Contrôler l'accès aux images de l'OS de la VM pour le traitement par lot

Cette page explique comment configurer la contrainte de règle d'image approuvée. Vous pouvez ainsi contrôler l'accès aux images du système d'exploitation (OS) pouvant être utilisées pour créer les disques de démarrage de toutes les instances de machine virtuelle (VM) Compute Engine.

Par défaut, un utilisateur peut utiliser n'importe quelle image publique ou image personnalisée partagée avec lui pour les VM Compute Engine qui exécutent ses tâches par lot. Si la contrainte de règlement relatif aux images de confiance n'est pas activée et que vous ne souhaitez pas limiter les images d'OS de VM, vous pouvez arrêter de lire ce document.

Activez la contrainte de règle relative aux images de confiance si vous souhaitez que tous les utilisateurs d'un projet, d'un dossier ou d'une organisation créent des VM contenant des logiciels approuvés conformes à vos règles ou à vos exigences de sécurité. Si la contrainte de règlement sur les images de confiance est activée, les utilisateurs concernés ne peuvent pas exécuter de tâches par lot, sauf si l'image du système d'exploitation de la VM pour leur tâche est autorisée. Pour créer et exécuter des tâches lorsque la contrainte de règlement relatif aux images de confiance est activée, effectuez au moins l'une des opérations suivantes:

  • Demandez aux utilisateurs de spécifier une image d'OS de VM déjà autorisée.
  • Autorisez les images de système d'exploitation de VM par défaut à partir de Batch, comme indiqué dans ce document.

Pour en savoir plus sur les images d'OS et les disques de démarrage de VM, consultez la section Présentation de l'environnement d'OS de VM. Pour savoir quelles contraintes de règles ont été activées pour votre projet, votre dossier ou votre organisation, consultez vos règles d'administration.

Avant de commencer

  1. Si vous n'avez jamais utilisé Batch, consultez Premiers pas avec Batch et activez Batch en remplissant les conditions préalables pour les projets et les utilisateurs.

  2. Pour obtenir les autorisations nécessaires pour configurer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

    Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Autoriser les images de la fonctionnalité "Batch"

Les étapes suivantes décrivent comment modifier la contrainte de règle d'image approuvée pour autoriser toutes les images d'OS de VM à partir de Batch à l'aide de la console Google Cloud ou de la Google Cloud CLI.

Pour en savoir plus sur l'utilisation de la contrainte de règle d'administration des images de confiance (compute.trustedImageProjects), consultez la section Configurer des règles relatives aux images de confiance dans la documentation Compute Engine.

Console

  1. Accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Dans la liste des règles, cliquez sur Définir les projets relatifs aux images de confiance.

    La page Détails de la stratégie s'ouvre.

  3. Sur la page Détails de la règle, cliquez sur  Gérer la règle. La page Modifier la règle s'ouvre.

  4. Sur la page Modifier la règle, sélectionnez Personnaliser.

  5. Pour Application des règles, sélectionnez une option d'application.

  6. Cliquez sur Ajouter une règle.

  7. Dans la liste Valeurs de règles, vous pouvez choisir d'ajouter une règle qui autorise l'accès à tous les projets d'images non spécifiés, qui refuse l'accès à tous les projets d'images non spécifiés ou qui spécifie un ensemble personnalisé de projets auxquels autoriser ou refuser l'accès. Pour autoriser toutes les images de Batch, procédez comme suit:

    1. Dans la liste Valeurs de règles, sélectionnez Personnalisé. Les champs Type de règle et Valeurs personnalisées s'affichent.
    2. Dans la liste Type de règle, sélectionnez Autoriser.
    3. Dans le champ Valeurs personnalisées, saisissez projects/batch-custom-image.

  8. Pour enregistrer la règle, cliquez sur OK.

  9. Pour enregistrer et appliquer la règle d'administration, cliquez sur Enregistrer.

gcloud

L'exemple suivant décrit comment autoriser les images de Batch pour un projet spécifique:

  1. Pour obtenir les paramètres de stratégie existants d'un projet, exécutez la commande resource-manager org-policies describe:

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.

  2. Ouvrez le fichier policy.yaml dans un éditeur de texte. Modifiez ensuite la contrainte compute.trustedImageProjects en ajoutant projects/batch-custom-image au champ allowedValues. Par exemple, pour n'autoriser que les images d'OS de VM à partir de Batch, définissez la contrainte compute.trustedImageProjects sur la valeur suivante:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image

    Lorsque vous avez terminé de modifier le fichier policy.yaml, enregistrez vos modifications.

  3. Pour appliquer le fichier policy.yaml à votre projet, utilisez la commande resource-manager org-policies set-policy:

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.

Lorsque vous avez terminé de mettre à jour les contraintes, il est recommandé de les tester pour vous assurer qu'elles fonctionnent comme prévu.

Étape suivante