Controlar o acesso às imagens do SO da VM para lotes

Nesta página, descrevemos como configurar a restrição da política de imagem confiável. Isso permite controlar o acesso às imagens do sistema operacional (SO) que podem ser usadas para criar os discos de inicialização de qualquer instância de máquina virtual (VM) do Compute Engine.

Por padrão, um usuário pode usar qualquer imagem pública ou personalizada compartilhada com ele para as VMs do Compute Engine que executam os jobs do Batch. Se a restrição da política de imagem confiável não estiver ativada e você não quiser restringir imagens do SO da VM, pare de ler este documento.

Ative a restrição da política de imagem confiável se quiser exigir que todos os usuários em um projeto, pasta ou organização criem VMs com um software aprovado que atenda aos requisitos de política ou segurança. Se a restrição da política de imagem confiável estiver ativada, os usuários afetados não poderão executar jobs em lote, a menos que a imagem do SO da VM do job seja permitida. Para criar e executar jobs quando a restrição da política de imagem confiável estiver ativada, siga pelo menos uma das seguintes ações:

Solicite que os usuários especifiquem uma imagem do SO da VM que já seja permitida.
Permita as imagens padrão do SO da VM em lote, conforme mostrado neste documento.

Para saber mais sobre imagens do SO da VM e discos de inicialização, consulte Visão geral do ambiente do SO da VM. Para saber mais sobre quais restrições de política foram ativadas para seu projeto, pasta ou organização, consulte as políticas da organização.

Antes de começar

Se você nunca usou o Batch, leia os Primeiros passos com o Batch e ative-o com os pré-requisitos para projetos e usuários.
Para ter as permissões necessárias para configurar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Talvez você também consiga receber as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.

Permitir imagens do Batch

As etapas a seguir descrevem como modificar a restrição da política de imagem confiável para permitir todas as imagens de SO da VM do Batch usando o console do Google Cloud ou a Google Cloud CLI.

Para mais instruções sobre como usar a restrição da política de imagem confiável (compute.trustedImageProjects), consulte Como configurar políticas de imagem confiáveis na documentação do Compute Engine.

Console

Acessar a página Políticas da organização.

Acessar as políticas da organização
Na lista de políticas, clique em Definir projetos de imagem confiáveis.

A página Detalhes da política é aberta.
Na página Detalhes da política, clique em Gerenciar política. A página Editar política é aberta.
Na página Editar política, selecione Personalizar.
Em Aplicação da política, selecione uma opção para aplicação.
Clique em Adicionar regra.
Na lista Valores de política, selecione se você quer adicionar uma regra que permita o acesso a todos os projetos de imagem não especificados, negue acesso a todos os projetos de imagem não especificados ou especifique um conjunto personalizado de projetos para permitir ou negar acesso. Para permitir todas as imagens do Batch, faça o seguinte:
1. Na lista Valores da política, selecione Personalizado. Os campos Tipo de política e Valores personalizados aparecem.
2. Na lista Tipo de política, selecione Permitir.
3. No campo Valores personalizados, insira projects/batch-custom-image.
Para salvar a regra, clique em Concluído.
Para salvar e aplicar a política da organização, clique em Salvar.

gcloud

O exemplo a seguir descreve como permitir imagens do Batch para um projeto específico:

Para ver as configurações de política atuais de um projeto, execute o comando resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Substitua PROJECT_ID pelo ID do projeto que você quer atualizar.
Abra o arquivo policy.yaml em um editor de texto. Em seguida, modifique a restrição compute.trustedImageProjects adicionando projects/batch-custom-image ao campo allowedValues. Por exemplo, para permitir apenas imagens de SO da VM do Batch, defina a restrição compute.trustedImageProjects como:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Quando terminar de editar o arquivo policy.yaml, salve as alterações.
Para aplicar o arquivo policy.yaml ao projeto, use o comando resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto que você quer atualizar.

Quando você terminar de atualizar as restrições, recomendamos testar essas restrições para verificar se elas estão funcionando conforme o esperado.

A seguir

Crie e execute jobs como estes:
- Crie e execute um job básico que use uma imagem do SO da VM do Batch por padrão.
- Crie e execute um job que use uma imagem específica do SO da VM.
Saiba mais sobre imagens do SO de VM e discos de inicialização.