Auf dieser Seite wird beschrieben, wie Sie die Einschränkung für die Trusted Image-Richtlinie konfigurieren. So können Sie den Zugriff auf die Betriebssystem-Images steuern, die zum Erstellen der Bootlaufwerke für Compute Engine-Instanzen virtueller Maschinen (VMs) verwendet werden können.
Standardmäßig kann ein Nutzer jedes öffentliche Image oder jedes benutzerdefinierte Image verwenden, das für die Compute Engine-VMs freigegeben wurde, auf denen seine Batch-Jobs ausgeführt werden. Wenn die Trusted Image-Richtlinie nicht aktiviert ist und Sie die VM-Betriebssystem-Images nicht einschränken möchten, können Sie hier aufhören zu lesen.
Aktivieren Sie die Einschränkung für die Trusted Image-Richtlinie, wenn alle Nutzer in einem Projekt, Ordner oder einer Organisation VMs erstellen müssen, die genehmigte Software enthalten, die Ihren Richtlinien- oder Sicherheitsanforderungen entspricht. Wenn die Trusted Image-Richtlinie-Einschränkung aktiviert ist, können betroffene Nutzer keine Batchjobs ausführen , es sei denn, das VM-Betriebssystem-Image für ihren Job ist zulässig. Wenn die Einschränkung für die Trusted Image-Richtlinie aktiviert ist, haben Sie mindestens eine der folgenden Möglichkeiten, um Jobs zu erstellen und auszuführen:
- Nutzer können ein VM-Betriebssystem-Image angeben, das bereits zulässig ist.
- Sie können die standardmäßigen VM-Betriebssystem-Images aus Batch zulassen, wie in diesem Dokument beschrieben.
Weitere Informationen zu VM-Betriebssystem-Images und Bootlaufwerken finden Sie unter Übersicht über die VM-Betriebssystemumgebung. Informationen dazu, welche Richtlinieneinschränkungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aktiviert wurden, finden Sie unter Organisationsrichtlinien ansehen.
Hinweis
- Wenn Sie Batch noch nicht verwendet haben, lesen Sie den Artikel Erste Schritte mit Batch und aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzererfüllen.
-
Bitten Sie Ihren Administrator, Ihnen die Organisationsrichtlinien-Administrator (
roles/orgpolicy.policyAdmin) IAM-Rolle für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Images aus Batch zulassen
In den folgenden Schritten wird beschrieben, wie Sie die Einschränkung für die Trusted Image-Richtlinie ändern, um alle VM-Betriebssystem-Images aus Batch zuzulassen. Sie können dazu die Google Cloud Console oder die Google Cloud CLI verwenden.
Weitere Informationen zur Verwendung der Richtlinieneinschränkung für vertrauenswürdige Images
(compute.trustedImageProjects) finden Sie
in der Compute Engine-Dokumentation unter Trusted Image-Richtlinien einrichten.
Console
Rufen Sie die Seite Organisationsrichtlinien auf.
Klicken Sie in der Richtlinienliste auf Trusted Image-Projekte definieren.
Die Seite Richtliniendetails wird geöffnet.
Klicken Sie auf der Seite Richtliniendetails auf Richtlinie verwalten. Die Seite Richtlinie bearbeiten wird geöffnet.
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Anpassen aus.
Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus.
Klicken Sie auf Regel hinzufügen.
In der Liste Richtlinienwerte können Sie auswählen, ob Sie eine Regel hinzufügen möchten, die den Zugriff auf alle nicht angegebenen Image-Projekte zulässt, den Zugriff auf alle nicht angegebenen Image-Projekte verweigert oder einen benutzerdefinierten Satz von Projekten angibt, für die der Zugriff zugelassen oder verweigert werden soll. So lassen Sie alle Images aus Batch zu:
- Wählen Sie in der Liste Richtlinienwerte die Option Benutzerdefiniert aus. Die Felder Richtlinientyp und Benutzerdefinierte Werte werden angezeigt.
- Wählen Sie in der Liste Richtlinientyp die Option Zulassen aus.
- Geben Sie im Feld Benutzerdefinierte Werte
projects/batch-custom-imageein.
Klicken Sie auf Fertig, um die Regel zu speichern.
Klicken Sie auf Speichern, um die Organisationsrichtlinie zu speichern und anzuwenden.
gcloud
Im folgenden Beispiel wird beschrieben, wie Sie Images aus Batch für ein bestimmtes Projekt zulassen:
Führen Sie den
resource-manager org-policies describeBefehl aus, um die vorhandenen Richtlinieneinstellungen für ein Projekt abzurufen:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts das Sie aktualisieren möchten.
Öffnen Sie die Datei
policy.yamlin einem Texteditor. Ändern Sie dann die Einschränkungcompute.trustedImageProjects, indem Sieprojects/batch-custom-imagedem FeldallowedValueshinzufügen. Wenn Sie beispielsweise nur VM-Betriebssystem-Images aus Batch zulassen möchten, legen Sie die Einschränkungcompute.trustedImageProjectsso fest:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-imageSpeichern Sie die Änderungen, nachdem Sie die Datei
policy.yamlbearbeitet haben.Verwenden Sie den
resource-manager org-policies set-policyBefehl, um diepolicy.yamlDatei auf Ihr Projekt anzuwenden:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts das Sie aktualisieren möchten.
Nachdem Sie die Einschränkungen aktualisiert haben, sollten Sie sie testen, um zu prüfen, ob sie wie erwartet funktionieren.
Nächste Schritte
- Jobs erstellen und ausführen, z. B.:
- Einen einfachen Job erstellen und ausführen, der standardmäßig ein VM-Betriebssystem-Image aus Batch verwendet.
- Einen Job erstellen und ausführen, der ein bestimmtes VM-Betriebssystem-Image verwendet.
- Weitere Informationen zu VM-Betriebssystem-Images und Bootlaufwerken.