Questa pagina descrive come configurare il vincolo criteri per l'utilizzo di immagini attendibili. In questo modo puoi controllare l'accesso alle immagini del sistema operativo (OS) che possono essere utilizzate per creare i dischi di avvio per qualsiasi istanza di macchina virtuale (VM) Compute Engine.
Per impostazione predefinita, un utente può utilizzare qualsiasi immagine pubblica o qualsiasi immagine personalizzata condivisa con lui per le VM Compute Engine che eseguono i suoi job Batch. Se il vincolo dei criteri per l'utilizzo di immagini attendibili non è abilitato e non vuoi limitare le immagini del sistema operativo VM, puoi interrompere la lettura di questo documento.
Attiva il vincolo della criteri per l'utilizzo di immagini attendibili se vuoi richiedere a tutti gli utenti di un progetto, una cartella o un'organizzazione di creare VM che contengano software approvato che soddisfi i requisiti di policy o di sicurezza. Se il vincolo del criteri per l'utilizzo di immagini attendibili è attivato, gli utenti interessati non possono eseguire job Batch a meno che l'immagine del sistema operativo VM per il loro job non sia consentita. Per creare ed eseguire job quando il vincolo dei criteri per l'utilizzo di immagini attendibili è abilitato, svolgi almeno una delle seguenti operazioni:
- Chiedi agli utenti di specificare un'immagine del sistema operativo VM già consentita.
- Consenti le immagini del sistema operativo VM predefinite di Batch, come mostrato in questo documento.
Per saperne di più sulle immagini sistema operativo VM e sui dischi di avvio, consulta la panoramica dell'ambiente sistema operativo VM. Per scoprire quali vincoli delle policy sono stati attivati per il tuo progetto, la tua cartella o la tua organizzazione, visualizza le policy dell'organizzazione.
Prima di iniziare
- Se non hai mai utilizzato Batch, consulta la sezione Guida introduttiva a Batch e attiva Batch completando i prerequisiti per progetti e utenti.
-
Per ottenere le autorizzazioni necessarie per configurare le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Organization Policy Administrator (
roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Consenti immagini da Batch
I seguenti passaggi descrivono come modificare il vincolo criteri per l'utilizzo di immagini attendibili per consentire tutte le immagini del sistema operativo VM da Batch utilizzando la consoleGoogle Cloud o Google Cloud CLI.
Per ulteriori istruzioni su come utilizzare il vincolo dei criteri per l'utilizzo di immagini attendibili
(compute.trustedImageProjects), consulta
Configurazione dei criteri per l'utilizzo di immagini attendibili
nella documentazione di Compute Engine.
Console
Vai alla pagina Policy dell'organizzazione.
Nell'elenco delle policy, fai clic su Definisci progetti con immagini attendibili.
Viene visualizzata la pagina Dettagli delle norme.
Nella pagina Dettagli norme, fai clic su Gestisci norme. Viene visualizzata la pagina Modifica policy.
Nella pagina Modifica criterio, seleziona Personalizza.
Per Applicazione policy, seleziona un'opzione di applicazione.
Fai clic su Aggiungi regola.
Nell'elenco Valori dei criteri, puoi selezionare se aggiungere una regola che consente l'accesso a tutti i progetti di immagini non specificati, nega l'accesso a tutti i progetti di immagini non specificati o specifica un insieme personalizzato di progetti a cui consentire o negare l'accesso. Per consentire tutte le immagini da Batch, segui questi passaggi:
- Nell'elenco Valori policy, seleziona Personalizzato. Vengono visualizzati un campo Tipo di criterio e un campo Valori personalizzati.
- Nell'elenco Tipo di policy, seleziona Consenti.
- Nel campo Valori personalizzati, inserisci
projects/batch-custom-image.
Per salvare la regola, fai clic su Fine.
Per salvare e applicare la policy dell'organizzazione, fai clic su Salva.
gcloud
Il seguente esempio descrive come consentire le immagini da Batch per un progetto specifico:
Per ottenere le impostazioni delle policy esistenti per un progetto, esegui il comando
resource-manager org-policies describe:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Sostituisci PROJECT_ID con l'ID progetto del progetto che vuoi aggiornare.
Apri il file
policy.yamlin un editor di testo. Poi, modifica il vincolocompute.trustedImageProjectsaggiungendoprojects/batch-custom-imageal campoallowedValues. Ad esempio, per consentire solo le immagini del sistema operativo VM da Batch, imposta il vincolocompute.trustedImageProjectscome segue:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-imageAl termine della modifica del file
policy.yaml, salva le modifiche.Per applicare il file
policy.yamlal tuo progetto, utilizza il comandoresource-manager org-policies set-policy:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID progetto del progetto che vuoi aggiornare.
Al termine dell'aggiornamento dei vincoli, è consigliabile testarli per verificare che funzionino come previsto.
Passaggi successivi
- Crea ed esegui job, ad esempio i seguenti:
- Crea ed esegui un job di base, che utilizza un'immagine del sistema operativo VM da Batch per impostazione predefinita.
- Crea ed esegui un job che utilizza un'immagine sistema operativo VM specifica.
- Scopri di più sulle immagini sistema operativo VM e sui dischi di avvio.