Por padrão, os usuários do seu projeto podem criar discos permanentes ou copiar imagens usando qualquer uma das imagens públicas e quaisquer imagens que os principais possam acessar por meio de funções do IAM . No entanto, em algumas situações, você pode querer restringir os principais para que eles possam criar discos de inicialização somente a partir de imagens que contenham software aprovado que atenda à sua política ou aos requisitos de segurança.
Use o recurso de imagem confiável para definir uma política da organização que permita que os principais criem discos permanentes somente a partir de imagens em projetos específicos.
Para restringir os locais onde suas imagens podem ser usadas, leia como restringir o uso de imagens, discos e snapshots compartilhados .
Antes de começar
- Leia a página Usando restrições para saber mais sobre o gerenciamento de políticas no nível da organização.
- Leia a página Noções básicas sobre avaliação de hierarquia para saber como as políticas da organização se propagam.
- Se ainda não o fez, configure a autenticação. Autenticação é o processo pelo qual sua identidade é verificada para acesso a Google Cloud serviços e APIs. Para executar códigos ou amostras em um ambiente de desenvolvimento local, você pode se autenticar no Compute Engine selecionando uma das seguintes opções:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
As políticas de imagens confiáveis não restringem o acesso às seguintes imagens:
Imagens personalizadas em seu projeto local.
Arquivos de imagem em intervalos do Cloud Storage.
As políticas de imagens confiáveis não impedem que os usuários criem recursos de imagem em seus projetos locais.
Acesse a página Políticas da organização .
Na lista de políticas, clique em Definir projetos de imagem confiáveis . A página Detalhes da política é exibida.
Na página de detalhes da política , clique em Gerenciar política . A página Editar política é exibida.
Na página Editar política , selecione Personalizar .
Para Aplicação de política , selecione uma opção de aplicação. Para obter informações sobre herança e hierarquia de recursos, consulte Noções Básicas sobre Avaliação de Hierarquia .
Clique em Adicionar regra .
Na lista Valores de política , você pode selecionar se esta política da organização deve permitir acesso a todos os projetos de imagem, negar acesso a todos os projetos de imagem ou especificar um conjunto personalizado de projetos para permitir ou negar acesso.
Para definir a regra de política, preencha uma das seguintes opções:
- Para permitir que os usuários criem discos de inicialização a partir de todas as imagens públicas, selecione Permitir tudo .
- Para impedir que os usuários criem discos de inicialização a partir de todas as imagens públicas, selecione Deny All .
Para especificar um conjunto selecionado de imagens públicas a partir das quais os usuários podem criar discos de inicialização, selecione Personalizado . Um campo Tipo de política e Valores personalizados é exibido.
- Na lista Tipo de política , selecione Permitir ou Negar .
No campo Valores personalizados , insira o nome do projeto de imagem usando o formato
projects/ IMAGE_PROJECT.Substitua
IMAGE_PROJECTpelo projeto de imagem no qual você deseja definir a restrição.Você pode adicionar vários projetos de imagem. Para cada projeto de imagem que você deseja adicionar, clique em Adicionar e insira o nome do projeto de imagem.
Para salvar a regra, clique em Concluído .
Para salvar e aplicar a política da organização, clique em Salvar .
Obtenha as configurações de política existentes para o seu projeto usando o comando
resource-manager org-policies describe.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Substitua PROJECT_ID pelo ID do seu projeto.
Abra o arquivo
policy.yamlem um editor de texto e modifique a restriçãocompute.trustedImageProjects. Adicione as restrições necessárias e remova as restrições desnecessárias. Quando terminar de editar o arquivo, salve as alterações. Por exemplo, você pode definir a seguinte entrada de restrição em seu arquivo de política:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECTSubstitua IMAGE_PROJECT pelo nome do projeto de imagem que você deseja restringir em seu projeto.
Opcionalmente, você pode negar acesso a todas as imagens fora das imagens personalizadas em seu projeto. Para essa situação, use o seguinte exemplo:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Aplique o arquivo
policy.yamlao seu projeto. Se sua organização ou pasta tiver restrições existentes , essas restrições poderão entrar em conflito com as restrições de nível de projeto que você definir. Para aplicar a restrição, use o comandoresource-manager org-policies set-policy.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do seu projeto.
- Saiba mais sobre o Serviço de Política da Organização .
- Veja quais imagens públicas estão disponíveis para você usar por padrão.
- Compartilhe sua imagem privada com outros projetos.
- Saiba como restringir o uso de imagens, discos e snapshots compartilhados .
- Aprenda como iniciar uma instância a partir de uma imagem .
REST
Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.
Limitações
Definir restrições de acesso à imagem
Implemente uma política de acesso à imagem definindo uma restrição
compute.trustedImageProjectsno seu projeto, na sua pasta ou na sua organização. Você deve ter permissão para modificar as políticas da organização para definir essas restrições. Por exemplo,roles/orgpolicy.policyAdmintem permissão para definir essas restrições. Para obter mais informações sobre o gerenciamento de políticas no nível do projeto, da pasta ou da organização, consulte Usando restrições .Você pode definir restrições em todas as imagens públicas disponíveis no Compute Engine. Para obter uma lista de nomes de projetos de imagem, consulte Detalhes dos sistemas operacionais . Você também pode restringir as imagens de aprendizado de máquina (ML) disponíveis no Compute Engine usando o projeto
ml-images. Se você estiver usando o acesso VPC sem servidor , conceda ao seu projeto permissão para usar imagens de VM do Compute Engine do projetoserverless-vpc-access-images.Use o console do Google Cloud ou a CLI do Google Cloud para definir restrições no acesso à imagem.
Console
Por exemplo, para definir uma restrição no nível do projeto, faça o seguinte:
Para obter mais informações sobre a criação de políticas da organização, consulte Criando e gerenciando políticas da organização .
gcloud
Por exemplo, para definir uma restrição no nível do projeto, faça o seguinte:
Quando você terminar de configurar as restrições, teste-as para garantir que elas criem as restrições necessárias.
O que vem a seguir
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-04-21 UTC.
-