控制对 Batch 的虚拟机操作系统映像的访问权限

本页介绍了如何配置可信映像政策限制条件。这样,您就可以控制对操作系统 (OS) 映像的访问权限,这些映像可用于为任何 Compute Engine 虚拟机 (VM) 实例创建启动磁盘。

默认情况下,对于运行批量作业的 Compute Engine 虚拟机,用户可以将任何公共映像或共享的任何自定义映像用于虚拟机。如果未启用可信映像政策限制条件,并且您不想限制虚拟机操作系统映像,则可以停止阅读本文档。

如果您想要求项目、文件夹或组织中的所有用户都创建包含获批软件且符合政策或安全要求的虚拟机,请启用可信映像政策限制条件。 如果启用了可信映像政策限制条件,则除非允许用户启用其作业的虚拟机操作系统映像,否则受影响的用户无法运行批量作业。如需在启用可信映像政策限制条件的情况下创建和运行作业,请至少执行以下其中一项操作:

如需详细了解虚拟机操作系统映像和启动磁盘,请参阅虚拟机操作系统环境概览。如需了解已为您的项目、文件夹或组织启用了哪些政策限制条件,请查看组织政策

须知事项

允许批量处理图片

以下步骤介绍了如何使用 Google Cloud 控制台或 Google Cloud CLI 来修改可信映像政策限制条件,以允许 Batch 中的所有虚拟机操作系统映像。

如需详细了解如何使用可信映像 (compute.trustedImageProjects) 政策限制条件,请参阅 Compute Engine 文档中的设置可信映像政策

控制台

  1. 转到组织政策页面。

    转到“组织政策”

  2. 在政策列表中,点击定义可信映像项目

    政策详情页面会打开。

  3. 政策详情页面上,点击 管理政策修改政策页面随即会打开。

  4. 修改政策页面上,选择自定义

  5. 对于强制执行政策,选择强制执行选项。

  6. 点击添加规则

  7. 政策值列表中,您可以选择添加一条规则,以允许访问所有未指定的映像项目、拒绝访问所有未指定的映像项目,或者指定一组允许或拒绝访问的自定义项目。要允许 Batch 中的所有映像,请执行以下操作:

    1. 政策值列表中,选择自定义。 系统会显示政策类型自定义值字段。
    2. 政策类型列表中,选择允许
    3. 自定义值字段中,输入 projects/batch-custom-image

  8. 要保存规则,请点击完成

  9. 如要保存并应用组织政策,请点击保存

gcloud

以下示例展示了如何允许特定项目中的 Batch 中的映像:

  1. 如需获取项目的现有政策设置,请运行 resource-manager org-policies describe 命令

    gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml

    PROJECT_ID 替换为您要更新的项目的 ID。

  2. 在文本编辑器中打开 policy.yaml 文件。然后,通过将 projects/batch-custom-image 添加到 allowedValues 字段来修改 compute.trustedImageProjects 约束条件。例如,如需仅允许 Batch 中的虚拟机操作系统映像,请将 compute.trustedImageProjects 限制条件设置为以下内容:

    constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image

    policy.yaml 文件修改完毕后,请保存更改。

  3. 如需将 policy.yaml 文件应用于您的项目,请使用 resource-manager org-policies set-policy 命令

    gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID

    PROJECT_ID 替换为您要更新的项目的 ID。

更新完限制条件后,建议您测试这些限制条件,以验证它们是否按预期工作。

后续步骤