Batch의 VM OS 이미지에 대한 액세스 제어

이 페이지에서는 신뢰할 수 있는 이미지 정책 제약조건을 구성하는 방법을 설명합니다. 이렇게 하면 모든 Compute Engine 가상 머신(VM) 인스턴스의 부팅 디스크를 만드는 데 사용할 수 있는 운영체제(OS) 이미지에 대한 액세스를 제어할 수 있습니다.

기본적으로 사용자는 Batch 작업을 실행하는 Compute Engine VM에 대해 공유된 모든 공개 이미지 또는 커스텀 이미지를 사용할 수 있습니다. 신뢰할 수 있는 이미지 정책 제약조건이 사용 설정되어 있지 않고 VM OS 이미지를 제한하고 싶지 않다면 이 문서 읽기를 중지해도 됩니다.

프로젝트, 폴더 또는 조직의 모든 사용자가 정책 또는 보안 요구사항을 충족하는 승인된 소프트웨어가 포함된 VM을 만들도록 요구하려면 신뢰할 수 있는 이미지 정책 제약조건을 사용 설정하세요. 신뢰할 수 있는 이미지 정책 제약조건이 사용 설정되면 작업의 VM OS 이미지가 허용되지 않는 한 영향을 받는 사용자는 Batch 작업을 실행할 수 없습니다. 신뢰할 수 있는 이미지 정책 제약조건이 사용 설정되었을 때 작업을 만들고 실행하려면 다음 중 하나 이상을 수행하세요.

  • 사용자가 이미 허용된 VM OS 이미지를 지정하게 합니다.
  • 이 문서에 설명된 대로 Batch의 기본 VM OS 이미지를 허용합니다.

VM OS 이미지 및 부팅 디스크에 대한 자세한 내용은 VM OS 환경 개요를 참고하세요. 프로젝트, 폴더 또는 조직에 사용 설정된 정책 제약조건을 알아보려면 조직 정책을 확인하세요.

시작하기 전에

  1. Batch를 사용한 적이 없으면 Batch 시작하기를 검토하고 프로젝트 및 사용자 기본 요건을 완료하여 Batch를 사용 설정하세요.

  2. 조직 정책을 구성하는 데 필요한 권한을 얻으려면 관리자에게 조직의 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할을 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

    커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

Batch의 이미지 허용

다음 단계에서는 Google Cloud 콘솔 또는 Google Cloud CLI를 사용하여 신뢰할 수 있는 이미지 정책 제약조건을 수정하여 Batch의 모든 VM OS 이미지를 허용하는 방법을 설명합니다.

신뢰할 수 있는 이미지(compute.trustedImageProjects) 정책 제약조건을 사용하는 방법에 관한 자세한 내용은 Compute Engine 문서의 신뢰할 수 있는 이미지 정책 설정을 참고하세요.

콘솔

  1. 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 정책 목록에서 신뢰할 수 있는 이미지 프로젝트 정의를 클릭합니다.

    정책 세부정보 페이지가 열립니다.

  3. 정책 세부정보 페이지에서 정책 관리를 클릭합니다. 정책 수정 페이지가 열립니다.

  4. 정책 수정 페이지에서 맞춤설정을 선택합니다.

  5. 정책 시행에서 시행 옵션을 선택합니다.

  6. 규칙 추가를 클릭합니다.

  7. 정책 값 목록에서 지정하지 않은 모든 이미지 프로젝트에 대한 액세스를 허용하거나, 지정되지 않은 모든 이미지 프로젝트에 대한 액세스를 거부하거나, 액세스 허용 또는 거부할 프로젝트의 커스텀 집합을 지정하는 규칙을 추가할지 선택할 수 있습니다. Batch의 모든 이미지를 허용하려면 다음을 수행하세요.

    1. 정책 값 목록에서 커스텀을 선택합니다. 정책 유형맞춤 값 필드가 표시됩니다.
    2. 정책 유형 목록에서 허용을 선택합니다.
    3. 커스텀 값 필드에 projects/batch-custom-image를 입력합니다.

  8. 규칙을 저장하려면 완료를 클릭합니다.

  9. 조직 정책을 저장하고 적용하려면 저장을 클릭합니다.

gcloud

다음 예에서는 특정 프로젝트에 대해 Batch의 이미지를 허용하는 방법을 설명합니다.

  1. 프로젝트의 기존 정책 설정을 가져오려면 resource-manager org-policies describe 명령어를 실행합니다.

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    PROJECT_ID를 업데이트할 프로젝트의 프로젝트 ID로 바꾸세요.

  2. 텍스트 편집기에서 policy.yaml 파일을 엽니다. 그런 다음 allowedValues 필드에 projects/batch-custom-image를 추가하여 compute.trustedImageProjects 제약조건을 수정합니다. 예를 들어 Batch의 VM OS 이미지만 허용하려면 compute.trustedImageProjects 제약조건을 다음과 같이 설정하세요.

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image

    policy.yaml 파일 수정이 끝나면 변경사항을 저장합니다.

  3. 프로젝트에 policy.yaml 파일을 적용하려면 resource-manager org-policies set-policy 명령어를 사용합니다.

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    PROJECT_ID를 업데이트할 프로젝트의 프로젝트 ID로 바꾸세요.

제약 조건 업데이트를 완료한 후에는 제약 조건이 의도한 대로 작동하는지 확인하기 위해 제약 조건을 테스트하는 것이 좋습니다.

다음 단계