Cette page a été traduite par l'API Cloud Translation.

Contrôler l'accès aux images d'OS de VM pour Batch

Cette page explique comment configurer la contrainte de la règle relative aux images de confiance. Cela vous permet de contrôler l'accès aux images du système d'exploitation (OS) pouvant être utilisés pour créer les disques de démarrage pour tout d'instances de machines virtuelles (VM).

Par défaut, un utilisateur peut utiliser n'importe quelle image publique ou image personnalisée partagés avec eux pour les VM Compute Engine qui exécutent Jobs par lot. Si la contrainte de règlement relatif aux images de confiance n'est pas activée et que vous ne souhaitez pas limiter les images d'OS de VM, vous pouvez arrêter de lire ce document.

Activez la contrainte de règle relative aux images de confiance si vous souhaitez que tous les utilisateurs d'un projet, d'un dossier ou d'une organisation créent des VM contenant des logiciels approuvés, autrement dit conformes à vos règles ou à vos exigences de sécurité. Si la contrainte de règlement sur les images de confiance est activée, les utilisateurs concernés ne peuvent pas exécuter de tâches par lot, sauf si l'image du système d'exploitation de la VM pour leur tâche est autorisée. Pour créer et exécuter des tâches lorsque la contrainte de règlement relatif aux images de confiance est activée, effectuez au moins l'une des opérations suivantes :

Demander aux utilisateurs de spécifier une image d'OS de VM qui est déjà autorisée.
Autorisez les images d'OS de VM par défaut à partir de Batch, comme indiqué dans ce document.

Pour en savoir plus sur les images d'OS et les disques de démarrage de VM, consultez la section Présentation de l'environnement d'OS de VM. Pour savoir quelles contraintes de règles ont été activées pour votre projet, votre dossier ou votre organisation, consultez vos règles d'administration.

Avant de commencer

Si vous n'avez jamais utilisé Batch, consultez Premiers pas avec Batch et activez Batch en remplissant les conditions préalables pour les projets et les utilisateurs.
Pour obtenir les autorisations dont vous avez besoin pour configurer les règles d'administration, demandez à votre administrateur de vous accorder le Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) sur l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Autoriser les images de Batch

Les étapes suivantes décrivent comment modifier la contrainte de règle d'image approuvée pour autoriser toutes les images d'OS de VM à partir de Batch à l'aide de la console Google Cloud ou de la Google Cloud CLI.

Pour en savoir plus sur l'utilisation de l'image de confiance (compute.trustedImageProjects), consultez Configurer des règles relatives aux images de confiance dans la documentation Compute Engine.

Console

Accédez à la page Règles d'administration.

Accéder à la page Règles d'administration
Dans la liste des règles, cliquez sur Définir les projets relatifs aux images de confiance.

La page Détails de la stratégie s'ouvre.
Sur la page Détails de la règle, cliquez sur Gérer la règle. La page Modifier la règle s'ouvre.
Sur la page Modifier la règle, sélectionnez Personnaliser.
Pour Application des règles, sélectionnez une option d'application.
Cliquez sur Ajouter une règle.
Dans la liste Valeurs de règles, vous pouvez choisir d'ajouter une règle qui autorise l'accès à tous les projets d'images non spécifiés, qui refuse l'accès à tous les projets d'images non spécifiés ou qui spécifie un ensemble personnalisé de projets auxquels autoriser ou refuser l'accès. Pour autoriser toutes les images de Batch, effectuer les opérations suivantes:
1. Dans la liste Valeurs de règles, sélectionnez Personnalisé. Un champ Type de règle et Valeurs personnalisées s'affichent.
2. Dans la liste Type de règle, sélectionnez Autoriser.
3. Dans le champ Valeurs personnalisées, saisissez projects/batch-custom-image.
Pour enregistrer la règle, cliquez sur OK.
Pour enregistrer et appliquer la règle d'administration, cliquez sur Enregistrer.

gcloud

L'exemple suivant décrit comment autoriser les images de Batch pour un projet spécifique :

Pour obtenir les paramètres de règles existants d'un projet, exécutez la commande resource-manager org-policies describe :
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.
Ouvrez le fichier policy.yaml dans un éditeur de texte. Modifiez ensuite la contrainte compute.trustedImageProjects en ajoutant projects/batch-custom-image au champ allowedValues. Par exemple, pour n'autoriser que les images d'OS de VM issues de Définissez la contrainte compute.trustedImageProjects comme suit:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Lorsque vous avez terminé de modifier le fichier policy.yaml, enregistrez vos modifications.
Pour appliquer le fichier policy.yaml à votre projet, utilisez la méthode Commande resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Remplacez PROJECT_ID par l'ID du projet. que vous souhaitez mettre à jour.

Lorsque vous avez terminé de mettre à jour les contraintes, il est recommandé de les tester pour vérifier qu'elles fonctionnent comme prévu.

Étape suivante

Créez et exécutez des jobs, par exemple :
- Créez et exécutez un job de base, qui utilise une image d'OS de VM à partir de Batch par défaut.
- Créez et exécutez une tâche qui utilise une image d'OS de VM spécifique.
Apprenez-en plus sur les images d'OS de VM et les disques de démarrage.