Halaman ini menjelaskan cara mengonfigurasi batasan kebijakan image tepercaya. Dengan begitu, Anda dapat mengontrol akses ke image sistem operasi (OS) yang dapat digunakan untuk membuat boot disk bagi instance virtual machine (VM) Compute Engine.
Secara default, pengguna dapat menggunakan image publik atau image kustom yang dibagikan kepada mereka untuk VM Compute Engine yang menjalankan tugas Batch mereka. Jika batasan kebijakan image tepercaya tidak diaktifkan dan Anda tidak ingin membatasi image OS VM, Anda dapat berhenti membaca dokumen ini.
Aktifkan batasan kebijakan image tepercaya jika Anda ingin mewajibkan semua pengguna dalam project, folder, atau organisasi untuk membuat VM yang berisi software yang disetujui yang memenuhi persyaratan kebijakan atau keamanan Anda. Jika batasan kebijakan gambar tepercaya diaktifkan, pengguna yang terpengaruh tidak dapat menjalankan tugas Batch kecuali jika image OS VM untuk tugas mereka diizinkan. Untuk membuat dan menjalankan tugas saat batasan kebijakan image tepercaya diaktifkan, lakukan setidaknya salah satu hal berikut:
- Minta pengguna menentukan image OS VM yang sudah diizinkan.
- Izinkan image OS VM default dari Batch, seperti yang ditunjukkan dalam dokumen ini.
Untuk mempelajari lebih lanjut image OS VM dan disk booting, lihat Ringkasan lingkungan OS VM. Untuk mempelajari batasan kebijakan mana yang telah diaktifkan untuk project, folder, atau organisasi Anda, lihat kebijakan organisasi Anda.
Sebelum memulai
- Jika belum pernah menggunakan Batch, baca Mulai menggunakan Batch dan aktifkan Batch dengan menyelesaikan prasyarat untuk project dan pengguna.
-
Untuk mendapatkan izin yang diperlukan guna mengonfigurasi kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator Kebijakan Organisasi (
roles/orgpolicy.policyAdmin
) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Mengizinkan gambar dari Batch
Langkah-langkah berikut menjelaskan cara mengubah batasan kebijakan image tepercaya untuk mengizinkan semua image OS VM dari Batch menggunakan konsolGoogle Cloud atau Google Cloud CLI.
Untuk mengetahui petunjuk selengkapnya tentang cara menggunakan batasan kebijakan image tepercaya
(compute.trustedImageProjects
), lihat
Menyiapkan kebijakan image tepercaya
di dokumentasi Compute Engine.
Konsol
Buka halaman Kebijakan organisasi.
Dari daftar kebijakan, klik Tentukan project gambar tepercaya.
Halaman Detail kebijakan akan terbuka.
Di halaman Detail kebijakan, klik
Kelola Kebijakan. Halaman Edit kebijakan akan terbuka.Di halaman Edit policy, pilih Customize.
Untuk Penerapan kebijakan, pilih opsi penerapan.
Klik Tambahkan Aturan.
Dalam daftar Nilai kebijakan, Anda dapat memilih apakah akan menambahkan aturan yang mengizinkan akses ke semua project image yang tidak ditentukan, menolak akses ke semua project image yang tidak ditentukan, atau menentukan kumpulan project kustom untuk mengizinkan atau menolak akses. Untuk mengizinkan semua gambar dari Batch, lakukan hal berikut:
- Dalam daftar Nilai kebijakan, pilih Kustom. Kolom Jenis kebijakan dan Nilai kustom akan muncul.
- Dalam daftar Jenis kebijakan, pilih Izinkan.
- Di kolom Nilai kustom, masukkan
projects/batch-custom-image
.
Untuk menyimpan aturan, klik Selesai.
Untuk menyimpan dan menerapkan kebijakan organisasi, klik Simpan.
gcloud
Contoh berikut menjelaskan cara mengizinkan gambar dari Batch untuk project tertentu:
Untuk mendapatkan setelan kebijakan yang ada untuk project, jalankan perintah
resource-manager org-policies describe
:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Ganti PROJECT_ID dengan project ID project yang ingin Anda perbarui.
Buka file
policy.yaml
di editor teks. Kemudian, ubah batasancompute.trustedImageProjects
dengan menambahkanprojects/batch-custom-image
ke kolomallowedValues
. Misalnya, untuk hanya mengizinkan image OS VM dari Batch, tetapkan batasancompute.trustedImageProjects
ke berikut ini:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-image
Setelah selesai mengedit file
policy.yaml
, simpan perubahan Anda.Untuk menerapkan file
policy.yaml
ke project Anda, gunakan perintahresource-manager org-policies set-policy
:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Ganti PROJECT_ID dengan project ID project yang ingin Anda perbarui.
Setelah Anda selesai memperbarui batasan, pengujian batasan tersebut direkomendasikan untuk memverifikasi bahwa batasan tersebut berfungsi seperti yang diharapkan.
Langkah berikutnya
- Buat dan jalankan tugas, seperti berikut:
- Buat dan jalankan tugas dasar, yang menggunakan image OS VM dari Batch secara default.
- Buat dan jalankan tugas yang menggunakan image OS VM tertentu.
- Pelajari lebih lanjut image OS VM dan disk booting.