OS ポリシーの割り当てを管理する


OS ポリシーの割り当てを作成したら、次の手順で割り当ての確認と管理を行います。

OS ポリシーの割り当ては、Google Cloud コンソールGoogle Cloud CLI または OS Config API のいずれかを使用して管理できます。

始める前に

  • OS Config の割り当てを確認します。
  • まだ設定していない場合は、認証を設定します。認証とは、Google Cloud サービスと API にアクセスするために ID を確認するプロセスです。ローカル開発環境からコードまたはサンプルを実行するには、次のように Compute Engine に対する認証を行います。

    このページのサンプルをどのように使うかに応じて、タブを選択してください。

    コンソール

    Google Cloud コンソールを使用して Google Cloud サービスと API にアクセスする場合、認証を設定する必要はありません。

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. デフォルトのリージョンとゾーンを設定します

    REST

    このページの REST API サンプルをローカル開発環境で使用するには、gcloud CLI に指定した認証情報を使用します。

      Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init

権限

プロジェクトのオーナーには、OS ポリシーの割り当てを管理するための完全アクセス権があります。他のすべてのユーザーには、権限を付与する必要があります。OS ポリシーの割り当てを管理するには、次のいずれかの詳細なロールを付与できます。

  • OSPolicyAssignment 管理者(roles/osconfig.osPolicyAssignmentAdmin)。OS ポリシーの割り当てを作成、削除、更新、取得、一覧表示する権限が含まれます。
  • OSPolicyAssignment 編集者(roles/osconfig.osPolicyAssignmentEditor)。OS ポリシーの割り当てを更新、取得、一覧表示する権限が含まれます。
  • OSPolicyAssignment 閲覧者(roles/osconfig.osPolicyAssignmentViewer)。OS ポリシーの割り当てを取得して一覧表示するための読み取り専用アクセス権が含まれます。

権限を設定するコマンドの例

ユーザーに OS ポリシーの割り当てへの管理者権限を付与するには、次のコマンドを実行します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID
  • USER_ID: ユーザーの Google Workspace のユーザー名

OS ポリシーの割り当てを更新する

OS ポリシーの割り当てを更新する手順は次のとおりです。

  1. OS ポリシーの割り当てを含む YAML ファイルまたは JSON ファイルを更新します。

    更新リクエストではフィールド マスクがサポートされています。OS ポリシーの割り当ての特定のフィールドのみを更新し、他のフィールドは変更したくない場合があります。update または patch コマンドでフィールド マスクを使用して、変更対象のフィールドを API に指定します。更新またはパッチ リクエストは、フィールド マスクで指定されていないフィールドを無視し、現在の値をそのまま使用します。フィールド マスクの詳細については、FieldMask をご覧ください。

  2. Google Cloud コンソール、Google Cloud CLI、または OS Config API を使用して、OS ポリシーの割り当てを更新します。

    OS ポリシーの割り当てを更新すると、ロールアウトが作成されます。ロールアウトをモニタリングすることで、更新の進行状況を確認できます。詳細については、ロールアウトの詳細を取得するをご覧ください。

    Console

    1. Google Cloud コンソールで、[OS ポリシー] > [割り当て] ページに移動します。

      Google Cloud コンソールに移動

    2. 編集する OS ポリシーの割り当てで、[アクション()] > [割り当てを編集] の順にクリックします。

    3. 必要な更新を行います。たとえば、更新された OS ポリシー ファイルをアップロードできます。

    4. [ロールアウトを開始] をクリックします。

    gcloud

    OS ポリシーの割り当てを更新するには、os-config os-policy-assignments update コマンドを使用します。

    gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
        --location=ZONE \
        --file=FILE
    

    次のように置き換えます。

    • OS_POLICY_ASSIGNMENT_ID: 更新する OS ポリシーの割り当ての名前
    • ZONE: OS ポリシーの割り当てが存在するゾーン
    • FILE: 更新された OS ポリシーの割り当ての仕様を格納する JSON または YAML ファイルの絶対パス

    REST

    API で、projects.locations.osPolicyAssignments.patch メソッドに対する PATCH リクエストを作成します。

    PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
    
    {
     JSON_OS_POLICY
    }
    

    次のように置き換えます。

    • PROJECT_ID: プロジェクト ID
    • OS_POLICY_ASSIGNMENT_ID: 更新する OS ポリシーの割り当ての名前
    • JSON_OS_POLICY: 前の手順で作成した OS ポリシーの割り当ての仕様。JSON 形式にする必要があります。パラメータと形式の詳細については、Resource: OSPolicyAssignment をご覧ください。
    • ZONE: OS ポリシーの割り当てが存在するゾーン

OS ポリシーの割り当てを一覧表示する

Console

  1. Google Cloud コンソールで、[OS ポリシー] > [割り当て] ページに移動します。

    Google Cloud コンソールに移動

gcloud

特定のゾーンの OS ポリシーの割り当てを一覧表示するには、os-config os-policy-assignments list コマンドを使用します。

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

ZONE は、OS ポリシーの割り当てが配置されているゾーンに置き換えます。

REST

API で、projects.locations.osPolicyAssignments.list メソッドに対する GET リクエストを作成します。

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID
  • ZONE: OS ポリシー割り当てを配置するゾーン

OS ポリシーの割り当てを取得する

Console

  1. Google Cloud コンソールで、[OS ポリシー] > [割り当て] ページに移動します。

    Google Cloud コンソールに移動

  2. 詳細を表示する割り当ての名前をクリックします。

gcloud

OS ポリシーの割り当ての詳細を表示するには、compute os-config os-policy-assignments describe コマンドを使用します。

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

次のように置き換えます。

  • OS_POLICY_ASSIGNMENT_ID: 表示する OS ポリシーの割り当ての名前
  • ZONE: OS ポリシーの割り当てが存在するゾーン

REST

API で、projects.locations.osPolicyAssignments.get メソッドに対する GET リクエストを作成します。

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID
  • OS_POLICY_ASSIGNMENT_ID: 表示する OS ポリシーの割り当ての名前
  • ZONE: OS ポリシーの割り当てが存在するゾーン

OS ポリシーの割り当てのリビジョンを一覧表示する

gcloud

リビジョン ID は、OS ポリシーの割り当ての作成時に生成されます。OS ポリシーの割り当てを更新または削除するたびに、新しいリビジョン ID が生成されます。

OS ポリシーの割り当てで使用可能なリビジョンの一覧を表示するには、os-config os-policy-assignments list-revisions コマンドを使用します。

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

次のように置き換えます。

  • OS_POLICY_ASSIGNMENT_ID: リビジョンを表示する OS ポリシーの割り当ての名前
  • ZONE: OS ポリシーの割り当てが存在するゾーン

REST

API で、projects.locations.osPolicyAssignments.listRevisions メソッドに対する GET リクエストを作成します。

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID
  • OS_POLICY_ASSIGNMENT_ID: リビジョンを表示する OS ポリシーの割り当ての名前
  • ZONE: OS ポリシーの割り当てが存在するゾーン

OS ポリシーの割り当てを削除する

OS ポリシーの割り当てを削除すると、ロールアウトが作成されます。ロールアウトをモニタリングすることで、削除の進行状況を確認できます。詳細については、ロールアウトの詳細を取得するをご覧ください。

Console

  1. Google Cloud コンソールで、[OS ポリシー] > [割り当て] ページに移動します。

    Google Cloud コンソールに移動

  2. 削除する OS ポリシーの割り当てで、[アクション()] > [割り当ての削除] をクリックします。

  3. [削除] をクリックします。

gcloud

OS ポリシーの割り当てを削除するには、os-config os-policy-assignments delete コマンドを使用します。

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

次のように置き換えます。

  • OS_POLICY_ASSIGNMENT_ID: 削除する OS ポリシーの割り当ての名前
  • ZONE: OS ポリシーの割り当てが存在するゾーン

REST

API で、projects.locations.osPolicyAssignments.delete メソッドに対する DELETE リクエストを作成します。

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID
  • OS_POLICY_ASSIGNMENT_ID: 削除する OS ポリシーの割り当ての名前
  • ZONE: OS ポリシーの割り当てが存在するゾーン

トラブルシューティング

OS ポリシーの割り当てのトラブルシューティングについては、VM Manager のトラブルシューティングをご覧ください。

次のステップ