Contrôler l'accès aux images de l'OS de la VM pour le traitement par lot
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page explique comment configurer la contrainte de règle d'image approuvée.
Cela vous permet de contrôler l'accès aux images de système d'exploitation pouvant être utilisées pour créer les disques de démarrage des instances de machine virtuelle (VM) Compute Engine.
Par défaut, un utilisateur peut utiliser n'importe quelle image publique ou image personnalisée partagée avec lui pour les VM Compute Engine qui exécutent ses jobs Batch.
Si la contrainte de règlement relatif aux images de confiance n'est pas activée et que vous ne souhaitez pas limiter les images d'OS de VM, vous pouvez arrêter de lire ce document.
Activez la contrainte de règle relative aux images de confiance si vous souhaitez exiger de tous les utilisateurs d'un projet, d'un dossier ou d'une organisation qu'ils créent des VM contenant des logiciels approuvés, conformes à vos exigences en matière de règles ou de sécurité.
Si la contrainte de règlement relatif aux images de confiance est activée, les utilisateurs concernés ne peuvent pas exécuter de jobs Batch, sauf si l'image d'OS de VM pour leur job est autorisée.
Pour créer et exécuter des jobs lorsque la contrainte de règlement relatif aux images de confiance est activée, effectuez au moins l'une des opérations suivantes :
Les étapes suivantes décrivent comment modifier la contrainte de règle d'image approuvée pour autoriser toutes les images d'OS de VM à partir de Batch à l'aide de la consoleGoogle Cloud ou de Google Cloud CLI.
Pour obtenir plus d'instructions sur l'utilisation de la contrainte de règle d'administration relative aux images de confiance (compute.trustedImageProjects), consultez Configurer des règlements relatifs aux images de confiance dans la documentation Compute Engine.
Dans la liste des règles, cliquez sur Définir les projets relatifs aux images de confiance.
La page Détails de la règle s'ouvre.
Sur la page Détails des règles, cliquez sur editGérer la règle. La page Modifier la règle s'ouvre.
Sur la page Modifier la règle, sélectionnez Personnaliser.
Pour Application des règles, sélectionnez une option d'application.
Cliquez sur Ajouter une règle.
Dans la liste Valeurs de règles, vous pouvez choisir d'ajouter une règle qui autorise l'accès à tous les projets d'image non spécifiés, qui refuse l'accès à tous les projets d'image non spécifiés ou qui spécifie un ensemble personnalisé de projets auxquels autoriser ou refuser l'accès. Pour autoriser toutes les images de Batch, procédez comme suit :
Dans la liste Valeurs de règles, sélectionnez Personnalisé.
Un champ Type de règle et un champ Valeurs personnalisées s'affichent.
Dans la liste Type de règle, sélectionnez Autoriser.
Dans le champ Valeurs personnalisées, saisissez projects/batch-custom-image.
Pour enregistrer la règle, cliquez sur OK.
Pour enregistrer et appliquer la règle d'administration, cliquez sur Enregistrer.
gcloud
L'exemple suivant décrit comment autoriser les images de Batch pour un projet spécifique :
Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.
Ouvrez le fichier policy.yaml dans un éditeur de texte. Modifiez ensuite la contrainte compute.trustedImageProjects en ajoutant projects/batch-custom-image au champ allowedValues.
Par exemple, pour n'autoriser que les images d'OS de VM à partir de Batch, définissez la contrainte compute.trustedImageProjects sur la valeur suivante :
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[[["\u003cp\u003eThis document guides users on configuring the trusted image policy constraint to control which operating system images can be used for creating boot disks for Compute Engine VM instances.\u003c/p\u003e\n"],["\u003cp\u003eBy default, users can utilize any public or shared custom image unless the trusted image policy constraint is enabled, which then restricts access to only approved images.\u003c/p\u003e\n"],["\u003cp\u003eEnabling this constraint requires users to either specify an already-approved VM OS image or allow the default VM OS images provided by Batch, in order to run Batch jobs.\u003c/p\u003e\n"],["\u003cp\u003eThe process to allow all VM OS images from Batch involves modifying the trusted image policy constraint through the Google Cloud console or Google Cloud CLI, specifically by adding \u003ccode\u003eprojects/batch-custom-image\u003c/code\u003e to the allowed projects.\u003c/p\u003e\n"],["\u003cp\u003eOnce configured, the document recommends testing the constraints and references a few documents to create and run jobs, or learn more about VM OS images.\u003c/p\u003e\n"]]],[],null,["# Control access to VM OS images for Batch\n\nThis page describes how to configure the trusted image policy constraint.\nThis lets you control access to the operating system (OS) images that can be\nused to create the boot disks for any Compute Engine\nvirtual machine (VM) instances.\n\nBy default, a user can use any public image or any custom image that is\nshared with them for the Compute Engine VMs that run their\nBatch jobs.\nIf the trusted image policy constraint is not enabled and you don't want to\nrestrict VM OS images, you can stop reading this document.\n\nEnable the trusted image policy constraint\nif you want to require all the users in a project, folder, or organization to\ncreate VMs that contain approved software that meets your policy or\nsecurity requirements.\nIf the trusted image policy constraint is enabled, affected users\n[can't run Batch jobs](/batch/docs/troubleshooting#constraint-violated-trusted-images)\nunless the VM OS image for their job is allowed.\nTo create and run jobs when the trusted image policy constraint is enabled,\ndo at least one of the following:\n\n- Have users [specify a VM OS image](/batch/docs/specify-vm-os-image) that is already allowed.\n- Allow the default VM OS images from Batch, as shown in this document.\n\nTo learn more about VM OS images and boot disks, see\n[VM OS environment overview](/batch/docs/vm-os-environment-overview).\nTo learn about which policy constraints have been\nenabled for your project, folder, or organization,\n[view your organization policies](/resource-manager/docs/organization-policy/creating-managing-policies).\n\nBefore you begin\n----------------\n\n1. If you haven't used Batch before, review [Get started with Batch](/batch/docs/get-started) and enable Batch by completing the [prerequisites for projects and users](/batch/docs/get-started#prerequisites).\n2.\n\n To get the permissions that\n you need to configure organization policies,\n\n ask your administrator to grant you the\n\n\n [Organization Policy Administrator](/iam/docs/roles-permissions/orgpolicy#orgpolicy.policyAdmin) (`roles/orgpolicy.policyAdmin`)\n IAM role on the organization.\n\n\n For more information about granting roles, see [Manage access to projects, folders, and organizations](/iam/docs/granting-changing-revoking-access).\n\n\n You might also be able to get\n the required permissions through [custom\n roles](/iam/docs/creating-custom-roles) or other [predefined\n roles](/iam/docs/roles-overview#predefined).\n\n\u003cbr /\u003e\n\nAllow images from Batch\n-----------------------\n\nThe following steps describe how to modify the trusted image policy constraint\nto allow all VM OS images from Batch by using the\nGoogle Cloud console or Google Cloud CLI.\n\nFor more instructions on how to use the trusted image\n(`compute.trustedImageProjects`) policy constraint, see\n[Setting up trusted image policies](/compute/docs/images/restricting-image-access)\nin the Compute Engine documentation. \n\n### Console\n\n1. Go to the **Organization policies** page.\n\n [Go to Organization policies](https://console.cloud.google.com/iam-admin/orgpolicies/)\n2. From the policies list, click **Define trusted image projects**.\n\n The **Policy details** page opens.\n3. On the **Policy details** page, click edit **Manage Policy** . The **Edit policy**\n page opens.\n\n4. On the **Edit policy** page, select **Customize**.\n\n5. For **Policy enforcement**, select an enforcement option.\n\n6. Click **Add rule**.\n\n7. In the **Policy values** list, you can select whether to add a rule that\n allows access to all unspecified image projects, denies access to all\n unspecified image projects, or specifies a custom set of projects to\n allow or deny access to. To allow all images from Batch,\n do the following:\n\n 1. In the **Policy values** list, select **Custom** . A **Policy type** and **Custom values** field appears.\n 2. In the **Policy type** list, select **Allow**.\n 3. In the **Custom values** field, enter `projects/batch-custom-image`.\n8. To save the rule, click **Done**.\n\n9. To save and apply the organization policy, click **Save**.\n\n### gcloud\n\nThe following example describes how to allow images\nfrom Batch for a specific project:\n\n1. To get the existing policy settings for a project, run the\n [`resource-manager org-policies describe` command](/sdk/gcloud/reference/resource-manager/org-policies/describe):\n\n ```\n gcloud resource-manager org-policies describe \\\n compute.trustedImageProjects --project=PROJECT_ID \\\n --effective \u003e policy.yaml\n ```\n\n Replace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with the project ID of the project\n that you want to update.\n2. Open the `policy.yaml` file in a text editor. Then, modify the\n `compute.trustedImageProjects` constraint by adding\n `projects/batch-custom-image` to the `allowedValues` field.\n For example, to allow only VM OS images from Batch\n set the `compute.trustedImageProjects` constraint to the following:\n\n ```\n constraint: constraints/compute.trustedImageProjects\n listPolicy:\n allowedValues:\n - projects//batch-custom-image\n ```\n\n When you have finished editing the `policy.yaml` file, save your changes.\n3. To apply the `policy.yaml` file to your project, use the\n [`resource-manager org-policies set-policy` command](/sdk/gcloud/reference/resource-manager/org-policies/set-policy):\n\n ```\n gcloud resource-manager org-policies set-policy \\\n policy.yaml --project=PROJECT_ID\n ```\n\n Replace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with the project ID of the project\n that you want to update.\n\nWhen you finish updating constraints, testing those constraints is\nrecommended to verify that they are working as intended.\n\nWhat's next\n-----------\n\n- Create and run jobs, such as the following:\n - [Create and run a basic job](/batch/docs/create-run-basic-job), which uses a VM OS image from Batch by default.\n - [Create and run a job that uses a specific VM OS image](/batch/docs/specify-vm-os-image).\n- Learn more about [VM OS images and boot disks](/batch/docs/vm-os-environment-overview)."]]
