控制对批处理作业虚拟机操作系统映像的访问权限

本页介绍了如何配置可信映像政策约束条件。这样，您就可以控制对操作系统 (OS) 映像的访问权限，这些映像可用于为任何 Compute Engine 虚拟机 (VM) 实例创建启动磁盘。

默认情况下，用户可以为运行其批处理作业的 Compute Engine 虚拟机使用任何公共映像或与其共享的任何自定义映像。如果未启用可信映像政策限制条件，并且您不想限制虚拟机操作系统映像，则可以停止阅读本文档。

如果您想要求项目、文件夹或组织中的所有用户创建的虚拟机都包含符合政策或安全要求的获准软件，请启用可信映像政策限制条件。如果启用了可信映像政策约束条件，受影响的用户将无法运行批处理作业，除非其作业的虚拟机操作系统映像已获许可。如需在启用可信映像政策约束条件时创建和运行作业，请执行以下操作之一：

• 让用户指定已获许可的虚拟机操作系统映像。
• 允许使用来自批处理的默认虚拟机操作系统映像，如本文档中所示。

如需详细了解虚拟机操作系统映像和启动磁盘，请参阅 VM 操作系统环境概览。如需了解为您的项目、文件夹或组织启用了哪些政策限制，请查看组织政策。

准备工作

1. 如果您之前未使用过批处理功能，请参阅开始使用批处理，并完成适用于项目和用户的前提条件，以启用批处理功能。

2. 如需获得配置组织政策所需的权限，请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。 如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

   您也可以通过自定义角色或其他预定义角色来获取所需的权限。

允许使用批处理功能上传图片

以下步骤介绍了如何使用Google Cloud 控制台或 Google Cloud CLI 修改可信映像政策约束条件，以允许使用来自批处理的所有虚拟机操作系统映像。

如需详细了解如何使用可信映像 (compute.trustedImageProjects) 政策限制条件，请参阅 Compute Engine 文档中的设置可信映像政策。

更新完限制条件后，建议您测试这些限制条件，以验证其是否按预期运行。

后续步骤

• 创建和运行作业，例如：
  • 创建和运行基本作业，默认使用来自批处理的作业服务的虚拟机操作系统映像。
  • 创建并运行使用特定虚拟机操作系统映像的作业。
• 详细了解虚拟机操作系统映像和启动磁盘。