Depois de criar uma atribuição de política de SO, analise e gerencie as atribuições usando os seguintes procedimentos:
- Atualizar atribuições de política do SO: modifique as configurações da atribuição da política do SO.
- Descrever atribuições de política do SO: veja detalhes sobre uma atribuição de política específica do SO.
- Listar atribuições de política do SO: veja uma lista de atribuições de política do SO em uma zona específica.
- Listar revisões de atribuição de política de SO: veja uma lista de revisões disponíveis para uma atribuição específica de política de SO
- Excluir uma atribuição de política do SO: exclua uma atribuição de política de SO específica.
- Depurar uma atribuição de política de SO: solucione problemas de uma atribuição de política de SO
É possível gerenciar as atribuições de política do SO usando o console do Google Cloud, a Google Cloud CLI ou a API OS Config.
Antes de começar
- Revise as cotas de configuração do SO.
-
Configure a autenticação, caso ainda não tenha feito isso.
A autenticação é
o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud.
Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no
Compute Engine da seguinte maneira.
Selecione a guia para como planeja usar as amostras nesta página:
Console
Quando você usa o console do Google Cloud para acessar os serviços e as APIs do Google Cloud, não é necessário configurar a autenticação.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Defina uma região e uma zona padrão.
REST
Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para a CLI gcloud.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
-
Permissões
Os proprietários de um projeto têm acesso total para gerenciar as atribuições de políticas do SO. Para todos os outros usuários, você precisa conceder permissões. Para gerenciar atribuições de políticas do SO, conceda um dos seguintes papéis granulares:
- Administrador de OSPolicyAssignment (
roles/osconfig.osPolicyAssignmentAdmin
). Contém permissões para criar, excluir, atualizar, receber e listar atribuições de políticas do SO. - Editor de OSPolicyAssignment (
roles/osconfig.osPolicyAssignmentEditor
). Contém permissões para atualizar, receber e listar atribuições de políticas do SO. - Visualizador de OSPolicyAssignment (
roles/osconfig.osPolicyAssignmentViewer
). Contém permissões de acesso somente leitura para receber e listar atribuições de políticas do SO.
Exemplo de comando para definir permissões
Para conceder acesso de administrador à política do SO a um usuário, execute o seguinte comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member user:USER_ID@gmail.com \ --role roles/osconfig.osPolicyAssignmentAdmin
Substitua:
PROJECT_ID
: o ID do projeto;USER_ID
: o nome de usuário do Google Workspace.
Atualizar atribuições de políticas do SO
Para atualizar uma atribuição de política de SO, siga estas etapas:
Atualize o arquivo YAML ou JSON que tenha a atribuição de política do SO.
A solicitação de atualização é compatível com máscaras de campo. Talvez seja necessário atualizar apenas determinados campos na atribuição de políticas do SO e manter os outros campos inalterados. O comando de atualização ou patch usa máscaras de campo para informar à API quais campos são alterados. A solicitação de atualização ou patch ignora todos os campos que não estiverem especificados na máscara de campo, deixando-os com seus valores atuais. Para mais informações sobre máscaras de campo, consulte FieldMask.
Atualize a atribuição de política do SO usando o console do Google Cloud, a Google Cloud CLI ou a API OS Config.
Quando você atualiza uma atribuição de política do SO, um lançamento é criado. É possível ver o progresso da atualização monitorando o lançamento. Para mais informações, consulte Como conseguir detalhes de um lançamento.
Console
No console do Google Cloud, acesse a página Políticas do SO > Atribuições.
Na atribuição da política do SO que você quer editar, clique em Ação (> Editar atribuição.
)Faça as atualizações necessárias. Por exemplo, é possível fazer o upload do arquivo atualizado da política do SO.
Clique em Iniciar lançamento.
gcloud
Use o comando
os-config os-policy-assignments update
para atualizar uma atribuição de política do SO.gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \ --location=ZONE \ --file=FILE
Substitua:
OS_POLICY_ASSIGNMENT_ID
: o nome da atribuição de política do SO que você quer atualizar.ZONE
: a zona em que a atribuição de política do SO está localizada.FILE
: o caminho absoluto para o arquivo JSON ou YAML que contém as especificações de atribuição de política do SO atualizadas.
REST
Na API, crie uma solicitação
PATCH
para o métodoprojects.locations.osPolicyAssignments.patch
.PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID { JSON_OS_POLICY }
Substitua:
PROJECT_ID
: ID do projetoOS_POLICY_ASSIGNMENT_ID
: nome da atribuição da política do SO que você quer atualizarJSON_OS_POLICY
: as especificações de atribuição de política do SO criadas na etapa anterior. Ele precisa estar no formato JSON. Para mais informações sobre os parâmetros e o formato, consulteResource: OSPolicyAssignment
.ZONE
: a zona em que a atribuição de política do SO está localizada.
Listar atribuições de políticas do SO
Console
No console do Google Cloud, acesse a página Políticas do SO > Atribuições.
gcloud
Para ver uma lista de atribuições de políticas do SO em uma zona específica, use o
comando os-config os-policy-assignments list
.
gcloud compute os-config os-policy-assignments list \ --location=ZONE
Substitua ZONE
pela zona em que as atribuições
de políticas do SO estão localizadas.
REST
Na API, crie uma solicitação GET
para o
método projects.locations.osPolicyAssignments.list
.
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments
Substitua:
PROJECT_ID
: ID do projetoZONE
: a zona em que as atribuições de política do SO estão localizadas.
Descrever uma atribuição de política de SO
Console
No console do Google Cloud, acesse a página Políticas do SO > Atribuições.
Clique no nome da atividade com os detalhes que você quer ver.
gcloud
Para visualizar detalhes sobre uma atribuição de política de SO, use o
comando compute os-config os-policy-assignments describe
.
gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \ --location=ZONE
Substitua:
OS_POLICY_ASSIGNMENT_ID
: o nome da atribuição de política do SO que você quer visualizar.ZONE
: a zona em que a atribuição de política do SO está localizada.
REST
Na API, crie uma solicitação GET
para o
método projects.locations.osPolicyAssignments.get
.
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
Substitua:
PROJECT_ID
: ID do projetoOS_POLICY_ASSIGNMENT_ID
: nome da atribuição de política do SO que você quer visualizar.ZONE
: a zona em que a atribuição de política do SO está localizada.
Listar revisões de atribuição de política do SO
gcloud
Um código de revisão é gerado quando você cria uma atribuição de política do SO. Um novo código de revisão também é gerado sempre que você atualiza ou exclui a atribuição da política do SO.
Para ver uma lista de revisões disponíveis para uma atribuição de política do SO,
use o
comando os-config os-policy-assignments list-revisions
.
gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \ --location=ZONE
Substitua:
OS_POLICY_ASSIGNMENT_ID
: o nome da atribuição da política do SO com as revisões que você quer ver.ZONE
: a zona em que a atribuição de política do SO está localizada.
REST
Na API, crie uma solicitação GET
para o
método projects.locations.osPolicyAssignments.listRevisions
.
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions
Substitua:
PROJECT_ID
: ID do projetoOS_POLICY_ASSIGNMENT_ID
: o nome da atribuição da política do SO com as revisões que você quer ver.ZONE
: a zona em que a atribuição de política do SO está localizada.
Excluir atribuições de políticas do SO
Quando você exclui uma atribuição de política do SO, um lançamento é criado. É possível ver o progresso da exclusão monitorando o lançamento. Para mais informações, consulte Como conseguir detalhes de um lançamento.
Console
No console do Google Cloud, acesse a página Políticas do SO > Atribuições.
Na atribuição da política do SO que você quer excluir, clique em Ação (> Excluir atribuição.
)Clique em Excluir.
gcloud
Para excluir uma atribuição de política do SO, use o
comando os-config os-policy-assignments delete
.
gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \ --location=ZONE
Substitua:
OS_POLICY_ASSIGNMENT_ID
: o nome da atribuição da política do SO que você quer excluirZONE
: a zona em que a atribuição de política do SO está localizada.
REST
Na API, crie uma solicitação DELETE
para o
método projects.locations.osPolicyAssignments.delete
.
DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
Substitua:
PROJECT_ID
: ID do projetoOS_POLICY_ASSIGNMENT_ID
: nome da atribuição da política do SO que você quer excluirZONE
: a zona em que a atribuição de política do SO está localizada.
Solução de problemas
Para solucionar problemas em uma atribuição de política de SO, consulte Solução de problemas do VM Manager.
A seguir
- Saiba mais sobre as políticas do SO.
- Crie uma atribuição de política do SO.