建立 OS 政策指派後,請按照下列程序查看及管理指派項目:
- 更新 OS 政策指派作業:修改 OS 政策指派作業的設定
- 說明 OS 政策指派作業:取得特定 OS 政策指派作業的詳細資料
- 列出 OS 政策指派作業:查看特定區域中的 OS 政策指派作業清單
- 列出 OS 政策指派修訂版本:查看特定 OS 政策指派可用的修訂版本清單
- 刪除 OS 政策指派:刪除特定 OS 政策指派
- 偵錯 OS 政策指派作業:排解 OS 政策指派作業問題
您可以使用 Google Cloud 控制台、Google Cloud CLI 或 OS Config API 管理 OS 政策指派作業。
事前準備
- 查看 OS Config 配額。
-
如果尚未設定,請先設定驗證機制。驗證是指驗證身分,以便存取 Google Cloud 服務和 API 的程序。如要在本機開發環境中執行程式碼或範例,您可以選取下列任一選項,向 Compute Engine 進行驗證:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
REST
To use the REST API samples on this page in a local development environment, you use the credentials you provide to the gcloud CLI.
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
For more information, see Authenticate for using REST in the Google Cloud authentication documentation.
-
權限
專案擁有者具備管理 OS 政策指派作業的完整存取權。您必須授予其他使用者權限,如要管理 OS 政策指派作業,您可以授予下列精細角色之一:
- OSPolicyAssignment 管理員 (
roles/osconfig.osPolicyAssignmentAdmin):包含建立、刪除、更新、取得及列出 OS 政策指派作業的權限。 - OSPolicyAssignment 編輯器 (
roles/osconfig.osPolicyAssignmentEditor):包含更新、取得及列出 OS 政策指派項目的權限。 - OSPolicyAssignment 檢視者 (
roles/osconfig.osPolicyAssignmentViewer):包含唯讀權限,可取得及列出 OS 政策指派作業。
設定權限的指令範例
如要授予使用者 OS 政策指派作業的管理員存取權,請執行下列指令:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member user:USER_ID@gmail.com \
--role roles/osconfig.osPolicyAssignmentAdmin
更改下列內容:
PROJECT_ID:專案 IDUSER_ID:使用者的 Google Workspace 使用者名稱
更新 OS 政策指派作業
如要更新 OS 政策指派,請完成下列步驟:
更新含有 OS 政策指派的 YAML 或 JSON 檔案。
更新要求支援欄位遮罩。您可能只需要更新 OS 政策指派中的特定欄位,而其他欄位則保持不變。更新或修補指令會使用欄位遮罩,告訴 API 要變更哪些欄位。更新或修補要求會忽略欄位遮罩中未指定的任何欄位,並保留目前的值。如要進一步瞭解欄位遮罩,請參閱「FieldMask」。
使用 Google Cloud 控制台、Google Cloud CLI 或 OS Config API 更新 OS 政策指派作業。
更新 OS 政策指派作業時,系統會建立推出作業。您可以監控推行作業,查看更新的進度。詳情請參閱「取得推行計畫的詳細資料」。
主控台
在 Google Cloud 控制台中,依序前往「OS policies」(OS 政策) >「Assignments」(指派) 頁面。
針對要編輯的 OS 政策指派,依序點選「動作」() >「編輯指派」。
進行必要更新。例如,您可以上傳更新後的 OS 政策檔案。
按一下「開始推出」。
gcloud
使用
os-config os-policy-assignments update指令更新 OS 政策指派。gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \ --location=ZONE \ --file=FILE更改下列內容:
OS_POLICY_ASSIGNMENT_ID:要更新的 OS 政策指派名稱ZONE:OS 政策指派作業所在的可用區FILE:包含已更新的 OS 政策指派規格之 JSON 或 YAML 檔案的絕對路徑如果不存在 OS 政策指派,且您指定
--allow-missing旗標,VM Manager 會使用指定的 ID 和規格建立 OS 政策指派。
REST
在 API 中,建立目標為
projects.locations.osPolicyAssignments.patch方法的PATCH要求。PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID { JSON_OS_POLICY }更改下列內容:
PROJECT_ID:您的專案 IDOS_POLICY_ASSIGNMENT_ID:要更新的 OS 政策指派名稱JSON_OS_POLICY:在前一個步驟中建立的 OS 政策指派規格。必須採用 JSON 格式。如要進一步瞭解參數和格式,請參閱Resource: OSPolicyAssignment。ZONE:OS 政策指派作業所在的可用區
列出 OS 政策指派作業
主控台
在 Google Cloud 控制台中,依序前往「OS policies」(OS 政策) >「Assignments」(指派) 頁面。
gcloud
如要查看特定區域中的 OS 政策指派清單,請使用 os-config os-policy-assignments list 指令。
gcloud compute os-config os-policy-assignments list \
--location=ZONE
將 ZONE 替換為 OS 政策指派所在的區域。
REST
在 API 中,建立目標為 projects.locations.osPolicyAssignments.list 方法的 GET 要求。
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments
更改下列內容:
PROJECT_ID:您的專案 IDZONE:OS 政策指派項目所在的可用區
說明 OS 政策指派
主控台
在 Google Cloud 控制台中,依序前往「OS policies」>「Assignments」頁面。
按一下要查看詳細資料的指派項目名稱。
gcloud
如要查看 OS 政策指派作業的詳細資料,請使用 compute os-config os-policy-assignments describe 指令。
gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
--location=ZONE
更改下列內容:
OS_POLICY_ASSIGNMENT_ID:您要查看的 OS 政策指派名稱ZONE:OS 政策指派作業所在的可用區
REST
在 API 中,建立目標為 projects.locations.osPolicyAssignments.get 方法的 GET 要求。
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
更改下列內容:
PROJECT_ID:您的專案 IDOS_POLICY_ASSIGNMENT_ID:您要查看的 OS 政策指派名稱ZONE:OS 政策指派作業所在的可用區
列出 OS 政策指派修訂版本
gcloud
建立 OS 政策指派作業時,系統會產生修訂 ID。每當您更新或刪除 OS 政策指派作業時,系統也會產生新的修訂 ID。
如要查看可用於 OS 政策指派的修訂版本清單,請使用 os-config os-policy-assignments list-revisions 指令。
gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
--location=ZONE
更改下列內容:
OS_POLICY_ASSIGNMENT_ID:要查看修訂版本的 OS 政策指派名稱ZONE:OS 政策指派作業所在的可用區
REST
在 API 中,建立目標為 projects.locations.osPolicyAssignments.listRevisions 方法的 GET 要求。
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions
更改下列內容:
PROJECT_ID:您的專案 IDOS_POLICY_ASSIGNMENT_ID:要查看修訂版本的 OS 政策指派名稱ZONE:OS 政策指派作業所在的可用區
刪除 OS 政策指派
刪除 OS 政策指派作業後,系統會建立推出作業。您可以監控推播作業,查看刪除作業的進度。詳情請參閱「取得推行計畫的詳細資料」。
主控台
在 Google Cloud 控制台中,依序前往「OS policies」>「Assignments」頁面。
針對要刪除的 OS 政策指派作業,依序按一下「動作」() >「刪除指派作業」。
點選「刪除」。
gcloud
如要刪除 OS 政策指派作業,請使用 os-config os-policy-assignments delete 指令。
gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
--location=ZONE
更改下列內容:
OS_POLICY_ASSIGNMENT_ID:要刪除的 OS 政策指派名稱ZONE:OS 政策指派作業所在的可用區
REST
在 API 中,建立目標為 projects.locations.osPolicyAssignments.delete 方法的 DELETE 要求。
DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
更改下列內容:
PROJECT_ID:您的專案 IDOS_POLICY_ASSIGNMENT_ID:要刪除的 OS 政策指派名稱ZONE:OS 政策指派作業所在的可用區
疑難排解
如要排解 OS 政策指派問題,請參閱「VM 管理員疑難排解」。
後續步驟
- 進一步瞭解作業系統政策。
- 建立 OS 政策指派作業。