In questa pagina viene descritto come configurare il vincolo criteri per l'utilizzo di immagini attendibili. In questo modo puoi controllare l'accesso alle immagini del sistema operativo (OS) che possono essere utilizzate per creare i dischi di avvio per qualsiasi istanza di macchina virtuale (VM) Compute Engine.
Per impostazione predefinita, un utente può utilizzare qualsiasi immagine pubblica o personalizzata condivise con loro per le VM di Compute Engine che eseguono Job batch. Se il vincolo del criteri per l'utilizzo di immagini attendibili non è abilitato e non vuoi limita le immagini del sistema operativo VM, puoi interrompere la lettura di questo documento.
Abilita il vincolo criteri per l'utilizzo di immagini attendibili se vuoi richiedere a tutti gli utenti di un progetto, di una cartella o di un'organizzazione di creare VM contenenti software approvato che soddisfa i criteri requisiti di sicurezza. Se il vincolo del criteri per l'utilizzo di immagini attendibili è abilitato, gli utenti interessati non può eseguire job batch a meno che non sia consentita l'immagine del sistema operativo VM per il job. Per creare ed eseguire job quando è abilitato il vincolo del criteri per l'utilizzo di immagini attendibili, esegui almeno una delle seguenti operazioni:
- Chiedi agli utenti di specificare un'immagine del sistema operativo della VM che è già consentita.
- Consenti le immagini predefinite del sistema operativo VM da Batch, come mostrato in questo documento.
Per scoprire di più sulle immagini del sistema operativo e sui dischi di avvio delle VM, consulta la Panoramica dell'ambiente del sistema operativo VM. Per saperne di più sui vincoli dei criteri abilitate per il progetto, la cartella o l'organizzazione, visualizza i criteri dell'organizzazione.
Prima di iniziare
- Se non hai mai utilizzato Batch, consulta la guida introduttiva all'utilizzo di Batch e attivalo completando i prerequisiti per progetti e utenti.
-
Per ottenere le autorizzazioni necessarie per configurare i criteri dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore dei criteri dell'organizzazione (
roles/orgpolicy.policyAdmin
) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Consenti le immagini da Batch
I passaggi seguenti spiegano come modificare il vincolo criteri per l'utilizzo di immagini attendibili per consentire tutte le immagini del sistema operativo VM da Batch, utilizzando console Google Cloud o Google Cloud CLI.
Per ulteriori istruzioni su come utilizzare l'immagine attendibile
(compute.trustedImageProjects
) vincolo del criterio; consulta
Configurazione dei criteri per le immagini attendibili
nella documentazione di Compute Engine.
Console
Vai alla pagina Criteri dell'organizzazione.
Nell'elenco dei criteri, fai clic su Definisci progetti di immagini attendibili.
Viene visualizzata la pagina Dettagli norme.
Nella pagina Dettagli norme, fai clic su
Gestisci norme. Il criterio Modifica criterio si apre una pagina.Nella pagina Modifica criterio, seleziona Personalizza.
In Applicazione criteri, seleziona un'opzione di applicazione.
Fai clic su Aggiungi regola.
Nell'elenco Valori criterio, puoi selezionare se aggiungere una regola che consente l'accesso a tutti i progetti di immagini non specificati, nega l'accesso a tutti i progetti di immagini non specificati o specifica un insieme personalizzato di progetti a cui consentire o negare l'accesso. Per consentire tutte le immagini di Batch, segui questi passaggi:
- Nell'elenco Valori criterio, seleziona Personalizzato. Vengono visualizzati i campi Tipo di criterio e Valori personalizzati.
- Nell'elenco Tipo di criterio, seleziona Consenti.
- Nel campo Valori personalizzati, inserisci
projects/batch-custom-image
.
Per salvare la regola, fai clic su Fine.
Per salvare e applicare il criterio dell'organizzazione, fai clic su Salva.
gcloud
Nell'esempio seguente viene descritto come consentire l'uso delle immagini da Batch per un progetto specifico:
Per ottenere le impostazioni dei criteri esistenti per un progetto, esegui il comando
resource-manager org-policies describe
:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Sostituisci PROJECT_ID con l'ID del progetto che vuoi aggiornare.
Apri il file
policy.yaml
in un editor di testo. Poi modificacompute.trustedImageProjects
vincolo con l'aggiuntaprojects/batch-custom-image
al campoallowedValues
. Ad esempio, per consentire solo immagini del sistema operativo VM da batch Imposta il vincolocompute.trustedImageProjects
come segue:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-image
Al termine della modifica del file
policy.yaml
, salva le modifiche.Per applicare il file
policy.yaml
al tuo progetto, utilizza la proprietà Comandoresource-manager org-policies set-policy
:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto che vuoi aggiornare.
Al termine dell'aggiornamento dei vincoli, il test di questi vincoli consigliato per verificare che funzionino come previsto.
Passaggi successivi
- Crea ed esegui job, ad esempio:
- Crea ed esegui un job di base, che utilizza per impostazione predefinita un'immagine del sistema operativo VM di Batch.
- Crea ed esegui un job che utilizza un'immagine del sistema operativo VM specifica.
- Scopri di più sulle immagini del sistema operativo e sui dischi di avvio delle VM.