Gerenciar atribuições de políticas do SO

Depois de criar uma atribuição de política de SO, analise e gerencie as atribuições usando os seguintes procedimentos:

Atualizar atribuições de política do SO: modifique as configurações da atribuição da política do SO.
Descrever atribuições de política do SO: veja detalhes sobre uma atribuição de política específica do SO.
Listar atribuições de política do SO: veja uma lista de atribuições de política do SO em uma zona específica.
Listar revisões de atribuição de política de SO: veja uma lista de revisões disponíveis para uma atribuição específica de política de SO
Excluir uma atribuição de política do SO: exclua uma atribuição de política de SO específica.
Depurar uma atribuição de política de SO: solucione problemas de uma atribuição de política de SO

É possível gerenciar as atribuições de política do SO usando o console do Google Cloud, a Google Cloud CLI ou a API OS Config.

Antes de começar

Revise as cotas de configuração do SO.
Configure a autenticação, caso ainda não tenha feito isso. A autenticação é o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud. Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no Compute Engine da seguinte maneira.

Selecione a guia para como planeja usar as amostras nesta página:
Console

Quando você usa o console do Google Cloud para acessar os serviços e as APIs do Google Cloud, não é necessário configurar a autenticação.
gcloud
1. Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:
```
gcloud init
```
  Observação: se você instalou a CLI gcloud anteriormente, verifique se tem a versão mais recente executando gcloud components update.
2. Defina uma região e uma zona padrão.
REST

Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para a CLI gcloud.

Permissões

Os proprietários de um projeto têm acesso total para gerenciar as atribuições de políticas do SO. Para todos os outros usuários, você precisa conceder permissões. Para gerenciar atribuições de políticas do SO, conceda um dos seguintes papéis granulares:

Administrador de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentAdmin). Contém permissões para criar, excluir, atualizar, receber e listar atribuições de políticas do SO.
Editor de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentEditor). Contém permissões para atualizar, receber e listar atribuições de políticas do SO.
Visualizador de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentViewer). Contém permissões de acesso somente leitura para receber e listar atribuições de políticas do SO.

Exemplo de comando para definir permissões

Para conceder acesso de administrador à política do SO a um usuário, execute o seguinte comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

Substitua:

PROJECT_ID: o ID do projeto;
USER_ID: o nome de usuário do Google Workspace.

Atualizar atribuições de políticas do SO

Para atualizar uma atribuição de política de SO, siga estas etapas:

Atualize o arquivo YAML ou JSON que tenha a atribuição de política do SO.

A solicitação de atualização é compatível com máscaras de campo. Talvez seja necessário atualizar apenas determinados campos na atribuição de políticas do SO e manter os outros campos inalterados. O comando de atualização ou patch usa máscaras de campo para informar à API quais campos são alterados. A solicitação de atualização ou patch ignora todos os campos que não estiverem especificados na máscara de campo, deixando-os com seus valores atuais. Para mais informações sobre máscaras de campo, consulte FieldMask.
Atualize a atribuição de política do SO usando o console do Google Cloud, a Google Cloud CLI ou a API OS Config.

Quando você atualiza uma atribuição de política do SO, um lançamento é criado. É possível ver o progresso da atualização monitorando o lançamento. Para mais informações, consulte Como conseguir detalhes de um lançamento.
Console
1. No console do Google Cloud, acesse a página Políticas do SO > Atribuições.
  
  Acessar o Console do Google Cloud
2. Na atribuição da política do SO que você quer editar, clique em Ação () > Editar atribuição.
3. Faça as atualizações necessárias. Por exemplo, é possível fazer o upload do arquivo atualizado da política do SO.
4. Clique em Iniciar lançamento.
gcloud
Use o comando os-config os-policy-assignments update para atualizar uma atribuição de política do SO.
```
gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE \
    --file=FILE
```
Substitua:
- OS_POLICY_ASSIGNMENT_ID: o nome da atribuição de política do SO que você quer atualizar.
- ZONE: a zona em que a atribuição de política do SO está localizada.
- FILE: o caminho absoluto para o arquivo JSON ou YAML que contém as especificações de atribuição de política do SO atualizadas.
REST
Na API, crie uma solicitação PATCH para o método projects.locations.osPolicyAssignments.patch.
```
PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

{
 JSON_OS_POLICY
}
```
Substitua:
- PROJECT_ID: ID do projeto
- OS_POLICY_ASSIGNMENT_ID: nome da atribuição da política do SO que você quer atualizar
- JSON_OS_POLICY: as especificações de atribuição de política do SO criadas na etapa anterior. Ele precisa estar no formato JSON. Para mais informações sobre os parâmetros e o formato, consulte Resource: OSPolicyAssignment.
- ZONE: a zona em que a atribuição de política do SO está localizada.

Listar atribuições de políticas do SO

Console

No console do Google Cloud, acesse a página Políticas do SO > Atribuições.

Acessar o Console do Google Cloud

gcloud

Para ver uma lista de atribuições de políticas do SO em uma zona específica, use o comando os-config os-policy-assignments list.

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

Substitua ZONE pela zona em que as atribuições de políticas do SO estão localizadas.

REST

Na API, crie uma solicitação GET para o método projects.locations.osPolicyAssignments.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments

Substitua:

PROJECT_ID: ID do projeto
ZONE: a zona em que as atribuições de política do SO estão localizadas.

Descrever uma atribuição de política de SO

Console

No console do Google Cloud, acesse a página Políticas do SO > Atribuições.

Acessar o Console do Google Cloud
Clique no nome da atividade com os detalhes que você quer ver.

gcloud

Para visualizar detalhes sobre uma atribuição de política de SO, use o comando compute os-config os-policy-assignments describe.

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

Substitua:

OS_POLICY_ASSIGNMENT_ID: o nome da atribuição de política do SO que você quer visualizar.
ZONE: a zona em que a atribuição de política do SO está localizada.

REST

Na API, crie uma solicitação GET para o método projects.locations.osPolicyAssignments.get.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Substitua:

PROJECT_ID: ID do projeto
OS_POLICY_ASSIGNMENT_ID: nome da atribuição de política do SO que você quer visualizar.
ZONE: a zona em que a atribuição de política do SO está localizada.

Listar revisões de atribuição de política do SO

gcloud

Um código de revisão é gerado quando você cria uma atribuição de política do SO. Um novo código de revisão também é gerado sempre que você atualiza ou exclui a atribuição da política do SO.

Para ver uma lista de revisões disponíveis para uma atribuição de política do SO, use o comando os-config os-policy-assignments list-revisions.

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

Substitua:

OS_POLICY_ASSIGNMENT_ID: o nome da atribuição da política do SO com as revisões que você quer ver.
ZONE: a zona em que a atribuição de política do SO está localizada.

REST

Na API, crie uma solicitação GET para o método projects.locations.osPolicyAssignments.listRevisions.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

Substitua:

PROJECT_ID: ID do projeto
OS_POLICY_ASSIGNMENT_ID: o nome da atribuição da política do SO com as revisões que você quer ver.
ZONE: a zona em que a atribuição de política do SO está localizada.

Excluir atribuições de políticas do SO

Quando você exclui uma atribuição de política do SO, um lançamento é criado. É possível ver o progresso da exclusão monitorando o lançamento. Para mais informações, consulte Como conseguir detalhes de um lançamento.

Console

No console do Google Cloud, acesse a página Políticas do SO > Atribuições.

Acessar o Console do Google Cloud
Na atribuição da política do SO que você quer excluir, clique em Ação () > Excluir atribuição.
Clique em Excluir.

gcloud

Para excluir uma atribuição de política do SO, use o comando os-config os-policy-assignments delete.

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

Substitua:

OS_POLICY_ASSIGNMENT_ID: o nome da atribuição da política do SO que você quer excluir
ZONE: a zona em que a atribuição de política do SO está localizada.

REST

Na API, crie uma solicitação DELETE para o método projects.locations.osPolicyAssignments.delete.

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Substitua:

PROJECT_ID: ID do projeto
OS_POLICY_ASSIGNMENT_ID: nome da atribuição da política do SO que você quer excluir
ZONE: a zona em que a atribuição de política do SO está localizada.

Solução de problemas

Para solucionar problemas em uma atribuição de política de SO, consulte Solução de problemas do VM Manager.

A seguir

Saiba mais sobre as políticas do SO.
Crie uma atribuição de política do SO.