Controllare l'accesso alle immagini VM OS per Batch

In questa pagina viene descritto come configurare il vincolo criteri per l'utilizzo di immagini attendibili. In questo modo puoi controllare l'accesso alle immagini del sistema operativo (OS) che possono essere utilizzate per creare i dischi di avvio per qualsiasi istanza di macchina virtuale (VM) Compute Engine.

Per impostazione predefinita, un utente può utilizzare qualsiasi immagine pubblica o personalizzata condivisa con lui per le VM di Compute Engine che eseguono i job batch. Se il vincolo relativo criteri per l'utilizzo di immagini attendibili non è abilitato e non vuoi limitare le immagini VM OS, puoi interrompere la lettura di questo documento.

Abilita il vincolo relativo ai criteri per l'utilizzo di immagini attendibili se vuoi richiedere a tutti gli utenti di un progetto, una cartella o un'organizzazione di creare VM contenenti software approvato che soddisfi i tuoi requisiti di sicurezza o dei criteri. Se il vincolo del criteri per l'utilizzo di immagini attendibili è abilitato, gli utenti interessati non possono eseguire job batch a meno che l'immagine VM del sistema operativo per il loro job non sia consentita. Per creare ed eseguire job quando il vincolo criteri per l'utilizzo di immagini attendibili è abilitato, esegui almeno una delle seguenti operazioni:

Chiedi agli utenti di specificare un'immagine VM del sistema operativo già consentita.
Consenti le immagini predefinite del sistema operativo VM da Batch, come mostrato in questo documento.

Per scoprire di più sulle immagini del sistema operativo delle VM e sui dischi di avvio, consulta Panoramica dell'ambiente del sistema operativo VM. Per scoprire di più su quali vincoli dei criteri sono stati abilitati per il progetto, la cartella o l'organizzazione, visualizza i criteri dell'organizzazione.

Prima di iniziare

Se non hai mai utilizzato Batch, consulta la Guida introduttiva all'utilizzo di Batch e abilita Batch completando i prerequisiti per progetti e utenti.
Per ottenere le autorizzazioni necessarie per configurare i criteri dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin) per l'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Consenti immagini da Batch

I passaggi seguenti descrivono come modificare il vincolo criteri per l'utilizzo di immagini attendibili per consentire tutte le immagini del sistema operativo VM da Batch utilizzando la console Google Cloud o Google Cloud CLI.

Per ulteriori istruzioni su come utilizzare il vincolo del criterio compute.trustedImageProjects per le immagini attendibili, consulta Configurazione dei criteri per le immagini attendibili nella documentazione di Compute Engine.

Console

Vai alla pagina Criteri dell'organizzazione.

Vai a Criteri dell'organizzazione
Nell'elenco dei criteri, fai clic su Definisci progetti di immagini attendibili.

Viene visualizzata la pagina Dettagli norme.
Nella pagina Dettagli norme, fai clic su Gestisci criterio. Viene visualizzata la pagina Modifica criterio.
Nella pagina Modifica criterio, seleziona Personalizza.
Per Applicazione delle norme, seleziona un'opzione di applicazione.
Fai clic su Aggiungi regola.
Nell'elenco Valori criterio, puoi scegliere se aggiungere una regola che consenta l'accesso a tutti i progetti immagine non specificati, nega l'accesso a tutti i progetti immagine non specificati o specifica un set personalizzato di progetti a cui consentire o negare l'accesso. Per consentire tutte le immagini da Batch, procedi nel seguente modo:
1. Nell'elenco Valori criterio, seleziona Personalizzato. Vengono visualizzati i campi Tipo di criterio e Valori personalizzati.
2. Nell'elenco Tipo di criterio, seleziona Consenti.
3. Nel campo Valori personalizzati, inserisci projects/batch-custom-image.
Per salvare la regola, fai clic su Fine.
Per salvare e applicare il criterio dell'organizzazione, fai clic su Salva.

gcloud

L'esempio seguente descrive come consentire le immagini da Batch per un progetto specifico:

Per recuperare le impostazioni dei criteri esistenti per un progetto, esegui il comando resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Sostituisci PROJECT_ID con l'ID del progetto che vuoi aggiornare.
Apri il file policy.yaml in un editor di testo. Quindi, modifica il vincolo compute.trustedImageProjects aggiungendo projects/batch-custom-image al campo allowedValues. Ad esempio, per consentire solo le immagini sistema operativo VM da Batch, imposta il vincolo compute.trustedImageProjects come segue:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Quando hai terminato di modificare il file policy.yaml, salva le modifiche.
Per applicare il file policy.yaml al progetto, utilizza il comando resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto che vuoi aggiornare.

Quando hai completato l'aggiornamento dei vincoli, ti consigliamo di testarli per verificarne il funzionamento previsto.

Passaggi successivi

Crea ed esegui job come questo:
- Crea ed esegui un job di base, che utilizza per impostazione predefinita un'immagine VM del sistema operativo di Batch.
- Crea ed esegui un job che utilizza un'immagine VM del sistema operativo specifica.
Scopri di più su immagini del sistema operativo VM e dischi di avvio.