Esta página foi traduzida pela API Cloud Translation.

Controlar o acesso a imagens do SO da VM para o Batch

Esta página descreve como configurar a restrição de política de imagem confiável. Isso permite controlar o acesso às imagens do sistema operacional (SO) que podem ser usadas para criar os discos de inicialização de qualquer instância de máquina virtual (VM) do Compute Engine.

Por padrão, um usuário pode usar qualquer imagem pública ou personalizada compartilhada com ele para as VMs do Compute Engine que executam os jobs em lote. Se a restrição da política de imagem confiável não estiver ativada e você não quiser restringir as imagens do SO da VM, pare de ler este documento.

Ative a restrição de política de imagem confiável se quiser exigir que todos os usuários em um projeto, pasta ou organização criem VMs que contenham software aprovado e que atenda aos requisitos de política ou segurança. Se a restrição da política de imagem confiável estiver ativada, os usuários afetados não poderão executar jobs do Batch a menos que a imagem do SO da VM para o job seja permitida. Para criar e executar jobs quando a restrição de política de imagem confiável está ativada, faça pelo menos uma das seguintes ações:

Peça aos usuários para especificar uma imagem do SO da VM que já seja permitida.
Permita as imagens padrão do SO da VM do Batch, conforme mostrado neste documento.

Para saber mais sobre imagens de SO de VM e discos de inicialização, consulte Visão geral do ambiente do SO da VM. Para saber quais restrições de política foram ativadas para seu projeto, pasta ou organização, consulte as políticas da organização.

Antes de começar

Se você nunca usou o Batch, leia Começar a usar o Batch e ative o serviço concluindo os pré-requisitos para projetos e usuários.
Para receber as permissões necessárias a fim de configurar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Permitir imagens do Batch

As etapas a seguir descrevem como modificar a restrição de política de imagem confiável para permitir todas as imagens de SO de VM do Batch usando o consoleGoogle Cloud ou a Google Cloud CLI.

Para mais instruções sobre como usar a restrição de política de imagem confiável (compute.trustedImageProjects), consulte Como configurar políticas de imagem confiáveis na documentação do Compute Engine.

Console

Acessar a página Políticas da organização.

Acessar as políticas da organização
Na lista de políticas, clique em Definir projetos de imagens confiáveis.

A página Detalhes da política é aberta.
Na página Detalhes da política, clique em Gerenciar política. A página Editar política é aberta.
Na página Editar política, selecione Personalizar.
Em Aplicação da política, selecione uma opção.
Clique em Adicionar regra.
Na lista Valores de política, selecione se quer adicionar uma regra que permita ou negue o acesso a todos os projetos de imagem não especificados ou especifique um conjunto personalizado de projetos para permitir ou negar o acesso. Para permitir todas as imagens do Batch, faça o seguinte:
1. Na lista Valores da política, selecione Personalizado. Um campo Tipo de política e Valores personalizados vai aparecer.
2. Na lista Tipo de política, selecione Permitir.
3. No campo Valores personalizados, insira projects/batch-custom-image.
Para salvar a regra, clique em Concluído.
Para salvar e aplicar a política da organização, clique em Salvar.

gcloud

O exemplo a seguir descreve como permitir imagens do Batch para um projeto específico:

Para acessar as configurações de política atuais de um projeto, execute o comando resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Substitua PROJECT_ID pelo ID do projeto que você quer atualizar.
Abra o arquivo policy.yaml em um editor de texto. Em seguida, modifique a restrição compute.trustedImageProjects adicionando projects/batch-custom-image ao campo allowedValues. Por exemplo, para permitir apenas imagens do SO de VM do Batch, defina a restrição compute.trustedImageProjects como:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Quando terminar de editar o arquivo policy.yaml, salve as mudanças.
Para aplicar o arquivo policy.yaml ao seu projeto, use o comando resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto que você quer atualizar.

Quando terminar de atualizar as restrições, é recomendável testá-las para verificar se estão funcionando conforme o esperado.

A seguir

Crie e execute jobs, como os seguintes:
- Crie e execute um job básico, que usa uma imagem do SO da VM do Batch por padrão.
- Crie e execute um job que use uma imagem de SO de VM específica.
Saiba mais sobre imagens de SO de VM e discos de inicialização.

Controlar o acesso a imagens do SO da VM para o Batch Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.