Cette page explique comment configurer la contrainte de règle relative aux images de confiance. Cela vous permet de contrôler l'accès aux images de système d'exploitation (OS) permettant de créer les disques de démarrage de toutes les instances de machine virtuelle (VM) Compute Engine.
Par défaut, un utilisateur peut utiliser n'importe quelle image publique ou toute image personnalisée partagée avec lui pour les VM Compute Engine qui exécutent ses tâches par lot. Si la contrainte de règle relative aux images de confiance n'est pas activée et que vous ne souhaitez pas restreindre les images d'OS de VM, vous pouvez arrêter la lecture de ce document.
Activez la contrainte de règle relative aux images de confiance si vous souhaitez obliger tous les utilisateurs d'un projet, d'un dossier ou d'une organisation à créer des VM contenant des logiciels approuvés conformes à vos règles ou exigences de sécurité. Si la contrainte de règle relative aux images de confiance est activée, les utilisateurs concernés ne peuvent pas exécuter de jobs par lot, sauf si l'image de l'OS de la VM pour leur tâche est autorisée. Pour créer et exécuter des tâches lorsque la contrainte de règle relative aux images de confiance est activée, effectuez au moins l'une des opérations suivantes:
- Demandez aux utilisateurs de spécifier une image d'OS de VM déjà autorisée.
- Autorisez les images d'OS de VM par défaut à partir de Batch, comme indiqué dans ce document.
Pour en savoir plus sur les images et les disques de démarrage de l'OS de VM, consultez la section Présentation de l'environnement d'OS des VM. Pour en savoir plus sur les contraintes de règle qui ont été activées pour votre projet, dossier ou organisation, affichez vos règles d'administration.
Avant de commencer
- Si vous n'avez jamais utilisé Batch, consultez la page Premiers pas avec Batch et activez Batch en remplissant les conditions préalables pour les projets et les utilisateurs.
-
Afin d'obtenir les autorisations nécessaires pour configurer les règles d'administration#39;administration, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin
) au niveau de l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Autoriser les images de Batch
Les étapes suivantes décrivent comment modifier la contrainte des règles relatives aux images de confiance pour autoriser toutes les images d'OS de VM issues de Batch à l'aide de la console Google Cloud ou de Google Cloud CLI.
Pour plus d'informations sur l'utilisation de la contrainte de règle d'image de confiance (compute.trustedImageProjects
), consultez la section Configurer des règles d'image de confiance dans la documentation Compute Engine.
Console
Accédez à la page Règles d'administration.
Dans la liste des règles, cliquez sur Définir des projets relatifs aux images de confiance.
La page Détails des règles s'ouvre.
Sur la page Détails des règles, cliquez sur
Gérer la règle. La page Modifier la règle s'ouvre.Sur la page Modifier la règle, sélectionnez Personnaliser.
Pour Application des règles, sélectionnez une option d'application.
Cliquez sur Ajouter une règle.
Dans la liste Valeurs de règles, vous pouvez choisir d'ajouter une règle qui autorise l'accès à tous les projets d'image non spécifiés, refuse l'accès à tous les projets d'image non spécifiés, ou spécifie un ensemble personnalisé de projets pour lesquels autoriser ou refuser l'accès. Pour autoriser toutes les images depuis Batch, procédez comme suit:
- Dans la liste Valeurs de règles, sélectionnez Personnalisé. Les champs Type de règle et Valeurs personnalisées s'affichent.
- Dans la liste Type de règle, sélectionnez Autoriser.
- Dans le champ Valeurs personnalisées, saisissez
projects/batch-custom-image
.
Pour enregistrer la règle, cliquez sur OK.
Pour enregistrer et appliquer la règle d'administration, cliquez sur Enregistrer.
gcloud
L'exemple suivant explique comment autoriser des images Batch pour un projet spécifique:
Pour obtenir les paramètres des stratégies existantes pour un projet, exécutez la commande
resource-manager org-policies describe
:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.
Ouvrez le fichier
policy.yaml
dans un éditeur de texte. Ensuite, modifiez la contraintecompute.trustedImageProjects
en ajoutantprojects/batch-custom-image
au champallowedValues
. Par exemple, pour autoriser uniquement les images d'OS de VM à partir d'un lot, définissez la contraintecompute.trustedImageProjects
sur la valeur suivante:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-image
Lorsque vous avez terminé de modifier le fichier
policy.yaml
, enregistrez vos modifications.Pour appliquer le fichier
policy.yaml
à votre projet, utilisez la commanderesource-manager org-policies set-policy
:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.
Une fois les contraintes mises à jour, il est recommandé de les tester pour vérifier qu'elles fonctionnent comme prévu.
Étapes suivantes
- Créez et exécutez des tâches telles que les suivantes :
- Créez et exécutez un job de base, qui utilise par défaut une image d'OS de VM à partir de Batch.
- Créez et exécutez un job qui utilise une image de l'OS de VM spécifique.
- En savoir plus sur les images d'OS de VM et les disques de démarrage