Esta página foi traduzida pela API Cloud Translation.

Controlar o acesso a imagens do SO da VM para o Batch

Esta página descreve como configurar a restrição da política de imagens confiáveis. Isso permite controlar o acesso às imagens do sistema operacional (SO) que podem ser usadas para criar os discos de inicialização de qualquer instância de máquina virtual (VM) do Compute Engine.

Por padrão, um usuário pode usar qualquer imagem pública ou personalizada que seja compartilhada com ele para as VMs do Compute Engine que executam os jobs em lote. Se a restrição da política de imagem confiável não estiver ativada e você não quiser restringir as imagens do SO da VM, pare de ler este documento.

Ative a restrição de política de imagem confiável se quiser exigir que todos os usuários em um projeto, pasta ou organização criem VMs com software aprovado que atenda aos requisitos de política ou segurança. Se a restrição de política de imagem confiável estiver ativada, os usuários afetados não poderão executar trabalhos em lote, a menos que a imagem do SO da VM para o trabalho seja permitida. Para criar e executar trabalhos quando a restrição de política de imagem confiável está ativada, faça pelo menos uma das seguintes ações:

Peça aos usuários para especificar uma imagem do SO da VM que já esteja permitida.
Permita as imagens padrão do SO da VM do lote, conforme mostrado neste documento.

Para saber mais sobre imagens do SO da VM e discos de inicialização, consulte Visão geral do ambiente do SO da VM. Para saber quais restrições de política foram ativadas para seu projeto, pasta ou organização, confira as políticas da sua organização.

Antes de começar

Se você nunca usou o Batch, consulte Começar a usar o Batch e ative o Batch concluindo os pré-requisitos para projetos e usuários.
Para receber as permissões necessárias a fim de configurar políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Permitir imagens do lote

As etapas a seguir descrevem como modificar a restrição de política de imagem confiável para permitir todas as imagens do SO da VM do Batch usando o console do Google Cloud ou a Google Cloud CLI.

Para mais instruções sobre como usar a restrição de política de imagem confiável (compute.trustedImageProjects), consulte Como configurar políticas de imagem confiável na documentação do Compute Engine.

Console

Acessar a página Políticas da organização.

Acessar as políticas da organização
Na lista de políticas, clique em Definir projetos de imagens confiáveis.

A página Detalhes da política é aberta.
Na página Detalhes da política, clique em Gerenciar política. A página Editar política é aberta.
Na página Editar política, selecione Personalizar.
Em Aplicação da política, selecione uma opção de aplicação.
Clique em Adicionar regra.
Na lista Valores de política, é possível selecionar se você quer adicionar uma regra que permita o acesso a todos os projetos de imagem não especificados, negue o acesso a todos os projetos de imagem não especificados ou especifique um conjunto personalizado de projetos para permitir ou negar o acesso. Para permitir todas as imagens do lote, faça o seguinte:
1. Na lista Valores da política, selecione Personalizado. Os campos Tipo de política e Valores personalizados são exibidos.
2. Na lista Tipo de política, selecione Permitir.
3. No campo Valores personalizados, insira projects/batch-custom-image.
Para salvar a regra, clique em Concluído.
Para salvar e aplicar a política da organização, clique em Salvar.

gcloud

O exemplo a seguir descreve como permitir imagens do Batch para um projeto específico:

Para acessar as configurações de política atuais de um projeto, execute o comando resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Substitua PROJECT_ID pelo ID do projeto que você quer atualizar.
Abra o arquivo policy.yaml em um editor de texto. Em seguida, modifique a restrição compute.trustedImageProjects adicionando projects/batch-custom-image ao campo allowedValues. Por exemplo, para permitir apenas imagens do SO da VM do lote, defina a restrição compute.trustedImageProjects como esta:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Quando terminar de editar o arquivo policy.yaml, salve as alterações.
Para aplicar o arquivo policy.yaml ao projeto, use o comando resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto que você quer atualizar.

Quando você terminar de atualizar as restrições, teste-as para verificar se elas estão funcionando conforme o esperado.

A seguir

Crie e execute jobs, como os seguintes:
- Crie e execute um job básico, que usa uma imagem do SO da VM do Batch por padrão.
- Crie e execute um job que usa uma imagem do SO de VM específica.
Saiba mais sobre imagens de SO da VM e discos de inicialização.