Auf dieser Seite wird beschrieben, wie Sie die Einschränkung für die Richtlinie für vertrauenswürdige Images konfigurieren. So können Sie den Zugriff auf die Betriebssystem-Images steuern, die zum Erstellen der Bootlaufwerke für Compute Engine-VM-Instanzen verwendet werden können.
Standardmäßig kann ein Nutzer jedes öffentliche Image oder jedes benutzerdefinierte Image verwenden, das für die Compute Engine-VMs, auf denen seine Batch-Jobs ausgeführt werden, für ihn freigegeben ist. Wenn die Einschränkung für die Trusted Image-Richtlinie nicht aktiviert ist und Sie VM-Betriebssystem-Images nicht einschränken möchten, können Sie das Lesen dieses Dokuments beenden.
Aktivieren Sie die Richtlinieneinschränkung für vertrauenswürdige Images, wenn alle Nutzer in einem Projekt, Ordner oder einer Organisation VMs erstellen müssen, die genehmigte Software enthalten, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht. Wenn die Einschränkung für die Trusted Image-Richtlinie aktiviert ist, können betroffene Nutzer keine Batchjobs ausführen, es sei denn, das VM-Betriebssystem-Image für ihren Job ist zulässig. Wenn die Einschränkung für Trusted Image-Richtlinien aktiviert ist, müssen Sie mindestens eine der folgenden Aktionen ausführen, um Jobs zu erstellen und auszuführen:
- Lassen Sie Nutzer ein VM-Betriebssystem-Image angeben, das bereits zulässig ist.
- Lassen Sie die Standard-VM-Betriebssystem-Images von Batch zu, wie in diesem Dokument beschrieben.
Weitere Informationen zu VM-Betriebssystem-Images und Bootlaufwerken finden Sie unter Übersicht über die VM-Betriebssystemumgebung. Rufen Sie Ihre Organisationsrichtlinien auf, um herauszufinden, welche Richtlinieneinschränkungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aktiviert wurden.
Hinweise
- Wenn Sie Batch noch nicht verwendet haben, lesen Sie den Abschnitt Erste Schritte mit Batch und aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzer erfüllen.
-
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (
roles/orgpolicy.policyAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Bilder aus Batch zulassen
In den folgenden Schritten wird beschrieben, wie Sie die Einschränkung für die Richtlinie für vertrauenswürdige Images ändern, um alle VM-Betriebssystemimages von Batch zuzulassen. Verwenden Sie dazu dieGoogle Cloud -Konsole oder die Google Cloud CLI.
Weitere Informationen zur Verwendung der Richtlinienbeschränkung für vertrauenswürdige Images (compute.trustedImageProjects) finden Sie in der Compute Engine-Dokumentation unter Trusted Image-Richtlinien einrichten.
Console
Rufen Sie die Seite Organisationsrichtlinien auf.
Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren.
Die Seite Richtliniendetails wird geöffnet.
Klicken Sie auf der Seite Richtliniendetails auf Richtlinie verwalten. Die Seite Richtlinie bearbeiten wird geöffnet.
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Anpassen aus.
Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus.
Klicken Sie auf Regel hinzufügen.
In der Liste Richtlinienwerte können Sie auswählen, ob Sie eine Regel hinzufügen möchten, die den Zugriff auf alle nicht angegebenen Image-Projekte zulässt, den Zugriff auf alle nicht angegebenen Image-Projekte verweigert oder einen benutzerdefinierten Satz von Projekten angibt, für die der Zugriff zugelassen oder verweigert werden soll. So lassen Sie alle Bilder aus Batch zu:
- Wählen Sie in der Liste Richtlinienwerte die Option Benutzerdefiniert aus. Die Felder Richtlinientyp und Benutzerdefinierte Werte werden angezeigt.
- Wählen Sie in der Liste Richtlinientyp die Option Zulassen aus.
- Geben Sie im Feld Benutzerdefinierte Werte den Wert
projects/batch-custom-imageein.
Klicken Sie auf Fertig, um die Regel zu speichern.
Klicken Sie auf Speichern, um die Organisationsrichtlinie zu speichern und anzuwenden.
gcloud
Im folgenden Beispiel wird beschrieben, wie Sie Bilder aus Batch für ein bestimmtes Projekt zulassen:
Führen Sie den Befehl
resource-manager org-policies describeaus, um die vorhandenen Richtlinieneinstellungen für ein Projekt abzurufen:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie aktualisieren möchten.
Öffnen Sie die Datei
policy.yamlin einem Texteditor. Ändern Sie dann diecompute.trustedImageProjects-Einschränkung, indem Sieprojects/batch-custom-imagedem FeldallowedValueshinzufügen. Wenn Sie beispielsweise nur VM-Betriebssystem-Images aus Batch zulassen möchten, legen Sie die Einschränkungcompute.trustedImageProjectsauf Folgendes fest:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-imageWenn Sie mit der Bearbeitung der Datei
policy.yamlfertig sind, speichern Sie die Änderungen.Wenden Sie die Datei
policy.yamlmit dem Befehlresource-manager org-policies set-policyauf Ihr Projekt an:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie aktualisieren möchten.
Wenn Sie die Einschränkungen aktualisiert haben, sollten Sie sie testen, um zu prüfen, ob sie wie vorgesehen funktionieren.
Nächste Schritte
- Jobs erstellen und ausführen, z. B.:
- Einen einfachen Job erstellen und ausführen, der standardmäßig ein VM-Betriebssystem-Image aus Batch verwendet.
- Job erstellen und ausführen, der ein bestimmtes VM-Betriebssystem-Image verwendet
- Weitere Informationen zu VM-Betriebssystem-Images und Bootlaufwerken