Secara default, pengguna di project Anda dapat membuat persistent disk atau menyalin image menggunakan salah satu image publik dan image apa pun yang dapat diakses oleh principal melalui peran IAM. Namun, dalam beberapa situasi, Anda mungkin ingin membatasi prinsipal agar mereka hanya dapat membuat disk boot dari image yang berisi software yang disetujui yang memenuhi persyaratan kebijakan atau keamanan Anda.
Gunakan fitur Image tepercaya untuk menentukan kebijakan organisasi yang mengizinkan prinsipal membuat persistent disk hanya dari image di project tertentu.
Untuk membatasi lokasi penggunaan gambar Anda, baca artikel membatasi penggunaan gambar, disk, dan snapshot bersama Anda.
Sebelum memulai
- Baca halaman Menggunakan batasan untuk mempelajari cara mengelola kebijakan di tingkat organisasi.
- Baca halaman Memahami evaluasi hierarki untuk mempelajari cara kebijakan organisasi diterapkan.
-
Jika Anda belum melakukannya, siapkan autentikasi.
Autentikasi adalah
proses yang digunakan untuk memverifikasi identitas Anda untuk mengakses Google Cloud layanan dan API.
Untuk menjalankan kode atau sampel dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke
Compute Engine dengan memilih salah satu opsi berikut:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Menginstal Google Cloud CLI. Setelah penginstalan, lakukan inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:
gcloud initJika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
- Set a default region and zone.
REST
Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, Anda menggunakan kredensial yang Anda berikan ke gcloud CLI.
Menginstal Google Cloud CLI. Setelah penginstalan, lakukan inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:
gcloud initJika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
Untuk mengetahui informasi selengkapnya, lihat Melakukan autentikasi untuk menggunakan REST dalam dokumentasi autentikasi Google Cloud .
Batasan
Kebijakan image tepercaya tidak membatasi akses ke gambar berikut:
Image kustom di project lokal Anda.
File gambar di bucket Cloud Storage.
Kebijakan image tepercaya tidak mencegah pengguna membuat resource image di project lokal mereka.
Menetapkan batasan akses gambar
Terapkan kebijakan akses gambar dengan menetapkan batasan
compute.trustedImageProjectspada project, folder, atau organisasi Anda. Anda harus memiliki izin untuk mengubah kebijakan organisasi guna menetapkan batasan ini. Misalnya,roles/orgpolicy.policyAdminmemiliki izin untuk menetapkan batasan ini. Untuk mengetahui informasi selengkapnya tentang cara mengelola kebijakan di tingkat project, folder, atau organisasi, lihat Menggunakan batasan.Anda dapat menetapkan batasan pada semua image publik yang tersedia di Compute Engine. Untuk mengetahui daftar nama project image, lihat Detail sistem operasi. Anda juga dapat membatasi image Machine Learning (ML) yang tersedia di Compute Engine dengan menggunakan project
ml-images. Jika Anda menggunakan Akses VPC Serverless, beri project Anda izin untuk menggunakan image VM Compute Engine dari projectserverless-vpc-access-images.Gunakan konsol Google Cloud atau Google Cloud CLI untuk menetapkan batasan pada akses image.
Konsol
Misalnya, untuk menetapkan batasan di tingkat project, lakukan hal berikut:
Buka halaman Kebijakan organisasi.
Dari daftar kebijakan, klik Tentukan project gambar tepercaya. Halaman Policy details akan ditampilkan.
Di halaman Detail kebijakan, klik Kelola Kebijakan. Halaman Edit kebijakan akan ditampilkan.
Di halaman Edit policy, pilih Customize.
Untuk Penerapan kebijakan, pilih opsi penerapan. Untuk mengetahui informasi tentang pewarisan dan hierarki resource, lihat Memahami Evaluasi Hierarki.
Klik Tambahkan Aturan.
Dalam daftar Nilai kebijakan, Anda dapat memilih apakah kebijakan organisasi ini harus mengizinkan akses ke semua project gambar, menolak akses ke semua project gambar, atau Anda dapat menentukan kumpulan project kustom untuk mengizinkan atau menolak akses.
Untuk menetapkan aturan kebijakan, selesaikan salah satu opsi berikut:
- Untuk mengizinkan pengguna membuat disk boot dari semua image publik, pilih Izinkan Semua.
- Untuk mencegah pengguna membuat boot disk dari semua image publik, pilih Tolak Semua.
Untuk menentukan serangkaian image publik tertentu yang dapat digunakan pengguna untuk membuat boot disk, pilih Kustom. Kolom Jenis kebijakan dan Nilai kustom akan ditampilkan.
- Di daftar Jenis kebijakan, pilih Izinkan atau Tolak.
Di kolom Nilai kustom, masukkan nama project image menggunakan format
projects/IMAGE_PROJECT.Ganti
IMAGE_PROJECTdengan project image yang ingin Anda tetapkan batasan.Anda dapat menambahkan beberapa project gambar. Untuk setiap project gambar yang ingin Anda tambahkan, klik Tambahkan dan masukkan nama project gambar.
Untuk menyimpan aturan, klik Selesai.
Untuk menyimpan dan menerapkan kebijakan organisasi, klik Simpan.
Untuk mengetahui informasi selengkapnya tentang cara membuat kebijakan organisasi, lihat Membuat dan mengelola kebijakan organisasi.
gcloud
Misalnya, untuk menetapkan batasan di tingkat project, lakukan hal berikut:
Dapatkan setelan kebijakan yang ada untuk project Anda menggunakan perintah
resource-manager org-policies describe.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Ganti PROJECT_ID dengan project ID Anda.
Buka file
policy.yamldi editor teks dan ubah batasancompute.trustedImageProjects. Tambahkan batasan yang Anda perlukan dan hapus batasan yang tidak lagi Anda perlukan. Setelah selesai mengedit file, simpan perubahan Anda. Misalnya, Anda dapat menetapkan entri batasan berikut dalam file kebijakan Anda:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECTGanti IMAGE_PROJECT dengan nama project image yang ingin Anda batasi dalam project Anda.
Jika ingin, Anda dapat menolak akses ke semua image di luar image kustom dalam project Anda. Untuk situasi tersebut, gunakan contoh berikut:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Terapkan file
policy.yamlke project Anda. Jika organisasi atau folder Anda memiliki batasan yang sudah ada, batasan tersebut mungkin bertentangan dengan batasan tingkat project yang Anda tetapkan. Untuk menerapkan batasan, gunakan perintahresource-manager org-policies set-policy.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Ganti PROJECT_ID dengan project ID Anda.
Setelah selesai mengonfigurasi batasan, uji batasan tersebut untuk memastikan bahwa batasan tersebut membuat pembatasan yang Anda butuhkan.
Langkah berikutnya
- Pelajari lebih lanjut Layanan Kebijakan Organisasi.
- Lihat gambar publik yang tersedia untuk Anda gunakan secara default.
- Membagikan gambar pribadi Anda ke project lain.
- Pelajari cara membatasi penggunaan gambar, disk, dan snapshot bersama Anda.
- Pelajari cara memulai instance dari gambar.
Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2025-08-18 UTC.
-