Gerenciar atribuições de políticas do SO

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Depois de criar uma atribuição de política de SO , revise e gerencie suas atribuições usando os seguintes procedimentos:

• Atualizar atribuições de política de SO : modifique as configurações de sua atribuição de política de SO
• Descrever atribuições de política de SO : obtenha detalhes sobre uma atribuição de política de SO específica
• Listar atribuições de políticas do SO : visualize uma lista de atribuições de políticas do SO em uma zona específica
• Listar revisões de atribuição de política de SO : visualize uma lista de revisões que estão disponíveis para uma atribuição de política de SO específica
• Excluir uma atribuição de política de SO : exclua uma atribuição de política de SO específica
• Depurar uma atribuição de política de SO : solucionar problemas de uma atribuição de política de SO

Você pode gerenciar as atribuições de políticas do SO usando o console do Google Cloud , a CLI do Google Cloud ou a API OS Config .

Antes de começar

• Revise as cotas de configuração do sistema operacional .
• Se ainda não o fez, configure a autenticação. Autenticação é o processo pelo qual sua identidade é verificada para acesso a Google Cloud serviços e APIs. Para executar códigos ou amostras em um ambiente de desenvolvimento local, você pode se autenticar no Compute Engine selecionando uma das seguintes opções:
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. After installing the Google Cloud CLI, initialize it by running the following command:

     gcloud init

     If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  2. Set a default region and zone.

  REST

  Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

  After installing the Google Cloud CLI, initialize it by running the following command:

  gcloud init

  If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Permissões

Os proprietários de um projeto têm acesso total para gerenciar atribuições de políticas de SO. Para todos os outros usuários, você precisa conceder permissões. Para gerenciar atribuições de políticas de SO, você pode conceder uma das seguintes funções granulares:

• Administrador OSPolicyAssignment ( roles/osconfig.osPolicyAssignmentAdmin ). Contém permissões para criar, excluir, atualizar, obter e listar atribuições de políticas do sistema operacional.
• Editor OSPolicyAssignment ( roles/osconfig.osPolicyAssignmentEditor ). Contém permissões para atualizar, obter e listar atribuições de políticas do sistema operacional.
• Visualizador OSPolicyAssignment ( roles/osconfig.osPolicyAssignmentViewer ). Contém permissões de acesso somente leitura para obter e listar atribuições de políticas do sistema operacional.

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

Atualizar atribuições de políticas do SO

Para atualizar uma atribuição de política de SO, conclua as etapas a seguir:

1. Atualize o arquivo YAML ou JSON que contém a atribuição de política do SO.

   A solicitação de atualização oferece suporte a máscaras de campo. Talvez seja necessário atualizar apenas determinados campos na atribuição de política do sistema operacional, deixando os outros campos inalterados. O comando update ou patch usa máscaras de campo para informar à API quais campos foram alterados. A solicitação de atualização ou patch ignora quaisquer campos que não estejam especificados na máscara de campo, deixando-os com seus valores atuais. Para obter mais informações sobre máscaras de campo, consulte FieldMask .

2. Atualize a atribuição da política do SO usando o console do Google Cloud, a CLI do Google Cloud ou a API OS Config.

   Quando você atualiza uma atribuição de política de SO, uma implementação é criada. Você pode visualizar o progresso da atualização monitorando a implementação. Para obter mais informações, consulte Obtendo detalhes de uma implementação .

   Console

   1. No console do Google Cloud, acesse a página Políticas do SO > Atribuições .

      Acesse o console do Google Cloud

   2. Para a atribuição de política de SO que você deseja editar, clique em Ação ( more_vert ) > Editar Atribuição .

   3. Faça as atualizações necessárias. Por exemplo, você pode carregar o arquivo de política do sistema operacional atualizado.

   4. Clique em Iniciar implementação .

   gcloud

   Use o comando os-config os-policy-assignments update para atualizar uma atribuição de política do sistema operacional.

   gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
       --location=ZONE \
       --file=FILE
   

   Substitua o seguinte:

   • OS_POLICY_ASSIGNMENT_ID : o nome da atribuição de política do SO que você deseja atualizar
   • ZONE : a zona onde a atribuição de política do SO está localizada

   • FILE : o caminho absoluto para o arquivo JSON ou YAML que contém as especificações atualizadas de atribuição de política do sistema operacional

     Se a atribuição de política de SO não existir e se você especificar a sinalização --allow-missing , o VM Manager criará a atribuição de política de SO com o ID e as especificações especificados.

   DESCANSAR

   Na API, crie uma solicitação PATCH para o método projects.locations.osPolicyAssignments.patch .

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
   
   {
    JSON_OS_POLICY
   }
   

   Substitua o seguinte:

   • PROJECT_ID : o ID do seu projeto
   • OS_POLICY_ASSIGNMENT_ID : nome da atribuição de política do SO que você deseja atualizar
   • JSON_OS_POLICY : as especificações de atribuição de política do SO criadas na etapa anterior. Deve estar no formato JSON. Para obter mais informações sobre os parâmetros e o formato, consulte Resource: OSPolicyAssignment .
   • ZONE : a zona onde a atribuição de política do SO está localizada

Listar atribuições de políticas do SO

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments

Descrever uma atribuição de política de SO

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Listar revisões de atribuição de políticas do SO

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

Excluir atribuições de política do SO

Quando você exclui uma atribuição de política de SO, uma implementação é criada. Você pode visualizar o progresso da exclusão monitorando a implementação. Para obter mais informações, consulte Obtendo detalhes de uma implementação .

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Solução de problemas

Para solucionar problemas de uma atribuição de política de SO, consulte Solução de problemas do VM Manager .

O que vem a seguir?

• Saiba mais sobre as políticas do sistema operacional .
• Crie uma atribuição de política de SO .