Se usó la API de Cloud Translation para traducir esta página.

Controla el acceso a las imágenes del SO de la VM para Batch

En esta página, se describe cómo configurar la restricción de la política de imágenes confiables. Esto te permite controlar el acceso a las imágenes del sistema operativo (SO) que se usan para crear los discos de arranque de cualquier Compute Engine de máquina virtual (VM).

De forma predeterminada, un usuario puede usar cualquier imagen pública o personalizada para las VMs de Compute Engine que ejecutan su Trabajos por lotes. Si la restricción de la política de imágenes confiables no está habilitada y no quieres restringir imágenes de SO de la VM, puedes dejar de leer este documento.

Habilita la restricción de la política de imágenes confiables si quieres exigir que todos los usuarios de un proyecto, una carpeta o una organización crear VMs que contengan software aprobado que cumpla con las políticas con los requisitos de seguridad. Si habilitas la restricción de la política de imágenes confiables, no se pueden ejecutar trabajos por lotes a menos que se permita la imagen de SO de la VM para su trabajo. Para crear y ejecutar trabajos cuando la restricción de la política de imágenes confiables está habilitada, realiza al menos una de las siguientes acciones:

Pídeles a los usuarios que especifiquen una imagen de SO de la VM. que ya está permitida.
Permite las imágenes de SO de la VM predeterminadas de Batch, como se muestra en este documento.

Para obtener más información sobre las imágenes del SO de la VM y los discos de arranque, consulta Descripción general del entorno del SO de la VM. Para saber qué restricciones de políticas habilitado para tu proyecto, organización o carpeta, consulta las políticas de la organización.

Antes de comenzar

Si nunca usaste Batch, revisa Comienza a usar Batch y habilitar Batch completando el requisitos previos para los proyectos y usuarios.
Para obtener los permisos que necesitas para configurar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Permitir imágenes de Batch

En los siguientes pasos, se describe cómo modificar la restricción de la política de imágenes confiables para permitir todas las imágenes de SO de la VM de Batch mediante la consola de Google Cloud o Google Cloud CLI.

Para obtener más instrucciones sobre cómo usar la imagen confiable (compute.trustedImageProjects) restricción de la política, consulta Configura políticas de imágenes confiables en la documentación de Compute Engine.

Console

Ir a la página Políticas de la organización.

Ir a Políticas de la organización
En la lista de políticas, haz clic en Definir proyectos de imágenes confiables.

Se abrirá la página Detalles de la política.
En la página Detalles de la política, haz clic en Administrar política. La política de edición se abre esta página.
En la página Editar política, selecciona Personalizar.
En Aplicación de la política, selecciona una opción de aplicación.
Haz clic en Agregar regla.
En la lista Valores de la política, puedes seleccionar si deseas agregar una regla que permite el acceso a todos los proyectos de imagen no especificados, niega el acceso a todos proyectos de imagen no especificados o especifica un conjunto personalizado de proyectos para permitir o denegar el acceso. Para permitir todas las imágenes de Batch, haz lo siguiente:
1. En la lista Valores de la política, selecciona Personalizado. Aparecerá el campo Tipo de política y Valores personalizados.
2. En la lista Tipo de política, selecciona Permitir.
3. En el campo Valores personalizados, ingresa projects/batch-custom-image.
Para guardar la regla, haz clic en Listo.
Para guardar y aplicar la política de la organización, haz clic en Guardar.

gcloud

En el siguiente ejemplo, se describe cómo permitir imágenes desde Batch para un proyecto específico:

Para obtener la configuración de la política existente en un proyecto, ejecuta el siguiente comando: Comando resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Reemplaza PROJECT_ID por el ID del proyecto. que quieres actualizar.
Abre el archivo policy.yaml en un editor de texto. Luego, modifica el restricción compute.trustedImageProjects agregando projects/batch-custom-image al campo allowedValues Por ejemplo, para permitir solo imágenes de SO de VM de Batch Establece la restricción compute.trustedImageProjects de la siguiente manera:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Cuando termines de editar el archivo policy.yaml, guarda los cambios.
Para aplicar el archivo policy.yaml a tu proyecto, usa la Comando resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Reemplaza PROJECT_ID por el ID del proyecto. que quieres actualizar.

Cuando termines de actualizar las restricciones, que se recomienda para verificar que funcionan según lo previsto.

¿Qué sigue?

Crea y ejecuta trabajos, como los siguientes:
- Crea y ejecuta un trabajo básico, que usa una imagen de SO de VM de Batch de forma predeterminada.
- Crea y ejecuta una tarea que use una imagen de SO de VM específica.
Obtén más información sobre las imágenes del SO de la VM y los discos de arranque.