Mengontrol akses ke image OS VM untuk Batch

Halaman ini menjelaskan cara mengonfigurasi batasan kebijakan image tepercaya. Dengan begitu, Anda dapat mengontrol akses ke image sistem operasi (OS) yang dapat digunakan untuk membuat boot disk bagi instance virtual machine (VM) Compute Engine.

Secara default, pengguna dapat menggunakan image publik atau image kustom yang dibagikan kepada mereka untuk VM Compute Engine yang menjalankan tugas Batch mereka. Jika batasan kebijakan image tepercaya tidak diaktifkan dan Anda tidak ingin membatasi image OS VM, Anda dapat berhenti membaca dokumen ini.

Aktifkan batasan kebijakan image tepercaya jika Anda ingin mewajibkan semua pengguna dalam project, folder, atau organisasi untuk membuat VM yang berisi software yang disetujui yang memenuhi persyaratan kebijakan atau keamanan Anda. Jika batasan kebijakan gambar tepercaya diaktifkan, pengguna yang terpengaruh tidak dapat menjalankan tugas Batch kecuali jika image OS VM untuk tugas mereka diizinkan. Untuk membuat dan menjalankan tugas saat batasan kebijakan image tepercaya diaktifkan, lakukan setidaknya salah satu hal berikut:

  • Minta pengguna menentukan image OS VM yang sudah diizinkan.
  • Izinkan image OS VM default dari Batch, seperti yang ditunjukkan dalam dokumen ini.

Untuk mempelajari lebih lanjut image OS VM dan disk booting, lihat Ringkasan lingkungan OS VM. Untuk mempelajari batasan kebijakan mana yang telah diaktifkan untuk project, folder, atau organisasi Anda, lihat kebijakan organisasi Anda.

Sebelum memulai

  1. Jika belum pernah menggunakan Batch, baca Mulai menggunakan Batch dan aktifkan Batch dengan menyelesaikan prasyarat untuk project dan pengguna.
  2. Untuk mendapatkan izin yang diperlukan guna mengonfigurasi kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengizinkan gambar dari Batch

Langkah-langkah berikut menjelaskan cara mengubah batasan kebijakan image tepercaya untuk mengizinkan semua image OS VM dari Batch menggunakan konsolGoogle Cloud atau Google Cloud CLI.

Untuk mengetahui petunjuk selengkapnya tentang cara menggunakan batasan kebijakan image tepercaya (compute.trustedImageProjects), lihat Menyiapkan kebijakan image tepercaya di dokumentasi Compute Engine.

Konsol

  1. Buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Dari daftar kebijakan, klik Tentukan project gambar tepercaya.

    Halaman Detail kebijakan akan terbuka.

  3. Di halaman Detail kebijakan, klik Kelola Kebijakan. Halaman Edit kebijakan akan terbuka.

  4. Di halaman Edit policy, pilih Customize.

  5. Untuk Penerapan kebijakan, pilih opsi penerapan.

  6. Klik Tambahkan Aturan.

  7. Dalam daftar Nilai kebijakan, Anda dapat memilih apakah akan menambahkan aturan yang mengizinkan akses ke semua project image yang tidak ditentukan, menolak akses ke semua project image yang tidak ditentukan, atau menentukan kumpulan project kustom untuk mengizinkan atau menolak akses. Untuk mengizinkan semua gambar dari Batch, lakukan hal berikut:

    1. Dalam daftar Nilai kebijakan, pilih Kustom. Kolom Jenis kebijakan dan Nilai kustom akan muncul.
    2. Dalam daftar Jenis kebijakan, pilih Izinkan.
    3. Di kolom Nilai kustom, masukkan projects/batch-custom-image.
  8. Untuk menyimpan aturan, klik Selesai.

  9. Untuk menyimpan dan menerapkan kebijakan organisasi, klik Simpan.

gcloud

Contoh berikut menjelaskan cara mengizinkan gambar dari Batch untuk project tertentu:

  1. Untuk mendapatkan setelan kebijakan yang ada untuk project, jalankan perintah resource-manager org-policies describe:

    gcloud resource-manager org-policies describe \
       compute.trustedImageProjects --project=PROJECT_ID \
       --effective > policy.yaml
    

    Ganti PROJECT_ID dengan project ID project yang ingin Anda perbarui.

  2. Buka file policy.yaml di editor teks. Kemudian, ubah batasan compute.trustedImageProjects dengan menambahkan projects/batch-custom-image ke kolom allowedValues. Misalnya, untuk hanya mengizinkan image OS VM dari Batch, tetapkan batasan compute.trustedImageProjects ke berikut ini:

    constraint: constraints/compute.trustedImageProjects
    listPolicy:
     allowedValues:
        - projects//batch-custom-image
    

    Setelah selesai mengedit file policy.yaml, simpan perubahan Anda.

  3. Untuk menerapkan file policy.yaml ke project Anda, gunakan perintah resource-manager org-policies set-policy:

    gcloud resource-manager org-policies set-policy \
       policy.yaml --project=PROJECT_ID
    

    Ganti PROJECT_ID dengan project ID project yang ingin Anda perbarui.

Setelah Anda selesai memperbarui batasan, pengujian batasan tersebut direkomendasikan untuk memverifikasi bahwa batasan tersebut berfungsi seperti yang diharapkan.

Langkah berikutnya