Depois que o VM Manager aplica uma atribuição de política de SO a uma instância de máquina virtual (VM), um relatório de atribuição de política de SO é gerado. O relatório contém o status de conformidade de todas as políticas de SO aplicadas a uma VM específica para uma determinada atribuição de política de SO.
Este documento descreve as seguintes tarefas:
- Visualize o relatório de conformidade com a política do sistema operacional para todas as VMs em uma organização ou pasta .
- Visualize relatórios de atribuição de políticas de SO para todas as VMs em uma zona especificada. Isto é útil para fornecer uma visão geral do status de conformidade em uma zona específica. Consulte Exibir relatórios de atribuição de políticas do SO .
- Revise a atribuição de política do sistema operacional para uma VM específica. Isto é útil ao analisar o status de conformidade de uma VM específica. Consulte Analisar um relatório de atribuição de política de sistema operacional .
Antes de começar
- Revise as cotas de configuração do sistema operacional .
- Se ainda não o fez, configure a autenticação. Autenticação é o processo pelo qual sua identidade é verificada para acesso a Google Cloud serviços e APIs. Para executar códigos ou amostras em um ambiente de desenvolvimento local, você pode se autenticar no Compute Engine selecionando uma das seguintes opções:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
- Veja o resumo de conformidade com a política do SO para VMs em uma organização ou pasta:
- Visualizador OSPolicyAssignmentReport (
roles/osconfig.osPolicyAssignmentReportViewer) na organização ou pasta - OSPolicyAssignment Viewer (
roles/osconfig.osPolicyAssignmentViewer) na organização ou pasta
- Visualizador OSPolicyAssignmentReport (
- Visualize relatórios de atribuição de políticas de sistema operacional para VMs em um projeto: OSPolicyAssignmentReport Viewer (
roles/osconfig.osPolicyAssignmentReportViewer) no projeto - Veja o resumo de conformidade com a política do SO para VMs em uma organização ou pasta:
-
osconfig.osPolicyAssignmentReports.searchSummaries -
osconfig.osPolicyAssignments.searchPolicies -
resourcemanager.projects.get -
resourcemanager.projects.list
-
- Contém uma ou mais VMs nas quais o VM Manager está habilitado e em execução.
- Contém uma ou mais VMs nas quais o VM Manager esteve em execução nos últimos sete dias e os dados de conformidade com a política do sistema operacional estão disponíveis.
No console do Google Cloud, acesse a página Compute Engine > VM Manager > Políticas do SO .
Na lista suspensa do projeto na parte superior do console do Google Cloud, selecione a organização ou pasta para a qual você quer ver o resumo de conformidade com a política do SO.
Use as seguintes opções para visualizar os dados de conformidade com a política do SO:
- Para visualizar o resumo de conformidade com a política do SO por projeto, clique na guia Projetos .
- Para visualizar o resumo de conformidade da política do SO por política, clique na guia Políticas do SO .
Opcional: Especifique os critérios para calcular o resumo de conformidade da política do SO usando o construtor de consultas .
Revise o resumo de conformidade da política do sistema operacional para VMs. A tabela na guia Projetos inclui uma linha para cada projeto, conforme mostrado na figura a seguir:
A tabela lista as seguintes informações que atendem aos critérios especificados no construtor de consultas:
- Projeto : o nome dos projetos na organização que contêm pelo menos uma VM e têm o VM Manager ativado.
- Total de VMs : número total de VMs em cada projeto.
- VMs monitoradas : número de VMs no projeto que têm o agente VM Manager habilitado e estão sendo verificadas quanto à conformidade com a política.
- VMs com política : número de VMs com pelo menos uma política atribuída.
- Compatível : Número de VMs com todas as políticas atribuídas relatadas como
COMPLIANT. - Não compatível : Número de VMs com pelo menos uma política atribuída relatada como
NON-COMPLIANT. - Unknown : Número de VMs com pelo menos uma política atribuída relatada como
UNKNOWNe nenhuma política relatada comoNON-COMPLIANT. O estadoUNKNOWNé devido a um dos seguintes motivos:- A VM não está em execução.
- O agente do VM Manager não está habilitado para a VM.
- Ocorreu um erro durante o processo.
- Nenhum relatório : número de VMs com políticas atribuídas, mas nenhum relatório de conformidade com políticas foi encontrado devido a um dos seguintes motivos:
- O agente do VM Manager não está habilitado para a VM.
- A verificação de conformidade está em andamento. O relatório ainda não está pronto.
Opcional: aplique filtros de tabela se desejar visualizar linhas específicas na tabela de resumo de conformidade com a política do SO.
Por exemplo, se quiser ver o resumo de conformidade da política do SO para projetos que têm mais de 10 VMs, defina a opção de filtro Total VMs como
>= 10.Opcional: clique no número de VMs para visualizar mais detalhes sobre as VMs em um determinado estado. Por exemplo, clicar no número de VMs de um determinado projeto na coluna Desconhecido abre a guia Instâncias de VM com uma lista de políticas de SO desconhecidas para cada VM nesse projeto.
Para obter mais informações, consulte Exibir relatórios de atribuição de políticas do SO .
Selecione um Atributo . O construtor de consultas oferece suporte aos seguintes atributos:
- SO : Especifique os nomes abreviados dos sistemas operacionais, como
WindowsouDebian. - Versão do SO : Especifique a versão do sistema operacional. Por exemplo,
21.04ou10.0.22000. Você pode especificar um único asterisco (*) no final da string da versão do sistema operacional para indicar uma correspondência parcial, por exemplo10*. - VM em execução : Especifique se deseja visualizar o resumo do patch para VMs que estão no estado
RUNNING. - Impressão digital da política : Especifique a impressão digital exclusiva da política do sistema operacional. Ao configurar esse atributo, o VM Manager calcula o resumo de conformidade somente para as políticas do sistema operacional com a impressão digital especificada.
- Estado de conformidade : especifique um dos estados de conformidade da política:
-
COMPLIANT: VMs com todas as políticas atribuídas relatadas comoCOMPLIANT -
NON-COMPLIANT: VMs com pelo menos uma política atribuída relatadas comoNON-COMPLIANT -
UNKNOWN: VMs com pelo menos uma política atribuída relatada comoUNKNOWN
-
- SO : Especifique os nomes abreviados dos sistemas operacionais, como
Escolha um dos atributos e especifique um valor para o atributo. Por exemplo, se quiser ver o resumo do patch para VMs com um sistema operacional específico, selecione OS . Você então obtém uma lista de operadores de comparação para escolher.
- Selecione um Operador , por exemplo,
==. - No campo Valor , especifique o valor de comparação. Por exemplo
Debian.
- Selecione um Operador , por exemplo,
Para adicionar outro atributo, clique em Adicionar condição .
Clique em Pesquisar .
Se você usa o VPC Service Controls para proteger seus serviços, adicione o serviço Cloud Asset Inventory à sua lista de serviços permitidos. Para obter mais informações, consulte Serviços acessíveis por VPC .
No console do Google Cloud, acesse a página Políticas de SO > Instâncias de VM .
-
ZONE: a zona onde a VM está localizada - Opcional: forneça um dos seguintes:
-
VM_NAME: o nome ou ID da VM para a qual você deseja visualizar os relatórios de atribuição de políticas do SO -
ASSIGNMENT_ID: o ID da atribuição de política de SO para a qual você deseja visualizar relatórios de atribuição de política de SO
-
-
PROJECT_ID: o ID do seu projeto -
ZONE: a zona onde as VMs estão localizadas - Opcional. Forneça um dos seguintes:
-
VM_NAME: o nome ou ID da VM para a qual você deseja visualizar os relatórios de atribuição de políticas do SO. Se não for necessário, use-para o valor. -
ASSIGNMENT_ID: o ID da atribuição de política de SO para a qual você deseja visualizar os relatórios de atribuição de política de SO. Se não for necessário, use-para o valor.
-
- Para visualizar relatórios de todas as VMs no projeto
my-project-12345e na zonaus-central1-a, use o seguinte URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
- Para visualizar relatórios da VM
my-test-vmno projetomy-project-12345e localizada na zonaus-central1-a, use o seguinte URI:projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
- Para visualizar relatórios de todas as VMs no projeto
my-project-12345e na zonaus-central1-aque têm a atribuição de política de SOmy-test-assignment, use o seguinte URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
Se você usa o VPC Service Controls para proteger seus serviços, adicione o serviço Cloud Asset Inventory à sua lista de serviços permitidos. Para obter mais informações, consulte Serviços acessíveis por VPC .
No console do Google Cloud, acesse a página Políticas de SO > Instâncias de VM .
Para visualizar o relatório de atribuição de política de SO para uma VM específica, clique no nome da VM.
Revise os campos State , State reason e Logs . O campo Logs fornece um link para o painel do Cloud Logging, onde você pode acessar os logs de depuração do agente de configuração do SO em execução na VM.
- Para obter mais informações sobre os estados de conformidade retornados, revise a seção
ComplianceStatena documentação de referência da API . - Para obter mais informações sobre os motivos de conformidade retornados, revise o campo
complianceStateReasonna documentação de referência da APIOSPolicyResourceCompliance.
Para corrigir esses problemas, você também pode revisar os logs da política do sistema operacional e fazer as atualizações necessárias. Para verificar os logs, consulte Solução de problemas do VM Manager .
- Para obter mais informações sobre os estados de conformidade retornados, revise a seção
Para visualizar o relatório de atribuição de política do sistema operacional para uma VM específica, use o comando
os-config os-policy-assignment-reports describe.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONESubstitua o seguinte:
-
OS_POLICY_ASSIGNMENT_ID: o ID da atribuição de política do SO que você deseja revisar para a VM especificada -
VM_NAME: o nome ou ID da VM para a qual você deseja visualizar o relatório de atribuição de política do SO -
ZONE: a zona onde a VM está localizada
Exemplo
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-aSaída
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'-
Revise
complianceStateecomplianceStateReason.- Para obter mais informações sobre os estados de conformidade retornados, revise a seção
ComplianceStatena documentação de referência da API . - Para obter mais informações sobre os motivos de conformidade retornados, revise o campo
complianceStateReasonna documentação de referência da APIOSPolicyResourceCompliance.
Para corrigir esses problemas, você também pode revisar os logs da política do sistema operacional e fazer as atualizações necessárias. Para verificar os logs, consulte Solução de problemas do VM Manager .
- Para obter mais informações sobre os estados de conformidade retornados, revise a seção
Na API, crie uma solicitação
GETpara o métodoprojects.locations.osPolicyAssignments.reports.get.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Substitua o seguinte:
-
PROJECT_ID: o ID do seu projeto -
ZONE: a zona onde a VM está localizada -
VM_NAME: o nome ou ID da VM para a qual você deseja visualizar o relatório de atribuição de política do SO -
OS_POLICY_ASSIGNMENT_ID: o ID da atribuição de política de SO para a qual você deseja visualizar o relatório de atribuição de política de SO
-
Revise
complianceStateecomplianceStateReason.- Para obter mais informações sobre os estados de conformidade retornados, revise a seção
ComplianceStatena documentação de referência da API . - Para obter mais informações sobre os motivos de conformidade retornados, revise o campo
complianceStateReasonna documentação de referência da APIOSPolicyResourceCompliance.
Para corrigir esses problemas, você também pode revisar os logs da política do sistema operacional e fazer as atualizações necessárias. Para verificar os logs, consulte Solução de problemas do VM Manager .
- Para obter mais informações sobre os estados de conformidade retornados, revise a seção
- Saiba mais sobre as políticas do sistema operacional .
- Gerenciar políticas do sistema operacional .
REST
Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.
Funções e permissões necessárias
Para obter as permissões necessárias para visualizar dados de conformidade com a política do sistema operacional, peça ao administrador que conceda a você as seguintes funções do IAM:
Para obter mais informações sobre a concessão de funções, consulte Gerenciar acesso a projetos, pastas e organizações .
Essas funções predefinidas contêm as permissões necessárias para visualizar dados de conformidade com as políticas do sistema operacional. Para ver as permissões exatas necessárias, expanda a seção Permissões necessárias :
Permissões necessárias
As seguintes permissões são necessárias para visualizar dados de conformidade com a política do sistema operacional:
Você também poderá obter essas permissões com funções personalizadas ou outras funções predefinidas .
Ver o resumo de conformidade com a política do SO para todas as VMs em uma organização ou pasta
Você pode visualizar o resumo de conformidade com a política do SO para todas as VMs em uma organização ou pasta usando o console do Google Cloud.
O VM Manager exibe o resumo de conformidade da política do SO apenas para os projetos que atendem a um dos seguintes requisitos:
Para visualizar os dados de conformidade com a política do sistema operacional, faça o seguinte:
Use o construtor de consultas para filtrar dados de conformidade com a política do sistema operacional
Com base nos critérios especificados no construtor de consultas, o VM Manager exibe os dados de conformidade da política do sistema operacional para VMs nos projetos da sua organização ou pasta. Você pode então usar os filtros de tabela na tabela de conformidade com a política do sistema operacional para filtrar os dados exibidos.
Por exemplo, quando você configura o atributo
OSno construtor de consultas comoDebian, o VM Manager exibe dados de conformidade da política do SO para VMs com SO Debian. Se quiser visualizar os dados de conformidade de um projeto específico, use o filtro de tabela para especificar o ID do projeto.
Para definir uma consulta no construtor de consultas na guia Projetos , faça o seguinte:
Ver relatórios de atribuição de políticas do SO
Para visualizar os relatórios de atribuição de políticas do SO, use o console do Google Cloud, a CLI do Google Cloud ou REST .
Use este procedimento para visualizar uma lista de relatórios de atribuição de políticas de SO para um local especificado.
Console
gcloud
Para visualizar uma lista de relatórios de atribuição de políticas do sistema operacional, use o comando
os-config os-policy-assignment-reports list.Para visualizar todos os relatórios de atribuição de políticas do sistema operacional para um local específico, execute o comando a seguir. Substitua
ZONEpela zona onde as VMs estão localizadas.gcloud compute os-config os-policy-assignment-reports list --location=ZONE
Exemplo de comando e saída (todas as VMs)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
Você também pode usar sinalizadores opcionais como
--instanceou--assignment-idpara filtrar os resultados.gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]Substitua o seguinte:
Exemplo de comando e saída (VM específica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliantExemplo de comando e saída (atribuição específica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliantDESCANSAR
Na API, crie uma solicitação
GETpara o métodoprojects.locations.osPolicyAssignments.reports.list.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Substitua o seguinte:
Exemplos:
Revise um relatório de atribuição de política de sistema operacional
Utilize este procedimento para obter uma visão detalhada de um relatório de atribuição de políticas de SO associado a uma VM específica.
Console
gcloud
DESCANSAR
O que vem a seguir?
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-04-21 UTC.
-