Contrôler l'accès aux images d'OS de VM pour Batch

Cette page explique comment configurer la contrainte de règle relative aux images de confiance. Cela vous permet de contrôler l'accès aux images de système d'exploitation (OS) permettant de créer les disques de démarrage de toutes les instances de machine virtuelle (VM) Compute Engine.

Par défaut, un utilisateur peut utiliser n'importe quelle image publique ou toute image personnalisée partagée avec lui pour les VM Compute Engine qui exécutent ses tâches par lot. Si la contrainte de règle relative aux images de confiance n'est pas activée et que vous ne souhaitez pas restreindre les images d'OS de VM, vous pouvez arrêter la lecture de ce document.

Activez la contrainte de règle relative aux images de confiance si vous souhaitez obliger tous les utilisateurs d'un projet, d'un dossier ou d'une organisation à créer des VM contenant des logiciels approuvés conformes à vos règles ou exigences de sécurité. Si la contrainte de règle relative aux images de confiance est activée, les utilisateurs concernés ne peuvent pas exécuter de jobs par lot, sauf si l'image de l'OS de la VM pour leur tâche est autorisée. Pour créer et exécuter des tâches lorsque la contrainte de règle relative aux images de confiance est activée, effectuez au moins l'une des opérations suivantes:

Demandez aux utilisateurs de spécifier une image d'OS de VM déjà autorisée.
Autorisez les images d'OS de VM par défaut à partir de Batch, comme indiqué dans ce document.

Pour en savoir plus sur les images et les disques de démarrage de l'OS de VM, consultez la section Présentation de l'environnement d'OS des VM. Pour en savoir plus sur les contraintes de règle qui ont été activées pour votre projet, dossier ou organisation, affichez vos règles d'administration.

Avant de commencer

Si vous n'avez jamais utilisé Batch, consultez la page Premiers pas avec Batch et activez Batch en remplissant les conditions préalables pour les projets et les utilisateurs.
Afin d'obtenir les autorisations nécessaires pour configurer les règles d'administration#39;administration, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) au niveau de l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Autoriser les images de Batch

Les étapes suivantes décrivent comment modifier la contrainte des règles relatives aux images de confiance pour autoriser toutes les images d'OS de VM issues de Batch à l'aide de la console Google Cloud ou de Google Cloud CLI.

Pour plus d'informations sur l'utilisation de la contrainte de règle d'image de confiance (compute.trustedImageProjects), consultez la section Configurer des règles d'image de confiance dans la documentation Compute Engine.

Console

Accédez à la page Règles d'administration.

Accéder à la page Règles d'administration
Dans la liste des règles, cliquez sur Définir des projets relatifs aux images de confiance.

La page Détails des règles s'ouvre.
Sur la page Détails des règles, cliquez sur Gérer la règle. La page Modifier la règle s'ouvre.
Sur la page Modifier la règle, sélectionnez Personnaliser.
Pour Application des règles, sélectionnez une option d'application.
Cliquez sur Ajouter une règle.
Dans la liste Valeurs de règles, vous pouvez choisir d'ajouter une règle qui autorise l'accès à tous les projets d'image non spécifiés, refuse l'accès à tous les projets d'image non spécifiés, ou spécifie un ensemble personnalisé de projets pour lesquels autoriser ou refuser l'accès. Pour autoriser toutes les images depuis Batch, procédez comme suit:
1. Dans la liste Valeurs de règles, sélectionnez Personnalisé. Les champs Type de règle et Valeurs personnalisées s'affichent.
2. Dans la liste Type de règle, sélectionnez Autoriser.
3. Dans le champ Valeurs personnalisées, saisissez projects/batch-custom-image.
Pour enregistrer la règle, cliquez sur OK.
Pour enregistrer et appliquer la règle d'administration, cliquez sur Enregistrer.

gcloud

L'exemple suivant explique comment autoriser des images Batch pour un projet spécifique:

Pour obtenir les paramètres des stratégies existantes pour un projet, exécutez la commande resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.
Ouvrez le fichier policy.yaml dans un éditeur de texte. Ensuite, modifiez la contrainte compute.trustedImageProjects en ajoutant projects/batch-custom-image au champ allowedValues. Par exemple, pour autoriser uniquement les images d'OS de VM à partir d'un lot, définissez la contrainte compute.trustedImageProjects sur la valeur suivante:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Lorsque vous avez terminé de modifier le fichier policy.yaml, enregistrez vos modifications.
Pour appliquer le fichier policy.yaml à votre projet, utilisez la commande resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.

Une fois les contraintes mises à jour, il est recommandé de les tester pour vérifier qu'elles fonctionnent comme prévu.

Étapes suivantes

Créez et exécutez des tâches telles que les suivantes :
- Créez et exécutez un job de base, qui utilise par défaut une image d'OS de VM à partir de Batch.
- Créez et exécutez un job qui utilise une image de l'OS de VM spécifique.
En savoir plus sur les images d'OS de VM et les disques de démarrage