.
Console
Por exemplo, para definir uma restrição para envolvidos no projeto, faça o seguinte:
Acessar a página Políticas da organização.
Na lista de políticas, clique em Definir projetos de imagens confiáveis. A página Detalhes da política é exibida.
Na página Detalhes da política, clique em Gerenciar política. A página Editar política é exibida.
Na página Editar política, selecione Personalizar.
Em Aplicação da política, selecione uma opção. Para informações sobre herança e a hierarquia de recursos, consulte Noções básicas sobre avaliação de hierarquia.
Clique em Adicionar regra.
Na lista Valores da política, selecione se esta política da organização precisa permitir ou negar acesso a todos os projetos de imagem ou especifique um conjunto personalizado de projetos para permitir ou negar acesso.
Para definir a regra da política, conclua uma das seguintes opções:
- Para permitir que os usuários criem discos de inicialização com todas as imagens públicas, selecione Permitir tudo.
- Para impedir que os usuários criem discos de inicialização com todas as imagens públicas, selecione Negar tudo.
Para especificar um conjunto selecionado de imagens públicas que os usuários podem usar para criar discos de inicialização, selecione Personalizado. Um campo Tipo de política e Valores personalizados é exibido.
- Na lista Tipo de política, selecione Permitir ou Negar.
No campo Valores personalizados, insira o nome do projeto de imagem usando o formato
projects/IMAGE_PROJECT.Substitua
IMAGE_PROJECTpelo projeto de imagem em que você quer definir a restrição.É possível adicionar vários projetos de imagem. Para cada projeto de imagem que você quer adicionar, clique em Adicionar e insira o nome do projeto.
Para salvar a regra, clique em Concluído.
Para salvar e aplicar a política da organização, clique em Salvar.
Para mais informações sobre como criar políticas da organização, consulte Como criar e gerenciar políticas da organização.
gcloud
Por exemplo, para definir uma restrição para envolvidos no projeto, faça o seguinte:
Acesse as configurações de política atuais do projeto usando o comando
resource-manager org-policies describe.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Substitua PROJECT_ID pela ID do seu projeto.
Abra o arquivo
policy.yamlem um editor de texto e modifique a restriçãocompute.trustedImageProjects. Adicione as restrições necessárias e remova as que não são mais necessárias. Quando terminar de editar o arquivo, salve as alterações. Por exemplo, defina a entrada de restrição a seguir no arquivo de política:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECTSubstitua IMAGE_PROJECT pelo nome do projeto de imagem que você quer restringir no projeto.
Se quiser, negue acesso a todas as imagens fora daquelas personalizadas do projeto. Para essa situação, use o exemplo a seguir:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Aplique o arquivo
policy.yamlao seu projeto. Se sua organização ou pasta tiver restrições, elas poderão entrar em conflito com as restrições para envolvidos no projeto que você definiu. Para aplicar a restrição, use o comandoresource-manager org-policies set-policy.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Substitua PROJECT_ID pela ID do seu projeto.
Quando você terminar de configurar as restrições, teste-as para garantir que tenham criado as restrições necessárias.
A seguir
- Saiba mais sobre o Serviço de política da organização.
- Veja quais imagens públicas estão disponíveis para você usar por padrão.
- Compartilhe suas imagens privadas com outros projetos.
- Aprenda como restringir o uso de discos, imagens e instantâneos compartilhados.
- Aprenda a iniciar uma instância a partir de uma imagem.
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-08-18 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Não contém as informações de que eu preciso","missingTheInformationINeed","thumb-down"],["Muito complicado / etapas demais","tooComplicatedTooManySteps","thumb-down"],["Desatualizado","outOfDate","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Problema com as amostras / o código","samplesCodeIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[[["\u003cp\u003eTrusted image policies allow you to restrict the creation of persistent disks to only use images from specific projects, helping to enforce security and policy requirements.\u003c/p\u003e\n"],["\u003cp\u003eYou can set image access constraints by using the \u003ccode\u003ecompute.trustedImageProjects\u003c/code\u003e constraint at the project, folder, or organization level, allowing you to control which images can be used for boot disks.\u003c/p\u003e\n"],["\u003cp\u003eTrusted image policies do not affect access to custom images within your local project or image files in Cloud Storage buckets, and they do not prevent users from creating image resources in their local projects.\u003c/p\u003e\n"],["\u003cp\u003eImage access constraints can be configured to allow or deny the use of all public images or to specify a custom set of image projects that users can create boot disks from.\u003c/p\u003e\n"],["\u003cp\u003eTo implement constraints, you can use either the Google Cloud console or the gcloud CLI, with the latter requiring you to modify a policy.yaml file that outlines your specific restrictions.\u003c/p\u003e\n"]]],[],null,[]] -