Zugriff auf VM-Betriebssystem-Images für Batch steuern

Auf dieser Seite wird beschrieben, wie Sie die Einschränkung der Richtlinie für vertrauenswürdige Images konfigurieren. So können Sie den Zugriff auf die Betriebssystem-Images steuern, mit denen die Bootlaufwerke für alle Compute Engine-VM-Instanzen erstellt werden können.

Standardmäßig kann ein Nutzer ein beliebiges öffentliches Image oder ein beliebiges benutzerdefiniertes Image verwenden, für die Compute Engine-VMs freigegeben, auf denen Batch jobs. Wenn die Einschränkung der Richtlinie für vertrauenswürdige Images nicht aktiviert ist und Sie die Betriebssystem-Images von VMs nicht einschränken möchten, können Sie mit der Lektüre dieses Dokuments aufhören.

Aktivieren Sie die Einschränkung der Richtlinie für vertrauenswürdige Images, wenn alle Nutzer in einem Projekt, Ordner oder einer Organisation VMs mit genehmigter Software erstellen müssen, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht. Wenn die Einschränkung der Richtlinie für vertrauenswürdige Images aktiviert ist, sind betroffene Nutzer können keine Batchjobs ausführen es sei denn, das VM-Betriebssystem-Image für ihren Job ist zugelassen. Wenn Sie Jobs erstellen und ausführen möchten, wenn die Einschränkung der Trusted Image-Richtlinie aktiviert ist, führen Sie mindestens einen der folgenden Schritte aus:

  • Bitten Sie die Nutzer, ein VM-Betriebssystem-Image anzugeben, das bereits zulässig ist.
  • Lassen Sie die Standard-VM-Betriebssystem-Images aus Batch zu, wie in diesem Dokument gezeigt.

Weitere Informationen zu VM-Betriebssystem-Images und Bootlaufwerken finden Sie unter VM-Betriebssystemumgebung – Übersicht. Informationen dazu, welche Richtlinieneinschränkungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aktiviert wurden, finden Sie in den Organisationsrichtlinien.

Hinweise

  1. Wenn Sie Batch zum ersten Mal verwenden, lesen Sie Erste Schritte mit Batch und aktivieren Sie Batch, indem Sie den Voraussetzungen für Projekte und Nutzer.

  2. Um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von Organisationsrichtlinien benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Bilder aus Batch zulassen

In den folgenden Schritten wird beschrieben, wie Sie die Einschränkung der Richtlinie für vertrauenswürdige Images ändern , um alle VM-Betriebssystem-Images aus Batch mithilfe der Methode Google Cloud Console oder Google Cloud CLI

Weitere Informationen zur Verwendung des Trusted-Images Richtlinieneinschränkung (compute.trustedImageProjects), siehe Vertrauenswürdige Image-Richtlinien einrichten in der Compute Engine-Dokumentation.

Console

  1. Rufen Sie die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren.

    Die Seite Richtliniendetails wird geöffnet.

  3. Klicken Sie auf der Seite Richtliniendetails auf Richtlinie verwalten. Richtlinie bearbeiten wird geöffnet.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Anpassen aus.

  5. Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus.

  6. Klicken Sie auf Regel hinzufügen.

  7. In der Liste Richtlinienwerte können Sie auswählen, ob Sie eine Regel hinzufügen möchten, die den Zugriff auf alle nicht angegebenen Image-Projekte zulässt, den Zugriff auf alle nicht angegebenen Image-Projekte verweigert oder einen benutzerdefinierten Satz von Projekten angibt, für die der Zugriff zugelassen oder verweigert werden soll. So erlauben Sie alle Bilder aus Google Unternehmensprofil:

    1. Wählen Sie in der Liste Richtlinienwerte die Option Benutzerdefiniert aus. Ein Richtlinientyp und das Feld Benutzerdefinierte Werte werden angezeigt.
    2. Wählen Sie in der Liste Richtlinientyp die Option Zulassen aus.
    3. Geben Sie im Feld Benutzerdefinierte Werte den Wert projects/batch-custom-image ein.

  8. Klicken Sie zum Speichern der Regel auf Fertig.

  9. Klicken Sie auf Speichern, um die Organisationsrichtlinie zu speichern und anzuwenden.

gcloud

Im folgenden Beispiel wird beschrieben, wie Bilder zugelassen werden. aus Batch für ein bestimmtes Projekt:

  1. Führen Sie zum Abrufen der vorhandenen Richtlinieneinstellungen für ein Projekt den Befehl resource-manager org-policies describe-Befehl:

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie aktualisieren möchten.

  2. Öffnen Sie die Datei policy.yaml in einem Texteditor. Ändern Sie dann die compute.trustedImageProjects-Einschränkung durch Hinzufügen von projects/batch-custom-image in das Feld allowedValues. Beispiel: Nur VM-Betriebssystem-Images aus Batch zulassen Legen Sie für die Einschränkung compute.trustedImageProjects Folgendes fest:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image

    Wenn Sie mit der Bearbeitung der policy.yaml-Datei fertig sind, speichern Sie die Änderungen.

  3. Um die Datei policy.yaml auf Ihr Projekt anzuwenden, verwenden Sie die Methode resource-manager org-policies set-policy-Befehl:

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie aktualisieren möchten.

Nachdem Sie die Einschränkungen aktualisiert haben, sollten Sie sie testen, um sicherzustellen, dass sie wie vorgesehen funktionieren.

Nächste Schritte