Gérer les attributions de règles d'OS

Après avoir créé une attribution de règles de système d'exploitation, examinez et gérez vos attributions en procédant comme suit :

• Mettre à jour les attributions de règles d'OS : modifiez les configurations pour votre attribution de règle d'OS.
• Décrire les attributions des règles d'OS : obtenir des détails sur une attribution de règle d'OS spécifique
• Liste des attributions de règles de système d'exploitation : affichez la liste des attributions de règles de système d'exploitation dans une zone spécifique.
• Répertorier les révisions d'attribution de règles d'OS : affichez la liste des révisions disponibles pour une attribution de règle d'OS spécifique.
• Supprimer une attribution de règle d'OS : supprime une attribution de règle d'OS spécifique.
• Déboguer une attribution de stratégie d'OS: résoudre un problème d'attribution de règles d'OS

Vous pouvez gérer vos attributions de règles d'OS à l'aide de Google Cloud Console, de Google Cloud CLI ou de l'API OS Config.

Avant de commencer

• Consultez les quotas d'OS Config.
• Si ce n'est pas déjà fait, configurez l'authentification. L'authentification est le processus permettant de valider votre identité pour accéder aux services et aux API Google Cloud. Pour exécuter du code ou des exemples depuis un environnement de développement local, vous pouvez vous authentifier auprès de Compute Engine comme suit :
  

  Sélectionnez l'onglet correspondant à la façon dont vous prévoyez d'utiliser les exemples de cette page :

  Console

  Lorsque vous utilisez la console Google Cloud pour accéder aux services et aux API Google Cloud, vous n'avez pas besoin de configurer l'authentification.

  gcloud

  1. Installez Google Cloud CLI, puis initialisez-la en exécutant la commande suivante :

     gcloud init

  2. Définissez une région et une zone par défaut.

  REST

  Pour utiliser les exemples d'API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à gcloud CLI.

  Installez Google Cloud CLI, puis initialisez-la en exécutant la commande suivante :

  gcloud init

Autorisations

Les propriétaires d'un projet disposent d'un accès complet pour gérer les attributions de règles d'OS. Pour tous les autres utilisateurs, vous devez accorder des autorisations. Pour gérer les attributions de règles d'OS, vous pouvez attribuer l'un des rôles suivants :

• Administrateur OSPolicyAssignment (roles/osconfig.osPolicyAssignmentAdmin). Contient les autorisations permettant de créer, supprimer, mettre à jour, obtenir et répertorier les attributions de règles d'OS.
• Éditeur OSPolicyAssignment (roles/osconfig.osPolicyAssignmentEditor). Contient les autorisations permettant de mettre à jour, d'obtenir et de répertorier les attributions de règles d'OS.
• Lecteur OSPolicyAssignment (roles/osconfig.osPolicyAssignmentViewer). Contient les autorisations d'accès en lecture seule pour obtenir et répertorier les attributions de règles d'OS.

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

Mettre à jour les attributions de règles de l'OS

Pour mettre à jour une attribution de règles d'OS, procédez comme suit :

1. Mettez à jour le fichier YAML ou JSON contenant l'attribution de règle d'OS.

   La requête de mise à jour accepte les masques de champ. Vous devrez peut-être ne mettre à jour que certains champs de l'attribution de règles d'OS en laissant les autres champs inchangés. La commande "update" ou "patch" utilise des masques de champ pour indiquer à l'API les champs qui doivent être modifiés. La requête de mise à jour ou de correctif ignore les champs non spécifiés dans le masque de champ, en conservant leurs valeurs actuelles. Pour en savoir plus sur les masques de champ, consultez la section FieldMask.

2. Mettez à jour l'attribution de règles d'OS à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API OS Config.

   Lorsque vous mettez à jour une attribution de règles d'OS, un déploiement est créé. Vous pouvez suivre la progression de la mise à jour en surveillant le déploiement. Pour plus d'informations, consultez la section Obtenir des informations sur un déploiement.

   Console

   1. Dans la console Google Cloud, accédez à la page Règles d'OS > Attributions.

      Accéder à Google Cloud Console

   2. Pour l'attribution de règle d'OS que vous souhaitez modifier, cliquez sur Action (more_vert) > Modifier l'attribution.

   3. Apportez les modifications nécessaires. Par exemple, vous pouvez importer le fichier de règles d'OS mis à jour.

   4. Cliquez sur Lancer le déploiement.

   gcloud

   Exécutez la commande os-config os-policy-assignments update pour mettre à jour une attribution de règles d'OS.

   gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
       --location=ZONE \
       --file=FILE
   

   Remplacez l'élément suivant :

   • OS_POLICY_ASSIGNMENT_ID : nom de l'attribution de règle d'OS que vous souhaitez mettre à jour.
   • ZONE : zone dans laquelle se trouve l'attribution de règle d'OS
   • FILE : chemin absolu du fichier JSON ou YAML contenant les spécifications d'attribution des stratégies d'OS mises à jour.

   REST

   Dans l'API, envoyez une requête PATCH à la méthode projects.locations.osPolicyAssignments.patch.

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
   
   {
    JSON_OS_POLICY
   }
   

   Remplacez l'élément suivant :

   • PROJECT_ID : ID de votre projet.
   • OS_POLICY_ASSIGNMENT_ID : nom de l'attribution de règle d'OS que vous souhaitez mettre à jour.
   • JSON_OS_POLICY : spécifications d'attribution de règles du système d'exploitation créées à l'étape précédente. Il doit être au format JSON. Pour plus d'informations sur les paramètres et le format, consultez la page Resource: OSPolicyAssignment.
   • ZONE : zone dans laquelle se trouve l'attribution de règle d'OS

Répertorier les attributions de règles du système d'exploitation

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments

Décrire une attribution de règles d'OS

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Répertorier les révisions d'attribution des règles d'OS

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

Supprimer les attributions de règles d'OS

Lorsque vous supprimez une attribution de règles de système d'exploitation, un déploiement est créé. Vous pouvez afficher la progression de la suppression en surveillant le déploiement. Pour plus d'informations, consultez la section Obtenir des informations sur un déploiement.

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Dépannage

Pour résoudre les problèmes liés aux règles d'OS, consultez la page Résoudre les problèmes liés à VM Manager.

Étape suivante

• En savoir plus sur les règles de système d'exploitation.
• Créez une attribution de règle d'OS.