控制对 Batch 的虚拟机操作系统映像的访问权限

本页面介绍如何配置可信映像政策限制条件。 这样,您就可以控制对操作系统 (OS) 映像的访问权限,这些映像可用于为任何 Compute Engine 虚拟机 (VM) 实例创建启动磁盘。

默认情况下,用户可以将任何公共映像或与其共享的任何自定义映像用于运行其批处理作业的 Compute Engine 虚拟机。如果未启用可信映像政策限制条件,并且您不希望限制虚拟机操作系统映像,则可以停止阅读本文档。

如果要要求项目、文件夹或组织中的所有用户创建包含符合政策或安全要求的已批准软件的虚拟机,请启用可信映像政策限制条件。如果启用了可信映像政策限制条件,则受影响的用户无法运行批量作业,除非允许其作业的虚拟机操作系统映像。 如需在启用可信映像政策限制条件的情况下创建和运行作业,请至少执行以下某项操作:

如需详细了解虚拟机操作系统映像和启动磁盘,请参阅虚拟机操作系统环境概览。如需了解为您的项目、文件夹或组织启用了哪些政策限制条件,请查看组织政策

准备工作

允许来自 Batch 的映像

以下步骤介绍了如何使用 Google Cloud 控制台或 Google Cloud CLI 修改可信映像政策限制条件,以允许 Batch 中的所有虚拟机操作系统映像。

如需详细了解如何使用可信映像 (compute.trustedImageProjects) 政策限制条件,请参阅 Compute Engine 文档中的设置可信映像政策

控制台

  1. 转到组织政策页面。

    转到“组织政策”

  2. 在政策列表中,点击定义可信映像项目

    系统随即会打开政策详情页面。

  3. 政策详情页面上,点击 管理政策。系统随即会打开修改政策页面。

  4. 修改政策页面上,选择自定义

  5. 强制执行部分,选择强制执行选项。

  6. 点击添加规则

  7. 政策值列表中,您可以选择是添加允许访问所有未指定映像项目、拒绝访问所有未指定映像项目的规则,还是指定允许或拒绝访问的一组自定义项目。如需允许 Batch 中的所有映像,请执行以下操作:

    1. 政策值列表中,选择自定义。 系统随即会显示政策类型自定义值字段。
    2. 政策类型列表中,选择允许
    3. 自定义值字段中,输入 projects/batch-custom-image

  8. 要保存规则,请点击完成

  9. 要保存并应用组织政策,请点击保存

gcloud

以下示例介绍如何针对特定项目允许来自 Batch 的映像:

  1. 如需获取项目的现有政策设置,请运行 resource-manager org-policies describe 命令

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    PROJECT_ID 替换为您要更新的项目的 ID。

  2. 在文本编辑器中打开 policy.yaml 文件。然后,通过将 projects/batch-custom-image 添加到 allowedValues 字段来修改 compute.trustedImageProjects 限制条件。例如,如需仅允许 Batch 中的虚拟机操作系统映像,请将 compute.trustedImageProjects 限制条件设置为以下内容:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image

    修改完 policy.yaml 文件后,保存您的更改。

  3. 如需将 policy.yaml 文件应用于您的项目,请使用 resource-manager org-policies set-policy 命令

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    PROJECT_ID 替换为您要更新的项目的 ID。

完成限制条件更新后,建议测试这些限制条件,以验证它们是否按预期运行。

后续步骤