Cette page explique comment configurer la contrainte de règle relative aux images approuvées. Cela vous permet de contrôler l'accès aux images de système d'exploitation pouvant être utilisées pour créer les disques de démarrage des instances de machine virtuelle (VM) Compute Engine.
Par défaut, un utilisateur peut utiliser n'importe quelle image publique ou image personnalisée partagée avec lui pour les VM Compute Engine qui exécutent ses jobs Batch. Si la contrainte de règlement relatif aux images de confiance n'est pas activée et que vous ne souhaitez pas limiter les images d'OS de VM, vous pouvez arrêter de lire ce document.
Activez la contrainte de règle relative aux images de confiance si vous souhaitez exiger de tous les utilisateurs d'un projet, d'un dossier ou d'une organisation qu'ils créent des VM contenant des logiciels approuvés, conformes à vos exigences en matière de règles ou de sécurité. Si la contrainte de règlement relatif aux images de confiance est activée, les utilisateurs concernés ne peuvent pas exécuter de jobs Batch, sauf si l'image d'OS de VM pour leur job est autorisée. Pour créer et exécuter des jobs lorsque la contrainte de règlement relatif aux images de confiance est activée, effectuez au moins l'une des opérations suivantes :
- Demandez aux utilisateurs de spécifier une image d'OS de VM déjà autorisée.
- Autorisez les images d'OS de VM par défaut à partir de Batch, comme indiqué dans ce document.
Pour en savoir plus sur les images d'OS de VM et les disques de démarrage, consultez Présentation de l'environnement d'OS de VM. Pour savoir quelles contraintes de règles ont été activées pour votre projet, votre dossier ou votre organisation, affichez vos règles d'administration.
Avant de commencer
- Si vous n'avez jamais utilisé Batch, consultez Premiers pas avec Batch et activez Batch en remplissant les conditions préalables pour les projets et les utilisateurs.
-
Pour obtenir les autorisations nécessaires pour configurer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Autoriser les images de Batch
Les étapes suivantes décrivent comment modifier la contrainte de règle d'image approuvée pour autoriser toutes les images d'OS de VM à partir de Batch à l'aide de la consoleGoogle Cloud ou de Google Cloud CLI.
Pour obtenir plus d'instructions sur l'utilisation de la contrainte de règle d'administration relative aux images de confiance (compute.trustedImageProjects), consultez Configurer des règlements relatifs aux images de confiance dans la documentation Compute Engine.
Console
Accédez à la page Règles d'administration.
Dans la liste des règles, cliquez sur Définir les projets relatifs aux images de confiance.
La page Détails des règles s'ouvre.
Sur la page Détails des règles, cliquez sur Gérer la règle. La page Modifier la règle s'ouvre.
Sur la page Modifier la règle, sélectionnez Personnaliser.
Pour Application des règles, sélectionnez une option d'application.
Cliquez sur Ajouter une règle.
Dans la liste Valeurs de règles, vous pouvez choisir d'ajouter une règle qui autorise l'accès à tous les projets d'image non spécifiés, qui refuse l'accès à tous les projets d'image non spécifiés ou qui spécifie un ensemble personnalisé de projets auxquels autoriser ou refuser l'accès. Pour autoriser toutes les images de Batch, procédez comme suit :
- Dans la liste Valeurs de règles, sélectionnez Personnalisé. Un champ Type de règle et Valeurs personnalisées s'affiche.
- Dans la liste Type de règle, sélectionnez Autoriser.
- Dans le champ Valeurs personnalisées, saisissez
projects/batch-custom-image.
Pour enregistrer la règle, cliquez sur OK.
Pour enregistrer et appliquer la règle d'administration, cliquez sur Enregistrer.
gcloud
L'exemple suivant décrit comment autoriser les images de Batch pour un projet spécifique :
Pour obtenir les paramètres des règles existantes pour un projet, exécutez la commande
resource-manager org-policies describe:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.
Ouvrez le fichier
policy.yamldans un éditeur de texte. Modifiez ensuite la contraintecompute.trustedImageProjectsen ajoutantprojects/batch-custom-imageau champallowedValues. Par exemple, pour n'autoriser que les images d'OS de VM à partir de Batch, définissez la contraintecompute.trustedImageProjectssur la valeur suivante :constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-imageLorsque vous avez terminé de modifier le fichier
policy.yaml, enregistrez vos modifications.Pour appliquer le fichier
policy.yamlà votre projet, utilisez la commanderesource-manager org-policies set-policy:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Remplacez PROJECT_ID par l'ID du projet que vous souhaitez mettre à jour.
Lorsque vous avez terminé de mettre à jour les contraintes, il est recommandé de les tester pour vérifier qu'elles fonctionnent comme prévu.
Étapes suivantes
- Créez et exécutez des jobs, tels que les suivants :
- Créez et exécutez un job de base, qui utilise par défaut une image d'OS de VM à partir de Batch.
- Créez et exécutez un job qui utilise une image d'OS de VM spécifique.
- En savoir plus sur les images d'OS de VM et les disques de démarrage