Startrichtlinien überschreiben die von Arbeitslastoperatoren festgelegten VM-Metadatavariablen, um schädliche Aktionen einzuschränken. Ein Arbeitslastautor kann beim Erstellen seines Container-Images Richtlinien mit einem Label festlegen.
Bestimmt, ob das im Dockerfile des Arbeitslastcontainers angegebene CMD durch einen Arbeitslastoperator mit dem Metadatenwert tee-cmd überschrieben werden kann.
Ein durch Kommas getrennter String mit zulässigen Umgebungsvariablennamen, die von einem Arbeitslastoperator mit tee-env-ENVIRONMENT_VARIABLE_NAME-Metadatenwerten festgelegt werden dürfen.
tee.launch_policy.allow_mount_destinations
Interagiert mit:
Arbeitslastoperator: Die Metadatenvariable tee-mount.
Durch Doppelpunkte getrennter String
Ein durch Doppelpunkte getrennter String mit zulässigen Bereitstellungsverzeichnissen, in die der Arbeitslastoperator mit tee-mount einbinden darf.
Bestimmt, wie die Überwachung der Speichernutzung von Arbeitslasten funktioniert, wenn tee-memory-monitoring-enable
von einem Arbeitslastoperator auf true gesetzt wird.
Die gültigen Werte sind:
debugonly (Standard): Die Überwachung der Speichernutzung ist nur bei Verwendung eines Debug-Images zulässig.
always: Überwachung der Speichernutzung immer zulassen.
never: Die Überwachung der Speichernutzung ist nie zulässig.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-02 (UTC)."],[[["\u003cp\u003eLaunch policies, set by workload authors, override VM metadata variables to prevent malicious actions, using labels in \u003ccode\u003eDockerfile\u003c/code\u003e or Bazel BUILD files.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_cmd_override\u003c/code\u003e policy determines if the \u003ccode\u003eCMD\u003c/code\u003e in a container's \u003ccode\u003eDockerfile\u003c/code\u003e can be overridden by a workload operator via the \u003ccode\u003etee-cmd\u003c/code\u003e metadata variable.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_env_override\u003c/code\u003e policy allows workload operators to set specific environment variables using \u003ccode\u003etee-env-\u003c/code\u003e metadata variables, with a comma-separated list of permitted names.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.allow_mount_destinations\u003c/code\u003e policy defines a colon-separated string of allowed mount directories for workload operators using the \u003ccode\u003etee-mount\u003c/code\u003e variable.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003etee.launch_policy.monitoring_memory_allow\u003c/code\u003e policy controls workload memory usage monitoring when the \u003ccode\u003etee-memory-monitoring-enable\u003c/code\u003e variable is true, offering options like \u003ccode\u003edebugonly\u003c/code\u003e, \u003ccode\u003ealways\u003c/code\u003e, or \u003ccode\u003enever\u003c/code\u003e.\u003c/p\u003e\n"]]],[],null,["# Launch policies\n\n[Workload author](/confidential-computing/confidential-space/docs/confidential-space-overview#roles)\n\n*** ** * ** ***\n\nLaunch policies override the [VM metadata variables](/confidential-computing/confidential-space/docs/reference/metadata-variables#metadata-variables)\nset by workload operators to restrict malicious actions. A workload author can\nset policies with a [label](https://docs.docker.com/engine/reference/builder/#label)\nas part of building their container image.\n\nFor example, in a `Dockerfile`: \n\n LABEL \"tee.launch_policy.allow_cmd_override\"=\"true\"\n\nIn a Bazel BUILD file: \n\n container_image(\n ...\n labels={\"tee.launch_policy.allow_cmd_override\":\"true\"}\n ...\n )\n\nThe available launch policies are in the following table:"]]
