Esta página se ha traducido con Cloud Translation API.

Controlar el acceso a imágenes de SO de máquinas virtuales para Batch

En esta página se describe cómo configurar la restricción de política de imágenes de confianza. De esta forma, puedes controlar el acceso a las imágenes del sistema operativo que se pueden usar para crear los discos de arranque de cualquier instancia de máquina virtual (VM) de Compute Engine.

De forma predeterminada, un usuario puede usar cualquier imagen pública o personalizada que se haya compartido con él para las VMs de Compute Engine que ejecuten sus trabajos por lotes. Si la restricción de la política de imágenes de confianza no está habilitada y no quieres restringir las imágenes del SO de las VMs, puedes dejar de leer este documento.

Habilita la restricción de la política de imágenes de confianza si quieres que todos los usuarios de un proyecto, una carpeta o una organización creen VMs que contengan software aprobado que cumpla tus requisitos de política o de seguridad. Si la restricción de la política de imágenes de confianza está habilitada, los usuarios afectados no podrán ejecutar trabajos de Batch a menos que se permita la imagen del SO de la VM de su trabajo. Para crear y ejecutar trabajos cuando la restricción de la política de imágenes de confianza esté habilitada, haz al menos una de las siguientes acciones:

Pide a los usuarios que especifiquen una imagen del SO de la VM que ya esté permitida.
Permite las imágenes de SO de VM predeterminadas de Batch, tal como se muestra en este documento.

Para obtener más información sobre las imágenes de SO de las VMs y los discos de arranque, consulta la descripción general del entorno del SO de las VMs. Para saber qué restricciones de políticas se han habilitado en tu proyecto, carpeta u organización, consulta tus políticas de organización.

Antes de empezar

Si no has usado Batch antes, consulta el artículo Empezar a usar Batch y habilita Batch completando los requisitos previos para proyectos y usuarios.
Para obtener los permisos que necesitas para configurar las políticas de la organización, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Permitir imágenes de Batch

En los pasos siguientes se describe cómo modificar la restricción de la política de imágenes de confianza para permitir todas las imágenes de SO de máquinas virtuales de Batch mediante laGoogle Cloud consola o la CLI de Google Cloud.

Para obtener más instrucciones sobre cómo usar la restricción de política de imagen de confianza (compute.trustedImageProjects), consulta el artículo Configurar políticas de imágenes de confianza de la documentación de Compute Engine.

Consola

Ve a la página Políticas de la organización.

Ir a Políticas de organización
En la lista de políticas, haga clic en Define trusted image projects (Definir proyectos de imágenes de confianza).

Se abrirá la página Detalles de la política.
En la página Detalles de la política, haz clic en Gestionar política. Se abrirá la página Editar política.
En la página Editar política, selecciona Personalizar.
En Aplicación de la política, selecciona una opción.
Haz clic en Añadir regla.
En la lista Valores de la política, puede seleccionar si quiere añadir una regla que permita el acceso a todos los proyectos de imágenes no especificados, que deniegue el acceso a todos los proyectos de imágenes no especificados o que especifique un conjunto personalizado de proyectos a los que se les permita o deniegue el acceso. Para permitir todas las imágenes de Batch, sigue estos pasos:
1. En la lista Valores de la política, selecciona Personalizado. Aparecerán los campos Tipo de política y Valores personalizados.
2. En la lista Tipo de política, selecciona Permitir.
3. En el campo Valores personalizados, introduce projects/batch-custom-image.
Para guardar la regla, haz clic en Hecho.
Para guardar y aplicar la política de la organización, haz clic en Guardar.

gcloud

En el siguiente ejemplo se describe cómo permitir imágenes de Batch en un proyecto específico:

Para obtener la configuración de la política de un proyecto, ejecuta el resource-manager org-policies describecomando:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Sustituye PROJECT_ID por el ID del proyecto que quieras actualizar.
Abre el archivo policy.yaml en un editor de texto. A continuación, modifica la restricción compute.trustedImageProjects añadiendo projects/batch-custom-image al campo allowedValues. Por ejemplo, para permitir solo imágenes de SO de VM de Batch, define la restricción compute.trustedImageProjects de la siguiente manera:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Cuando hayas terminado de editar el archivo policy.yaml, guarda los cambios.
Para aplicar el archivo policy.yaml a tu proyecto, usa el comando resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Sustituye PROJECT_ID por el ID del proyecto que quieras actualizar.

Cuando termines de actualizar las restricciones, te recomendamos que las pruebes para verificar que funcionan correctamente.

Siguientes pasos

Crea y ejecuta tareas, como las siguientes:
- Crea y ejecuta un trabajo básico, que usa una imagen del SO de la VM de Batch de forma predeterminada.
- Crea y ejecuta un trabajo que use una imagen de SO de VM específica.
Consulta más información sobre las imágenes del SO de las VMs y los discos de arranque.

Controlar el acceso a imágenes de SO de máquinas virtuales para Batch Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.