이 페이지에서는 신뢰할 수 있는 이미지 정책 제약조건을 구성하는 방법을 설명합니다. 이렇게 하면 모든 Compute Engine 가상 머신(VM) 인스턴스의 부팅 디스크를 만드는 데 사용할 수 있는 운영체제(OS) 이미지에 대한 액세스를 제어할 수 있습니다.
기본적으로 사용자는 Batch 작업을 실행하는 Compute Engine VM에 대해 공유된 모든 공개 이미지 또는 커스텀 이미지를 사용할 수 있습니다. 신뢰할 수 있는 이미지 정책 제약조건이 사용 설정되지 않았고 VM OS 이미지를 제한하지 않으려면 이 문서 읽기를 중지할 수 있습니다.
프로젝트, 폴더 또는 조직의 모든 사용자가 정책 또는 보안 요구사항을 충족하는 승인 소프트웨어가 포함된 VM을 만들도록 요구하려면 신뢰할 수 있는 이미지 정책 제약조건을 사용 설정합니다. 신뢰할 수 있는 이미지 정책 제약조건이 사용 설정되면 작업의 VM OS 이미지가 허용되지 않는 한 영향을 받는 사용자는 Batch 작업을 실행할 수 없습니다. 신뢰할 수 있는 이미지 정책 제약조건이 사용 설정되었을 때 작업을 만들고 실행하려면 다음 중 하나 이상을 수행하세요.
- 사용자가 이미 허용된 VM OS 이미지를 지정하게 합니다.
- 이 문서에 표시된 것처럼 Batch에서 기본 VM OS 이미지를 허용합니다.
VM OS 이미지 및 부팅 디스크에 대한 자세한 내용은 VM OS 환경 개요를 참조하세요. 프로젝트, 폴더 또는 조직에 사용 설정된 정책 제약조건에 대한 자세한 내용은 조직 정책을 참조하세요.
시작하기 전에
- Batch를 사용한 적이 없으면 Batch 시작하기를 검토하고 프로젝트 및 사용자 기본 요건을 완료하여 Batch를 사용 설정하세요.
-
조직 정책을 구성하는 데 필요한 권한을 얻으려면 관리자에게 조직의 조직 정책 관리자(
roles/orgpolicy.policyAdmin
) IAM 역할을 요청하세요. 역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.
Batch의 이미지 허용
다음 단계에서는 Google Cloud 콘솔 또는 Google Cloud CLI를 사용하여 Batch의 모든 VM OS 이미지를 허용하도록 신뢰할 수 있는 이미지 정책 제약조건을 수정하는 방법을 설명합니다.
신뢰할 수 있는 이미지(compute.trustedImageProjects
) 정책 제약조건을 사용하는 방법에 대한 자세한 내용은 Compute Engine 문서의 신뢰할 수 있는 이미지 정책 설정을 참조하세요.
콘솔
조직 정책 페이지로 이동합니다.
정책 목록에서 신뢰할 수 있는 이미지 프로젝트 정의를 클릭합니다.
정책 세부정보 페이지가 열립니다.
정책 세부정보 페이지에서
정책 관리를 클릭합니다. 정책 수정 페이지가 열립니다.정책 수정 페이지에서 맞춤설정을 선택합니다.
정책 시행에서 시행 옵션을 선택합니다.
규칙 추가를 클릭합니다.
정책 값 목록에서 지정하지 않은 모든 이미지 프로젝트에 대한 액세스를 허용하거나, 지정되지 않은 모든 이미지 프로젝트에 대한 액세스를 거부하거나, 액세스 허용 또는 거부할 프로젝트의 커스텀 집합을 지정하는 규칙을 추가할지 선택할 수 있습니다. Batch의 모든 이미지를 허용하려면 다음을 수행하세요.
- 정책 값 목록에서 커스텀을 선택합니다. 정책 유형 및 커스텀 값 필드가 나타납니다.
- 정책 유형 목록에서 허용을 선택합니다.
- 커스텀 값 필드에
projects/batch-custom-image
를 입력합니다.
규칙을 저장하려면 완료를 클릭합니다.
조직 정책을 저장하고 적용하려면 저장을 클릭합니다.
gcloud
다음 예시에서는 특정 프로젝트의 Batch에서 이미지를 허용하는 방법을 설명합니다.
프로젝트의 기존 정책 설정을 가져오려면
resource-manager org-policies describe
명령어를 실행합니다.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
PROJECT_ID를 업데이트할 프로젝트의 프로젝트 ID로 바꾸세요.
텍스트 편집기에서
policy.yaml
파일을 엽니다. 그런 다음allowedValues
필드에projects/batch-custom-image
를 추가하여compute.trustedImageProjects
제약조건을 수정합니다. 예를 들어 Batch의 VM OS 이미지만 허용하려면compute.trustedImageProjects
제약조건을 다음과 같이 설정합니다.constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-image
policy.yaml
파일 수정이 끝나면 변경사항을 저장합니다.프로젝트에
policy.yaml
파일을 적용하려면resource-manager org-policies set-policy
명령어를 사용합니다.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
PROJECT_ID를 업데이트할 프로젝트의 프로젝트 ID로 바꾸세요.
제약조건 업데이트를 완료한 후에는 이 제약조건이 예상대로 작동하는지 확인하는 것이 좋습니다.
다음 단계
- 다음과 같이 작업을 만들고 실행합니다.
- 기본 작업 만들기 및 실행: 기본적으로 Batch의 VM OS 이미지를 사용합니다.
- 특정 VM OS 이미지를 사용하는 작업 만들기 및 실행
- VM OS 이미지 및 부팅 디스크 자세히 알아보기