Esta página foi traduzida pela API Cloud Translation.

Controle o acesso a imagens do SO de VMs para o Batch

Esta página descreve como configurar a restrição da política de imagens fidedignas. Isto permite-lhe controlar o acesso às imagens do sistema operativo (SO) que podem ser usadas para criar os discos de arranque para quaisquer instâncias de máquinas virtuais (VM) do Compute Engine.

Por predefinição, um utilizador pode usar qualquer imagem pública ou qualquer imagem personalizada que seja partilhada com ele para as VMs do Compute Engine que executam os respetivos trabalhos do Batch. Se a restrição da política de imagens fidedignas não estiver ativada e não quiser restringir as imagens do SO de VMs, pode parar de ler este documento.

Ative a restrição da política de imagens fidedignas se quiser exigir que todos os utilizadores num projeto, numa pasta ou numa organização criem VMs que contenham software aprovado que cumpra os seus requisitos de política ou segurança. Se a restrição da política de imagens fidedignas estiver ativada, os utilizadores afetados não podem executar tarefas em lote, a menos que a imagem do SO da VM para a respetiva tarefa seja permitida. Para criar e executar tarefas quando a restrição da política de imagens seguras está ativada, faça, pelo menos, uma das seguintes ações:

Fazer com que os utilizadores especifiquem uma imagem do SO da VM que já seja permitida.
Permitir as imagens do SO da VM predefinidas do Batch, conforme mostrado neste documento.

Para saber mais sobre as imagens do SO de VM e os discos de arranque, consulte a vista geral do ambiente do SO de VM. Para saber que restrições de políticas foram ativadas para o seu projeto, pasta ou organização, veja as políticas da organização.

Antes de começar

Se nunca usou o Batch, reveja o artigo Comece a usar o Batch e ative o Batch concluindo os pré-requisitos para projetos e utilizadores.
Para receber as autorizações de que precisa para configurar políticas de organização, peça ao seu administrador que lhe conceda a função de IAM Administrador de políticas de organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Permita imagens do Batch

Os passos seguintes descrevem como modificar a restrição da política de imagens fidedignas para permitir todas as imagens do SO de VMs do Batch através da consola ou da Google Cloud CLI.Google Cloud

Para mais instruções sobre como usar a restrição de política de imagem fidedigna (compute.trustedImageProjects), consulte o artigo Configurar políticas de imagens fidedignas na documentação do Compute Engine.

Consola

Aceda à página Políticas da organização.

Aceda às políticas da organização
Na lista de políticas, clique em Definir projetos de imagens fidedignos.

É apresentada a página Detalhes da política.
Na página Detalhes da política, clique em Gerir política. É apresentada a página Editar política.
Na página Editar política, selecione Personalizar.
Para Aplicação de políticas, selecione uma opção de aplicação.
Clique em Adicionar regra.
Na lista Valores da política, pode selecionar se quer adicionar uma regra que permita o acesso a todos os projetos de imagens não especificados, negue o acesso a todos os projetos de imagens não especificados ou especifique um conjunto personalizado de projetos aos quais quer permitir ou negar o acesso. Para permitir todas as imagens do Batch, faça o seguinte:
1. Na lista Valores da política, selecione Personalizado. É apresentado um Tipo de política e um campo Valores personalizados.
2. Na lista Tipo de política, selecione Permitir.
3. No campo Valores personalizados, introduza projects/batch-custom-image.
Para guardar a regra, clique em Concluído.
Para guardar e aplicar a política de organização, clique em Guardar.

gcloud

O exemplo seguinte descreve como permitir imagens do Batch para um projeto específico:

Para obter as definições de políticas existentes de um projeto, execute o comando resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
Substitua PROJECT_ID pelo ID do projeto que quer atualizar.
Abra o ficheiro policy.yaml num editor de texto. Em seguida, modifique a restrição compute.trustedImageProjects adicionando projects/batch-custom-image ao campo allowedValues. Por exemplo, para permitir apenas imagens de SO de VMs do Batch, defina a restrição compute.trustedImageProjects da seguinte forma:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
Quando terminar de editar o ficheiro policy.yaml, guarde as alterações.
Para aplicar o ficheiro policy.yaml ao seu projeto, use o comando resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto que quer atualizar.

Quando terminar de atualizar as restrições, recomendamos que as teste para verificar se estão a funcionar conforme previsto.

O que se segue?

Criar e executar tarefas, como as seguintes:
- Criar e executar uma tarefa básica, que usa uma imagem do SO de VM do Batch por predefinição.
- Crie e execute uma tarefa que use uma imagem do SO de VM específica.
Saiba mais sobre as imagens do SO de VMs e os discos de arranque.

Controle o acesso a imagens do SO de VMs para o Batch Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.