En esta página se describe cómo configurar la restricción de política de imágenes de confianza. De esta forma, puedes controlar el acceso a las imágenes del sistema operativo que se pueden usar para crear los discos de arranque de cualquier instancia de máquina virtual (VM) de Compute Engine.
De forma predeterminada, un usuario puede usar cualquier imagen pública o personalizada que se haya compartido con él para las VMs de Compute Engine que ejecuten sus trabajos por lotes. Si la restricción de la política de imágenes de confianza no está habilitada y no quieres restringir las imágenes del SO de las VMs, puedes dejar de leer este documento.
Habilita la restricción de la política de imágenes de confianza si quieres que todos los usuarios de un proyecto, una carpeta o una organización creen VMs que contengan software aprobado que cumpla tus requisitos de política o de seguridad. Si la restricción de la política de imágenes de confianza está habilitada, los usuarios afectados no podrán ejecutar trabajos de Batch a menos que se permita la imagen del SO de la VM de su trabajo. Para crear y ejecutar trabajos cuando la restricción de la política de imágenes de confianza esté habilitada, haz al menos una de las siguientes acciones:
- Pide a los usuarios que especifiquen una imagen del SO de la VM que ya esté permitida.
- Permite las imágenes de SO de VM predeterminadas de Batch, tal como se muestra en este documento.
Para obtener más información sobre las imágenes de SO de las VMs y los discos de arranque, consulta la descripción general del entorno del SO de las VMs. Para saber qué restricciones de políticas se han habilitado en tu proyecto, carpeta u organización, consulta tus políticas de organización.
Antes de empezar
- Si no has usado Batch antes, consulta el artículo Empezar a usar Batch y habilita Batch completando los requisitos previos para proyectos y usuarios.
-
Para obtener los permisos que necesitas para configurar las políticas de la organización, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Permitir imágenes de Batch
En los pasos siguientes se describe cómo modificar la restricción de la política de imágenes de confianza para permitir todas las imágenes de SO de máquinas virtuales de Batch mediante laGoogle Cloud consola o la CLI de Google Cloud.
Para obtener más instrucciones sobre cómo usar la restricción de política de imagen de confianza (compute.trustedImageProjects), consulta el artículo Configurar políticas de imágenes de confianza de la documentación de Compute Engine.
Consola
Ve a la página Políticas de la organización.
En la lista de políticas, haga clic en Define trusted image projects (Definir proyectos de imágenes de confianza).
Se abrirá la página Detalles de la política.
En la página Detalles de la política, haz clic en Gestionar política. Se abrirá la página Editar política.
En la página Editar política, selecciona Personalizar.
En Aplicación de la política, selecciona una opción.
Haz clic en Añadir regla.
En la lista Valores de la política, puede seleccionar si quiere añadir una regla que permita el acceso a todos los proyectos de imágenes no especificados, que deniegue el acceso a todos los proyectos de imágenes no especificados o que especifique un conjunto personalizado de proyectos a los que se les permita o deniegue el acceso. Para permitir todas las imágenes de Batch, sigue estos pasos:
- En la lista Valores de la política, selecciona Personalizado. Aparecerán los campos Tipo de política y Valores personalizados.
- En la lista Tipo de política, selecciona Permitir.
- En el campo Valores personalizados, introduce
projects/batch-custom-image.
Para guardar la regla, haz clic en Hecho.
Para guardar y aplicar la política de la organización, haz clic en Guardar.
gcloud
En el siguiente ejemplo se describe cómo permitir imágenes de Batch en un proyecto específico:
Para obtener la configuración de la política de un proyecto, ejecuta el
resource-manager org-policies describecomando:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Sustituye PROJECT_ID por el ID del proyecto que quieras actualizar.
Abre el archivo
policy.yamlen un editor de texto. A continuación, modifica la restriccióncompute.trustedImageProjectsañadiendoprojects/batch-custom-imageal campoallowedValues. Por ejemplo, para permitir solo imágenes de SO de VM de Batch, define la restriccióncompute.trustedImageProjectsde la siguiente manera:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-imageCuando hayas terminado de editar el archivo
policy.yaml, guarda los cambios.Para aplicar el archivo
policy.yamla tu proyecto, usa el comandoresource-manager org-policies set-policy:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Sustituye PROJECT_ID por el ID del proyecto que quieras actualizar.
Cuando termines de actualizar las restricciones, te recomendamos que las pruebes para verificar que funcionan correctamente.
Siguientes pasos
- Crea y ejecuta tareas, como las siguientes:
- Crea y ejecuta un trabajo básico, que usa una imagen del SO de la VM de Batch de forma predeterminada.
- Crea y ejecuta un trabajo que use una imagen de SO de VM específica.
- Consulta más información sobre las imágenes del SO de las VMs y los discos de arranque.