OS ポリシーの割り当てを管理する

OS ポリシーの割り当てを作成したら、次の手順で割り当ての確認と管理を行います。

• OS ポリシーの割り当ての更新: OS ポリシーの割り当ての構成を変更します。
• OS ポリシーの割り当ての取得: 特定の OS ポリシーの割り当てに関する詳細を取得します。
• OS ポリシーの割り当ての一覧表示: 特定のゾーンの OS ポリシーの割り当ての一覧を表示します。
• OS ポリシーの割り当てのリビジョンの一覧表示: 特定の OS ポリシーの割り当てで使用可能なリビジョンの一覧を表示します。
• OS ポリシーの割り当ての削除: 特定の OS ポリシーの割り当てを削除します。
• OS ポリシーの割り当てのデバッグ: OS ポリシーの割り当てのトラブルシューティングを行います。

OS ポリシーの割り当ては、Google Cloud コンソール、Google Cloud CLI または OS Config API のいずれかを使用して管理できます。

始める前に

• OS Config の割り当てを確認します。
• まだ設定していない場合は、認証を設定します。認証とは、 Google Cloud サービスと API にアクセスするために ID を確認するプロセスです。ローカル開発環境からコードまたはサンプルを実行するには、次のいずれかのオプションを選択して Compute Engine に対する認証を行います。
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. After installing the Google Cloud CLI, initialize it by running the following command:

     gcloud init

     If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  2. Set a default region and zone.

  REST

  このページの REST API サンプルをローカル開発環境で使用するには、gcloud CLI に指定した認証情報を使用します。

  After installing the Google Cloud CLI, initialize it by running the following command:

  gcloud init

  If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  詳細については、 Google Cloud 認証ドキュメントの REST を使用して認証するをご覧ください。

権限

プロジェクトのオーナーには、OS ポリシーの割り当てを管理するための完全アクセス権があります。他のすべてのユーザーには、権限を付与する必要があります。OS ポリシーの割り当てを管理するには、次のいずれかの詳細なロールを付与できます。

• OSPolicyAssignment 管理者（roles/osconfig.osPolicyAssignmentAdmin）。OS ポリシーの割り当てを作成、削除、更新、取得、一覧表示する権限が含まれます。
• OSPolicyAssignment 編集者（roles/osconfig.osPolicyAssignmentEditor）。OS ポリシーの割り当てを更新、取得、一覧表示する権限が含まれます。
• OSPolicyAssignment 閲覧者（roles/osconfig.osPolicyAssignmentViewer）。OS ポリシーの割り当てを取得して一覧表示するための読み取り専用アクセス権が含まれます。

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

OS ポリシーの割り当てを更新する

OS ポリシーの割り当てを更新する手順は次のとおりです。

1. OS ポリシーの割り当てを含む YAML ファイルまたは JSON ファイルを更新します。

   更新リクエストではフィールド マスクがサポートされています。OS ポリシーの割り当ての特定のフィールドのみを更新し、他のフィールドは変更したくない場合があります。update または patch コマンドでフィールド マスクを使用して、変更対象のフィールドを API に指定します。更新またはパッチ リクエストは、フィールド マスクで指定されていないフィールドを無視し、現在の値をそのまま使用します。フィールド マスクの詳細については、FieldMask をご覧ください。

2. Google Cloud コンソール、Google Cloud CLI、または OS Config API を使用して、OS ポリシーの割り当てを更新します。

   OS ポリシーの割り当てを更新すると、ロールアウトが作成されます。ロールアウトをモニタリングすることで、更新の進行状況を確認できます。詳細については、ロールアウトの詳細を取得するをご覧ください。

   Console

   1. Google Cloud コンソールで、[OS ポリシー] > [割り当て] ページに移動します。

      Google Cloud コンソールに移動

   2. 編集する OS ポリシーの割り当てで、[アクション（more_vert）] > [割り当てを編集] の順にクリックします。

   3. 必要な更新を行います。たとえば、更新された OS ポリシー ファイルをアップロードできます。

   4. [ロールアウトを開始] をクリックします。

   gcloud

   OS ポリシーの割り当てを更新するには、os-config os-policy-assignments update コマンドを使用します。

   gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
       --location=ZONE \
       --file=FILE
   

   次のように置き換えます。

   • OS_POLICY_ASSIGNMENT_ID: 更新する OS ポリシーの割り当ての名前
   • ZONE: OS ポリシーの割り当てが存在するゾーン

   • FILE: 更新された OS ポリシーの割り当ての仕様を格納する JSON または YAML ファイルの絶対パス

     OS ポリシーの割り当てが存在せず、--allow-missing フラグを指定した場合、VM Manager は指定された ID と仕様で OS ポリシーの割り当てを作成します。

   REST

   API で、projects.locations.osPolicyAssignments.patch メソッドに対する PATCH リクエストを作成します。

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
   
   {
    JSON_OS_POLICY
   }
   

   次のように置き換えます。

   • PROJECT_ID: プロジェクト ID
   • OS_POLICY_ASSIGNMENT_ID: 更新する OS ポリシーの割り当ての名前
   • JSON_OS_POLICY: 前の手順で作成した OS ポリシーの割り当ての仕様。JSON 形式にする必要があります。パラメータと形式の詳細については、Resource: OSPolicyAssignment をご覧ください。
   • ZONE: OS ポリシーの割り当てが存在するゾーン

OS ポリシーの割り当てを一覧表示する

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments

OS ポリシーの割り当てを取得する

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

OS ポリシーの割り当てのリビジョンを一覧表示する

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

OS ポリシーの割り当てを削除する

OS ポリシーの割り当てを削除すると、ロールアウトが作成されます。ロールアウトをモニタリングすることで、削除の進行状況を確認できます。詳細については、ロールアウトの詳細を取得するをご覧ください。

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

トラブルシューティング

OS ポリシーの割り当てのトラブルシューティングについては、VM Manager のトラブルシューティングをご覧ください。

次のステップ

• OS ポリシーの詳細を確認する。
• OS ポリシーの割り当てを作成する。