Auf dieser Seite wird beschrieben, wie Sie die Einschränkung der Richtlinie für vertrauenswürdige Images konfigurieren. Auf diese Weise können Sie den Zugriff auf die Betriebssystem-Images steuern, die zum Erstellen der Bootlaufwerke für alle Compute Engine-VM-Instanzen verwendet werden können.
Standardmäßig kann ein Nutzer für die Compute Engine-VMs, auf denen seine Batchjobs ausgeführt werden, jedes öffentliche oder ein benutzerdefinierte Image verwenden, das für ihn freigegeben ist. Wenn die Einschränkung der Richtlinie für vertrauenswürdige Images nicht aktiviert ist und Sie VM-Betriebssystem-Images nicht einschränken möchten, lesen Sie dieses Dokument nicht mehr.
Aktivieren Sie die Einschränkung der Richtlinie für vertrauenswürdige Images, wenn Sie möchten, dass alle Nutzer in einem Projekt, einem Ordner oder einer Organisation VMs mit genehmigter Software erstellen müssen, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht. Wenn die Einschränkung der Richtlinie für vertrauenswürdige Images aktiviert ist, können die betroffenen Nutzer keine Batchjobs ausführen, es sei denn, das VM-Betriebssystem-Image für ihren Job ist zulässig. Führen Sie mindestens einen der folgenden Schritte aus, um Jobs zu erstellen und auszuführen, wenn die Einschränkung der Richtlinie für vertrauenswürdige Images aktiviert ist:
- Lassen Sie die Nutzer ein VM-Betriebssystem-Image angeben, das bereits zulässig ist.
- Lassen Sie die Standard-VM-Betriebssystem-Images aus Batch zu, wie in diesem Dokument gezeigt.
Weitere Informationen zu VM-Betriebssystem-Images und Bootlaufwerken finden Sie unter Übersicht über VM-Betriebssystem-Umgebungen. Informationen dazu, welche Richtlinieneinschränkungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aktiviert wurden, finden Sie in den Organisationsrichtlinien.
Hinweise
- Wenn Sie Batch noch nie verwendet haben, lesen Sie die Informationen unter Erste Schritte mit Batch. Aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzer erfüllen.
-
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Unternehmensrichtlinien (
roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Bilder aus Batch zulassen
In den folgenden Schritten wird beschrieben, wie Sie die Einschränkung der Richtlinie für vertrauenswürdige Images über die Google Cloud Console oder die Google Cloud CLI so ändern, dass alle VM-Betriebssystem-Images aus Batch zugelassen werden.
Eine Anleitung zur Verwendung der Richtlinieneinschränkung für vertrauenswürdige Images (compute.trustedImageProjects) finden Sie in der Compute Engine-Dokumentation unter Vertrauenswürdige Image-Richtlinien einrichten.
Console
Rufen Sie die Seite Organisationsrichtlinien auf.
Klicken Sie in der Liste der Richtlinien auf Vertrauenswürdige Image-Projekte definieren.
Die Seite Richtliniendetails wird geöffnet.
Klicken Sie auf der Seite Richtliniendetails auf Richtlinie verwalten. Die Seite Richtlinie bearbeiten wird geöffnet.
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Anpassen aus.
Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus.
Klicken Sie auf Regel hinzufügen.
In der Liste Richtlinienwerte können Sie auswählen, ob eine Regel hinzugefügt werden soll, die den Zugriff auf alle nicht angegebenen Image-Projekte zulässt, den Zugriff auf alle nicht angegebenen Image-Projekte verweigert oder eine benutzerdefinierte Gruppe von Projekten festlegt, für die der Zugriff zugelassen oder verweigert wird. So lassen Sie alle Images aus Batch zu:
- Wählen Sie in der Liste Richtlinienwerte die Option Benutzerdefiniert aus. Die Felder Richtlinientyp und Benutzerdefinierte Werte werden angezeigt.
- Wählen Sie in der Liste Richtlinientyp die Option Zulassen aus.
- Geben Sie im Feld Benutzerdefinierte Werte
projects/batch-custom-imageein.
Klicken Sie auf Fertig, um die Regel zu speichern.
Klicken Sie auf Speichern, um die Organisationsrichtlinie zu speichern und anzuwenden.
gcloud
Im folgenden Beispiel wird beschrieben, wie Images aus Batch für ein bestimmtes Projekt zugelassen werden:
Führen Sie den Befehl
resource-manager org-policies describeaus, um die vorhandenen Richtlinieneinstellungen für ein Projekt abzurufen:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie aktualisieren möchten.
Öffnen Sie die Datei
policy.yamlin einem Texteditor. Ändern Sie dann die Einschränkungcompute.trustedImageProjects. Fügen Sie dazuprojects/batch-custom-imagein das FeldallowedValuesein. Wenn Sie beispielsweise nur VM-Betriebssystem-Images aus Batch zulassen möchten, legen Sie die Einschränkungcompute.trustedImageProjectsso fest:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-imageWenn Sie mit dem Bearbeiten der Datei
policy.yamlfertig sind, speichern Sie Ihre Änderungen.Verwenden Sie den Befehl
resource-manager org-policies set-policy, um die Dateipolicy.yamlauf Ihr Projekt anzuwenden:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie aktualisieren möchten.
Nachdem Sie die Einschränkungen aktualisiert haben, sollten Sie testen, ob sie wie vorgesehen funktionieren.
Nächste Schritte
- Erstellen und führen Sie Jobs wie die folgenden aus:
- Erstellen Sie einen einfachen Job und führen Sie ihn aus, der standardmäßig ein VM-Betriebssystem-Image aus Batch verwendet.
- Job erstellen und ausführen, der ein bestimmtes VM-Betriebssystem-Image verwendet
- VM-Betriebssystem-Images und Bootlaufwerke