Zugriff auf VM-Betriebssystem-Images für Batch steuern

Auf dieser Seite wird beschrieben, wie Sie die Einschränkung für die Richtlinie für vertrauenswürdige Images konfigurieren. So können Sie den Zugriff auf die Betriebssystem-Images steuern, die zum Erstellen der Bootlaufwerke für Compute Engine-VM-Instanzen verwendet werden können.

Standardmäßig kann ein Nutzer jedes öffentliche Image oder jedes benutzerdefinierte Image verwenden, das für die Compute Engine-VMs, auf denen seine Batch-Jobs ausgeführt werden, für ihn freigegeben ist. Wenn die Einschränkung für die Trusted Image-Richtlinie nicht aktiviert ist und Sie VM-Betriebssystem-Images nicht einschränken möchten, können Sie das Lesen dieses Dokuments beenden.

Aktivieren Sie die Richtlinieneinschränkung für vertrauenswürdige Images, wenn alle Nutzer in einem Projekt, Ordner oder einer Organisation VMs erstellen müssen, die genehmigte Software enthalten, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht. Wenn die Einschränkung für die Trusted Image-Richtlinie aktiviert ist, können betroffene Nutzer keine Batchjobs ausführen, es sei denn, das VM-Betriebssystem-Image für ihren Job ist zulässig. Wenn die Einschränkung für Trusted Image-Richtlinien aktiviert ist, müssen Sie mindestens eine der folgenden Aktionen ausführen, um Jobs zu erstellen und auszuführen:

  • Lassen Sie Nutzer ein VM-Betriebssystem-Image angeben, das bereits zulässig ist.
  • Lassen Sie die Standard-VM-Betriebssystem-Images von Batch zu, wie in diesem Dokument beschrieben.

Weitere Informationen zu VM-Betriebssystem-Images und Bootlaufwerken finden Sie unter Übersicht über die VM-Betriebssystemumgebung. Rufen Sie Ihre Organisationsrichtlinien auf, um herauszufinden, welche Richtlinieneinschränkungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aktiviert wurden.

Hinweise

  1. Wenn Sie Batch noch nicht verwendet haben, lesen Sie den Abschnitt Erste Schritte mit Batch und aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzer erfüllen.

  2. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organisationsrichtlinienadministrator (roles/orgpolicy.policyAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Bilder aus Batch zulassen

In den folgenden Schritten wird beschrieben, wie Sie die Einschränkung für die Richtlinie für vertrauenswürdige Images so ändern, dass alle VM-Betriebssystemimages aus Batch zugelassen werden. Dazu verwenden Sie dieGoogle Cloud Console oder die Google Cloud CLI.

Weitere Informationen zur Verwendung der Richtlinienbeschränkung für vertrauenswürdige Images (compute.trustedImageProjects) finden Sie in der Compute Engine-Dokumentation unter Trusted Image-Richtlinien einrichten.

Console

  1. Rufen Sie die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren.

    Die Seite Richtliniendetails wird geöffnet.

  3. Klicken Sie auf der Seite Richtliniendetails auf  Richtlinie verwalten. Die Seite Richtlinie bearbeiten wird geöffnet.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Anpassen aus.

  5. Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus.

  6. Klicken Sie auf Regel hinzufügen.

  7. In der Liste Richtlinienwerte können Sie auswählen, ob Sie eine Regel hinzufügen möchten, die den Zugriff auf alle nicht angegebenen Image-Projekte zulässt, den Zugriff auf alle nicht angegebenen Image-Projekte verweigert oder einen benutzerdefinierten Satz von Projekten angibt, für die der Zugriff zugelassen oder verweigert werden soll. So lassen Sie alle Bilder aus Batch zu:

    1. Wählen Sie in der Liste Richtlinienwerte die Option Benutzerdefiniert aus. Die Felder Richtlinientyp und Benutzerdefinierte Werte werden angezeigt.
    2. Wählen Sie in der Liste Richtlinientyp die Option Zulassen aus.
    3. Geben Sie im Feld Benutzerdefinierte Werte den Wert projects/batch-custom-image ein.

  8. Klicken Sie auf Fertig, um die Regel zu speichern.

  9. Klicken Sie auf Speichern, um die Organisationsrichtlinie zu speichern und anzuwenden.

gcloud

Im folgenden Beispiel wird beschrieben, wie Sie Bilder aus Batch für ein bestimmtes Projekt zulassen:

  1. Führen Sie den Befehl resource-manager org-policies describe aus, um die vorhandenen Richtlinieneinstellungen für ein Projekt abzurufen:

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie aktualisieren möchten.

  2. Öffnen Sie die Datei policy.yaml in einem Texteditor. Ändern Sie dann die Einschränkung compute.trustedImageProjects, indem Sie projects/batch-custom-image dem Feld allowedValues hinzufügen. Wenn Sie beispielsweise nur VM-Betriebssystem-Images aus Batch zulassen möchten, legen Sie die Einschränkung compute.trustedImageProjects auf Folgendes fest:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image

    Wenn Sie mit der Bearbeitung der Datei policy.yaml fertig sind, speichern Sie die Änderungen.

  3. Wenden Sie die Datei policy.yaml mit dem Befehl resource-manager org-policies set-policy auf Ihr Projekt an:

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie aktualisieren möchten.

Wenn Sie die Einschränkungen aktualisiert haben, sollten Sie sie testen, um zu prüfen, ob sie wie vorgesehen funktionieren.

Nächste Schritte