En esta página, se describe cómo configurar la restricción de la política de imágenes confiables. Esto te permite controlar el acceso a las imágenes del sistema operativo (SO) que se pueden usar a fin de crear los discos de arranque para cualquier instancia de máquina virtual (VM) de Compute Engine.
De forma predeterminada, un usuario puede usar cualquier imagen pública o cualquier imagen personalizada que se comparta con él para las VM de Compute Engine que ejecutan sus trabajos por lotes. Si la restricción de la política de imágenes confiables no está habilitada y no quieres restringir las imágenes de SO de la VM, puedes dejar de leer este documento.
Habilita la restricción de la política de imágenes confiables si deseas que todos los usuarios de un proyecto, una carpeta o una organización creen VMs que contengan software aprobado que cumpla con tus requisitos de seguridad o de políticas. Si se habilita la restricción de la política de imágenes confiables, los usuarios afectados no pueden ejecutar trabajos por lotes, a menos que se permita la imagen de SO de la VM para su trabajo. Para crear y ejecutar trabajos cuando la restricción de la política de imágenes confiables está habilitada, realiza al menos una de las siguientes acciones:
- Haz que los usuarios especifiquen una imagen de SO de VM que ya está permitida.
- Permite las imágenes de SO de VM predeterminadas de Batch, como se muestra en este documento.
Para obtener más información sobre las imágenes de SO y los discos de arranque de la VM, consulta la Descripción general del entorno del SO de VM. Si deseas obtener información sobre qué restricciones de políticas se habilitaron para el proyecto, la carpeta o la organización, consulta las políticas de la organización.
Antes de comenzar
- Si nunca usaste Batch, revisa Comienza a usar Batch y completa los requisitos previos para proyectos y usuarios a fin de habilitar Batch.
-
A fin de obtener los permisos necesarios para configurar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin
) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.Es posible que también puedas obtener los permisos necesarios mediante funciones personalizadas, o bien otras funciones predefinidas.
Permitir imágenes de Batch
En los siguientes pasos, se describe cómo modificar la restricción de la política de imágenes confiables para permitir todas las imágenes de SO de VM de Batch mediante la consola de Google Cloud o Google Cloud CLI.
A fin de obtener más instrucciones para usar la restricción de la política de imágenes confiables (compute.trustedImageProjects
), consulta Configura políticas de imágenes confiables en la documentación de Compute Engine.
Consola
Ir a la página Políticas de la organización.
En la lista de políticas, haz clic en Definir proyectos de imágenes confiables.
Se abrirá la página Detalles de la política.
En la página Detalles de la política, haz clic en
Administrar política. Se abrirá la página Editar política.En la página Editar política, selecciona Personalizar.
En Aplicación de políticas, selecciona una opción de aplicación.
Haz clic en Agregar regla.
En la lista Valores de la política, puedes seleccionar si quieres agregar una regla que permita el acceso a todos los proyectos de imágenes no especificados, que rechace el acceso a todos los proyectos de imágenes no especificados o que especifique un conjunto personalizado de proyectos para permitir o denegar el acceso. Para permitir todas las imágenes de Batch, haz lo siguiente:
- En la lista Valores de la política, selecciona Personalizados. Aparecerá el campo Tipo de política y Valores personalizados.
- En la lista Tipo de política, selecciona Permitir.
- En el campo Valores personalizados, ingresa
projects/batch-custom-image
.
Para guardar la regla, haz clic en Listo.
Para guardar y aplicar la política de la organización, haz clic en Guardar.
gcloud
En el siguiente ejemplo, se describe cómo permitir imágenes de Batch para un proyecto específico:
Para obtener la configuración de las políticas existentes de un proyecto, ejecuta el comando
resource-manager org-policies describe
:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Reemplaza PROJECT_ID por el ID del proyecto que deseas actualizar.
Abre el archivo
policy.yaml
en un editor de texto. Luego, modifica la restriccióncompute.trustedImageProjects
agregandoprojects/batch-custom-image
al campoallowedValues
. Por ejemplo, para permitir solo imágenes de SO de VM de Batch, establece la restriccióncompute.trustedImageProjects
en lo siguiente:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-image
Cuando hayas terminado de editar el archivo
policy.yaml
, guarda los cambios.Para aplicar el archivo
policy.yaml
a tu proyecto, usa el comandoresource-manager org-policies set-policy
:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto que deseas actualizar.
Cuando termines de actualizar las restricciones, te recomendamos que las pruebes para verificar que funcionen según lo previsto.
¿Qué sigue?
- Crear y ejecutar trabajos, como los siguientes:
- Crea y ejecuta un trabajo básico, que usa una imagen de SO de VM de Batch de forma predeterminada.
- Crea y ejecuta un trabajo que use una imagen de SO de VM específica.
- Obtén más información sobre las imágenes de SO y los discos de arranque de las VMs.