Standardmäßig können Nutzer in Ihrem Projekt nichtflüchtige Speicher erstellen oder Images kopieren. Dafür können sie jedes öffentliche Image und alle Images verwenden, auf die Hauptkonten über IAM-Rollen zugreifen können. In einigen Situationen sollten Sie Hauptkonten jedoch einschränken, damit sie Bootlaufwerke nur aus Images mit genehmigter Software erstellen können, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht.
Mit dem Trusted Image-Feature können Sie in einer Organisationsrichtlinie festlegen, dass Hauptkonten nur aus Images in bestimmten Projekten nichtflüchtige Speicher erstellen können.
Wenn Sie einschränken möchten, wo Ihre Images verwendet werden können, lesen Sie die Informationen unter Verwendung freigegebener Images, Laufwerke und Snapshots einschränken.
Hinweise
- Lesen Sie unter Einschränkungen verwenden, wie Richtlinien auf Organisationsebene verwaltet werden.
- Lesen Sie die Seite Informationen zu Evaluierungen der Hierarchie, um zu erfahren, wie Organisationsrichtlinien weitergegeben werden.
-
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben.
Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud -Dienste und APIs überprüft.
Zum Ausführen von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei der Compute Engine authentifizieren:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
gcloud initWenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
- Set a default region and zone.
REST
Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, verwenden Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.
Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
gcloud initWenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.
Beschränkungen
Trusted Image-Richtlinien beschränken den Zugriff auf folgende Images nicht:
Benutzerdefinierte Images in Ihrem lokalen Projekt
Image-Dateien in Cloud Storage-Buckets
Trusted Image-Richtlinien hindern Nutzer nicht daran, in ihren lokalen Projekten Image-Ressourcen zu erstellen.
Einschränkungen für den Image-Zugriff festlegen
Zum Einrichten einer Image-Zugriffsrichtlinie legen Sie die Beschränkung
compute.trustedImageProjectsfür Ihr Projekt, Ihren Ordner oder Ihre Organisation fest. Dazu benötigen Sie die Berechtigung zum Ändern von Organisationsrichtlinien. Beispiel:roles/orgpolicy.policyAdminhat die Berechtigung, diese Einschränkungen festzulegen. Weitere Informationen zum Verwalten von Richtlinien auf Projekt-, Ordner- oder Organisationsebene finden Sie unter Einschränkungen verwenden.Sie können Einschränkungen für alle öffentlichen Images festlegen, die in Compute Engine verfügbar sind. Eine Liste der Image-Projektnamen finden Sie unter Details zu Betriebssystemen. Mit dem Projekt
ml-imageskönnen Sie auch die in Compute Engine verfügbaren ML-Images einschränken. Wenn Sie den serverlosen VPC-Zugriff verwenden, gewähren Sie Ihrem Projekt die Berechtigung, Compute Engine-VM-Images aus dem Projektserverless-vpc-access-imageszu verwenden.Verwenden Sie die Google Cloud Console oder das Google Cloud CLI, um Einschränkungen für den Image-Zugriff festzulegen.
Console
So legen Sie beispielsweise eine Einschränkung auf Projektebene fest:
Rufen Sie die Seite Organisationsrichtlinien auf.
Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren. Die Seite Richtliniendetails wird angezeigt.
Klicken Sie auf der Seite Richtliniendetails auf Richtlinie verwalten. Die Seite Richtlinie bearbeiten wird angezeigt.
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Anpassen aus.
Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus. Weitere Informationen zur Übernahme und zur Ressourcenhierarchie finden Sie unter Informationen zu Evaluierungen der Hierarchie.
Klicken Sie auf Regel hinzufügen.
In der Liste Richtlinienwerte können Sie auswählen, ob diese Organisationsrichtlinie den Zugriff auf alle Image-Projekte zulassen oder verweigern soll. Sie können auch einen benutzerdefinierten Satz von Projekten angeben, für die der Zugriff zugelassen oder verweigert werden soll.
Führen Sie einen der folgenden Schritte aus, um die Richtlinienregel festzulegen:
- Wenn Sie Nutzern erlauben möchten, Bootlaufwerke aus allen öffentlichen Images zu erstellen, wählen Sie Alle zulassen aus.
- Wenn Sie verhindern möchten, dass Nutzer Bootlaufwerke aus allen öffentlichen Images erstellen, wählen Sie Alle ablehnen aus.
Wenn Sie eine bestimmte Auswahl öffentlicher Images angeben möchten, aus denen Nutzer Bootlaufwerke erstellen können, wählen Sie Benutzerdefiniert aus. Es werden die Felder Richtlinientyp und Benutzerdefinierte Werte angezeigt.
- Wählen Sie in der Liste Richtlinientyp die Option Zulassen oder Ablehnen aus.
Geben Sie im Feld Benutzerdefinierte Werte den Namen des Image-Projekts im Format
projects/IMAGE_PROJECTein.Ersetzen Sie
IMAGE_PROJECTdurch das Image-Projekt, für das Sie die Einschränkung festlegen möchten.Sie können mehrere Bildprojekte hinzufügen. Klicken Sie für jedes Bildprojekt, das Sie hinzufügen möchten, auf Hinzufügen und geben Sie den Namen des Bildprojekts ein.
Klicken Sie auf Fertig, um die Regel zu speichern.
Klicken Sie auf Speichern, um die Organisationsrichtlinie zu speichern und anzuwenden.
Weitere Informationen zum Erstellen von Organisationsrichtlinien finden Sie unter Organisationsrichtlinien erstellen und verwalten.
gcloud
So legen Sie beispielsweise eine Einschränkung auf Projektebene fest:
Rufen Sie die vorhandenen Richtlinieneinstellungen für Ihr Projekt mit dem Befehl
resource-manager org-policies describeab.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
Öffnen Sie die Datei
policy.yamlin einem Texteditor und ändern Sie die Einschränkungcompute.trustedImageProjects. Fügen Sie die gewünschten Einschränkungen hinzu und entfernen Sie die Einschränkungen, die nicht mehr benötigt werden. Wenn Sie mit der Bearbeitung der Datei fertig sind, speichern Sie die Änderungen. Sie können in der Richtliniendatei z. B. die folgende Einschränkung angeben:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECTErsetzen Sie IMAGE_PROJECT durch den Namen des Image-Projekts, das Sie in Ihrem Projekt einschränken möchten.
Optional können Sie den Zugriff auf alle Images außer der benutzerdefinierten Images innerhalb Ihres Projekts verweigern. Verwenden Sie hierfür das folgende Beispiel:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Wenden Sie die Datei
policy.yamlauf Ihr Projekt an. Wenn es vorhandene Einschränkungen in Ihrer Organisation oder Ihrem Ordner gibt, können diese Einschränkungen mit den von Ihnen festgelegten Einschränkungen auf Projektebene in Konflikt stehen. Verwenden Sie den Befehlresource-manager org-policies set-policy, um die Einschränkung anzuwenden.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
Nachdem Sie die Einschränkungen konfiguriert haben, führen Sie Tests aus, um zu prüfen, ob die gewünschten Beschränkungen erzielt wurden.
Nächste Schritte
- Einführung in den Organisationsrichtliniendienst
- Standardmäßig verfügbare öffentliche Images ansehen.
- Privates Image mit anderen Projekten gemeinsam nutzen
- Verwendung freigegebener Images, Laufwerke und Snapshots einschränken
- VM-Instanz erstellen und starten
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2025-08-18 (UTC).
-