Ver informes de políticas del sistema operativo

Después de que VM Manager aplica una asignación de política de sistema operativo a una instancia de máquina virtual (VM), se genera un informe de asignación de política de sistema operativo. El informe contiene el estado de cumplimiento de todas las políticas del sistema operativo que se aplican a una máquina virtual específica para una asignación de política del sistema operativo determinada.

Este documento describe las siguientes tareas:

Antes de comenzar

  • Revise las cuotas de configuración del sistema operativo .
  • Si aún no lo has hecho, configura la autenticación. La autenticación es el proceso mediante el cual se verifica su identidad para acceder a Google Cloud servicios y API. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. After installing the Google Cloud CLI, initialize it by running the following command: 

      gcloud init

      If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    2. Set a default region and zone.

      3. REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Para obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud .

Roles y permisos necesarios

Para obtener los permisos que necesita para ver los datos de cumplimiento de políticas del sistema operativo, solicite a su administrador que le otorgue las siguientes funciones de IAM:

  • Vea el resumen de cumplimiento de políticas del sistema operativo para máquinas virtuales en una organización o carpeta:
  • Ver informes de asignación de políticas del sistema operativo para máquinas virtuales en un proyecto: OSPolicyAssignmentReport Viewer ( roles/osconfig.osPolicyAssignmentReportViewer ) en el proyecto

Para obtener más información sobre cómo otorgar roles, consulte Administrar el acceso a proyectos, carpetas y organizaciones .

Estos roles predefinidos contienen los permisos necesarios para ver los datos de cumplimiento de las políticas del sistema operativo. Para ver los permisos exactos que se requieren, expanda la sección Permisos requeridos :

Permisos requeridos

Se requieren los siguientes permisos para ver los datos de cumplimiento de políticas del sistema operativo:

  • Vea el resumen de cumplimiento de políticas del sistema operativo para máquinas virtuales en una organización o carpeta:
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

Es posible que también pueda obtener estos permisos con roles personalizados u otros roles predefinidos .

Ver el resumen de cumplimiento de políticas del sistema operativo para todas las máquinas virtuales en una organización o carpeta

Puede ver el resumen de cumplimiento de la política del sistema operativo para todas las máquinas virtuales de una organización o carpeta mediante la consola de Google Cloud.

VM Manager muestra un resumen de cumplimiento de la política del sistema operativo solo para aquellos proyectos que cumplen uno de los siguientes requisitos:

  • Contiene una o más máquinas virtuales en las que VM Manager está habilitado y ejecutándose.
  • Contiene una o más máquinas virtuales en las que se ejecutó VM Manager en los últimos 7 días y hay datos de cumplimiento de políticas del sistema operativo disponibles.

Para ver los datos de cumplimiento de la política del sistema operativo, haga lo siguiente:

  1. En la consola de Google Cloud, vaya a la página Compute Engine > VM Manager > Políticas del sistema operativo .

    Ir a políticas del sistema operativo

  2. En la lista desplegable del proyecto en la parte superior de la consola de Google Cloud, seleccione la organización o carpeta para la que desea ver el resumen de cumplimiento de la política del sistema operativo.

  3. Utilice las siguientes opciones para ver los datos de cumplimiento de la política del sistema operativo:

    1. Para ver el resumen de cumplimiento de la política del sistema operativo por proyecto, haga clic en la pestaña Proyectos .
    2. Para ver el resumen de cumplimiento de la política del sistema operativo por política, haga clic en la pestaña Políticas del sistema operativo .

  4. Opcional: Especifique los criterios para calcular el resumen de cumplimiento de la política del sistema operativo mediante el generador de consultas .

  5. Revise el resumen de cumplimiento de políticas del sistema operativo para máquinas virtuales. La tabla en la pestaña Proyectos incluye una fila para cada proyecto como se muestra en la siguiente figura:

    Resumen de políticas del sistema operativo para todos los proyectos.

    La tabla enumera la siguiente información que cumple con los criterios que ha especificado en el generador de consultas:

    • Proyecto : el nombre de los proyectos de la organización que contienen al menos una VM y tienen habilitado VM Manager.
    • Total de máquinas virtuales : número total de máquinas virtuales en cada proyecto.
    • Máquinas virtuales monitoreadas : cantidad de máquinas virtuales en el proyecto que tienen el agente VM Manager habilitado y que se están analizando para verificar el cumplimiento de la política.
    • Máquinas virtuales con política : número de máquinas virtuales con al menos una política asignada.
    • Cumplido : número de máquinas virtuales con todas sus políticas asignadas informadas como COMPLIANT .
    • No conforme : número de máquinas virtuales con al menos una política asignada informadas como NON-COMPLIANT .
    • Desconocido : número de máquinas virtuales con al menos una política asignada reportada como UNKNOWN y ninguna política reportada como NON-COMPLIANT . El estado UNKNOWN se debe a uno de los siguientes motivos:
      • La máquina virtual no se está ejecutando.
      • El agente de VM Manager no está habilitado para la VM.
      • Se produjo un error durante el proceso.
    • Sin informe : número de máquinas virtuales con políticas asignadas, pero no se encontró ningún informe de cumplimiento de políticas debido a uno de los siguientes motivos:
      • El agente de VM Manager no está habilitado para la VM.
      • El análisis de cumplimiento está en curso. El informe aún no está listo.

  6. Opcional: aplique filtros de tabla si desea ver filas específicas en la tabla de resumen de cumplimiento de políticas del sistema operativo.

    Filtro de tabla en la tabla de resumen de políticas.

    Por ejemplo, si desea ver un resumen de cumplimiento de políticas del sistema operativo para proyectos que tienen más de 10 máquinas virtuales, configure la opción de filtro Total de máquinas virtuales en >= 10 .

  7. Opcional: haga clic en la cantidad de máquinas virtuales para ver más detalles sobre las máquinas virtuales en un estado particular. Por ejemplo, al hacer clic en la cantidad de VM para un proyecto determinado en la columna Desconocido , se abre la pestaña Instancias de VM con una lista de políticas de SO desconocidas para cada VM en ese proyecto.

    Pestaña de instancias de VM con políticas de sistema operativo desconocidas.

    Para obtener más información, consulte Ver informes de asignación de políticas del sistema operativo .

Utilice el generador de consultas para filtrar los datos de cumplimiento de políticas del sistema operativo

Según los criterios que especificó en el generador de consultas, VM Manager muestra los datos de cumplimiento de la política del sistema operativo para las máquinas virtuales en los proyectos de su organización o carpeta. Luego puede usar los filtros de tabla en la tabla de cumplimiento de políticas del sistema operativo para filtrar los datos mostrados.

Por ejemplo, cuando configura el atributo OS en el generador de consultas como Debian , VM Manager muestra datos de cumplimiento de la política del sistema operativo para las máquinas virtuales con el sistema operativo Debian. Si desea ver los datos de cumplimiento de un proyecto específico, utilice el filtro de tabla para especificar el ID del proyecto.

Generador de consultas con un atributo.

Para configurar una consulta en el generador de consultas en la pestaña Proyectos , haga lo siguiente:

  1. Seleccione un atributo . El generador de consultas admite los siguientes atributos:

    • SO : Especifique los nombres cortos de los sistemas operativos como Windows o Debian .
    • Versión del sistema operativo : especifique la versión del sistema operativo. Por ejemplo, 21.04 o 10.0.22000 . Puede especificar un solo asterisco ( * ) al final de la cadena de versión del sistema operativo para indicar una coincidencia parcial, por ejemplo 10* .
    • Máquina virtual en ejecución : especifique si desea ver el resumen de parches para las máquinas virtuales que están en estado RUNNING .
    • Huella digital de política : especifique la huella digital de política única para la política del sistema operativo. Cuando configura este atributo, VM Manager calcula el resumen de cumplimiento solo para aquellas políticas del sistema operativo con la huella digital especificada.
    • Estado de cumplimiento : especifique uno de los estados de cumplimiento de la política:
      • COMPLIANT : máquinas virtuales con todas las políticas asignadas informadas como COMPLIANT
      • NON-COMPLIANT : las máquinas virtuales con al menos una política asignada se informan como NON-COMPLIANT
      • UNKNOWN : VM con al menos una política asignada reportadas como UNKNOWN

  2. Elija uno de los atributos y especifique un valor para el atributo. Por ejemplo, si desea ver un resumen de parches para máquinas virtuales con un sistema operativo específico, seleccione SO . Luego obtendrá una lista de operadores de comparación para elegir.

    1. Seleccione un Operador , por ejemplo, == .
    2. En el campo Valor , especifique el valor de comparación. Por ejemplo Debian .

  3. Para agregar otro atributo, haga clic en Agregar condición .

  4. Haga clic en Buscar .

Ver informes de asignación de políticas del sistema operativo

Para ver los informes de asignación de políticas del sistema operativo, puede usar la consola de Google Cloud, la CLI de Google Cloud o REST .

Utilice este procedimiento para ver una lista de informes de asignación de políticas del sistema operativo para una ubicación específica.

Consola

  1. Si utiliza controles de servicio de VPC para proteger sus servicios, agregue el servicio Cloud Asset Inventory a su lista de servicios permitidos. Para obtener más información, consulte Servicios accesibles de VPC .

  2. En la consola de Google Cloud, vaya a la página Políticas del sistema operativo > Instancias de VM .

    Ir a instancias de VM

    Ver el cumplimiento de la máquina virtual.

nube de gcloud

Para ver una lista de informes de asignación de políticas del sistema operativo, use el comando os-config os-policy-assignment-reports list .

Para ver todos los informes de asignación de políticas del sistema operativo para una ubicación específica, ejecute el siguiente comando. Reemplace ZONE con la zona donde se encuentran las VM.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Comando de ejemplo y salida (todas las máquinas virtuales)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

También puede utilizar indicadores opcionales como --instance o --assignment-id para filtrar los resultados.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Reemplace lo siguiente:

  • ZONE : la zona donde se encuentra la VM
  • Opcional: proporcione uno de los siguientes:
    • VM_NAME : el nombre o ID de la máquina virtual para la que desea ver los informes de asignación de políticas del sistema operativo.
    • ASSIGNMENT_ID : el ID de la asignación de política del sistema operativo para la que desea ver los informes de asignación de política del sistema operativo.

Ejemplo de comando y salida (VM específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Ejemplo de comando y salida (asignación específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

DESCANSAR

En la API, cree una solicitud GET para el método projects.locations.osPolicyAssignments.reports.list .

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Reemplace lo siguiente:

  • PROJECT_ID : ID de tu proyecto
  • ZONE : la zona donde se encuentran las VM
  • Opcional. Proporcione uno de los siguientes:
    • VM_NAME : el nombre o ID de la VM para la que desea ver los informes de asignación de políticas del sistema operativo. Si no es necesario, utilice un - para el valor.
    • ASSIGNMENT_ID : el ID de la asignación de política del sistema operativo para la que desea ver los informes de asignación de política del sistema operativo. Si no es necesario, utilice un - para el valor.

Ejemplos:

  • Para ver informes de todas las máquinas virtuales en el proyecto my-project-12345 y la zona us-central1-a , use el siguiente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Para ver informes de la VM my-test-vm en el proyecto my-project-12345 y ubicado en la zona us-central1-a , use el siguiente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Para ver informes de todas las máquinas virtuales en el proyecto my-project-12345 y la zona us-central1-a que tienen la asignación de política del sistema operativo my-test-assignment , use el siguiente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Revisar un informe de asignación de políticas del sistema operativo

Utilice este procedimiento para obtener una vista detallada de un informe de asignación de políticas del sistema operativo asociado con una máquina virtual específica.

Consola

  1. Si utiliza controles de servicio de VPC para proteger sus servicios, agregue el servicio Cloud Asset Inventory a su lista de servicios permitidos. Para obtener más información, consulte Servicios accesibles de VPC .

  2. En la consola de Google Cloud, vaya a la página Políticas del sistema operativo > Instancias de VM .

    Ir a la consola de Google Cloud

  3. Para ver el informe de asignación de políticas del sistema operativo para una máquina virtual específica, haga clic en el nombre de la máquina virtual.

    Ver el cumplimiento de la máquina virtual.

  4. Revise los campos Estado , Motivo del estado y Registros . El campo Registros proporciona un enlace al panel de Cloud Logging donde puede acceder a los registros de depuración para el agente de configuración del sistema operativo que se ejecuta en la máquina virtual.

    Para solucionar estos problemas, también puede revisar los registros de la política del sistema operativo y realizar las actualizaciones necesarias. Para comprobar los registros, consulte Solución de problemas de VM Manager .

nube de gcloud

  1. Para ver el informe de asignación de políticas del sistema operativo para una máquina virtual específica, use el comando os-config os-policy-assignment-reports describe . 

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
    --instance=VM_NAME \
    --location=ZONE

    Reemplace lo siguiente:

    • OS_POLICY_ASSIGNMENT_ID : el ID de la asignación de política del sistema operativo que desea revisar para la máquina virtual especificada
    • VM_NAME : el nombre o ID de la VM para la que desea ver el informe de asignación de políticas del sistema operativo.
    • ZONE : la zona donde se encuentra la VM

    Ejemplo 

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
    --instance=centos7 \
    --location=us-central1-a

    Producción 

    instance: centos7
lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
osPolicyCompliances:
– complianceState: UNKNOWN
  complianceStateReason: os-policies-not-supported-by-agent
  osPolicyId: setup-repo-and-install-package-policy
  osPolicyResourceCompliances:
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: setup-repo
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: install-pkg
updateTime: '2021-11-02T19:14:34.314831Z'

  2. Revise el complianceState y complianceStateReason .

    Para solucionar estos problemas, también puede revisar los registros de la política del sistema operativo y realizar las actualizaciones necesarias. Para comprobar los registros, consulte Solución de problemas de VM Manager .

DESCANSAR

  1. En la API, cree una solicitud GET para el método projects.locations.osPolicyAssignments.reports.get . 

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

    Reemplace lo siguiente:

    • PROJECT_ID : ID de tu proyecto
    • ZONE : la zona donde se encuentra la VM
    • VM_NAME : el nombre o ID de la VM para la que desea ver el informe de asignación de políticas del sistema operativo.
    • OS_POLICY_ASSIGNMENT_ID : el ID de la asignación de política del sistema operativo para la que desea ver el informe de asignación de política del sistema operativo.

  2. Revise el complianceState y complianceStateReason .

    Para solucionar estos problemas, también puede revisar los registros de la política del sistema operativo y realizar las actualizaciones necesarias. Para comprobar los registros, consulte Solución de problemas de VM Manager .

¿Qué sigue?