Esta página descreve como configurar a restrição de política de imagem confiável. Isso permite controlar o acesso às imagens do sistema operacional (SO) que podem ser usadas para criar os discos de inicialização de qualquer instância de máquina virtual (VM) do Compute Engine.
Por padrão, um usuário pode usar qualquer imagem pública ou personalizada que seja compartilhada com ele para as VMs do Compute Engine que executam os jobs em lote. Se a restrição da política de imagem confiável não estiver ativada e você não quiser restringir as imagens do SO da VM, pare de ler este documento.
Ativar a restrição da política de imagem confiável se quiser exigir que todos os usuários de um projeto, pasta ou organização criar VMs com software aprovado que atenda à sua política ou requisitos de segurança. Se a restrição da política de imagem confiável estiver ativada, os usuários afetados não é possível executar jobs em lote a menos que a imagem do SO da VM para o job seja permitida. Para criar e executar trabalhos quando a restrição de política de imagem confiável está ativada, faça pelo menos uma das seguintes ações:
- Peça aos usuários para especificar uma imagem do SO da VM que já esteja permitida.
- Permita as imagens padrão do SO da VM no Batch, conforme mostrado neste documento.
Para saber mais sobre imagens do SO da VM e discos de inicialização, consulte Visão geral do ambiente do SO da VM. Para saber quais restrições de política foram ativadas para seu projeto, pasta ou organização, confira as políticas da organização.
Antes de começar
- Se você nunca usou o Batch, consulte Começar a usar o Batch e ative o Batch concluindo os pré-requisitos para projetos e usuários.
-
Para ter as permissões necessárias para configurar as políticas da organização, peça ao administrador para conceder a você Papel do IAM Administrador de políticas da organização (
roles/orgpolicy.policyAdmin
) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Permitir imagens do lote
As etapas a seguir descrevem como modificar a restrição da política de imagem confiável para permitir todas as imagens do SO da VM no Batch usando o console ou Google Cloud CLI.
Para mais instruções sobre como usar a imagem
(compute.trustedImageProjects
), consulte
Como configurar políticas de imagem confiável
na documentação do Compute Engine.
Console
Acessar a página Políticas da organização.
Na lista de políticas, clique em Definir projetos de imagens confiáveis.
A página Detalhes da política é aberta.
Na página Detalhes da política, clique em
Gerenciar política. A opção Editar política a página abre.Na página Editar política, selecione Personalizar.
Em Aplicação da política, selecione uma opção de aplicação.
Clique em Adicionar regra.
Na lista Valores da política, escolha se quer adicionar uma regra que permite o acesso a todos os projetos de imagem não especificados, nega acesso a todos projetos de imagem não especificados ou especifica um conjunto personalizado de projetos para permitem ou negam acesso. Para permitir todas as imagens do lote, faça o seguinte:
- Na lista Valores da política, selecione Personalizado. Os campos Tipo de política e Valores personalizados aparecem.
- Na lista Tipo de política, selecione Permitir.
- No campo Valores personalizados, insira
projects/batch-custom-image
.
Para salvar a regra, clique em Concluído.
Para salvar e aplicar a política da organização, clique em Salvar.
gcloud
O exemplo a seguir descreve como permitir imagens do Batch para um projeto específico:
Para saber as configurações de política de um projeto, execute o Comando
resource-manager org-policies describe
:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Substitua PROJECT_ID pelo ID do projeto. que você quer atualizar.
Abra o arquivo
policy.yaml
em um editor de texto. Em seguida, modifique ocompute.trustedImageProjects
ao adicionarprojects/batch-custom-image
ao campoallowedValues
. Por exemplo, para permitir apenas imagens do SO da VM do Batch. defina a restriçãocompute.trustedImageProjects
da seguinte maneira:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-image
Quando terminar de editar o arquivo
policy.yaml
, salve as mudanças.Para aplicar o arquivo
policy.yaml
ao seu projeto, use o comandoresource-manager org-policies set-policy
:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto que você quer atualizar.
Quando você terminar de atualizar as restrições, teste-as para verificar se estão funcionando conforme o esperado.
A seguir
- Crie e execute jobs, como os seguintes:
- Crie e execute um job básico, que usa uma imagem do SO da VM do Batch por padrão.
- Crie e execute um job que usa uma imagem específica do SO da VM.
- Saiba mais sobre imagens de SO da VM e discos de inicialização.