Controlar o acesso às imagens do SO da VM para o Batch

Esta página descreve como configurar a restrição de política de imagem confiável. Isso permite controlar o acesso às imagens do sistema operacional (SO) que podem ser usadas para criar os discos de inicialização de qualquer instância de máquina virtual (VM) do Compute Engine.

Por padrão, um usuário pode usar qualquer imagem pública ou personalizada que seja compartilhada com ele para as VMs do Compute Engine que executam os jobs em lote. Se a restrição da política de imagem confiável não estiver ativada e você não quiser restringir as imagens do SO da VM, pare de ler este documento.

Ativar a restrição da política de imagem confiável se quiser exigir que todos os usuários de um projeto, pasta ou organização criar VMs com software aprovado que atenda à sua política ou requisitos de segurança. Se a restrição da política de imagem confiável estiver ativada, os usuários afetados não é possível executar jobs em lote a menos que a imagem do SO da VM para o job seja permitida. Para criar e executar trabalhos quando a restrição de política de imagem confiável está ativada, faça pelo menos uma das seguintes ações:

  • Peça aos usuários para especificar uma imagem do SO da VM que já esteja permitida.
  • Permita as imagens padrão do SO da VM no Batch, conforme mostrado neste documento.

Para saber mais sobre imagens do SO da VM e discos de inicialização, consulte Visão geral do ambiente do SO da VM. Para saber quais restrições de política foram ativadas para seu projeto, pasta ou organização, confira as políticas da organização.

Antes de começar

  1. Se você nunca usou o Batch, consulte Começar a usar o Batch e ative o Batch concluindo os pré-requisitos para projetos e usuários.
  2. Para ter as permissões necessárias para configurar as políticas da organização, peça ao administrador para conceder a você Papel do IAM Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Permitir imagens do lote

As etapas a seguir descrevem como modificar a restrição da política de imagem confiável para permitir todas as imagens do SO da VM no Batch usando o console ou Google Cloud CLI.

Para mais instruções sobre como usar a imagem (compute.trustedImageProjects), consulte Como configurar políticas de imagem confiável na documentação do Compute Engine.

Console

  1. Acessar a página Políticas da organização.

    Acessar as políticas da organização

  2. Na lista de políticas, clique em Definir projetos de imagens confiáveis.

    A página Detalhes da política é aberta.

  3. Na página Detalhes da política, clique em Gerenciar política. A opção Editar política a página abre.

  4. Na página Editar política, selecione Personalizar.

  5. Em Aplicação da política, selecione uma opção de aplicação.

  6. Clique em Adicionar regra.

  7. Na lista Valores da política, escolha se quer adicionar uma regra que permite o acesso a todos os projetos de imagem não especificados, nega acesso a todos projetos de imagem não especificados ou especifica um conjunto personalizado de projetos para permitem ou negam acesso. Para permitir todas as imagens do lote, faça o seguinte:

    1. Na lista Valores da política, selecione Personalizado. Os campos Tipo de política e Valores personalizados aparecem.
    2. Na lista Tipo de política, selecione Permitir.
    3. No campo Valores personalizados, insira projects/batch-custom-image.
  8. Para salvar a regra, clique em Concluído.

  9. Para salvar e aplicar a política da organização, clique em Salvar.

gcloud

O exemplo a seguir descreve como permitir imagens do Batch para um projeto específico:

  1. Para saber as configurações de política de um projeto, execute o Comando resource-manager org-policies describe:

    gcloud resource-manager org-policies describe \
       compute.trustedImageProjects --project=PROJECT_ID \
       --effective > policy.yaml
    

    Substitua PROJECT_ID pelo ID do projeto. que você quer atualizar.

  2. Abra o arquivo policy.yaml em um editor de texto. Em seguida, modifique o compute.trustedImageProjects ao adicionar projects/batch-custom-image ao campo allowedValues. Por exemplo, para permitir apenas imagens do SO da VM do Batch. defina a restrição compute.trustedImageProjects da seguinte maneira:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
     allowedValues:
        - projects//batch-custom-image
    

    Quando terminar de editar o arquivo policy.yaml, salve as mudanças.

  3. Para aplicar o arquivo policy.yaml ao seu projeto, use o comando resource-manager org-policies set-policy:

    gcloud resource-manager org-policies set-policy \
       policy.yaml --project=PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto que você quer atualizar.

Quando você terminar de atualizar as restrições, teste-as para verificar se estão funcionando conforme o esperado.

A seguir