Gestisci le assegnazioni dei criteri del sistema operativo


Dopo aver creato un'assegnazione dei criteri del sistema operativo, rivedi e gestisci le assegnazioni utilizzando le seguenti procedure:

Puoi gestire le assegnazioni dei criteri del sistema operativo utilizzando Google Cloud Console, Google Cloud CLI o l'API OS Config.

Prima di iniziare

  • Esamina le quote di configurazione del sistema operativo.
  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è il processo mediante il quale viene verificata l'identità per l'accesso ai servizi e alle API Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti in Compute Engine nel seguente modo.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Autorizzazioni

I proprietari di un progetto hanno accesso completo per gestire le assegnazioni dei criteri del sistema operativo. Per tutti gli altri utenti, devi concedere le autorizzazioni. Per gestire le assegnazioni dei criteri del sistema operativo, puoi concedere uno dei seguenti ruoli granulari:

  • OSPolicyAssignment Admin (roles/osconfig.osPolicyAssignmentAdmin). Contiene le autorizzazioni per creare, eliminare, aggiornare, ottenere ed elencare le assegnazioni dei criteri del sistema operativo.
  • OSPolicyAssignment Editor (roles/osconfig.osPolicyAssignmentEditor). Contiene le autorizzazioni per aggiornare, recuperare ed elencare le assegnazioni dei criteri del sistema operativo.
  • OSPolicyAssignment Viewer (roles/osconfig.osPolicyAssignmentViewer). Contiene le autorizzazioni per l'accesso di sola lettura per recuperare ed elencare le assegnazioni dei criteri del sistema operativo.

Comando di esempio per impostare le autorizzazioni

Per concedere a un utente l'accesso amministrativo alle assegnazioni dei criteri del sistema operativo, esegui questo comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto
  • USER_ID: nome utente Google Workspace dell'utente

Aggiorna assegnazioni dei criteri del sistema operativo

Per aggiornare un'assegnazione dei criteri del sistema operativo, completa i seguenti passaggi:

  1. Aggiorna il file YAML o JSON con l'assegnazione dei criteri del sistema operativo.

    La richiesta di aggiornamento supporta le maschere dei campi. Potrebbe essere necessario aggiornare solo alcuni campi nell'assegnazione dei criteri del sistema operativo, lasciando invariati gli altri campi. Il comando update o patch utilizza le maschere di campo per indicare all'API quali campi vengono modificati. La richiesta di aggiornamento o di patch ignora tutti i campi non specificati nella maschera del campo, lasciando con i valori correnti. Per ulteriori informazioni sulle maschere di campo, consulta FieldMask.

  2. Aggiorna l'assegnazione dei criteri del sistema operativo utilizzando la console Google Cloud, Google Cloud CLI o l'API OS Config.

    Quando aggiorni un'assegnazione dei criteri del sistema operativo, viene creata un'implementazione. Puoi visualizzare l'avanzamento dell'aggiornamento monitorando l'implementazione. Per ulteriori informazioni, consulta la pagina Ottenere i dettagli per un'implementazione.

    Console

    1. Nella console Google Cloud, vai alla pagina Criteri del sistema operativo > Assegnazioni.

      Vai alla console Google Cloud

    2. In corrispondenza dell'assegnazione dei criteri del sistema operativo che vuoi modificare, fai clic su Azione () > Modifica assegnazione.

    3. Apporta gli aggiornamenti necessari. Ad esempio, puoi caricare il file dei criteri di sistema operativo aggiornato.

    4. Fai clic su Avvia implementazione.

    gcloud

    Utilizza il comando os-config os-policy-assignments update per aggiornare un'assegnazione dei criteri del sistema operativo.

    gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
        --location=ZONE \
        --file=FILE
    

    Sostituisci quanto segue:

    • OS_POLICY_ASSIGNMENT_ID: nome dell'assegnazione dei criteri del sistema operativo che vuoi aggiornare
    • ZONE: la zona in cui si trova l'assegnazione dei criteri del sistema operativo
    • FILE: il percorso assoluto al file JSON o YAML che contiene le specifiche di assegnazione dei criteri del sistema operativo aggiornate

    REST

    Nell'API, crea una richiesta PATCH per il metodo projects.locations.osPolicyAssignments.patch.

    PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
    
    {
     JSON_OS_POLICY
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • OS_POLICY_ASSIGNMENT_ID: nome dell'assegnazione del criterio del sistema operativo che vuoi aggiornare
    • JSON_OS_POLICY: le specifiche di assegnazione dei criteri del sistema operativo create nel passaggio precedente. Deve essere in formato JSON. Per ulteriori informazioni su parametri e formato, consulta Resource: OSPolicyAssignment.
    • ZONE: la zona in cui si trova l'assegnazione dei criteri del sistema operativo

Elenca le assegnazioni dei criteri del sistema operativo

Console

  1. Nella console Google Cloud, vai alla pagina Criteri del sistema operativo > Assegnazioni.

    Vai alla console Google Cloud

gcloud

Per visualizzare un elenco delle assegnazioni dei criteri del sistema operativo in una zona specifica, utilizza il comando os-config os-policy-assignments list.

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

Sostituisci ZONE con la zona in cui si trovano le assegnazioni dei criteri del sistema operativo.

REST

Nell'API, crea una richiesta GET per il metodo projects.locations.osPolicyAssignments.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • ZONE: la zona in cui si trovano le assegnazioni dei criteri del sistema operativo

Descrivere un'assegnazione dei criteri del sistema operativo

Console

  1. Nella console Google Cloud, vai alla pagina Criteri del sistema operativo > Assegnazioni.

    Vai alla console Google Cloud

  2. Fai clic sul nome del compito di cui vuoi visualizzare i dettagli.

gcloud

Per visualizzare i dettagli di un'assegnazione dei criteri del sistema operativo, utilizza il comando compute os-config os-policy-assignments describe.

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

Sostituisci quanto segue:

  • OS_POLICY_ASSIGNMENT_ID: nome dell'assegnazione dei criteri del sistema operativo che vuoi visualizzare
  • ZONE: la zona in cui si trova l'assegnazione dei criteri del sistema operativo

REST

Nell'API, crea una richiesta GET per il metodo projects.locations.osPolicyAssignments.get.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • OS_POLICY_ASSIGNMENT_ID: nome dell'assegnazione del criterio del sistema operativo che vuoi visualizzare
  • ZONE: la zona in cui si trova l'assegnazione dei criteri del sistema operativo

Elenca le revisioni delle assegnazioni dei criteri del sistema operativo

gcloud

Quando crei un'assegnazione dei criteri del sistema operativo, viene generato un ID revisione. Ogni volta che aggiorni o elimini l'assegnazione dei criteri del sistema operativo viene generato anche un nuovo ID revisione.

Per visualizzare un elenco delle revisioni disponibili per un'assegnazione dei criteri del sistema operativo, utilizza il comando os-config os-policy-assignments list-revisions.

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

Sostituisci quanto segue:

  • OS_POLICY_ASSIGNMENT_ID: il nome dell'assegnazione dei criteri del sistema operativo di cui vuoi visualizzare le revisioni
  • ZONE: la zona in cui si trova l'assegnazione dei criteri del sistema operativo

REST

Nell'API, crea una richiesta GET per il metodo projects.locations.osPolicyAssignments.listRevisions.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • OS_POLICY_ASSIGNMENT_ID: il nome dell'assegnazione dei criteri del sistema operativo di cui vuoi visualizzare le revisioni
  • ZONE: la zona in cui si trova l'assegnazione dei criteri del sistema operativo

Elimina assegnazioni dei criteri del sistema operativo

Quando elimini un'assegnazione dei criteri del sistema operativo, viene creata un'implementazione. Puoi visualizzare l'avanzamento dell'eliminazione monitorando l'implementazione. Per ulteriori informazioni, consulta la pagina Ottenere i dettagli per un'implementazione.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri del sistema operativo > Assegnazioni.

    Vai alla console Google Cloud

  2. In corrispondenza dell'assegnazione dei criteri del sistema operativo che vuoi eliminare, fai clic su Azione () > Elimina assegnazione.

  3. Fai clic su Elimina.

gcloud

Per eliminare un'assegnazione dei criteri del sistema operativo, utilizza il comando os-config os-policy-assignments delete.

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

Sostituisci quanto segue:

  • OS_POLICY_ASSIGNMENT_ID: nome dell'assegnazione dei criteri del sistema operativo che vuoi eliminare
  • ZONE: la zona in cui si trova l'assegnazione dei criteri del sistema operativo

REST

Nell'API, crea una richiesta DELETE per il metodo projects.locations.osPolicyAssignments.delete.

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto
  • OS_POLICY_ASSIGNMENT_ID: nome dell'assegnazione del criterio del sistema operativo che vuoi eliminare
  • ZONE: la zona in cui si trova l'assegnazione dei criteri del sistema operativo

Risoluzione dei problemi

Per risolvere i problemi di assegnazione dei criteri del sistema operativo, consulta Risoluzione dei problemi di VM Manager.

Che cosa succede dopo?