Mengontrol akses ke image OS VM untuk Batch

Halaman ini menjelaskan cara mengonfigurasi batasan kebijakan image tepercaya. Dengan begitu, Anda dapat mengontrol akses ke image sistem operasi (OS) yang dapat digunakan untuk membuat boot disk untuk instance virtual machine (VM) Compute Engine apa pun.

Secara default, pengguna dapat menggunakan image publik apa pun atau image kustom yang dibagikan kepada mereka untuk VM Compute Engine yang menjalankan tugas Batch. Jika batasan kebijakan image tepercaya tidak diaktifkan dan Anda tidak ingin membatasi image OS VM, Anda dapat berhenti membaca dokumen ini.

Aktifkan batasan kebijakan image tepercaya jika Anda ingin mewajibkan semua pengguna dalam project, folder, atau organisasi untuk membuat VM yang berisi software yang disetujui dan memenuhi persyaratan kebijakan atau keamanan Anda. Jika batasan kebijakan image tepercaya diaktifkan, pengguna yang terpengaruh tidak dapat menjalankan tugas Batch kecuali jika image OS VM untuk tugasnya diizinkan. Untuk membuat dan menjalankan tugas saat batasan kebijakan image tepercaya diaktifkan, lakukan setidaknya salah satu langkah berikut:

Minta pengguna menentukan image OS VM yang sudah diizinkan.
Izinkan image OS VM default dari Batch, seperti yang ditunjukkan dalam dokumen ini.

Untuk mempelajari image OS VM dan boot disk lebih lanjut, baca Ringkasan lingkungan VM OS. Untuk mempelajari batasan kebijakan yang telah diaktifkan untuk project, folder, atau organisasi Anda, lihat kebijakan organisasi Anda.

Sebelum memulai

Jika belum pernah menggunakan Batch, baca Mulai menggunakan Batch dan aktifkan Batch dengan menyelesaikan prasyarat untuk project dan pengguna.
Untuk mendapatkan izin yang Anda perlukan guna mengonfigurasi kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin) pada organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Izinkan gambar dari Batch

Langkah-langkah berikut menjelaskan cara mengubah batasan kebijakan image tepercaya untuk mengizinkan semua image OS VM dari Batch menggunakan Konsol Google Cloud atau Google Cloud CLI.

Untuk petunjuk lebih lanjut tentang cara menggunakan batasan kebijakan image tepercaya (compute.trustedImageProjects), lihat Menyiapkan kebijakan image tepercaya dalam dokumentasi Compute Engine.

Konsol

Buka halaman Kebijakan organisasi.

Buka Organization policies
Dari daftar kebijakan, klik Tentukan project image tepercaya.

Halaman Detail kebijakan akan terbuka.
Di halaman Detail kebijakan, klik Kelola Kebijakan. Halaman Edit kebijakan akan terbuka.
Di halaman Edit policy, pilih Customize.
Untuk Penegakan kebijakan, pilih opsi penerapan.
Klik Tambahkan Aturan.
Dalam daftar Policy values, Anda dapat memilih apakah akan menambahkan aturan yang mengizinkan akses ke semua project gambar yang belum ditentukan, menolak akses ke semua project gambar yang tidak ditentukan, atau menentukan kumpulan project kustom yang akan diizinkan atau ditolak. Untuk mengizinkan semua gambar dari Batch, lakukan hal berikut:
1. Dalam daftar Nilai kebijakan, pilih Kustom. Kolom Jenis kebijakan dan Nilai kustom akan muncul.
2. Di daftar Jenis kebijakan, pilih Izinkan.
3. Di kolom Nilai kustom, masukkan projects/batch-custom-image.
Untuk menyimpan aturan, klik Selesai.
Untuk menyimpan dan menerapkan kebijakan organisasi, klik Simpan.

gcloud

Contoh berikut menjelaskan cara mengizinkan gambar dari Batch untuk project tertentu:

Untuk mendapatkan setelan kebijakan yang ada untuk suatu project, jalankan perintah resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Ganti PROJECT_ID dengan project ID untuk project yang ingin Anda perbarui.
Buka file policy.yaml di editor teks. Kemudian, ubah batasan compute.trustedImageProjects dengan menambahkan projects/batch-custom-image ke kolom allowedValues. Misalnya, untuk hanya mengizinkan image OS VM dari Batch, tetapkan batasan compute.trustedImageProjects ke nilai berikut:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Setelah selesai mengedit file policy.yaml, simpan perubahan Anda.
Untuk menerapkan file policy.yaml ke project Anda, gunakan perintah resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Ganti PROJECT_ID dengan project ID untuk project yang ingin Anda perbarui.

Saat selesai memperbarui batasan, sebaiknya Anda menguji batasan tersebut untuk memverifikasi bahwa batasan tersebut berfungsi sebagaimana mestinya.

Langkah selanjutnya

Membuat dan menjalankan tugas, seperti berikut:
- Buat dan jalankan tugas dasar, yang menggunakan image OS VM dari Batch secara default.
- Membuat dan menjalankan tugas yang menggunakan image OS VM tertentu.
Pelajari image OS VM dan boot disk lebih lanjut.